Indien PLTFRM bij de uitvoering van de Dienst Persoonsgegevens verwerkt dan zijn hierop eveneens en met voorrang de Algemene Voorwaarden van toepassing. De begrippen die in deze Verwerkersovereenkomst met een hoofdletter worden geschreven, zowel in enkelvoud als in meervoud, hebben de betekenis zoals gedefinieerd in Artikel 1 van deze Verwerkersovereenkomst of de betekenis die de AVG daaraan toekent.

a. (PLTFRM) PLTFRM B.V.gevestigd te Utrecht en ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 82272468;

b. (Algemene Voorwaarden) de algemene voorwaarden van PLTFRM (te raadplegen op: www.pltfrm.nl/conditions);

c. (Artikel) een artikel uit deze Verwerkersovereenkomst;

d. (Verwerkersovereenkomst) de overeenkomst waarin PLTFRM en Klant afspraken hebben vastgelegd voor de verwerking van persoonsgegevens;

e. (AVG) de Verordening (EU) 2016/679) van het Europees Parlement en de Raad van 27 april 2016 over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

f. (Persoonsgegevens) alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

g. (Verwerking) een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

h. (Klant) de natuurlijke persoon of rechtspersoon die met PLTFRM een Overeenkomst heeft gesloten;

i. (Betrokkene) een geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;

j. (Derde(n)): De natuurlijke perso(o)n(en) en/of rechtsperso(o)n(en) die niet als contractspartij bij de betreffende overeenkomst is betrokken, is ten opzichte van die contractspartijen een derde;

k. (Personeel) werknemers, freelancers, zelfstandigen zonder personeel en/of door PLTFRM van een derde ingeleende hulppersonen, die door PLTFRM ten behoeve van Klant worden ingezet en/of werkzaamheden voor Klant verricht;

l. (Overeenkomst): de (raam)overeenkomst tussen PLTFRM en Klant op basis waarvan PLTFRM de Dienst verricht voor de Klant;

m. (Raamovereenkomst) Een schriftelijke overeenkomst tussen PLTFRM en Klant ten behoeve van het aansluiten van één of meerdere diensten die geldt voor een bepaalde duur, is vastgesteld op een vooraf bepaald tarief en aangegaan onder de Algemene Voorwaarden en eventuele nader te bepalen aanvullende voorwaarden.

1. PLTFRM verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst onder het gezag van Klant Persoonsgegevens te verwerken.
2. Verwerking door PLTFRM zal uitsluitend plaatsvinden in het kader van de dienstverlening van PLTFRM zoals bedoeld in de Overeenkomst en doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald, een en ander behoudens afwijkende wettelijke verplichtingen.
3. Klant zal PLTFRM op de hoogte stellen van de verwerkingsdoeleinden. PLTFRM zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Klant is vastgesteld. 

4. Indien Klant een nieuwe opdracht verstrekt aan PLTFRM en PLTFRM in het kader van deze opdracht Persoonsgegevens verwerkt van (betrokkenen van) Klant, dan is deze Verwerkersovereenkomst hierop ook van toepassing.

1. Ten aanzien van de Verwerking van Persoonsgegevens, zoals bedoeld in deze Verwerkersovereenkomst, zal PLTFRM zorgdragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder de AVG.
2. PLTFRM zal Klant, op diens eerste verzoek daartoe, informeren over de door haar getroffen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
3. De verplichtingen van PLTFRM die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van PLTFRM, waaronder begrepen maar niet beperkt tot Personeel.
4. PLTFRM zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Klant ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA’s). PLTFRM kan bij Klant daarvoor haar gebruikelijke tarieven in rekening brengen.
5. PLTFRM zal een register van alle categorieën van verwerkingsactiviteiten bijhouden, die zij voor Klant verricht onder deze Verwerkersovereenkomst. Op verzoek zal PLTFRM Klant hierin inzage verschaffen.

1. PLTFRM mag de Persoonsgegevens verwerken in landen binnen de Europese Unie. Daarnaast mag PLTFRM de Persoonsgegevens ook doorgeven naar een land buiten de Europese Unie, mits dat land een passend beschermingsniveau waarborgt en ze voldoet aan de overige verplichtingen die op haar rusten op grond van deze Verwerkersovereenkomst en de AVG.
2. PLTFRM zal Klant melden om welk land of welke landen het gaat. PLTFRM staat ervoor in dat, gelet op de omstandigheden die op de doorgifte van de persoonsgegevens of op een categorie gegevensdoorgiften van invloed zijn, er bij landen buiten de Europese Unie sprake is van een passend beschermingsniveau.
3. In het bijzonder zal PLTFRM bij het bepalen van een passend beschermingsniveau rekening houden met de duur van de voorgenomen verwerking, het land van herkomst en het land van eindbestemming, de algemene en sectorale rechtsregels die in het betreffende land geldende de regels van het beroepsleven en de veiligheidsmaatregelen die in die landen worden nageleefd.

1. PLTFRM is louter verantwoordelijk voor de Verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Klant en onder de uitdrukkelijke (eind)verantwoording van Klant. Voor de overige Verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de Persoonsgegevens door Klant, Verwerkingen voor doeleinden die niet door Klant aan PLTFRM zijn gemeld, Verwerkingen door derden en/of voor andere doeleinden, is PLTFRM uitdrukkelijk niet verantwoordelijk.
2. Klant garandeert dat de inhoud, het gebruik en de opdracht tot de Verwerkingen van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en uitdrukkelijk dat deze voldoen aan de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van persoonsgegevens, zoals de AVG. Klant zal tevens zorgdragen voor de naleving van deze wet- en regelgeving in lijn met deze Verwerkersovereenkomst. Klant vrijwaart PLTFRM voor alle vorderingen, boetes en andere aanspraken van derden, waaronder begrepen maar niet beperkt tot boetes opgelegd door de Autoriteit Persoonsgegevens, en de daaruit voortvloeiende schade in relatie tot een schending van deze garantie.

1. PLTFRM is gerechtigd in het kader van een Verwerking op grond van deze Verwerkersovereenkomst gebruik te maken van derden onder voorwaarde dat deze vooraf worden gemeld aan Klant. Klant mag bezwaar maken indien het gebruik van een specifieke gemelde derde onaanvaardbaar voor haar is.
2. PLTFRM zorgt er in ieder geval voor dat deze derden schriftelijk ten minste dezelfde plichten op zich nemen als die op PLTFRM rusten op grond van deze Verwerkersovereenkomst.

1. PLTFRM die zal zich ervoor inspannen voldoende technische en organisatorische maatregelen te nemen op grond van de AVG en in het bijzonder op grond van artikel 32 AVG van haar worden geëist.
2. PLTFRM heeft in ieder geval de volgende maatregelen genomen:
   a. een beveiligd intern netwerk;
   b. fysieke maatregelen voor toegangsbeveiliging;
   c. organisatorische maatregelen voor toegangsbeveiliging;
   d. logische toegangscontrole, gebruik makend van persoonsgebonden toegangspasjes en sterke wachtwoorden;
   e. steekproefsgewijze controle op naleving beleid;
   f. doelgebonden toegangsbeperkingen
   g. encryptie (versleuteling) van digitale bestanden met persoonsgegevens
   h. beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie
   i. controle op toegekende bevoegdheden
3. PLTFRM uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal PLTFRM zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de Persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
4. Klant stelt enkel Persoonsgegevens aan PLTFRM ter beschikking voor Verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Klant is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

1. Klant is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van Persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van Persoonsgegevens) aan de toezichthouder en/of betrokkenen.
2. Om Klant in staat te stellen aan deze wettelijke plicht te voldoen, stelt PLTFRM Klant binnen 48 uur nadat het bij hem bekend is geworden op de hoogte van het beveiligingslek en/of het datalek.
3. PLTFRM hoeft Klant niet binnen de termijn genoemd in het voorgaande lid op de hoogte te stellen van een datalek indien duidelijk is dat het datalek geen risico is voor de rechten en vrijheden van natuurlijke personen. PLTFRM zal Klant echter wel op de hoogte stellen van het datalek dat geen risico vormt voor de rechten en vrijheden van natuurlijke personen, teneinde Klant in staat te stellen alle datalekken conform artikel 33.5 van de AVG te documenteren.
4. De meldplicht behelst in ieder geval het melden van het feit dat er een datalek is geweest. Daarnaast behelst de meldplicht:
   a. de aard van de inbreuk in verband met Persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
   b. de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
   c. de waarschijnlijke gevolgen van de inbreuk in verband met Persoonsgegevens;
   d. de maatregelen die PLTFRM heeft voorgesteld of genomen om de inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
5. PLTFRM zal conform artikel 33.5 van de AVG alle datalekken documenteren, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Op verzoek zal PLTFRM Klant hierin inzage verschaffen.
6. Klant bepaalt, en is verantwoordelijk voor, de keuze of een bij PLTFRM geconstateerd datalek wordt gemeld aan de toezichthouder en/of aan betreffende betrokkenen.

1. Klant is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens en stelt PLTFRM daarvan zo nodig op de hoogte.
2. PLTFRM zal de Persoonsgegevens binnen dertig (30) dagen na het einde van de Verwerkersovereenkomst wissen of, naar keuze van Klant, aan haar overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen van PLTFRM, dan wel indien Klant verzoekt Persoonsgegevens langer te bewaren en PLTFRM en Klant over de kosten en overige voorwaarden van dat langere bewaren overeenstemming bereiken, dit laatste onverminderd de verantwoordelijkheid van Klant de wettelijke bewaartermijnen in acht te nemen. Een eventuele overdracht aan Klant geschiedt op kosten van Klant tegen de op dat moment geldende en redelijke prijzen.
3. PLTFRM zal voor zover nodig alle sub-verwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal hen instrueren te handelen zoals in het voorgaande lid is bepaald.
4. Klant draagt zelf zorg voor een back up van de Persoonsgegevens, tenzij partijen hierover uitdrukkelijk andersluidende afspraken hebben gemaakt.

In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan PLTFRM, zal PLTFRM het verzoek doorsturen aan Klant, en zal Klant het verzoek verder afhandelen. PLTFRM mag de betrokkene daarvan op de hoogte stellen.

1. Op alle Persoonsgegevens die PLTFRM van Klant ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. PLTFRM zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot Betrokkenen herleidbaar is.
2. Deze geheimhoudingsplicht is niet van toepassing voor zover Klant uitdrukkelijke toestemming heeft gegeven om de informatie aan Derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

1. Klant heeft het recht om audits uit te laten voeren door een onafhankelijke Derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit de Verwerkersovereenkomst, en alles dat daar direct verband mee houdt.
2. Deze audit mag plaatsvinden bij een concreet vermoeden van misbruik van Persoonsgegevens.
3. PLTFRM zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en Personeel zo tijdig mogelijk ter beschikkingstellen.
4. De audit van Klant zal zich altijd beperken tot de systemen van PLTFRM die voor de verwerkingen worden gebruikt. Klant zal de bij de audit gevonden informatie geheimhouden en alleen gebruiken om de naleving door PLTFRM van de verplichtingen uit deze Verwerkersovereenkomst te controleren en de informatie of delen daarvan zo snel als kan wissen. Klant staat ervoor in dat eventuele ingeschakelde derden deze verplichtingen ook op zich nemen.
5. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
6. De kosten van de audit komen voor rekening van Klant, tenzij uit de bevindingen van de audit blijkt dat PLTFRM de bepalingen uit de Verwerkersovereenkomst niet is nagekomen en deze niet- nakoming niet triviaal is. In dat geval komen de kosten voor rekening van PLTFRM.

1. Klant draagt, onder meer, de verantwoordelijkheid en is uit dien hoofde volledig aansprakelijk voor (het gestelde doel van) de Verwerkingen, het gebruik en de inhoud van de persoonsgegevens, de verstrekking aan PLTFRM en aan derden, de duur van de opslag van de persoonsgegevens, de wijze van verwerking en de daartoe gehanteerde middelen.
2. Voor de aansprakelijkheid van Partijen onder de Verwerkersovereenkomst wordt verwezen naar Artikel 10 van de Algemene Voorwaarden.

1. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de (Raam)Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
2. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal PLTFRM – naar keuze van Klant – alle Persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Klant, en/of deze originele Persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen.
3. Partijen zullen de bepalingen in deze Verwerkersovereenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht in de toepassing van de AVG (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of rapporten), de introductie van standaardbepalingen en/of andere gebeurtenissen of inzichten die een dergelijke aanpassing nodig maken.
4. Indien Partijen in enige andere met elkaar gesloten overeenkomst, waaronder de Opdracht, reeds bepalingen hebben opgenomen inzake de Verwerking van Persoonsgegevens en daarmee samenhangende bepalingen, zullen in het geval van tegenstrijdigheden tussen de bepalingen van die overeenkomst en deze Verwerkersovereenkomst, de bepalingen uit deze Verwerkersovereenkomst gelden, tenzij uitdrukkelijk anders is overeengekomen.