Verwerkersovereenkomst | innOVeet Nederland B.V.

(Versie: 1.0 | maart 2026)

Artikel 1. Algemeen

1.1. Bij de uitvoering van de Overeenkomst verwerkt innOVeet (hierna: “Verwerker”) namens Opdrachtgever (hierna: “Verwerkingsverantwoordelijke”) bepaalde persoonsgegevens.
1.2. In deze bijlage (hierna: “Verwerkersovereenkomst”) leggen Verwerker en Verwerkingsverantwoordelijke de voorwaarden vast waaronder deze verwerking plaatsvindt, teneinde te voldoen aan artikel 28 van de Algemene verordening gegevensbescherming (“AVG”).
1.3. Alle in deze Verwerkersovereenkomst gebruikte begrippen die zijn gedefinieerd in de AVG, hebben de betekenis die daaraan in de AVG is toegekend.

Artikel 2. Doeleinden van de verwerking

2.1. Verwerker verwerkt in opdracht van Verwerkingsverantwoordelijke persoonsgegevens uitsluitend voor zover dat noodzakelijk is voor de uitvoering van de Overeenkomst en overeenkomstig de voorwaarden van deze Verwerkersovereenkomst.
2.2. De aard, duur en het doel van de verwerking, de categorieën persoonsgegevens en de categorieën betrokkenen, zijn nader beschreven in Annex I bij deze Verwerkersovereenkomst.
2.3. Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, tenzij een op Verwerker rustende wettelijke verplichting tot verwerking anders voorschrijft. In dat geval stelt Verwerker Verwerkingsverantwoordelijke voorafgaand aan die verwerking daarvan op de hoogte, tenzij die wetgeving deze kennisgeving verbiedt om gewichtige redenen van algemeen belang.
2.4. Verwerker verwerkt de persoonsgegevens niet voor eigen doeleinden en neemt geen zelfstandige beslissingen over de doeleinden en middelen van de verwerking.

Artikel 3. Verplichtingen van Verwerker

3.1. Verwerker zal bij de verwerking van persoonsgegevens handelen in overeenstemming met de op hem als verwerker rustende verplichtingen op grond van de AVG en andere toepasselijke wet- en regelgeving inzake de bescherming van persoonsgegevens.
3.2. Verwerker zal Verwerkingsverantwoordelijke op eerste verzoek informeren over de door Verwerker genomen maatregelen ter nakoming van zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst.
3.3. Verwerker waarborgt dat de personen die onder zijn gezag persoonsgegevens verwerken, waaronder werknemers en ingeschakelde hulppersonen, zich hebben verbonden tot geheimhouding of door een passende wettelijke geheimhoudingsplicht zijn gebonden.
3.4. Indien naar het oordeel van Verwerker een instructie van Verwerkingsverantwoordelijke in strijd is met de AVG of andere toepasselijke wet- en regelgeving inzake de bescherming van persoonsgegevens, stelt Verwerker Verwerkingsverantwoordelijke daarvan onverwijld in kennis.
3.5. Verwerker verleent, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, redelijke medewerking aan Verwerkingsverantwoordelijke bij het voldoen aan diens verplichtingen op grond van de artikelen 32 tot en met 36 AVG, voor zover dat redelijkerwijs van Verwerker kan worden verlangd.

Artikel 4. Doorgifte van persoonsgegevens

4.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (hierna: “EER”). Daarnaast mag Verwerker de persoonsgegevens slechts doorgeven naar een land buiten de EER indien dat land een passend beschermingsniveau waarborgt en Verwerker ten aanzien van die doorgifte voldoet aan de overige verplichtingen die op hem rusten op grond van deze Verwerkersovereenkomst en de AVG.

Artikel 5. Inschakelen subverwerkers

5.1. Verwerkingsverantwoordelijke geeft Verwerker hierbij algemene toestemming om bij de verwerking van persoonsgegevens op grond van deze Verwerkersovereenkomst gebruik te maken van één of meerdere subverwerkers, met inachtneming van de toepasselijke wetgeving.
5.2. De subverwerkers die zijn of mogen worden ingeschakeld, zijn nader beschreven in de Overeenkomst en/of in Annex II bij deze Verwerkersovereenkomst. Verwerker heeft het recht subverwerkers uit te breiden of te vervangen en zal Verwerkingsverantwoordelijke in dat geval minimaal veertien (14) dagen voorafgaand aan de daadwerkelijke wijziging schriftelijk op de hoogte stellen. Verwerkingsverantwoordelijke heeft vervolgens het recht om schriftelijk gemotiveerd bezwaar te maken. Indien Verwerkingsverantwoordelijke bezwaar maakt tegen een dergelijke wijziging, zullen Partijen in overleg treden om tot een oplossing te komen. Indien Verwerker vasthoudt aan de betreffende wijziging, is Verwerkingsverantwoordelijke gerechtigd de Overeenkomst voor het desbetreffende onderdeel schriftelijk op te zeggen.
5.3. Verwerker zorgt er in ieder geval voor dat subverwerkers schriftelijk ten minste dezelfde verplichtingen op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen. Verwerker staat in voor de correcte naleving van die verplichtingen door deze subverwerkers en is voor fouten van deze subverwerkers jegens Verwerkingsverantwoordelijke aansprakelijk alsof Verwerker die fouten zelf heeft begaan.

Artikel 6. Beveiliging

6.1. Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, ter bescherming tegen verlies of tegen enige vorm van onrechtmatige verwerking, zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens.
6.2. Indien blijkt dat een noodzakelijke beveiligingsmaatregel ontbreekt, zal Verwerker ervoor zorgdragen dat de beveiliging voldoet aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

Artikel 7. Meldplicht Datalekken

7.1. Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte van een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4, onder 12, AVG (hierna: “Datalek”), naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken.
7.2. De meldplicht geldt ongeacht de impact van het Datalek. Verwerker zal het Datalek per e-mail melden aan de contactpersoon van Verwerkingsverantwoordelijke.
7.3. De kennisgeving van Verwerker aan Verwerkingsverantwoordelijke over het Datalek omvat ten minste:
a. de datum en het tijdstip van ontdekking van het Datalek;
b. de datum en het tijdstip van melding aan Verwerkingsverantwoordelijke;
c. de voorgenomen en/of reeds ondernomen maatregelen om het Datalek te dichten en de gevolgen daarvan te beperken;
d. informatie over het Datalek, waaronder in ieder geval:
i. een beschrijving van het Datalek;
ii. de datum waarop het Datalek heeft plaatsgevonden, of, indien geen exacte datum bekend is, de periode waarbinnen het Datalek heeft plaatsgevonden;
iii. de vermeende oorzaak van het Datalek;
iv. het vooralsnog bekende en/of te verwachten gevolg van het Datalek;
v. het aantal personen van wie gegevens zijn gelekt, of, indien geen exact aantal bekend is, het minimale en maximale aantal personen van wie gegevens zijn gelekt;
vi. een omschrijving van de groep personen van wie gegevens zijn gelekt;
vii. de vraag of de gegevens zijn versleuteld, gehasht of op een andere wijze onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden.
7.4 Verwerkingsverantwoordelijke draagt zorg voor het voldoen aan eventuele wettelijke meldplichten. Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke opvolgen en de medewerking verlenen die noodzakelijk is voor het opheffen van de oorzaak van het Datalek, het voorkomen van verdere schade voor betrokkenen en het voorkomen van vergelijkbare incidenten in de toekomst. Verwerker kan hiervoor redelijke kosten in rekening brengen.

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1. Indien een betrokkene een verzoek tot uitoefening van zijn of haar wettelijke rechten richt aan Verwerker, zal Verwerker dit verzoek onverwijld doorsturen aan Verwerkingsverantwoordelijke en de betrokkene daarvan op de hoogte stellen. Verwerkingsverantwoordelijke zal het verzoek vervolgens zelfstandig verder afhandelen.
8.2. Indien blijkt dat Verwerkingsverantwoordelijke hulp nodig heeft van Verwerker voor de afhandeling van een verzoek van een betrokkene, zal Verwerker de benodigde medewerking verlenen. Verwerker kan hiervoor redelijke kosten in rekening brengen.

Artikel 9. Geheimhouding en vertrouwelijkheid

9.1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verwerkt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze persoonsgegevens niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, ook niet indien deze in een zodanige vorm zijn gebracht dat zij niet meer tot betrokkenen herleidbaar zijn.
9.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gelet op de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 10. Audit

10.1 Verwerkingsverantwoordelijke heeft het recht audits te laten uitvoeren door een onafhankelijke deskundige die aan geheimhouding is gebonden, ter controle van de naleving van deze Verwerkersovereenkomst.
10.2 Een audit als bedoeld in Artikel 10.1 vindt uitsluitend plaats nadat Verwerkingsverantwoordelijke een concreet vermoeden heeft van niet-naleving van deze Verwerkersovereenkomst, eerst bij Verwerker aanwezige soortgelijke auditrapportages heeft opgevraagd en beoordeeld, en redelijke argumenten aanvoert die een door Verwerkingsverantwoordelijke geïnitieerde audit rechtvaardigen. Een dergelijke audit is slechts gerechtvaardigd indien de bij Verwerker aanwezige auditrapportages geen of onvoldoende uitsluitsel geven over de naleving van deze Verwerkersovereenkomst door Verwerker. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt plaats na een voorafgaande aankondiging van ten minste twee (2) weken en maximaal eenmaal per jaar. Partijen zullen in overleg de exacte datum en het tijdstip van de audit vaststellen.
10.3 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie en medewerkers zo tijdig mogelijk en binnen een redelijke termijn ter beschikking stellen. Een termijn van maximaal twee (2) weken geldt daarbij als redelijk, tenzij een spoedeisend belang zich daartegen verzet.
10.4 Verwerkingsverantwoordelijke garandeert dat de audit een zo gering mogelijk verstorend effect heeft op de overige werkzaamheden van Verwerker.
10.5 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en naar aanleiding daarvan al dan niet worden doorgevoerd door één van de Partijen of door Partijen gezamenlijk.
10.6. De kosten van de audit worden gedragen door Verwerkingsverantwoordelijke.

Artikel 11. Einde van de verwerking

11.1 Na beëindiging van de Overeenkomst zal Verwerker, naar keuze van Verwerkingsverantwoordelijke, de persoonsgegevens wissen of aan Verwerkingsverantwoordelijke retourneren, tenzij op Verwerker een wettelijke verplichting rust om de persoonsgegevens te bewaren.
11.2. Verwerker zal bestaande kopieën van persoonsgegevens verwijderen, tenzij opslag daarvan op grond van toepasselijke wet- en regelgeving verplicht is.
11.3. Indien Verwerkingsverantwoordelijke niet tijdig een keuze als bedoeld in Artikel 11.1 kenbaar maakt, is Verwerker gerechtigd de persoonsgegevens na beëindiging van de Overeenkomst te verwijderen, tenzij Partijen schriftelijk anders zijn overeengekomen of toepasselijke wet- en regelgeving zich daartegen verzet.

Artikel 12. Slotbepalingen

12.1. Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst. 
12.2 Voor zover in deze Verwerkersovereenkomst niet uitdrukkelijk anders is bepaald, zijn de bepalingen van de Overeenkomst en de daarop toepasselijke algemene voorwaarden mede van toepassing op deze Verwerkersovereenkomst, waaronder begrepen de bepalingen omtrent aansprakelijkheid, aansprakelijkheidsbeperkingen en vervaltermijnen, tenzij dwingend recht zich daartegen verzet. Indien en voor zover een contractuele beperking van aansprakelijkheid geen toepassing vindt, is iedere aansprakelijkheid van innOVeet in verband met deze Verwerkersovereenkomst beperkt tot het bedrag dat door de aansprakelijkheidsverzekeraar van innOVeet in het betreffende geval daadwerkelijk wordt uitgekeerd, te vermeerderen met het eigen risico dat op grond van die verzekering voor rekening van innOVeet komt.

Annex I: Specificatie verwerkingsactiviteiten

De in deze Annex I opgenomen verwerkingsactiviteiten, categorieën persoonsgegevens en categorieën betrokkenen zijn uitsluitend van toepassing voor zover deze relevant zijn voor de daadwerkelijk door Verwerkingsverantwoordelijke afgenomen Diensten.

Doeleinden en duur

Het leveren, beschikbaar stellen, hosten, beheren, onderhouden, ondersteunen, beveiligen en verbeteren van de Diensten, alsmede het verlenen van support, implementatie, configuratie, migratie, monitoring, back-up- en herstelwerkzaamheden en het afhandelen van storingen en incidenten. De verwerkingen vinden plaats op continue basis voor de duur van betreffende Overeenkomst.

Categorieën persoonsgegevens

• naamgegevens
• contactgegevens, zoals e-mailadres, telefoonnummer en adresgegevens
• functie- en bedrijfsgegevens
• account- en inloggegevens
• identificatie- en klantnummers
• communicatiegegevens
• gebruiksgegevens, loggegevens en metadata
• IP-adressen en andere online identificatoren
• inhoud van door Verwerkingsverantwoordelijke opgeslagen, ingevoerde, verzonden of anderszins via de Diensten verwerkte gegevens
• overige persoonsgegevens die Verwerkingsverantwoordelijke in het kader van de Diensten laat verwerken

Categorieën betrokkenen

• werknemers, ingehuurde krachten en andere medewerkers van Verwerkingsverantwoordelijke
• eindgebruikers die door of namens Verwerkingsverantwoordelijke gebruikmaken van de Diensten
• klanten, prospects, leveranciers en andere relaties van Verwerkingsverantwoordelijke
• websitebezoekers of andere personen van wie persoonsgegevens via de Diensten worden verwerkt

Annex II: Specificatie subverwerkers