Algemene voorwaarden

Versie: 1 januari 2024

Artikel 1: Definities

  1. Behoudens en voor zover elders in deze Algemene Voorwaarden (hierna: “Voorwaarden”) begrippen met een hoofdletter zijn gedefinieerd, hebben de met een hoofdletter gedefinieerde begrippen de navolgende betekenis:
Definitie
Applicatie(s)De applicatie(s) van Embrace bestemd voor het leveren van digitale werkplekken (“Social”) en/of digitaal klantvolgsysteem (“Customers”) en/of digitaal woonruimte verdeelsysteem (“Housing”) en/of digitaal klantportaal (“Portals”);
EmbraceEmbrace the Human Cloud B.V., gevestigd te (9723 DV) Groningen aan de Griffeweg 97-7 en ingeschreven bij de Kamer van Koophandel onder nummer 67694373;
OpdrachtgeverDe partij die gebruik wenst te maken van de Applicatie(s) en daartoe een Overeenkomst met Embrace aangaat;
Overeenkomst(en)De mantelovereenkomst welke gesloten wordt tussen Opdrachtgever en Embrace met betrekking tot de te leveren Applicatie(s) en/of overige relevante dienstverlening en/of offertes en/of aanbiedingen van Embrace die door Opdrachtgever worden geaccepteerd;
PartijenEmbrace en Opdrachtgever, waarbij in een voorkomend geval in enkelvoud van Partij wordt gesproken als het één der Partijen betreft.

Artikel 2: Toepasselijkheid

  1. Deze Voorwaarden zijn van toepassing op en maken deel uit van alle Overeenkomsten waarbij Embrace haar diensten aan Opdrachtgever levert. Het bepaalde in deze Voorwaarden is onverkort van toepassing op iedere (overeenkomst ter zake de uitvoering van de) Overeenkomst ten behoeve van Opdrachtgever.
  2. De toepasselijkheid van enige van deze Voorwaarden afwijkende algemene of specifieke voorwaarden of bedingen van Opdrachtgever, onder welke benaming ook, is uitdrukkelijk uitgesloten.
  3. Van deze Voorwaarden kan door Partijen slechts schriftelijk en expliciet worden afgeweken.
  4. Als enige bepaling van deze Voorwaarden nietig is of vernietigd wordt, blijven de overige bepalingen van deze Voorwaarden onverminderd van kracht. Embrace en Opdrachtgever treden in dat geval in overleg, met het doel nieuwe bepalingen van zoveel als mogelijk dezelfde strekking ter vervanging van de nietige of vernietigde bepalingen overeen te komen.
  5. Embrace is te allen tijde bevoegd om bepalingen van deze Voorwaarden eenzijdig te wijzigen. Zodra de gewijzigde Voorwaarden aan Opdrachtgever bekend zijn gemaakt, gelden deze tussen Embrace en Opdrachtgever.
  6. In geval van strijdigheid tussen enige bepaling uit de Overeenkomst en deze Voorwaarden prevaleert het bepaalde in de Overeenkomst boven het bepaalde in deze Voorwaarden tenzij in de Overeenkomst ten nadele van Embrace van de Voorwaarden wordt afgeweken.
  7. Het bepaalde in deze Voorwaarden doet niet af aan de rechten die Embrace op grond van de wet heeft.

Artikel 3: Totstandkoming Overeenkomst

  1. Alle offertes, aanbiedingen en andere uitingen van Embrace zijn vrijblijvend, tenzij schriftelijk en uitdrukkelijk anders is bepaald. Overeenkomsten en acceptaties van offertes en aanbiedingen door Opdrachtgever gelden als onherroepelijk.
  2. Opdrachtgever staat in voor de juistheid en volledigheid van de door of namens hem aan Embrace verstrekte gegevens waarop Embrace haar aanbieding heeft gebaseerd, met uitzondering van evidente typefouten.
  3. Tussen Embrace en Opdrachtgever komt slechts een Overeenkomst tot stand wanneer de offerte (digitaal) door Opdrachtgever is ondertekend dan wel Embrace tot uitvoering van de Overeenkomst is overgegaan.
  4. De inhoud van de Overeenkomst blijkt uit de offerte en bij gebreke daarvan uit hetgeen waartoe Embrace is overgegaan ter levering van de Applicatie(s).
  5. Als en voor zover een goede uitvoering van de Overeenkomst dit vereist, heeft Embrace te allen tijde het recht bepaalde werkzaamheden te laten verrichten door (een), al dan niet aan haar gelieerde, derde(n). De toepasselijkheid van artikel 7:404, 7:407 lid 2 en 7:409 van het Burgerlijk Wetboek wordt uitdrukkelijk uitgesloten.

Artikel 4: Prijzen, facturering en betaling

  1. Opdrachtgever is voor de Applicatie(s) de vergoeding verschuldigd die is opgenomen in de Overeenkomst.
  2. Alle door Embrace genoemde prijzen zijn in euro’s en exclusief in- en uitvoerrechten, omzetbelasting (indien van toepassing) en alle eventueel van overheidswege opgelegde heffingen en/of belastingen.
  3. Embrace brengt de verschuldigde bedragen per jaar, vooraf, aan Opdrachtgever in rekening. Embrace zal hiertoe een factuur aan Opdrachtgever zenden. Betaling dient binnen 30 dagen na factuurdatum te geschieden. Deze termijn geldt als uiterste betaaldatum en betreft daarom een fatale termijn.
  4. Bij een periodieke betalingsverplichting van Opdrachtgever, mag Embrace schriftelijk en conform de in de Overeenkomst opgenomen index of andere maatstaf, geldende prijzen en tarieven aanpassen op de in de Overeenkomst genoemde termijn. Voorziet de Overeenkomst niet uitdrukkelijk in de mogelijkheid tot aanpassing van de prijzen of tarieven, dan mag Embrace schriftelijk met inachtneming van een termijn van ten minste drie maanden de geldende prijzen en tarieven aanpassen. Indien Opdrachtgever in dat laatste geval niet akkoord wenst te gaan met de aanpassing, is Opdrachtgever gerechtigd binnen dertig dagen na kennisgeving van de aanpassing de Overeenkomst schriftelijk op te zeggen met ingang van de datum waarop de nieuwe prijzen en/of tarieven in werking zouden treden.
  5. Opdrachtgever is niet gerechtigd tot opschorting van enige betaling en evenmin tot verrekening van verschuldigde bedragen.
  6. Betaalt Opdrachtgever de verschuldigde bedragen niet of niet tijdig, dan is Opdrachtgever direct, zonder dat een aanmaning of ingebrekestelling nodig is, in verzuim. Opdrachtgever is de wettelijke handelsrente over het openstaande bedrag verschuldigd vanaf het moment dat hij in verzuim is, tot het moment van algehele voldoening van het volledig verschuldigde bedrag. Vindt de betaling niet alsnog plaats binnen één maand na de dag waarop de betaling uiterlijk had behoren te geschieden, dan wordt het wettelijke rentepercentage met 3% verhoogd per ingang van de dag waarop deze maand is verstreken.
  7. Blijft Opdrachtgever na aanmaning of ingebrekestelling nalatig de vordering te voldoen, dan kan Embrace de vordering uit handen geven en is Opdrachtgever naast het dan verschuldigde totale bedrag (inclusief de bijkomende rente) ook gehouden tot vergoeding van alle redelijke gerechtelijke en buitengerechtelijke kosten, waaronder begrepen alle kosten berekend door externe deskundigen. Een en ander laat de overige wettelijke en contractuele rechten van Embrace onverlet.
  8. Als Embrace (on)kosten op zich heeft genomen, zonder dat daarvoor een prijs is overeengekomen, is Embrace gerechtigd de Opdrachtgever daarvoor de werkelijke kosten en/of de gebruikelijke tarieven in rekening te brengen.
  9. Embrace is steeds bevoegd om al hetgeen Opdrachtgever verschuldigd is, te verrekenen met tegenvorderingen van Opdrachtgever.

Artikel 5: Aanvang, duur en einde Overeenkomst

  1. De uitvoering van de Overeenkomst vangt aan binnen een redelijke termijn na het aangaan van de Overeenkomst. Als geen aanvangsdatum is overeengekomen in de Overeenkomst, start Embrace direct met de uitvoering van de Overeenkomst. Opdrachtgever draagt er zorg voor dat hij onverwijld na het aangaan van de Overeenkomst beschikt over de voor het gebruik van de Applicatie(s) benodigde faciliteiten.
  2. Indien en voor zover de Overeenkomst tussen Partijen een duurovereenkomst is, geldt dat de Overeenkomst is aangegaan voor de overeengekomen duur, bij gebreke waarvan de duur van drie (3) jaar geldt.
  3. De duur van de Overeenkomst voor bepaalde tijd wordt telkens stilzwijgend verlengd met de duur van 1 jaar, tenzij Opdrachtgever of Embrace de Overeenkomst schriftelijk opzegt met inachtneming van een opzegtermijn van drie maanden vóór het einde van de desbetreffende periode.

Artikel 6: Uitvoering Overeenkomst

  1. Embrace voert de Overeenkomst uit op basis van een inspanningsverbintenis en zij verplicht zich de Applicatie(s) te leveren conform een zorgvuldig handelend beroepsbeoefenaar.
  2. Eventuele overeengekomen termijnen gelden niet als fatale termijnen aangezien Embrace afhankelijk is van diverse factoren en omstandigheden, zoals bijvoorbeeld: de kwaliteit van de gegevens en informatie die Opdrachtgever verstrekt en de medewerking van Opdrachtgever en relevante derden.
  3. Embrace levert de Applicatie(s) in opdracht van Opdrachtgever. Opdrachtgever mag de Applicatie(s) uitsluitend ten behoeve van zijn eigen bedrijf of organisatie gebruiken en zulks uitsluitend voor zover dat noodzakelijk is voor het door Embrace beoogde gebruik. Het staat Opdrachtgever niet vrij derden gebruik te laten maken van de door Embrace geleverde Applicatie(s).
  4. Embrace is niet gehouden bij de uitvoering van de Overeenkomst aanwijzingen van Opdrachtgever op te volgen, in het bijzonder niet als dit aanwijzingen betreft die de inhoud of omvang van de te leveren Applicatie(s) wijzigen of aanvullen. Als dergelijke aanwijzingen worden opgevolgd, worden de desbetreffende werkzaamheden vergoed overeenkomstig de dan geldende gebruikelijke tarieven van Embrace.
  5. Embrace kan wijzigingen in de inhoud of omvang van de Applicatie(s) aanbrengen. Als dergelijke wijzigingen substantieel zijn en een verandering van de bij Opdrachtgever geldende procedures tot gevolg heeft, zal Embrace Opdrachtgever hierover zo tijdig mogelijk inlichten. De kosten van deze verandering komen voor rekening van Opdrachtgever. In dat geval kan Opdrachtgever de Overeenkomst schriftelijk opzeggen tegen de datum waarop de wijziging in werking treedt, tenzij deze wijziging verband houdt met wijzigingen in relevante wetgeving of andere door bevoegde instanties gegeven voorschriften of Opdrachtnemer de kosten van deze wijziging voor zijn rekening neemt.
  6. Embrace kan de uitvoering van de Overeenkomst voortzetten met gebruikmaking van een nieuwe of gewijzigde versie van de Applicatie(s). Embrace is niet gehouden specifiek voor Opdrachtgever bepaalde eigenschappen of functionaliteiten van de Applicatie(s) te handhaven, te wijzigen of toe te voegen.
  7. Embrace kan de Applicatie(s) geheel of gedeeltelijk tijdelijk buiten gebruik stellen voor preventief, correctief of adaptief onderhoud of andere vormen van service. Embrace zal de buitengebruikstelling niet langer laten duren dan noodzakelijk en deze zo mogelijk op momenten laten plaatsvinden waarop de Applicatie(s) doorgaans het minst intensief gebruikt wordt.

Artikel 7: Aansprakelijkheid Embrace

  1. De totale aansprakelijkheid van Embrace wegens een toerekenbare tekortkoming in de nakoming van de Overeenkomst of op welke rechtsgrond dan ook, is beperkt tot vergoeding van schade zoals in dit artikel uitgewerkt.
  2. De aansprakelijkheid van Embrace uit welke hoofde dan ook is per Applicatie en per gebeurtenis beperkt tot vergoeding van directe schade tot maximaal het bedrag van de in de Overeenkomst bedongen vergoeding voor één jaar (excl. btw). In geen geval zal de vergoeding voor directe schade gedurende de gehele looptijd van deze Overeenkomst echter meer bedragen dan € 250.000 (tweehonderdvijftigduizend euro). Een reeks van samenhangende gebeurtenissen geldt als één gebeurtenis.
  3. Onder directe schade wordt uitsluitend verstaan:
    1. de redelijke kosten die Opdrachtgever zou moeten maken om de prestatie van Embrace aan deze Overeenkomst te laten beantwoorden; deze schade wordt echter niet vergoed indien Opdrachtgever deze Overeenkomst heeft ontbonden.
    2. redelijke kosten, gemaakt ter vaststelling van de oorzaak en de omvang van de schade, voor zover de vaststelling betrekking heeft op directe schade in de zin van deze Overeenkomst;
    3. redelijke kosten, gemaakt ter voorkoming of beperking van schade, voor zover Opdrachtgever aantoont dat deze kosten hebben geleid tot beperking van directe schade in de zin van deze Overeenkomst.
    4. door de Autoriteit Persoonsgegevens aan Opdrachtgever opgelegde boetes, voor zover deze zijn opgelegd vanwege een aan Embrace toerekenbare schending van de wet- en regelgeving betreffende de verwerking van persoonsgegevens in het kader van de door Partijen overeengekomen Verwerkersovereenkomst en/of niet-nakomingen van verplichtingen uit deze Verwerkersovereenkomst door Embrace.
    5. door Opdrachtgever vergoede aanspraken van betrokkenen in de zin van de AVG voor door die betrokkenen geleden schade voor zover deze schade het gevolg is van een uitsluitend aan Embrace toe te rekenen tekortkoming uit hoofde van de Verwerkersovereenkomst.
  4. Aansprakelijkheid van Embrace voor indirecte schade, daaronder begrepen gevolgschade, gederfde winst, gemiste besparingen en schade door bedrijfsstagnatie, wordt uitgesloten.
  5. Voor zover het betreft door Embrace ter uitvoering van de Overeenkomst met Opdrachtgever ingehuurde/ingekochte diensten en/of producten van derden, waaronder begrepen aan Embrace gelieerde ondernemingen, aanvaardt Embrace nimmer meer aansprakelijkheid dan zij zelf geldend kan maken tegen de betreffende derde of gelieerde onderneming. Embrace aanvaardt pas aansprakelijkheid jegens Opdrachtgever zodra zij de vergoeding van de schade van de door haar ingeschakelde derde of gelieerde onderneming heeft ontvangen.
  6. Schade door dood, lichamelijk letsel of wegens materiële beschadiging van zaken is beperkt tot € 1.250.000,-.
  7. Ook schade ontstaan door handelen of nalaten van de Opdrachtgever of derden: (i) in strijd met door Embrace verstrekte instructies en/of (ii) in strijd met de Overeenkomst en deze Voorwaarden en schade als direct of indirect gevolg van door of namens de Opdrachtgever aan Embrace verstrekt onjuiste, onvolledige en/of ondeugdelijke informatie komt niet voor vergoeding in aanmerking.
  8. De in artikel 7.2 tot en met 7.7 beschreven uitsluitingen en beperkingen van aansprakelijkheid van Embrace laten de overige uitsluitingen en beperkingen van aansprakelijkheid van Embrace welke in deze Voorwaarden zijn beschreven, geheel onverlet.
  9. De in artikel 7.2 tot en met 7.7 beschreven uitsluitingen en beperkingen komen te vervallen als en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de bedrijfsleiding van Embrace.
  10. Tenzij nakoming door Embrace blijvend onmogelijk is, ontstaat de aansprakelijkheid van Embrace wegens toerekenbare tekortkoming in de nakoming van een Overeenkomst slechts indien Opdrachtgever Embrace onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Embrace ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Embrace in de gelegenheid wordt gesteld adequaat te reageren.
  11. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Opdrachtgever de schade zo spoedig mogelijk na het ontstaan daarvan, en in ieder geval binnen twee maanden, schriftelijk bij Embrace meldt. Iedere vordering tot schadevergoeding tot Embrace vervalt door het enkele verloop van twaalf maanden na het ontstaan van de vordering, tenzij Opdrachtgever vóór het verstrijken van die termijn een rechtsvordering tot vergoeding van de schade heeft ingesteld.
  12. Het bepaalde in dit artikel evenals alle andere beperkingen en uitsluitingen van aansprakelijkheid genoemd in deze Voorwaarden gelden mede ten gunste van alle (rechts)personen waarvan Embrace en diens toeleveranciers zich bij de uitvoering van de Overeenkomst bedient.
  13. Opdrachtgever vrijwaart Embrace voor alle aanspraken van derden, waaronder, maar niet beperkt tot de door Opdrachtgever ingeschakelde derden en medewerkers van Opdrachtgever, tot vergoeding van enigerlei schade die het gevolg is of samenhangt met de (uitvoering van de) Overeenkomst met/door Embrace.
  14. In het geval van een rechtsgeldig beroep op overmacht als bedoeld in artikel 11, kan Opdrachtgever geen vergoeding van de door hem geleden schade vorderen.

Artikel 8: Beëindiging en opzegging van de Overeenkomst

  1. Aan elk der Partijen komt de bevoegdheid tot beëindiging van de Overeenkomst wegens een toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts toe als de andere Partij, steeds in alle gevallen na een zo gedetailleerd mogelijke schriftelijke ingebrekestelling waarbij een redelijke termijn gesteld wordt voor zuivering van de tekortkoming, toerekenbaar tekortschiet in de nakoming van wezenlijke verplichtingen uit de Overeenkomst. Betalingsverplichtingen van Opdrachtgever en alle verplichtingen tot medewerking en/of informatieverstrekking door Opdrachtgever of een door Opdrachtgever in te schakelen derde gelden in alle gevallen als wezenlijke verplichtingen uit de Overeenkomst.
  2. Indien Opdrachtgever op het moment van de beëindiging al prestaties ter uitvoering van de Overeenkomst heeft ontvangen, zullen deze prestaties en de daarmee samenhangende betalingsverplichtingen geen voorwerp van ongedaan making zijn, tenzij Opdrachtgever bewijst dat Embrace ten aanzien van het wezenlijke deel van die prestaties in verzuim is. Bedragen die Embrace vóór de beëindiging heeft gefactureerd in verband met hetgeen zij ter uitvoering van de Overeenkomst al naar behoren heeft verricht of geleverd, blijven met inachtneming van het in de vorige volzin bepaalde onverminderd verschuldigd en worden op het moment van de beëindiging direct opeisbaar.
  3. Opdrachtgever is niet gerechtigd een Overeenkomst welke voor bepaalde tijd is aangegaan, dan wel een Overeenkomst die door volbrenging eindigt, tussentijds op te zeggen.
  4. Elk der Partijen kan de Overeenkomst zonder ingebrekestelling met onmiddellijke ingang geheel of gedeeltelijk schriftelijk opzeggen als de wederpartij – al dan niet voorlopig – surseance van betaling wordt verleend, indien ten aanzien van de andere Partij faillissement wordt aangevraagd, indien de onderneming van de andere Partij wordt geliquideerd of beëindigd anders dan ten behoeve van reconstructie of samenvoeging van ondernemingen. Embrace kan de Overeenkomst ook zonder ingebrekestelling met onmiddellijke ingang geheel of gedeeltelijk opzeggen als de beslissende zeggenschap over de onderneming van Opdrachtgever direct of indirect wijzigt. Embrace is wegens de beëindiging als bedoeld in dit artikellid nimmer tot enige restitutie gehouden. Ingeval Opdrachtgever onherroepelijk in staat van faillissement is komen te verkeren, eindigt alsdan het recht van Opdrachtgever tot gebruik van de Applicatie(s) van Embrace, zonder dat hiertoe een opzeggingshandeling van de zijde van Embrace vereist is.
  5. Verplichtingen die naar hun aard bestemd zijn om ook na het einde van de Overeenkomst voort te duren, blijven ook na het einde van de Overeenkomst onverminderd van kracht en zijn van toepassing op Opdrachtgever en diens rechtsopvolgers.

Artikel 9: Opschorting

  1. Embrace is bevoegd de nakoming van de verplichting onder de Overeenkomst op te schorten, als de Opdrachtgever de verplichtingen uit de Overeenkomst niet, niet volledig of niet tijdig nakomt, dan wel indien Embrace goede grond heeft te vrezen dat Opdrachtgever in zijn verplichtingen zal (gaan) tekortschieten.
  2. Embrace kan de in het kader van de Overeenkomst ontvangen of gerealiseerde gegevens, documenten en/of databestanden onder zich houden, ondanks een bestaande verplichting tot afgifte of overdracht, totdat Opdrachtgever alle aan Embrace verschuldigde bedragen heeft voldaan.

Artikel 10: Wijzigingen en meerwerk

  1. Als Embrace op verzoek of met voorafgaande instemming van Opdrachtgever werkzaamheden of andere prestaties heeft verricht die buiten de inhoud of omvang van de overeengekomen werkzaamheden en/of prestaties vallen, zullen deze werkzaamheden of prestaties door Opdrachtgever worden vergoed volgens de overeengekomen tarieven en bij gebreke daarvan volgens de dan geldende gebruikelijke tarieven van Embrace. Embrace is niet verplicht aan een dergelijk verzoek te voldoen en zij kan verlangen dat daarvoor een afzonderlijke schriftelijke Overeenkomst wordt gesloten.
  2. Opdrachtgever realiseert zich dat wijzigingen en meerwerk (kunnen) leiden tot het verschuiven van eventuele termijnen en data. Door Embrace aangegeven nieuwe termijnen en data vervangen de eerdere.
  3. Voor zover voor de Overeenkomst een vaste prijs is overeengekomen, zal Embrace Opdrachtgever desgevraagd schriftelijk informeren over de financiële consequenties van de extra werkzaamheden of prestaties als bedoeld in dit artikel.

Artikel 11: Overmacht

  1. Geen van Partijen is gehouden tot het nakomen van enige verplichting, daaronder begrepen enige wettelijke en/of overeengekomen garantieverplichting, indien hij daartoe verhinderd is als gevolg van overmacht. Onder overmacht aan de zijde van Embrace wordt onder meer verstaan: (i) overmacht van eventuele toeleveranciers van Embrace; (ii) overheidsmaatregelen; (iii) elektriciteitsstoring; (iv) storing van internet, datanetwerk- of telecommunicatiefaciliteiten; (v) niet-beschikbaarheid van werknemers; (vi) (cyber)crime, (cyber)vandalisme, oorlog of terrorisme.
  2. In geval van overmacht heeft Embrace het recht de uitvoering van de Overeenkomst op te schorten, zonder dat Embrace tot enige schadevergoeding verplicht zal zijn.
  3. In geval van overmacht heeft de Opdrachtgever in geen geval recht op schadevergoeding, noch het recht tot het verrichten van werkzaamheden ter uitvoering van de Overeenkomst.
  4. Als een overmachtssituatie langer dan zestig dagen duurt, heeft elk der Partijen het recht om de Overeenkomst schriftelijk te ontbinden. Hetgeen al op grond van de Overeenkomst gepresteerd is, wordt in dat geval naar verhouding afgerekend zonder dat Partijen elkaar overigens iets verschuldigd zullen zijn.

Artikel 12: Beveiliging

  1. Als Embrace op grond van de Overeenkomst gehouden is tot het voorzien in een vorm van informatiebeveiliging, zal de beveiliging beantwoorden aan de tussen Partijen schriftelijk overeengekomen specificaties betreffende beveiliging. Als een uitdrukkelijk omschreven wijze van beveiliging ontbreekt, zal de beveiliging voldoen aan een niveau dat, gelet op de stand van de techniek, de uitvoeringskosten, de aan Embrace bekende aard, omvang en de context van de te beveiligen informatie, de doeleinden en het normale gebruik van haar Applicatie(s) en de waarschijnlijkheid en ernst van voorzienbare risico’s niet onredelijk is.
  2. De door of vanwege Embrace aan Opdrachtgever verstrekte toegangs- of identificatiecodes, certificaten of andere beveiligingsmiddelen zijn vertrouwelijk en zullen door Opdrachtgever als zodanig worden behandeld en slechts aan geautoriseerde personeelsleden uit de eigen organisatie van Opdrachtgever kenbaar worden gemaakt. Embrace is gerechtigd toegewezen toegangs- of identificatiecodes en certificaten te wijzigen. Opdrachtgever is verantwoordelijk voor het beheer van autorisaties en het verstrekken en tijdig intrekken van toegangs- en identificatiecodes.
  3. Als de beveiliging of het testen daarvan betrekking heeft op programmatuur, apparatuur of infrastructuur die niet door Embrace zelf aan Opdrachtgever is geleverd, dan staat Opdrachtgever ervoor in dat alle benodigde licenties of goedkeuringen zijn verkregen om bedoelde dienstverlening te mogen uitvoeren. Embrace is niet aansprakelijk voor schade ontstaan in verband met de uitvoering van deze dienstverlening. Opdrachtgever vrijwaart Embrace tegen elke rechtsvordering uit welke hoofde dan ook, in verband met de uitvoering van deze dienstverlening.
  4. Embrace is gerechtigd de beveiligingsmaatregelen van tijd tot tijd aan te passen indien dit noodzakelijk is als gevolg van veranderde omstandigheden.
  5. Embrace kan aanwijzingen geven aan Opdrachtgever met betrekking tot de beveiliging welke tot doel hebben om incidenten of de gevolgen van incidenten die de beveiliging kunnen aantasten te voorkomen of te minimaliseren. Indien Opdrachtgever dergelijke aanwijzingen van Embrace niet of niet tijdig opvolgt, dan is Embrace niet aansprakelijk en vrijwaart Opdrachtgever Embrace voor de schade die daardoor mocht ontstaan.
  6. Het is Embrace steeds toegestaan technische en organisatorische voorzieningen aan te brengen ter bescherming van databestanden, websites, ter beschikking gestelde programmatuur of andere werken waartoe aan Opdrachtgever (direct of indirect) toegang wordt verschaft, ook in verband met een overeengekomen beperking in de inhoud of de duur van het recht tot gebruik van deze objecten. Opdrachtgever zal dergelijke technische voorziening(en) niet (laten) verwijderen of (laten) omzeilen.
  7. Op verzoek van Opdrachtgever mag een gecertificeerd ICT-beveiligingsbedrijf, na ondertekening van de vrijwaringsverklaring van Embrace, de Applicatie(s) onderzoeken op veiligheidsaspecten van buitenaf. De kosten voor de audit zijn voor Opdrachtgever, de kosten voor het doorvoeren van eventuele noodzakelijke verbeteringen zijn voor Embrace.

Artikel 13: Intellectueel eigendom

  1. Alle rechten van intellectuele eigendom op de op grond van de Overeenkomst ontwikkelde (lees: maatwerk) en/of de aan Opdrachtgever ter beschikking gestelde Applicatie(s), websites, databestanden, databanken, apparatuur, opleidingsmateriaal of andere materialen zoals analyses, ontwerpen, documentatie, rapporten, offertes, evenals voorbereidend materiaal daarvan, berusten uitsluitend bij Embrace, diens licentiegevers of dienst toeleveranciers. Opdrachtgever verkrijgt uitsluitend de gebruiksrechten die bij deze Voorwaarden, de schriftelijk tussen Partijen gesloten Overeenkomst en dwingendrechtelijk in de wet uitdrukkelijk zijn toegekend. Een aan Opdrachtgever toekomend recht tot gebruik is niet-exclusief, niet-overdraagbaar, niet-verpandbaar en niet-sublicentieerbaar.
  2. Als Embrace bereid is zich te verbinden tot overdracht van enig recht van intellectuele eigendom, kan een zodanige verbintenis enkel schriftelijk en uitdrukkelijk worden aangegaan. Indien Partijenschriftelijk overeenkomen dat een recht van intellectuele eigendom ten aanzien van specifiek door Opdrachtgever ontwikkelde programmatuur, databestanden, apparatuur, knowhow of andere werken of materialen over zal gaan op Opdrachtgever, tast dit het recht of de mogelijkheid van Embrace niet aan om de aan die ontwikkeling ten grondslag liggende onderdelen, ontwerpen, algoritmen, documentatie, werken, protocollen, standaarden en dergelijke, zonder enige beperking voor andere doeleinden te gebruiken en/of te exploiteren, hetzij voor zichzelf hetzij voor derden. Embrace heeft ook het recht de algemene beginselen, ideeën en programmeertalen welke gebruikt zijn voor het vervaardigen, dan wel aan de ontwikkeling ten grondslag liggen, van enig werk zonder enige beperking voor andere doeleinden te gebruiken en/of te exploiteren voor zichzelf hetzij voor derden. Evenmin tast de overdracht van een recht van intellectueel eigendom het recht van Embrace aan om ten behoeve van zichzelf of een derde ontwikkelingen te doen die soortgelijk of ontleend zijn aan die welke ten behoeve van Opdrachtgever zijn of worden gedaan.
  3. Opdrachtgever zal geen aanduiding(en) over het vertrouwelijke karakter dan wel betreffende auteursrechten, merken, handelsnamen of enig ander recht van intellectuele eigendom uit de programmatuur, databestanden, apparatuur of materialen (doen) verwijderen of (laten) wijzigen.
  4. Opdrachtgever staat ervoor in dat geen rechten van derden zich verzetten tegen beschikbaarstelling aan Embrace van apparatuur, programmatuur, databestanden en/of andere materialen, ontwerpen, en/of andere werken met het doel van gebruik, onderhoud, bewerking, installatie of integratie, waaronder het beschikken over de juiste licenties. Opdrachtgever vrijwaart Embrace tegen elke aanspraak van een derde die erop gebaseerd is dat zodanig beschikbaar stellen, gebruik, onderhoud, bewerken, installeren of integratie inbreuk maakt op enig recht van die derde.
  5. Embrace is nimmer gehouden tot het uitvoeren van dataconversie, tenzij dit schriftelijk uitdrukkelijk met Opdrachtgever is overeengekomen.
  6. Embrace is gerechtigd beeldmerk, logo of naam van Opdrachtgever te gebruiken in haar externe communicatie.

Artikel 14: Vertrouwelijkheid

  1. Opdrachtgever en Embrace dragen er zorg voor dat alle van de andere Partij ontvangen gegevens waarvan men weet of redelijkerwijs behoort te weten dat deze van vertrouwelijke aard zijn, geheim blijven. Dit verbod geldt niet als en voor zover verstrekking van de desbetreffende gegevens aan een derde noodzakelijk is ingevolge een rechterlijke uitspraak, een wettelijk voorschrift, op basis van een wettelijk gegeven bevel van een overheidsinstantie of voor de goede uitvoering van de Opdracht. De Partij die vertrouwelijke gegevens ontvangt, zal deze slechts gebruiken voor het doel waarvoor deze verstrekt zijn. Gegevens worden in ieder geval als vertrouwelijk beschouwd indien deze door één der Partijen als zodanig zijn aangeduid.
  2. Opdrachtgever erkent dat de door of via Embrace ter beschikking gestelde Applicatie(s) steeds vertrouwelijk karakter hebben en dat deze bedrijfsgeheimen van Embrace en/of haar toeleveranciers bevat.

Artikel 15: Oplevering en aanvaarding

  1. Door Embrace genoemde leveringstermijnen zijn indicatief en gelden niet als fatale termijn, tenzij Partijen dit schriftelijk zijn overeengekomen.
  2. Een aanpassing van de wensen van de Opdrachtgever kan leiden tot een aanpassing van de leveringstermijn. Voorts zullen werkzaamheden verricht buiten de inhoud of omvang van de overeengekomen werkzaamheden door Opdrachtgever worden vergoed volgens de gebruikelijke tarieven van Embrace.
  3. De opdracht wordt geacht te zijn voltooid bij oplevering van de werkzaamheden door Embrace aan Opdrachtgever.
  4. Zolang de opdracht niet tot acceptatie is afgewikkeld en/of nog niet geheel is betaald, is het de Opdrachtgever niet toegestaan gebruik te maken van de Applicatie van Embrace.
  5. Embrace zal de Applicatie inrichten om via internet benaderd te worden, en deze configureren volgens de wensen van Opdrachtgever. In de Overeenkomst zijn deze wensen van Opdrachtgever opgenomen.
  6. Opdrachtgever zal zijn volledige medewerking verlenen bij de implementatie van de Applicatie.
  7. Embrace zal de Applicatie opleveren wanneer dit in haar professionele opinie voldoet aan de omschrijving zoals opgenomen in de Overeenkomst of geschikt is voor gebruik. Opdrachtgever zal het opgeleverde binnen vijf werkdagen na oplevering evalueren en goed of afkeuren volgens in de Overeenkomst genoemde criteria. Als de Opdrachtgever niet binnen deze periode het opgeleverde afkeurt, dan wel het werk operationeel in gebruik neemt, wordt het opgeleverde geacht te zijn aanvaard.
  8. Als de Applicatie in fasen wordt opgeleverd, dient Opdrachtgever na oplevering van elke fase de goed- of afkeuring van het deel van het werk van die fase te geven op de wijze zoals in het vorige lid bepaald. Opdrachtgever mag een afkeuring in een latere fase niet baseren op aspecten die in eerdere fase goedgekeurd zijn.
  9. Indien Opdrachtgever het opgeleverde geheel of gedeeltelijk afkeurt, zal Embrace zich inspannen de reden van afkeuring zo snel mogelijk weg te nemen. Dit kan Embrace doen door het resultaat te reviseren of gemotiveerd aan te geven waarom de reden niet opgaat. Opdrachtgever heeft vervolgens tien werkdagen om de revisie of motivatie goed of af te keuren. Als Embrace ten minste tweemaal in de gelegenheid is gesteld om het werk aan te passen en een van de partijen verdere aanpassing niet meer zinvol acht, hebben beide partijen het recht om de opdracht voor het afgekeurde deel van de Overeenkomst op te zeggen.
  10. Afkeuring is alleen mogelijk bij zwaarwegende fouten die een normaal gebruik van de Applicatie redelijkerwijs onmogelijk maken. Indien bezwaren slechts ondergeschikte aspecten betreffen, wordt het werk geacht te zijn aanvaard onder het voorbehoud dat deze bezwaren alsnog binnen bekwame tijd worden opgeheven.
  11. Voor fouten ontdekt na aanvaarding bestaat geen aansprakelijkheid voor Embrace, tenzij Embrace deze kende of had moeten kennen bij oplevering.

Artikel 16: Accountbeheer

  1. Om gebruik te kunnen maken van de Applicatie, heeft Opdrachtgever een account nodig. Embrace zal aan Opdrachtgever logingegevens voor een administratoraccount ter beschikking stellen, waarmee Opdrachtgever zelf accounts voor eindgebruikers kan aanmaken en de Applicatie kan beheren.
  2. Het hoofdaccount zal worden geactiveerd na controle.
  3. Het is Opdrachtgever verboden accounts voor niet-medewerkers aan te maken (behalve als het gaat om gedetacheerden of gast-gebruikers). Opdrachtgever is verantwoordelijk voor het beheer van de accounts, zowel koppelingen als opschonen/archiveren van aangemaakte gebruikers.
  4. Embrace kan een limiet stellen aan het aantal eindgebruikers dat van de Applicatie gebruik mag maken.
  5. Opdrachtgever is zelf verantwoordelijk voor het kiezen van een gebruikersnaam en wachtwoord van het account, evenals voor de gebruikersnamen en wachtwoorden van de eindgebruikers. Opdrachtgever en/of de eindgebruikers zijn ook zelf verantwoordelijk voor een adequate beveiliging door middel van een sterk wachtwoord. Opdrachtgever zal bij alle accounts sterke wachtwoorden kiezen en deze regelmatig wijzigen. Embrace kan afdwingen dat Opdrachtgeverwachtwoorden voldoen aan de laatste eisen omtrent kwaliteit en veiligheid.
  6. Alle handelingen die op de beheeromgeving geschieden na het inloggen met een account van Opdrachtgever worden geacht te geschieden onder de verantwoordelijkheid en toezicht van Opdrachtgever. In geval van vermoeden van misbruik dient Opdrachtgever zo snel mogelijk Embrace in te lichten, waarna Embrace gepaste maatregelen zal nemen. Embrace is niet aansprakelijk voor eventuele schade ontstaan door de in het kader van misbruik genomen maatregelen.
  7. Indien de inloggegevens van Opdrachtgever zijn uitgelekt, of Opdrachtgever vermoedt dat er misbruik wordt gemaakt van zijn account, dient hij onverwijld het wachtwoord voor het account aan te passen en Embrace over de situatie te informeren.

Artikel 17: Toegestaan gebruik

  1. Embrace kan een limiet stellen aan de hoeveelheid dataverkeer en -opslag en servercapaciteit welke Opdrachtgever mag of feitelijk kan gebruiken via de Applicatie. Indien Partijen hierover geen afspraken hebben gemaakt, geldt er een limiet op grond van fair use.
  2. Van fair use is in ieder geval geen sprake meer als Opdrachtgever meer dan maximaal twee keer zoveel dataverkeer en -opslag gebruikt als andere klanten van Embrace in een vergelijkbare situatie zouden doen.
  3. Embrace is gerechtigd om te controleren of het gebruik door Opdrachtgever van het geleverde in overeenstemming is met de overeenkomst. Zulks geldt onder meer ten aanzien van de aard van het gebruik van de geleverde Applicatie.
  4. Indien blijkt dat sprake is van gebruik door de Opdrachtgever dat van de Overeenkomst afwijkt, dan zal Opdrachtgever de door Embrace gemaakte (on-)kosten om dat gebruik te constateren vergoeden conform de gebruikelijke tarieven. Gaat Opdrachtgever hiermee niet akkoord dan is zij gerechtigd de overeenkomst op te zeggen op de datum dat de aangepaste prijs van toepassing is.
  5. Embrace is niet aansprakelijk als de Applicatie niet benaderbaar is of niet naar behoren functioneert bij overschrijding van de toepasselijke gebruikslimieten.
  6. Opdrachtgever zal voor de te leveren Applicatie uitsluitend aangewezen en geautoriseerde gebruikers aanwijzen, welke de producten van Embrace gebruiken conform de in de offerte genoemde wijze.
  7. Opdrachtgever garandeert dat de Applicatie niet zal worden gebruikt voor activiteiten die in strijd zijn met enige toepasselijke wet- of regelgeving. Daarnaast is het uitdrukkelijk niet toegestaan (ongeacht of dit rechtmatig is of niet) om via de Applicatie materialen aan te bieden of te verspreiden die:
    1. Kwaadaardige inhoud bevatten (zoals malware of andere schadelijke software);
    2. Inbreuk maken op rechten van derden (zoals Intellectuele Eigendomsrechten), dan wel onmiskenbaar smadelijk, lasterlijk, beledigend, discriminerend of haatzaaiend zijn;
    3. Informatie bevatten over of behulpzaam kunnen zijn bij het schenden van rechten van derden, zoals hacktools of uitleg over computercriminaliteit die bedoeld is om de lezer criminele gedragingen te (doen) plegen en niet om zich daartegen te kunnen verdedigen;
    4. Een schending van de persoonlijke levenssfeer van derden opleveren, waaronder in ieder geval maar niet uitsluitend begrepen het zonder toestemming of noodzaak verspreiden van persoonsgegevens van derden;
    5. Hyperlinks, torrents of verwijzingen bevatten met (vindplaatsen van) materialen die inbreuk maken op auteursrechten of andere Intellectuele Eigendomsrechten.

Artikel 18: Exit-plan

  1. In het kader van de continuïteit van het gebruik en de informatievoorziening van Opdrachtgever zullen Partijen, in geval van voorgenomen beëindiging van de Overeenkomst binnen vijf (5) Werkdagen na schriftelijke kennisgeving in overleg treden over de overdracht van data, kennis en informatie aan Opdrachtgever of een door Opdrachtgever aan te wijzen derde. Initiatief hiervoor ligt bij Opdrachtgever. Partijen zullen afspraken maken over de termijn en wijze waarop overdracht zal plaatsvinden.
  2. Bij de beëindiging van een Overeenkomst kan Embrace de volgende bestanden aan Opdrachtgever ter beschikking stellen:
    1. data van Opdrachtgever in een overdraagbaar format;
    2. documentatie in het kader van de configuratie en inrichting;
    3. alle overige met de ICT-prestatie opgebouwde databestanden.
  3. Alle op de exit gerichte werkzaamheden die door Embrace in het kader van onderhavig artikel worden verricht, worden op basis van nacalculatie tegen de dan geldende tarieven in rekening gebracht.
  4. In geval Opdrachtgever niet onverwijld na het beëindigen van de Overeenkomst, met inachtneming van lid 1, heeft aangegeven dat hij de hiervoor genoemde overdracht van de data wenst, is Embrace gerechtigd de data die met behulp van de Applicatie worden opgeslagen, bewerkt, verwerkt of anderszins ingevoerd per direct van de server te verwijderen en te vernietigen.
  5. Embrace geeft geen garanties ten aanzien van de compleetheid van de opgevraagde informatie bij een exit.

Artikel 19: Privacy en gegevensverwerking

  1. Embrace verwerkt in het kader van de Overeenkomst persoonsgegevens in de zin van de Algemene verordening gegevensbescherming (“AVG”) van de Opdrachtgever. Deze persoonsgegevens zullen worden verwerkt conform de Privacyverklaring van Embrace, alsook de toepasselijke wet- en regelgeving.
  2. Als dit voor de uitvoering van de Overeenkomst naar oordeel van Embrace relevant is, zal Opdrachtgever Embrace desgevraagd schriftelijk informeren over de wijze waarop Opdrachtgever uitvoering geeft aan zijn verplichtingen op grond van de wetgeving op het gebied van bescherming van persoonsgegevens.
  3. Opdrachtgever vrijwaart Embrace voor aanspraken van personen van wie persoonsgegevens zijn of worden verwerkt waarvoor Opdrachtgever op grond van de wet verantwoordelijk is, tenzij Opdrachtgever bewijst dat de feiten die aan de aanspraak ten grondslag liggen aan Embrace toerekenbaar zijn.
  4. De verantwoordelijkheid voor de gegevens, die met gebruikmaking van een Applicatie van Embrace door Opdrachtgever worden verwerkt, ligt bij Opdrachtgever. Opdrachtgever staat er tegenover Embrace voor in dat de inhoud, het gebruik en/of de verwerking van de gegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde. Opdrachtgever vrijwaart Embrace tegen elke rechtsvordering van een derde, uit welke hoofde dan ook, in verband met deze gegevens of de uitvoering van de Opdracht.
  5. Als Embrace op grond van een verzoek of bevoegd gegeven bevel van een overheidsinstantie of in verband met een wettelijke verplichting werkzaamheden verricht met betrekking tot gegevens van Opdrachtgever, zijn medewerkers of gebruikers, kunnen alle daaraan verbonden kosten aan Opdrachtgever in rekening worden gebracht.
  6. Een verwerkersovereenkomst maakt deel uit van de Overeenkomst indien er een Applicatie wordt afgenomen en is als bijlage 1 opgenomen.

Artikel 20: Overdraagbaarheid rechten en verplichtingen

  1. Het is Opdrachtgever niet toegestaan rechten of verplichtingen voortvloeiende uit de Overeenkomst geheel noch gedeeltelijk over te dragen aan een derde zonder voorafgaande schriftelijke toestemming van Embrace.
  2. Het is Embrace wel toegestaan rechten of verplichtingen uit hoofde van de Overeenkomst over te dragen aan, respectievelijk doen overnemen door, een derde, zonder voorafgaande toestemming van Opdrachtgever. Opdrachtgever verleent Embrace hierbij bij voorbaat medewerking aan eventuele contract overneming van de rechtsverhouding uit de Overeenkomst door Embrace aan een derde.

Artikel 21: Toepasselijk recht en geschilbeslechting

  1. Op de Overeenkomst en alle overeenkomsten die daaruit voortvloeien of daarmee verband houden alsmede op deze Voorwaarden is uitsluitend Nederlands recht van toepassing, met uitsluiting van het Nederlandse internationale privaatrecht en het Weens Koopverdrag.
  2. Alle geschillen, waaronder geschillen die slechts door één van de Partijen als zodanig wordt beschouwd, die mochten ontstaan naar aanleiding van en in verband met de Overeenkomst, daaruit voortvloeiende overeenkomsten en/of deze Voorwaarden, zullen uitsluitend worden voorgelegd aan de bevoegde rechter van de rechtbank Noord-Nederland, locatie Groningen.

Artikel 22: Advisering en consultancy

De in dit artikel opgenomen bepalingen zijn van toepassing als Embrace diensten verleent op het gebied van advisering en consultancy, welke niet onder leiding en toezicht van Opdrachtgever worden uitgevoerd.

Uitvoering advies en consultancydiensten

  1. Embrace zal de advies- en consultancydiensten geheel zelfstandig, naar eigen inzicht en niet onder toezicht en leiding van Opdrachtgever uitvoeren.
  2. Embrace is niet gebonden aan een doorlooptijd van de Overeenkomst omdat de doorloop van de Overeenkomst op het gebied van consultancy of advisering afhankelijk is van diverse factoren en omstandigheden, zoals de kwaliteit van de gegevens en informatie die Opdrachtgever verstrekt en de medewerking van Opdrachtgever en relevante derden.
  3. De dienstverlening van Embrace wordt uitsluitend verricht op de gebruikelijke werkdagen en -tijden van Embrace.
  4. Het gebruik dat Opdrachtgever maakt van een door Embrace afgegeven advies en/of consultancyrapport is steeds voor risico van Opdrachtgever. De bewijslast dat (de wijze van) advies- en consultancydiensten niet voldoen aan hetgeen schriftelijk is overeengekomen of aan hetgeen van een redelijk handelend en bekwaam opdrachtnemer mag worden verwacht, berust geheel bij Opdrachtgever, onverminderd het recht van Embrace met alle middelen tegenbewijs te leveren.
  5. Zonder voorafgaande schriftelijke toestemming van Embrace is Opdrachtgever niet gerechtigd een mededeling aan een derde te doen over de werkwijze, de methoden en technieken van Embrace en/of de inhoud van de adviezen of rapportages van Embrace. Opdrachtgever zal de adviezen of rapportages van Embrace niet aan een derde verstrekken of anderszins openbaar maken.
  6. Opdrachtgever is voor de advisering- en consultancydiensten de vergoeding verschuldigd die is opgenomen in de Overeenkomst. De te betalen vergoeding wordt naar keuze van Embrace berekend op basis van: (i) een ureninschatting en de daarbij behorende kosten in de Overeenkomst of (ii) nacalculatie. Als de in de Overeenkomst ingeschatte uren en kosten worden overschreden, zullen de kosten van een dergelijke overschrijding aan Opdrachtgever in rekening worden gebracht op basis van nacalculatie.  

Bijlage 1: Verwerkersovereenkomst

Deze verwerkersovereenkomst is een bijlage bij iedere overeenkomst waarbij een Applicatie wordt afgenomen (hierna: de Overeenkomst) tussen Opdrachtgever (hierna: Verwerkingsverantwoordelijke) en Embrace (hierna: Verwerker) en waarop
de Algemene Voorwaarden van toepassing zijn.

De begrippen in deze Verwerkersovereenkomst hebben de betekenis die artikel 4 AVG daar aan geeft. In aanvulling daarop gelden de definities (steeds aangeduid met een hoofdletter) zoals opgenomen in de Voorwaarden.

1. Verwerking van Persoonsgegevens

  1. Verwerkingsverantwoordelijke is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de verwerkingsverantwoordelijke in de zin van artikel 4, zevende lid, AVG. Verwerker is verwerker in de zin van artikel 4, achtste lid, AVG.
  2. Verwerker verwerkt de Persoonsgegevens slechts op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen. Een overzicht van de aard en het doeleinde van de Verwerking, alsmede de categorieën Persoonsgegevens en betrokkenen, is uiteengezet in Bijlage A bij deze Verwerkersovereenkomst.
  3. Verwerkingsverantwoordelijke staat er tegenover Verwerker voor in dat de aan Verwerker opgedragen Verwerking van de Persoonsgegevens in overeenstemming is met de toepasselijke Privacywetgeving en geen inbreuk maakt op enig recht van een Derde.
  4. Verwerker verplicht zich te handelen conform de geldende Privacywetgeving, waaronder in ieder geval begrepen de AVG en de Uitvoeringswet.
  5. Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens en neemt geen zelfstandige beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens.
  6. Verwerker verplicht zich om de van Verwerkingsverantwoordelijke verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel/de doeleinden waarvoor de gegevens aan Verwerker zijn verstrekt of aan hem bekend zijn geworden.
  7. Verwerker verschaft enkel toegang tot de Persoonsgegevens aan zijn medewerkers voor zover dit nodig is voor het verrichten van de diensten op grond van de Overeenkomst.
  8. Verwerker zal geen Persoonsgegevens aan een Derde verstrekken tenzij de verstrekking plaatsvindt in het kader van de uitvoering van de Overeenkomst en/of deze Verwerkersovereenkomst, een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke, op grond van een wettelijke verplichting of op bevel van een gerechtelijke of bestuurlijke instantie.
  9. Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daartoe overgaan, na kennisgeving aan de Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.
  10. Verwerker zal medewerking verlenen aan Verwerkingsverantwoordelijke voor zover dat nodig is om Verwerkingsverantwoordelijke in de gelegenheid te stellen om aan zijn verplichtingen uit hoofde van de
    Privacywetgeving te voldoen. Eventuele kosten die Verwerker in verband hiermee maakt, mogen door Verwerker aan Verwerkingsverantwoordelijke in rekening worden gebracht.
  11. Indien, naar zijn mening, een verzoek of instructie van Verwerkingsverantwoordelijke een inbreuk oplevert op de AVG of andere toepasselijke Privacywetgeving, zal Verwerker Verwerkingsverantwoordelijke hiervan in kennis stellen.

2. Beveiligingsmaatregelen en controle

  1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, omvang, context en verwerkingsdoeleinden, en met de risico’s die de verwerking met zich meebrengt voor de betrokkenen, treft Verwerker met betrekking tot de Persoonsgegevens welke in opdracht van Verwerkingsverantwoordelijke worden verwerkt alle passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
    1. maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet in Bijlage A;
    2. maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige Verwerking, toegang of openbaarmaking;
    3. maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van de diensten aan Verwerkingsverantwoordelijke;
    4. maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te realiseren, een en ander zoals nader uitgewerkt in Bijlage B.
  2. De door Verwerker in acht te nemen beveiligingsmaatregelen worden nader beschreven in Bijlage B.
  3. Verwerkingsverantwoordelijke heeft het recht om, eens per jaar of bij een concreet vermoeden van niet-naleving, toe te (laten) zien op de naleving van het hiervoor onder 2.1 omschreven. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, in staat dit te (laten) controleren. Eventuele kosten die Verwerker moet maken om aan een dergelijk verzoek te voldoen, mogen door Verwerker aan Verwerkingsverantwoordelijke in rekening worden gebracht.
  4. Partijen zijn zich bewust van de zelfstandige controlebevoegdheden van de Autoriteit Persoonsgegevens en zullen deze toezichthouder toegang verstrekken en medewerking verlenen aan een onderzoek met betrekking tot de op grond van deze Verwerkersovereenkomst verwerkte Persoonsgegevens. Eventuele kosten die Verwerker moet maken om aan een dergelijk verzoek te voldoen, mogen door Verwerker aan Verwerkingsverantwoordelijke in rekening worden gebracht.
  5. Verwerkingsverantwoordelijke stemt ermee in dat door middel van de Applicatie van Verwerker Persoonsgegevens zullen worden verwerkt welke niet door Verwerker worden gecontroleerd.
    Verwerkingsverantwoordelijke is, tenzij anders overeengekomen in deze Verwerkersovereenkomst, verantwoordelijk voor:
    • de gegevens die in de Applicatie worden ingevoerd en het vaststellen van de juistheid en de rechtmatigheid van die gegevens; en
    • het veilige gebruik van de Applicatie, met inbegrip van de beveiliging van de accountgegevens etc. die Verwerkingsverantwoordelijke gebruikt om toegang te krijgen tot de Applicatie, de opslag van eventuele kopieën van gegevens buiten de Applicatie en de bescherming van de veiligheid van de Persoonsgegevens tijdens de doorvoer van en naar de Applicatie.

3. Datalekken

  1. Verwerker stelt Verwerkingsverantwoordelijke in staat om passende vervolgstappen te nemen ten aanzien van een Datalek, waaronder het kunnen beoordelen van een Datalek en het tijdig en adequaat kunnen informeren van Toezichthouder(s) en Betrokkenen en verleent Verwerkingsverantwoordelijke alle daartoe redelijkerwijs benodigde medewerking. Verwerker zal in ieder geval informatie verstrekken ten aanzien van het volgende:
    • de aard van het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal betrokkenen in kwestie;
    • de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie;
    • de vastgestelde en verwachte gevolgen van het Datalek voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen; en
    • de maatregelen die Verwerker heeft getroffen en zal treffen om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van het Datalek.
  2. Indien Verwerker kennis heeft genomen van een Datalek informeert Verwerker Verwerkingsverantwoordelijke onverwijld na ontdekking en zal Verwerker alle benodigde maatregelen nemen om (verdere) schending of inbreuken betreffende de Verwerking van de Persoonsgegevens te voorkomen, of te beperken.
  3. In geval van een Datalek zal Verwerkingsverantwoordelijke voldoen aan wettelijke meldingsplichten. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker Verwerkingsverantwoordelijke hierin bijstaan en adviseren. Voor deze ondersteuning zal door Verwerker een redelijke vergoeding in rekening worden gebracht aan
    Verwerkingsverantwoordelijke, tenzij in de Overeenkomst anders is overeengekomen.

4. Rechten betrokkene

  1. Een klacht, bezwaar of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door Verwerker onverwijld doorgestuurd naar Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van de klacht, het bezwaar of het verzoek.
  2. Verwerker verleent Verwerkingsverantwoordelijke op verzoek alle redelijke medewerking om Verwerkingsverantwoordelijke in staat te stellen binnen de wettelijke termijn te voldoen aan de verplichtingen op grond van de geldende Privacywetgeving, meer in het bijzonder doch niet uitsluitend de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering, afscherming, bezwaar maken tegen de Verwerking van, of een verzoek tot overdraagbaarheid van Persoonsgegevens. Eventueel met de ondersteuning van Verwerker gepaard gaande kosten mag Verwerker aan Verwerkingsverantwoordelijke doorbelasten.

5. Aansprakelijkheid

  1. Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de bepaling uit de Overeenkomst geldt.

6. Looptijd, wijziging en beëindiging

  1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Overeenkomst, inclusief eventuele verlengingen daarvan. Bij tegenstrijdigheid tussen bepalingen uit deze Verwerkersovereenkomst en de Overeenkomst prevaleren de bepalingen uit deze Verwerkersovereenkomst.
  2. Verwerkingsverantwoordelijke en Verwerker treden met elkaar in overleg over wijzigingen in deze Verwerkersovereenkomst als een wijziging in (de uitleg van) regelgeving, of een wijziging in de dienstverlening van Verwerkingsverantwoordelijke dan wel Verwerker daartoe aanleiding geven. Een wijziging van deze Verwerkersovereenkomst kan uitsluitend schriftelijk overeengekomen worden.
  3. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Overeenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
  4. Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, zal Verwerker, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens vernietigen of teruggeven aan Verwerkingsverantwoordelijke, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen.

7. Vertrouwelijkheid en inschakelen Subverwerkers

  1. De Verwerker heeft algemene toestemming van de Verwerkingsverantwoordelijke om Subverwerkers in te schakelen ter uitvoering van de Overeenkomst. Verwerker zal de Verwerkingsverantwoordelijke ten minste 20 werkdagen van tevoren schriftelijk informeren over de beoogde toevoeging/vervanging van Subverwerkers, zodat de Verwerkingsverantwoordelijke bezwaar kan maken tegen de toevoeging/verandering.
  2. In het geval Verwerker een Subverwerker inschakelt zal er tussen beide eveneens een overeenkomst worden gesloten. Verwerker zal soortgelijke verplichtingen, waaronder met name de verplichting met betrekking tot het toepassen van passende technische en organisatorische maatregelen, opleggen aan de Subverwerker.
  3. De bij het aangaan van de Overeenkomst en deze Verwerkersovereenkomst door Verwerker ingeschakelde Subverwerkers zijn weergegeven in Bijlage C.
  4. Verwerker zorgt ervoor dat een ieder, waaronder zijn medewerkers en Subverwerkers, die betrokken is bij de Verwerking van de Persoonsgegevens deze gegevens vertrouwelijk behandelt.
  5. De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Verwerkingsverantwoordelijke uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Verwerker aan Verwerkingsverantwoordelijke te verlenen diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.

8. Doorgifte van persoonsgegevens

  1. Doorgifte van Persoonsgegevens aan een land buiten de Europese Economische Ruimte (“EER”) of aan een internationale organisatie, geschiedt uitsluitend in overeenstemming met deze Verwerkersovereenkomst en de AVG.

9. Slotbepalingen

  1. Op deze Verwerkersovereenkomst is uitsluitend het Nederlandse recht van toepassing.
  2. Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.

Bijlage A: Verwerkingen en doeleinden

1. Omschrijving verleende diensten

Social: Deze digitale werkplek maakt het medewerkers gemakkelijk om vragen te stellen, ideeën uit te wisselen en om samen te werken met collega’s. Verzamel ideeën en perspectieven van de experts en creëer een eigen kennisbank. Weet wat er speelt, deel informatie en werk samen aan een project. Of de medewerker nou onderweg is of gewoon op kantoor, altijd en overal toegang tot de digitale werkplek. Beheer alle informatie, communicatie en documentatie op één plek.

Customers: Dit klantvolgsysteem biedt alles wat je nodig hebt om huurders zo goed mogelijk van dienst te zijn. De communicatie die via verschillende kanalen verloopt, zoals via de chatfunctie (real-time) in Embrace portals, telefonie (via callcenter of telefoniesysteem in de browser) of WhatsApp (messaging tool), komen binnen op één centrale plek. De klantgesprekken worden geautomatiseerd waar het kan en er wordt persoonlijk antwoord gegeven waar het nodig is. De gesprekhistorie met de klant wordt verzameld op één tijdlijn om te weten wat er speelt en het kunnen bieden van passende hulp. Maak gebruik van klantkaarten om klantgegevens in te zien en eerdere contactmomenten op te vragen.

Housing: Met dit woonruimteverdeelsysteem kunnen woningen, short-stay-woningen en studentenhuisvesting nog sneller verhuurd worden. Geef digitaal aan waar de verhuring aan moet voldoen en de rest wordt automatisch geregeld. De woningzoekende kan vervolgens direct zelf aan de slag. Van zoeken naar vinden, vanuit een persoonlijke pagina. In één oogopslag wordt inzicht gekregen in data en de status van objecten, van één woningcorporatie of een hele regio, door middel van een helder dashboard.

Portals: Met dit klantportaal kunnen huurders hun zaken zelf regelen met zelfbedieningsscenario’s. Portals verbindt selfservice naadloos met kennis. Via dit klantportaal kunnen huurders antwoord vinden op de meeste vragen in de kennisbank, en/ of een aanvraag indienen, waarna ze via Track en Trace op de hoogte worden gehouden van elke stap in het proces. Telkens wanneer de klant inlogt op het portaal, worden alle velden automatisch gevuld met de gegevens van die klant (klantherkenning).

2. Grondslagen voor gegevensverwerking

De Persoonsgegevens worden verwerkt op basis van één dan wel meerdere van de volgende grondslagen:

  • De uitvoering van een overeenkomst;
  • Toestemming;
  • Het voldoen aan een wettelijke verplichting;
  • Een gerechtvaardigd belang.

3. Bewaartermijnen

De Persoonsgegevens worden door Verwerker bewaard in overeenstemming met de AVG en specifieke dwingende wettelijke bewaartermijnen. De gegevens worden niet langer bewaard dan strikt noodzakelijk is om de doelen te bereiken, waarvoor de gegevens verzameld zijn en om aan wettelijke verplichtingen te voldoen.

4. Doeleinden Verwerkingen

De Verwerker is leverancier van een digitaal product en/of digitale dienst, te weten het leveren van digitale werkplekken (“Social”) en/of digitaal klantvolgsysteem (“Customers”) en/of digitaal woonruimte verdeelsysteem (“Housing”) en/of
klantportaal (“Portals”). De doelstelling van gegevensverwerking in het kader van diensten is:

  • om de Diensten van Embrace te leveren, te onderhouden en te faciliteren conform de afspraken die zijn gemaakt tussen Verwerkersverantwoordelijke en Verwerker.
  • om de Verwerkingsverantwoordelijke toegang te bieden tot de gegevens van Social en/of Customers en/of Housing en/of Portals en deze toegang te handhaven;
  • de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid in de Verwerkte Persoonsgegevens;

Artikel 5.1 en/of 5.2 en/of 5.3 en/of 5.4 van deze bijlage maakt, afhankelijk van de door Verwerkingsverantwoordelijke af te nemen Applicatie, onderdeel uit van de Verwerkersovereenkomst tussen Verwerkingsverantwoordelijke en Verwerker met betrekking tot de gegevensverwerkingen.

5.1 Categorieën en soorten Persoonsgegevens Social

Tot de Betrokkenen behoren in ieder geval interne en/of externe gebruikers van de klant. De volgende categorieën Persoonsgegevens worden, van de categorieën Betrokkenen, in ieder geval mogelijk* verwerkt:

  • Basisinformatie, zoals voor- en achternaam, functie, geboortedatum en profielfoto;
  • Contactgegevens, zoals e-mailadres, telefoonnummer, werktijden, afdeling en afwezigheidsassistent;
  • Alle overige Persoonsgegevens die wij verkrijgen voor de hieronder genoemde doeleinden.

⃰ De Verwerkingsverantwoordelijke kan zelf bepaalde keuzes maken in Social met betrekking tot de Persoonsgegevens die worden verwerkt.

5.2 Categorieën en soorten Persoonsgegevens Customers

Tot de Betrokkenen behoren in ieder geval huurders, medewerkers, leveranciers, aannemers, stakeholders, onderhoudsbedrijven etc. De volgende categorieën Persoonsgegevens worden, van de categorieën Betrokkenen, in ieder geval mogelijk* verwerkt:

  • Basisinformatie, zoals voor- en achternaam, woonplaats, geboortedatum en burgerlijke staat;
  • Contactgegevens, zoals telefoonnummer en e-mailadres;
  • Financiële informatie, zoals IBAN/bankrekeningnummer;
  • Alle overige Persoonsgegevens die wij verkrijgen voor de hieronder genoemde doeleinden.

⃰ De Verwerkingsverantwoordelijke kan zelf bepaalde keuzes maken in Customers met betrekking tot de Persoonsgegevens die worden verwerkt.

5.3 Categorieën en soorten Persoonsgegevens Housing

Tot de Betrokkenen behoren in ieder geval woningzoekenden en (potentiële) huurders. De volgende categorieën Persoonsgegevens worden, van de categorieën Betrokkenen, in ieder geval verwerkt:

  • Basisinformatie, zoals voor- en achternaam, woonplaats, geboortedatum, AOW-leeftijd en woonsituatie;
  • Contactgegevens, zoals telefoonnummer en e-mailadres;
  • Financiële informatie, zoals IBAN/bankrekeningnummer;
  • Alle overige Persoonsgegevens die wij verkrijgen voor de hierboven genoemde doeleinden.

5.4 Categorieën en soorten Persoonsgegevens Portals

Tot de Betrokkenen behoren in ieder geval de huurders en medewerkers van de Verwerkingsverantwoordelijke zelf. De volgende categorieën Persoonsgegevens worden, van de categorieën Betrokkenen, in ieder geval mogelijk verwerkt:

  • Basisinformatie, zoals voor- en achternaam;
  • Contactgegevens, zoals telefoonnummer en e-mailadres;
  • Alle overige Persoonsgegevens die wij verkrijgen voor de hieronder genoemde doeleinden.

Bijlage B: Beveiligingsmaatregelen

Embrace verwerkt in opdracht van haar klanten Persoonsgegevens, en hierdoor is zij verplicht om technische en organisatorische maatregelen te nemen. Deze geïmplementeerde maatregelen zijn nodig om de bepalingen van de gegevensbeschermingswetgeving, in het bijzonder de Algemene Verordening Gegevensbescherming (afgekort: AVG), te kunnen waarborgen en zijn alleen nodig als de inspanning in verhouding staat tot het beoogde beschermingsdoel. Embrace heeft onder anderen de volgende beveiligingsmaatregelen getroffen:

Onderwerp Maatregel
Beschermende maatregelen voor fysieke toegangscontrole
  • Embrace maakt gebruik van (ISO, NEN en/of ISAE) gecertificeerde datacenters;
  • Alleen bevoegde personen mogen de infrastructuur van IT-faciliteiten betreden;
  • Bedrijfsregels voor het toekennen, wijzigen en intrekken van toegangsrechten;
  • De in- en uitgangen van onze gebouwen worden gecontroleerd via kaartlezers
  • De entree van datacenters zijn voorzien van videobewaking en hier is een inbraakalarmsysteem geïnstalleerd om onbevoegde toegang te voorkomen;
  • Voor werknemers zijn voorschriften om de arbeidsmiddelen te beschermen tegen toegang van derden.
Beveiligingsmaatregelen voor logische toegangscontrole
  • Medewerkers hebben alleen toegang tot de systemen/software die nodig zijn in het kader van hun gedefinieerde functies en verantwoordelijkheden;
  • Er zijn regels voor het toekennen, wijzigen en intrekken van toegangsrechten;
  • Toegang tot voor de medewerker relevante software vindt plaats met persoonsgebonden inloggegevens;
  • Wachtwoorden moeten minimaal zestien tekens lang zijn en bestaan uit een combinatie van hoofdletters/kleine letters, cijfers en speciale tekens;
  • Wachtwoorden worden automatisch gegenereerd door een wachtwoordmanager;
  • Het netwerk is beveiligd door de modernste applicaties (firewall, inbraakdetectie/inbraakpreventiesysteem (afgekort: IDS/IPS) enzovoort);
  • Antivirusoplossingen worden in principe op serversystemen en bij klanten geïnstalleerd. In principe omdat hier voor sommige testen van af kan worden geweken. Deze antivirusoplossingen worden regelmatig bijgewerkt.
  • Bij thuiswerken worden alleen zakelijke laptops gebruikt. Toegang tot het Embrace netwerk gebeurt met een persoonlijke VPN. Authenticatie tot onze omgevingen vindt plaats met een multi-factor authenticatie.
Beschermende maatregelen voor datagebruik
  • Er is een gedocumenteerd autorisatiebeleid waarin is benoemd hoe autorisaties kunnen worden aangevraagd, vrijgegeven, gewijzigd en weer ingetrokken. Alle autorisaties zijn onderdeel van de audit en worden periodiek gecontroleerd;
  • Er wordt onderscheid gemaakt tussen lees-, schrijf- en wisbevoegdheden binnen de systemen waar dit voor van toepassing is;
  • Medewerkers hebben alleen toegang tot de systemen/software die nodig zijn in het kader van hun gedefinieerde functies en verantwoordelijkheden;
  • Toegang tot en wijzigingen in relevante systemen/software wordt gelogd;
  • Wijzigingen in code kunnen niet eenzijdig worden toegepast, dit zal altijd door een tweede persoon moeten worden goedgekeur
Beschermende maatregelen voor overdrachtscontrole
  • De lokale harde schijf van onze klanten zijn volledig versleuteld;
  • Alle verwijderbare media zijn versleuteld en gebruik wordt tot minimum beperkt
  • Speciale procedures worden gecoördineerd en gebruikt voor gegevensoverdrachten aan klanten of dienstverleners. Hiervoor is een secure file transfer programma beschikbaar.
Beschermende maatregelen voor inputcontrole
  • Afhankelijk van de mogelijkheden van de systemen/software wordt naast de toegangscontrole, invoer en wijzigingen gelogd met gebruikerscode en tijdstempel;
  • Wachttermijnen zijn afhankelijk van wettelijke klantspecificaties of intern gedefinieerde bewaartermijnen;
  • Wijzigingen in code kunnen niet eenzijdig worden toegepast, dit zal altijd door een tweede persoon moeten worden goedgekeurd.
Beschermende maatregelen voor het verwerken
  • Voor de verwerking zijn Verwerkersovereenkomsten afgesloten;
  • Alle medewerkers van Embrace zijn verplicht tot geheimhouding;
  • Medewerkers van Embrace ontvangen schriftelijke informatie over hoe om te gaan met Persoonsgegevens;
  • Medewerkers van Embrace krijgen training over gegevensbeveiliging.
Beschermende maatregelen voor beschikbaarheidscontrole en systeemherstel
  • Er wordt getracht de beschikbaarheid, vertrouwelijkheid, integriteit en authenticiteit van de gegevens te allen tijde te garanderen gedurende het contract en de bewaartermijn en dat de nodige IT-systemen/applicaties beschikbaar zijn;
  • Er is een noodplan, een herstartplan en een back-upbeleid;
  • De IT-systemen zijn voldoende beveiligd tegen brand, oververhitting, waterschade, overbelasting en stroomuitval;
  • Oude of onbruikbare gegevensdragers worden vernietigd via afgesloten bakken door een serviceprovider welke een NAID lid is;
  • Antivirusoplossingen worden in principe op serversystemen en bij klanten geïnstalleerd. Deze antivirusoplossingen worden regelmatig bijgewerkt;
  • Beveiligingsrelevante software-updates en patches worden regelmatig geïmporteerd;
  • Het bedrijfsnetwerk wordt tegen inbraak beschermd door een firewall en een inbraakdetectie-/inbraakpreventiesysteem (IDS/IPS)
Beschermende maatregelen voor de gescheiden omgevingen
  • Systeemwijzigingen aan de IT of de gebruikte softwareproducten worden gecontroleerd op functionaliteit op een ontwikkel-, test- en acceptatieomgeving voordat ze gecontroleerd worden overgedragen naar het productiesysteem;
  • In de systemen is een vereiste scheiding van klanten ingericht.
Beschermende maatregelen van pseudonimisering en versleuteling
  • Persoonlijke gegevens worden waar mogelijk gepseudonimiseerd. Ook zijn er testdatasets aanwezig met actieve data.
Beschermende maatregelen van de doeltreffendheidscontrole
  • De effectiviteit van de technische en organisatorische maatregelen wordt gecontroleerd door o.a. de volgende activiteiten:
  • Opzetten en laten auditen van een informatiebeveiligingsbeheersysteem volgens de ISO27001 en NEN7510;
  • Certificeringstrajecten voor de (inter)nationale normen voor informatiebeveiliging: de ISO27001 & NEN7510. Embrace is sinds 2016 gecertificeerd;
  • Opzetten van een beheersysteem voor gegevensbescherming;
  • IT-specifieke audits van de interne audits van het Embrace-netwerk;
  • Coördinatoren voor informatiebeveiliging en gegevensbescherming verspreid over het hele Embrace-netwerk;
  • Technische kwetsbaarheidscontroles door gespecialiseerde dienstverleners (security scans, penetratietesten en bugbounty programma’s).
Naam subverwerker DoelCategorieën persoonsgegevensBinnen/Buiten EER
Microsoft (Azure) Gegevensopslagservices en databasehosting. Basisinformatie zoals voor- en achternaam en contactgegevens, zoals e-mailadres, telefoonnummer Binnen EER
Elastic Search N.V. Zoekindex uitbesteed (Cloud dienstverlening) Basisinformatie zoals voor- en achternaam, contactgegevens zoals telefoonnummer en e-mailadres, professionele informatie, zoals werkgeversnaam, functietitel, gebruikers-ID’s en contactvoorkeuren Binnen EER
Exception B.V. Hardware beheer, voor fysieke toegang tot server, software en klantgegevens Basisinformatie zoals voor- en achternaam, contactgegevens zoals emailadres en NAW-gegevens Binnen EER