Juridisch

Algemene Voorwaarden

Cross & Mouro Advisory B.V.  |  Versie 1.3  |  April 2025

De verwerkersovereenkomst (Bijlage A) maakt onlosmakelijk deel uit van deze algemene voorwaarden en is van toepassing zodra Cross & Mouro Advisory B.V. in het kader van de dienstverlening persoonsgegevens verwerkt ten behoeve van de opdrachtgever.

Artikel 1 — Definities

In deze algemene voorwaarden worden de volgende begrippen gehanteerd:

a) Opdrachtnemer
Cross & Mouro Advisory B.V., een besloten vennootschap met beperkte aansprakelijkheid, gevestigd te [VESTIGINGSPLAATS], ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer [KVK-NUMMER].
b) Opdrachtgever
De natuurlijke persoon of rechtspersoon die met Opdrachtnemer een Overeenkomst sluit.
c) Overeenkomst
Iedere overeenkomst van opdracht in de zin van artikel 7:400 BW die tussen Opdrachtnemer en Opdrachtgever tot stand komt, alsmede elke wijziging of aanvulling daarop.
d) Diensten
De door Opdrachtnemer te verrichten werkzaamheden op het gebied van Fractional Business Control, waaronder doch niet uitsluitend het opstellen van het Business Control Report (BCR), financiële scenario-analyses, en het voeren van periodieke managementgesprekken.
e) Business Control Report (BCR)
Het door Opdrachtnemer op te stellen periodieke rapportage omvattende een 60-daagse kasstroomprognose en een 90-daagse scenario-laag, zoals nader omschreven in de Overeenkomst.
f) AI-Hulpmiddelen
Softwaretoepassingen gebaseerd op kunstmatige intelligentie die Opdrachtnemer inzet ter ondersteuning van de uitvoering van de Diensten, waarbij de eindverantwoordelijkheid voor inhoud en conclusies te allen tijde bij Opdrachtnemer berust.
g) Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4 lid 1 AVG.
h) AVG
Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming), alsmede de Uitvoeringswet AVG.
i) Verwerker
De partij die persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke, zonder aan diens rechtstreeks gezag onderworpen te zijn.
j) Verwerkingsverantwoordelijke
De partij die het doel en de middelen van de verwerking van Persoonsgegevens vaststelt.
k) Vertrouwelijke Informatie
Alle bedrijfsinformatie, financiële gegevens, klantengegevens en overige informatie die Opdrachtgever aan Opdrachtnemer verstrekt, ongeacht de vorm of het medium.
l) Schriftelijk
Communicatie per brief, e-mail of enig ander medium dat de ontvanger in staat stelt het bericht duurzaam op te slaan.

Artikel 2 — Toepasselijkheid

  1. Deze algemene voorwaarden zijn van toepassing op alle aanbiedingen, offertes en Overeenkomsten waarbij Opdrachtnemer Diensten verleent aan Opdrachtgever.
  2. Afwijkingen van en aanvullingen op deze voorwaarden zijn slechts geldig indien en voor zover uitdrukkelijk Schriftelijk overeengekomen.
  3. De toepasselijkheid van algemene voorwaarden van Opdrachtgever wordt uitdrukkelijk van de hand gewezen.
  4. Indien een of meerdere bepalingen van deze voorwaarden nietig zijn of vernietigd worden, blijven de overige bepalingen onverminderd van kracht. Opdrachtnemer en Opdrachtgever zullen alsdan in overleg treden om nieuwe bepalingen ter vervanging overeen te komen, met dien verstande dat doel en strekking van de oorspronkelijke bepaling zoveel mogelijk worden benaderd.
  5. Opdrachtnemer is gerechtigd deze algemene voorwaarden te wijzigen. Wijzigingen worden ten minste 30 dagen voor inwerkingtreding Schriftelijk aan Opdrachtgever meegedeeld. Gewijzigde voorwaarden zijn uitsluitend van toepassing op na de inwerkingtreding nieuw te sluiten Overeenkomsten. Op lopende Overeenkomsten zijn de ten tijde van het sluiten van die Overeenkomst geldende voorwaarden van toepassing, tenzij Opdrachtgever uitdrukkelijk Schriftelijk instemt met de gewijzigde voorwaarden.

Artikel 3 — Totstandkoming van de Overeenkomst

  1. Alle aanbiedingen en offertes van Opdrachtnemer zijn vrijblijvend, tenzij daarin uitdrukkelijk anders is vermeld.
  2. Een Overeenkomst komt tot stand op het moment dat Opdrachtgever de door Opdrachtnemer uitgebrachte offerte Schriftelijk accepteert, of op het moment dat Opdrachtnemer een opdracht van Opdrachtgever Schriftelijk bevestigt.
  3. Opdrachtnemer is gerechtigd een opdracht zonder opgave van redenen te weigeren.

Artikel 4 — Uitvoering van de Diensten

  1. Opdrachtnemer zal de Diensten uitvoeren naar beste inzicht en vermogen, overeenkomstig de eisen van goed vakmanschap.
  2. De Overeenkomst strekt tot een inspanningsverbintenis. Opdrachtnemer garandeert niet dat de beoogde resultaten worden bereikt.
  3. Opdrachtnemer bepaalt de wijze van uitvoering van de Overeenkomst. Opdrachtnemer is gerechtigd bij de uitvoering van de Diensten gebruik te maken van derden, waaronder (technologische) onderaannemers, van gelijkwaardig kwaliteitsniveau, zonder voorafgaande toestemming van Opdrachtgever. Opdrachtnemer informeert Opdrachtgever Schriftelijk over de inzet van derden die toegang hebben tot Vertrouwelijke Informatie van Opdrachtgever. Opdrachtnemer blijft te allen tijde aanspreekpunt voor Opdrachtgever.
  4. De door Opdrachtnemer ingezette senior professionals dragen de inhoudelijke en professionele eindverantwoordelijkheid voor de uitvoering en oplevering van de Diensten.
  5. Opdrachtgever verstrekt Opdrachtnemer tijdig alle informatie en medewerking die noodzakelijk zijn voor een goede uitvoering van de Overeenkomst. Indien benodigde informatie niet tijdig wordt verstrekt, is Opdrachtnemer gerechtigd de uitvoering te staken en eventuele meerkosten bij Opdrachtgever in rekening te brengen.
  6. Opdrachtnemer is niet verantwoordelijk voor onjuistheden in de Diensten die voortvloeien uit onjuiste of onvolledige informatie verstrekt door Opdrachtgever.

Artikel 5 — Inzet van AI-Hulpmiddelen

  1. Opdrachtnemer is gerechtigd bij de uitvoering van de Diensten gebruik te maken van AI-Hulpmiddelen. Opdrachtgever stemt hiermee in door het aangaan van de Overeenkomst.
  2. Opdrachtnemer hanteert bij de inzet van AI-Hulpmiddelen een zorgvuldig architectuurmodel waarbij: (a) senior professionals de verantwoordelijkheid dragen voor het definiëren van context en invoer (de Architect-rol); (b) AI-Hulpmiddelen de dataverwerkingsstap verzorgen (de Processtap); en (c) senior professionals de gegenereerde uitvoer inhoudelijk valideren en vaststellen (de Curator-rol). Eindverantwoordelijkheid voor de inhoud en conclusies van alle Diensten berust te allen tijde bij Opdrachtnemer.
  3. Opdrachtnemer neemt de volgende technische en organisatorische maatregelen bij het gebruik van AI-Hulpmiddelen: (a) enkel AI-platforms met passende verwerkersovereenkomsten en adequate AVG-compliancefaciliteiten worden ingezet; (b) Persoonsgegevens worden vóór verwerking door AI-Hulpmiddelen gepseudonimiseerd als standaard en niet-onderhandelbare processtap, zodanig dat AI-Hulpmiddelen structureel geen toegang hebben tot directe identificatoren van Opdrachtgever of diens stakeholders; de pseudonimisering geschiedt door vervanging van namen en andere directe identificatoren door neutrale codes (zoals "Klant A", "Persoon 1") op basis van een vertrouwelijke vertaaltabel die uitsluitend onder beheer van Opdrachtnemer valt en te allen tijde binnen de beveiligde Microsoft 365-omgeving van Opdrachtnemer blijft; (c) AI-Hulpmiddelen worden niet ingezet voor volledig geautomatiseerde besluitvorming die rechtsgevolgen heeft voor de Opdrachtgever of diens stakeholders.
  4. Opdrachtnemer geeft op verzoek van Opdrachtgever nadere informatie over de aard en categorie van de ingezette AI-Hulpmiddelen. Opdrachtnemer documenteert de toegepaste pseudonimiseringsmethodiek en de daarin gehanteerde processtappen, en stelt deze documentatie op verzoek van Opdrachtgever ter beschikking.
  5. Opdrachtgever erkent dat AI-Hulpmiddelen beperkingen kennen en dat de door AI gegenereerde tussenresultaten door Opdrachtnemer worden beoordeeld alvorens deze als onderdeel van de Diensten worden opgeleverd.

Artikel 6 — Verwerking van Persoonsgegevens

  1. Partijen stellen vast welke partij als Verwerkingsverantwoordelijke en welke als Verwerker optreedt voor de persoonsgegevens die in het kader van de Overeenkomst worden verwerkt.
  2. Indien en voor zover Opdrachtnemer in het kader van de uitvoering van de Diensten Persoonsgegevens verwerkt ten behoeve van Opdrachtgever, treedt Opdrachtnemer op als Verwerker in de zin van artikel 28 AVG. In dat geval sluiten partijen een separate verwerkersovereenkomst die als bijlage bij de Overeenkomst wordt gevoegd.
  3. Indien en voor zover Opdrachtnemer Persoonsgegevens verwerkt voor eigen doeleinden in het kader van de dienstverlening, treedt Opdrachtnemer op als Verwerkingsverantwoordelijke. Opdrachtnemer verwerkt dergelijke Persoonsgegevens uitsluitend: (a) voor de uitvoering van de Overeenkomst; (b) voor het voldoen aan wettelijke verplichtingen; (c) op basis van een gerechtvaardigd belang, waaronder de beveiliging van de dienstverlening en fraudepreventie.
  4. Opdrachtnemer treft passende technische en organisatorische maatregelen ter bescherming van Persoonsgegevens tegen onbevoegde toegang, verlies, vernietiging of openbaarmaking, waaronder doch niet uitsluitend: (a) versleuteling van gegevens in rust en in transit; (b) toegangsbeperking op basis van het need-to-know beginsel; (c) pseudonimisering van Persoonsgegevens vóór verwerking door AI-Hulpmiddelen door middel van vervanging van directe identificatoren door neutrale codes op basis van een vertrouwelijke vertaaltabel die uitsluitend binnen de beveiligde Microsoft 365-omgeving van Opdrachtnemer wordt bewaard en niet wordt doorgegeven aan enige derde of AI-Hulpmiddel; (d) regelmatige beoordeling van de beveiligingsmaatregelen.
  5. Opdrachtnemer meldt een datalek aan Opdrachtgever binnen 48 uur na ontdekking, voor zover dit een datalek betreft dat persoonsgegevens van Opdrachtgever of diens stakeholders raakt.
  6. Opdrachtgever staat er jegens Opdrachtnemer voor in dat hij gerechtigd is de Persoonsgegevens die hij in het kader van de Overeenkomst aan Opdrachtnemer verstrekt aan Opdrachtnemer ter beschikking te stellen. Opdrachtgever vrijwaart Opdrachtnemer voor aanspraken van derden die voortvloeien uit schending van deze garantie.

Artikel 7 — Geheimhouding en Vertrouwelijkheid

  1. Partijen verbinden zich over en weer om Vertrouwelijke Informatie van de andere partij geheim te houden en deze niet aan derden te openbaren of voor andere doeleinden te gebruiken dan waarvoor deze is verstrekt.
  2. De geheimhoudingsplicht geldt niet voor zover: (a) de betreffende informatie reeds publiekelijk bekend is; (b) openbaarmaking wettelijk verplicht is; (c) de betrokken partij voorafgaand Schriftelijk toestemming heeft gegeven voor openbaarmaking.
  3. Opdrachtnemer is gerechtigd geanonimiseerde informatie te gebruiken ten behoeve van de verbetering van zijn dienstverlening, benchmarkanalyses en interne kennisdeling, mits de informatie niet herleidbaar is tot Opdrachtgever of diens individuele stakeholders.
  4. De geheimhoudingsverplichting duurt voort gedurende vijf (5) jaar na beëindiging van de Overeenkomst.
  5. Bij schending van de geheimhoudingsverplichting verbeurt de overtredende partij ten behoeve van de andere partij een onmiddellijk opeisbare boete van € 10.000 per overtreding, vermeerderd met € 1.000 voor elke dag dat de overtreding voortduurt, onverminderd het recht van de andere partij op volledige schadevergoeding.

Artikel 8 — Intellectueel Eigendom

  1. Alle intellectuele eigendomsrechten die rusten op de door Opdrachtnemer in het kader van de Overeenkomst ontwikkelde methodieken, werkwijzen, formats, sjablonen en overige werken, berusten bij Opdrachtnemer, voor zover deze niet reeds bij een derde berusten.
  2. Opdrachtnemer verleent Opdrachtgever een niet-exclusief, niet-overdraagbaar gebruiksrecht op de aan Opdrachtgever opgeleverde rapportages en analyses, uitsluitend voor intern gebruik ten behoeve van de eigen bedrijfsvoering van Opdrachtgever.
  3. Het is Opdrachtgever niet toegestaan de opgeleverde werken te verveelvoudigen, openbaar te maken of aan derden beschikbaar te stellen zonder voorafgaande Schriftelijke toestemming van Opdrachtnemer.
  4. Opdrachtgever verleent Opdrachtnemer een niet-exclusief gebruiksrecht op de door Opdrachtgever verstrekte gegevens en documenten, voor zover noodzakelijk voor de uitvoering van de Diensten.

Artikel 9 — Honorarium en Betaling

  1. Opdrachtnemer hanteert de in de Overeenkomst overeengekomen vergoeding. Tenzij anders overeengekomen, worden de Diensten gefactureerd op maandbasis.
  2. Alle genoemde bedragen zijn exclusief BTW en overige heffingen van overheidswege.
  3. Opdrachtgever dient facturen te voldoen binnen veertien (14) kalenderdagen na factuurdatum, tenzij Schriftelijk anders overeengekomen.
  4. Bij overschrijding van de betalingstermijn is Opdrachtgever van rechtswege in verzuim en is de wettelijke handelsrente als bedoeld in artikel 6:119a BW verschuldigd, te rekenen vanaf de vervaldag.
  5. Opdrachtnemer is gerechtigd zijn dienstverlening op te schorten indien Opdrachtgever na schriftelijke aanmaning in gebreke blijft met betaling.
  6. Opdrachtnemer is gerechtigd zijn tarieven jaarlijks te indexeren op basis van de consumentenprijsindex (CPI) van het Centraal Bureau voor de Statistiek, met een minimum van 0% en een maximum van 5%, na schriftelijke kennisgeving aan Opdrachtgever ten minste 30 dagen voor de ingangsdatum.
  7. In geval van liquidatie, (voorlopige) surseance van betaling, faillissement of schuldsanering van Opdrachtgever zijn alle vorderingen van Opdrachtnemer op Opdrachtgever onmiddellijk opeisbaar.
  8. Indien de feitelijke omvang van de te verrichten werkzaamheden de in de Overeenkomst overeengekomen scope wezenlijk overschrijdt, is Opdrachtnemer gerechtigd de daaruit voortvloeiende meerkosten als meerwerk bij Opdrachtgever in rekening te brengen. Opdrachtnemer informeert Opdrachtgever zo spoedig mogelijk Schriftelijk over de verwachte omvang en kosten van het meerwerk. Meerwerk wordt slechts uitgevoerd na Schriftelijke instemming van Opdrachtgever, tenzij spoedeisende omstandigheden onmiddellijk handelen vereisen. Opdrachtnemer is niet gehouden werkzaamheden buiten de overeengekomen scope te verrichten zolang geen overeenstemming over de vergoeding is bereikt.

Artikel 10 — Aansprakelijkheid

  1. Opdrachtnemer is slechts aansprakelijk voor directe schade die het rechtstreekse en aantoonbare gevolg is van een toerekenbare tekortkoming in de nakoming van de Overeenkomst.
  2. De aansprakelijkheid van Opdrachtnemer is in alle gevallen beperkt tot het bedrag van de in de drie (3) maanden voorafgaande aan de schadeveroorzakende gebeurtenis aan Opdrachtgever gefactureerde en betaalde vergoeding (exclusief BTW), doch nooit meer dan € 25.000 per gebeurtenis of reeks van samenhangende gebeurtenissen. Zodra Opdrachtnemer een beroepsaansprakelijkheidsverzekering heeft afgesloten, treedt het door die verzekering uitgekeerde bedrag in de plaats van het voorgaande, waarbij Opdrachtnemer Opdrachtgever hierover Schriftelijk informeert. Indien de verzekering in een specifiek geval geen dekking biedt, blijft het bedragplafond uit de eerste volzin van dit lid van toepassing.
  3. Opdrachtnemer is nimmer aansprakelijk voor: (a) indirecte schade, gevolgschade, gederfde winst, gemiste besparingen of immateriële schade; (b) schade die voortvloeit uit onjuiste of onvolledige informatie verstrekt door Opdrachtgever; (c) schade die voortvloeit uit beslissingen van Opdrachtgever op basis van de opgeleverde Diensten; (d) schade als gevolg van fouten, beperkingen of storingen in AI-Hulpmiddelen van derden, mits Opdrachtnemer aantoont dat hij de in lid 5 van Artikel 5 bedoelde validatieprocedure heeft gevolgd; (e) schade die het gevolg is van overmacht.
  4. Iedere aanspraak op schadevergoeding vervalt indien Opdrachtgever niet binnen achttien (18) maanden na ontdekking van de schade Opdrachtnemer Schriftelijk aansprakelijk heeft gesteld.
  5. Opdrachtgever vrijwaart Opdrachtnemer voor alle aanspraken van derden die samenhangen met de door Opdrachtgever verstrekte informatie of de wijze waarop Opdrachtgever de opgeleverde Diensten toepast.

Artikel 11 — Overmacht

  1. Indien Opdrachtnemer zijn verplichtingen uit de Overeenkomst niet, niet tijdig of niet behoorlijk kan nakomen ten gevolge van een van zijn wil onafhankelijke oorzaak, waaronder begrepen maar niet beperkt tot: ziekte van ingeschakelde professionals, storingen in technologische infrastructuur, cyberaanvallen, overheidsmaatregelen, en storingen bij toeleveranciers van AI-Hulpmiddelen, worden die verplichtingen opgeschort tot het moment dat Opdrachtnemer alsnog in staat is aan zijn verplichtingen te voldoen.
  2. Indien de overmachtsituatie langer duurt dan zestig (60) dagen, zijn beide partijen gerechtigd de Overeenkomst te ontbinden, zonder dat enige partij in dat geval gehouden is tot vergoeding van schade aan de andere partij.

Artikel 12 — Looptijd en Beëindiging

  1. De Overeenkomst wordt aangegaan voor de in de Overeenkomst bepaalde duur. Tenzij anders overeengekomen, geldt een minimale looptijd van drie (3) maanden.
  2. Na afloop van de initiële looptijd wordt de Overeenkomst telkens stilzwijgend verlengd voor een periode van één (1) maand, tenzij een partij de Overeenkomst schriftelijk opzegt met inachtneming van een opzegtermijn van één (1) kalendermaand.
  3. Opdrachtnemer is gerechtigd de Overeenkomst met onmiddellijke ingang te ontbinden indien: (a) Opdrachtgever surseance van betaling aanvraagt of failliet wordt verklaard; (b) Opdrachtgever tekortschiet in de nakoming van zijn verplichtingen en herstel na schriftelijke ingebrekestelling uitblijft binnen veertien (14) dagen; (c) Opdrachtgever handelt in strijd met toepasselijke wet- en regelgeving.
  4. Bij beëindiging van de Overeenkomst draagt Opdrachtnemer zorg voor een ordentelijke overdracht van lopende werkzaamheden en relevante documentatie aan Opdrachtgever of een door Opdrachtgever aan te wijzen derde, voor zover dit redelijkerwijs mogelijk is.
  5. Onverminderd het bepaalde in lid 1 is Opdrachtgever gerechtigd de Overeenkomst tussentijds te beëindigen, ook binnen de minimale looptijd, indien Opdrachtnemer ernstig tekortschiet in de nakoming van zijn verplichtingen en dit tekortschieten na Schriftelijke ingebrekestelling niet binnen veertien (14) dagen is hersteld. In dat geval is Opdrachtgever geen verdere vergoeding verschuldigd voor nog niet verrichte Diensten, onverminderd het recht op vergoeding van geleden schade.
  6. Bepalingen die naar hun aard bestemd zijn om de beëindiging van de Overeenkomst te overleven, waaronder Artikel 7 (Geheimhouding), Artikel 8 (Intellectueel Eigendom), Artikel 10 (Aansprakelijkheid), Artikel 13 (Non-solicitation) en Artikel 14 (Toepasselijk recht), blijven na beëindiging van kracht.

Artikel 13 — Non-solicitation

  1. Gedurende de looptijd van de Overeenkomst en gedurende een periode van twaalf (12) maanden na beëindiging ervan, ongeacht de reden van beëindiging, is het Opdrachtgever niet toegestaan om, direct of indirect: (a) medewerkers, vennoten of door Opdrachtnemer ingeschakelde associates te benaderen met het oogmerk deze in dienst te nemen, als zelfstandige in te huren, of anderszins werkzaamheden voor Opdrachtgever te laten verrichten; (b) medewerkers, vennoten of associates van Opdrachtnemer te bewegen de samenwerking met Opdrachtnemer te beëindigen.
  2. Onder benaderen als bedoeld in lid 1 wordt verstaan het actief en gericht benaderen van de betrokken persoon door Opdrachtgever. Het reageren op een spontaan en aantoonbaar op eigen initiatief gedaan contact van de betrokken persoon wordt niet als benaderen in de zin van dit artikel aangemerkt.
  3. Bij overtreding van dit artikel verbeurt Opdrachtgever ten behoeve van Opdrachtnemer een onmiddellijk opeisbare boete van € 25.000 per overtreding, vermeerderd met € 2.500 voor iedere maand of gedeelte van een maand dat de overtreding voortduurt, onverminderd het recht van Opdrachtnemer om volledige schadevergoeding te vorderen.

Artikel 14 — Toepasselijk Recht en Geschillenbeslechting

  1. Op alle rechtsbetrekkingen tussen Opdrachtnemer en Opdrachtgever is uitsluitend Nederlands recht van toepassing.
  2. Partijen zullen geschillen in eerste instantie trachten te beslechten door middel van overleg. Indien partijen er niet in slagen het geschil in onderling overleg te beslechten binnen dertig (30) dagen na het ontstaan van het geschil, is de bevoegde rechter de Rechtbank Amsterdam.
  3. Partijen zijn gerechtigd, in afwijking van lid 2, een geschil voor te leggen aan een mediator die door partijen gezamenlijk wordt aangewezen, alvorens het geschil aan de rechter voor te leggen.

Artikel 15 — Slotbepalingen

  1. Opdrachtnemer is ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer [KVK-NUMMER — volgt na inschrijving]. Opdrachtnemer is BTW-plichtig; het BTW-nummer is NL[BTW-NUMMER — volgt na toekenning]. Zolang Opdrachtnemer nog niet als besloten vennootschap is ingeschreven in het handelsregister, handelt Cross & Mouro Advisory in oprichting. In dat geval zijn de vennoten van Cross & Mouro Advisory hoofdelijk aansprakelijk voor de nakoming van alle verplichtingen die voortvloeien uit Overeenkomsten gesloten voor de datum van inschrijving. Na inschrijving gaan alle rechten en verplichtingen van rechtswege over op de ingeschreven besloten vennootschap.
  2. Mededelingen en kennisgevingen geschieden Schriftelijk aan de in de Overeenkomst vermelde contactgegevens.
  3. Deze algemene voorwaarden zijn gedeponeerd bij de Kamer van Koophandel te Amsterdam en zijn tevens te raadplegen via www.crossmouro.nl.
Bijlage A

Verwerkersovereenkomst

Deze Verwerkersovereenkomst (hierna: VWO) maakt onlosmakelijk deel uit van de Overeenkomst en is van toepassing indien en voor zover Cross & Mouro Advisory B.V. (hierna: Verwerker) in het kader van de Diensten Persoonsgegevens verwerkt ten behoeve van Opdrachtgever (hierna in dit verband: Verwerkingsverantwoordelijke).

Artikel A1 — Instructies en doeleinden

  1. Verwerker verwerkt Persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Verwerkingsverantwoordelijke, tenzij een op Verwerker toepasselijke Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht.
  2. De verwerking is beperkt tot de categorieën persoonsgegevens en de categorieën betrokkenen zoals nader omschreven in Specificatie 1 bij deze VWO.

Artikel A2 — Vertrouwelijkheid van de verwerking

  1. Verwerker zorgt ervoor dat de personen die gemachtigd zijn de Persoonsgegevens te verwerken, zich hebben verbonden tot vertrouwelijkheid of onderworpen zijn aan een passende wettelijke verplichting tot vertrouwelijkheid.

Artikel A3 — Beveiliging

  1. Verwerker neemt, rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en de verwerkingsdoeleinden, passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder: (a) pseudonimisering en versleuteling van Persoonsgegevens; (b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; (c) het vermogen om bij een incident de beschikbaarheid van en de toegang tot Persoonsgegevens tijdig te herstellen; (d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de maatregelen.

Artikel A4 — Sub-verwerkers

  1. Verwerker maakt gebruik van de in Specificatie 2 vermelde sub-verwerkers, waaronder leveranciers van AI-Hulpmiddelen. Verwerkingsverantwoordelijke verleent bij het sluiten van de Overeenkomst algemene toestemming voor het gebruik van sub-verwerkers.
  2. Verwerker informeert Verwerkingsverantwoordelijke over beoogde wijzigingen inzake de toevoeging of vervanging van sub-verwerkers, zodat Verwerkingsverantwoordelijke de mogelijkheid heeft bezwaar te maken.
  3. Verwerker legt aan sub-verwerkers die Persoonsgegevens verwerken dezelfde verplichtingen op als die welke op hem rusten krachtens deze VWO.

Artikel A5 — Rechten van betrokkenen

  1. Verwerker verleent Verwerkingsverantwoordelijke bijstand bij het voldoen aan diens verplichtingen om verzoeken van betrokkenen tot uitoefening van hun rechten (toegang, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar) te beantwoorden.

Artikel A6 — Datalekken

  1. Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging, en uiterlijk binnen 48 uur na ontdekking, op de hoogte van een inbreuk in verband met Persoonsgegevens.
  2. De melding bevat ten minste: de aard van de inbreuk, de categorieën en het (geschatte) aantal betrokkenen, de categorieën en het (geschatte) volume van de betrokken gegevensrecords, de waarschijnlijke gevolgen, en de maatregelen die zijn getroffen of worden voorgesteld.

Artikel A7 — Gegevensbeschermingseffectbeoordeling

  1. Verwerker verleent, rekening houdend met de aard van de verwerking, bijstand aan Verwerkingsverantwoordelijke bij het nakomen van zijn verplichtingen uit hoofde van de artikelen 35 en 36 AVG (gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging).

Artikel A8 — Verwijdering en teruggave van gegevens

  1. Na afloop van de Overeenkomst wist of retourneert Verwerker, naar keuze van Verwerkingsverantwoordelijke, alle Persoonsgegevens en verwijdert alle bestaande kopieën, tenzij opslag van de Persoonsgegevens verplicht is krachtens het Unierecht of het lidstatelijke recht.

Artikel A9 — Audits en inspectie

  1. Verwerker stelt alle informatie beschikbaar die noodzakelijk is om de nakoming van de in artikel 28 AVG neergelegde verplichtingen aan te tonen, en maakt audits, waaronder inspecties, door Verwerkingsverantwoordelijke of een door hem gemachtigde controleur mogelijk en werkt hieraan mee.

Specificatie 1 — Categorieën van persoonsgegevens en betrokkenen

Categorieën betrokkenen
Medewerkers, directeuren en stakeholders van Opdrachtgever voor zover relevant voor de BCR-dienstverlening.
Categorieën persoonsgegevens
Contactgegevens (naam, functie, e-mail, telefoonnummer), gespreksinhoud voor zover betrokkenen daarin worden benoemd, en financiële contactpersoongegevens. Geen bijzondere categorieën persoonsgegevens in de zin van artikel 9 AVG.
Doeleinden
Uitvoering van de Fractional Business Control dienstverlening, waaronder het opstellen van het BCR, het voeren van managementgesprekken en het ondersteunen van besluitvorming van Opdrachtgever.

Specificatie 2 — Toegestane sub-verwerkers

Partij
Dienst
Grondslag doorgifte
Microsoft Corporation
Microsoft 365, OneDrive, Microsoft Lists, Microsoft Bookings
Verwerking in EU/EER op basis van SCCs en EU Data Boundary commitment
Anthropic, PBC
Claude AI-platform (Claude Team Plan)
Commercial Terms met DPA; geen modeltraining op klantdata
Fireflies Inc.
Gespreksopname en transcriptie
DPA; uitsluitend na expliciete toestemming van alle deelnemers; Standard Contractual Clauses voor verwerking buiten de EER

Verwerker zal Verwerkingsverantwoordelijke informeren over wijzigingen in bovenstaande lijst conform Artikel A4 lid 2. De pseudonimiseringssleutel (vertaaltabel) wordt uitsluitend beheerd door Verwerker en bevindt zich te allen tijde binnen de beveiligde Microsoft 365-omgeving van Verwerker. De vertaaltabel wordt niet doorgegeven aan, gedeeld met, of verwerkt door enige sub-verwerker, waaronder AI-Hulpmiddelen.