Deze verwerkersovereenkomst regelt hoe Ortimo ICT persoonsgegevens verwerkt namens haar klanten, conform artikel 28 van de AVG.
Versie 1.0 · Juni 2026
Deze verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die Ortimo ICT, gevestigd te Eindhoven, ingeschreven bij de Kamer van Koophandel onder nummer 76562816 (hierna: Verwerker), uitvoert ten behoeve van een klant aan wie zij diensten levert (hierna: Verwerkingsverantwoordelijke).
Overwegende dat de Verwerkingsverantwoordelijke bepaalde verwerkingen wil laten uitvoeren door de Verwerker, waarbij de Verwerkingsverantwoordelijke het doel en de middelen bepaalt; dat de Verwerker bereid is de verplichtingen op het gebied van beveiliging en de AVG na te komen voor zover dit binnen haar macht ligt; en dat partijen, mede gelet op artikel 28 AVG, hun afspraken schriftelijk wensen vast te leggen — komen partijen het volgende overeen.
De Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de Verwerkingsverantwoordelijke en alleen in het kader van de overeengekomen ICT-dienstverlening, plus doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald. De Verwerker gebruikt de gegevens niet voor eigen doeleinden. De verwerkte persoonsgegevens blijven eigendom van de Verwerkingsverantwoordelijke en de betrokkenen. De categorieën gegevens en betrokkenen zijn opgenomen in de bijlage.
De Verwerker leeft de toepasselijke wet- en regelgeving op het gebied van gegevensbescherming na, waaronder de AVG. Op verzoek informeert de Verwerker de Verwerkingsverantwoordelijke over de getroffen maatregelen. De verplichtingen gelden ook voor personen die onder gezag van de Verwerker gegevens verwerken. Wanneer een instructie naar het oordeel van de Verwerker in strijd is met de wetgeving, meldt zij dit onverwijld. De Verwerker verleent, voor zover redelijkerwijs mogelijk, bijstand bij gegevensbeschermingseffectbeoordelingen (DPIA's).
De Verwerker verwerkt persoonsgegevens in beginsel binnen de Europese Unie. Doorgifte naar landen buiten de EU vindt alleen plaats indien er een passend beschermingsniveau is (zoals een adequaatheidsbesluit of het EU-US Data Privacy Framework) of indien er voldoende waarborgen zijn getroffen.
De Verwerker stelt ICT-middelen ter beschikking voor de hierboven genoemde doelen en verwerkt uitsluitend op basis van de instructies en onder de eindverantwoordelijkheid van de Verwerkingsverantwoordelijke. Voor verwerkingen buiten deze opdracht — waaronder het verzamelen van gegevens door de Verwerkingsverantwoordelijke zelf en verwerkingen voor niet-gemelde doeleinden — is de Verwerker niet verantwoordelijk. De Verwerkingsverantwoordelijke staat ervoor in dat de opdracht tot verwerking niet onrechtmatig is en geen inbreuk maakt op rechten van derden.
De Verwerker mag derden (sub-verwerkers) inschakelen, mits deze een passend beschermingsniveau bieden en aan vergelijkbare verplichtingen zijn gebonden. De Verwerker blijft tegenover de Verwerkingsverantwoordelijke aanspreekpunt en verantwoordelijk voor de naleving van deze overeenkomst.
De Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, diefstal en onrechtmatige verwerking, rekening houdend met de stand van de techniek, de aard van de verwerking en de risico's, conform artikel 32 AVG. Deze maatregelen omvatten in ieder geval, maar niet uitsluitend:
De Verwerkingsverantwoordelijke is verantwoordelijk voor het melden van een datalek aan de Autoriteit Persoonsgegevens en eventueel aan betrokkenen. Om dit mogelijk te maken stelt de Verwerker de Verwerkingsverantwoordelijke binnen een redelijke termijn op de hoogte van een vastgesteld beveiligings- of datalek. De melding bevat ten minste de aard van de inbreuk, de betrokken categorieën en aantallen, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen.
Wanneer een betrokkene een verzoek tot uitoefening van zijn of haar rechten richt aan de Verwerker, stuurt de Verwerker dit door aan de Verwerkingsverantwoordelijke, die het verzoek verder afhandelt.
Op alle persoonsgegevens die de Verwerker in het kader van deze overeenkomst ontvangt, rust een geheimhoudingsplicht jegens derden. De Verwerker gebruikt deze informatie niet voor een ander doel dan waarvoor zij is verkregen, tenzij de Verwerkingsverantwoordelijke toestemming heeft gegeven of een wettelijke verplichting daartoe bestaat.
De Verwerkingsverantwoordelijke heeft het recht de naleving van deze overeenkomst te (laten) controleren door een onafhankelijke, aan geheimhouding gebonden derde. De Verwerker werkt hieraan mee en stelt redelijkerwijs relevante informatie ter beschikking. Een audit wordt vooraf aangekondigd. De kosten komen voor rekening van de Verwerkingsverantwoordelijke, met uitzondering van de personeelskosten van de Verwerker.
Op de aansprakelijkheid onder deze verwerkersovereenkomst is de beperking van aansprakelijkheid uit de algemene voorwaarden van de Verwerker van toepassing.
Deze verwerkersovereenkomst geldt voor de duur van de hoofdovereenkomst tussen partijen en in ieder geval voor de duur van de samenwerking. Na beëindiging zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens retourneren en/of verwijderen, tenzij een wettelijke bewaarplicht anders bepaalt.
Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar de Verwerker is gevestigd. Ondertekening vindt plaats via de hoofdovereenkomst waarvan dit document onderdeel uitmaakt.
Onderwerp en doel. De verwerking betreft het leveren van de afgenomen diensten, zoals managed IT, cybersecurity, cloud- en werkplekbeheer, telefonie en connectiviteit. Persoonsgegevens worden uitsluitend verwerkt voor doeleinden die samenhangen met deze diensten.
Categorieën betrokkenen:
Soorten gegevens (afhankelijk van de afgenomen diensten): bedrijfs- en NAW-gegevens, e-mailadressen en telefoonnummers, inlog- en accountgegevens, IP- en apparaatgegevens, gebruiks- en verkeersgegevens van telefonie (zoals belgegevens en eventueel gespreksopnames), en gegevens die zijn opgeslagen binnen de beheerde systemen en mailboxen.
Een ondertekende versie ontvangen? Neem contact op via info@ortimo.nl of 040 240 96 60.