Deze DPA wordt aangegaan tussen de Verwerkingsverantwoordelijke en de Verwerker en maakt integraal deel uit van, en wordt beheerst door, de voorwaarden van de Overeenkomst.
Elke term met een hoofdletter die niet in deze DPA is gedefinieerd, heeft de betekenis die daaraan in de Overeenkomst wordt toegekend.
| “Gelieerde entiteit” | betekent iedere entiteit die direct of indirect zeggenschap heeft over een partij, door een partij wordt gecontroleerd, of onder gezamenlijke zeggenschap staat met een partij. “Zeggenschap” betekent voor de toepassing van deze definitie: direct of indirect eigendom of controle over meer dan 50% van de stemgerechtigde belangen van een partij; |
| “Overeenkomst” | betekent de overeenkomst tussen de Verwerkingsverantwoordelijke en de Verwerker voor het leveren van de Diensten; |
| “CCPA” | betekent de California Consumer Privacy Act van 2018, inclusief de bijbehorende regelgeving en zoals van tijd tot tijd gewijzigd; |
| “Verwerkingsverantwoordelijke” | betekent de Klant; |
| “Wetgeving inzake gegevensbescherming” | betekent alle wetten en regelgeving, waaronder de wetten en regelgeving van de Europese Unie, de Europese Economische Ruimte, hun lidstaten en het Verenigd Koninkrijk, en alle wijzigingen, vervangingen of vernieuwingen daarvan, die van toepassing zijn op de verwerking van Persoonsgegevens, waaronder waar van toepassing de Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2020, de EU AVG, de UK GDPR, de UK Data Protection Act 2018, de FADP, de CCPA en alle toepasselijke nationale uitvoeringswetten, -regelgeving en secundaire wetgeving met betrekking tot de verwerking van de Persoonsgegevens en de privacy van elektronische communicatie, zoals van tijd tot tijd gewijzigd, vervangen of geactualiseerd, waaronder de Privacy and Electronic Communications Directive (2002/58/EC) en de Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2003/2426); |
| “Betrokkene” | heeft dezelfde betekenis als in de Wetgeving inzake gegevensbescherming of betekent een “Consumer” zoals die term in de CCPA is gedefinieerd; |
| “DPA” | betekent deze verwerkersovereenkomst samen met Bijlagen A, B en C; |
| “EER” | betekent de Europese Economische Ruimte; |
| “EU AVG” | betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming); |
| “FADP” | betekent de nieuwe Zwitserse Federale Wet inzake Gegevensbescherming van 1 september 2023, en zoals van tijd tot tijd gewijzigd; |
| “Persoonsgegevens” | heeft dezelfde betekenis als in de Wetgeving inzake gegevensbescherming; |
| “Verwerker” | betekent de Vennootschap, inclusief waar van toepassing iedere “Service Provider” zoals die term in de CCPA is gedefinieerd; |
| “Beperkte doorgifte” | betekent: (i) wanneer de EU AVG van toepassing is: een doorgifte van Persoonsgegevens via de Diensten vanuit de EER, hetzij rechtstreeks hetzij via verdere doorgifte, naar een land of ontvanger buiten de EER waarvoor geen adequaatheidsbesluit van de Europese Commissie geldt; en (ii) wanneer de UK GDPR van toepassing is: een doorgifte van Persoonsgegevens via de Diensten vanuit het Verenigd Koninkrijk, hetzij rechtstreeks hetzij via verdere doorgifte, naar een land of ontvanger buiten het VK waarvoor geen adequaatheidsregelingen gelden krachtens Section 17A van de United Kingdom Data Protection Act 2018; en (iii) een doorgifte van Persoonsgegevens via de Diensten vanuit Zwitserland, hetzij rechtstreeks hetzij via verdere doorgifte, naar een land of ontvanger buiten de EER en/of Zwitserland waarvoor geen adequaatheidsbesluit van de Europese Commissie geldt; |
| “Diensten” | betekent alle diensten en softwareapplicaties en oplossingen die door de Verwerker aan de Verwerkingsverantwoordelijke worden geleverd krachtens en zoals beschreven in de Overeenkomst; |
| “SCC’s” | betekent: (i) wanneer de EU AVG van toepassing is: de modelcontractbepalingen zoals opgenomen in Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 inzake modelcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen, gepubliceerd op https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN (“EU SCC’s”); en (ii) wanneer de UK GDPR van toepassing is: de standaardbepalingen inzake gegevensbescherming vastgesteld krachtens Artikel 46(2)(c) van de UK GDPR zoals opgenomen in Bijlage C van deze DPA (“UK SCC’s”); en (iii) wanneer Persoonsgegevens vanuit Zwitserland worden doorgegeven naar buiten Zwitserland of de EER: de EU SCC’s zoals gewijzigd overeenkomstig richtsnoeren van de Zwitserse Autoriteit voor Gegevensbescherming (“Zwitserse SCC’s”); |
| “Subverwerker” | betekent iedere derde (waaronder de Gelieerde entiteiten van de Verwerker) die door de Verwerker direct of indirect wordt ingeschakeld om Persoonsgegevens te verwerken onder deze DPA in het kader van het leveren van de Diensten aan de Verwerkingsverantwoordelijke; |
| “Toezichthoudende autoriteit” | betekent een overheids- of bij wet ingestelde toezichthoudende instantie met bindende wettelijke bevoegdheid over een partij; |
| “UK GDPR” | betekent de EU AVG zoals deze deel uitmaakt van het recht van Engeland en Wales, Schotland en Noord-Ierland op grond van section 3 van de European Union (Withdrawal) Act 2018. |
2.1. De Verwerker is overeengekomen de Diensten aan de Verwerkingsverantwoordelijke te leveren overeenkomstig de voorwaarden van de Overeenkomst. Bij het leveren van de Diensten zal de Verwerker Klantgegevens verwerken namens de Verwerkingsverantwoordelijke. Klantgegevens kunnen Persoonsgegevens omvatten. De Verwerker zal dergelijke Persoonsgegevens verwerken en beschermen overeenkomstig de voorwaarden van deze DPA.
3.1. Bij het leveren van de Diensten aan de Verwerkingsverantwoordelijke krachtens de Overeenkomst, zal de Verwerker Persoonsgegevens uitsluitend verwerken voor zover noodzakelijk om de Diensten te leveren overeenkomstig de voorwaarden van de Overeenkomst, deze DPA en de instructies van de Verwerkingsverantwoordelijke zoals vastgelegd in de Overeenkomst en deze DPA, zoals van tijd tot tijd bijgewerkt.
3.2. De Verwerkingsverantwoordelijke en de Verwerker nemen maatregelen om te waarborgen dat iedere natuurlijke persoon die onder het gezag van de Verwerkingsverantwoordelijke of de Verwerker handelt en toegang heeft tot Persoonsgegevens, deze niet verwerkt anders dan op instructie van de Verwerkingsverantwoordelijke, tenzij verwerking verplicht is op grond van Wetgeving inzake gegevensbescherming.
4.1. De Verwerker mag Persoonsgegevens uitsluitend verzamelen, verwerken of gebruiken binnen de reikwijdte van deze DPA.
4.2. De Verwerker bevestigt dat hij Persoonsgegevens namens de Verwerkingsverantwoordelijke zal verwerken overeenkomstig de gedocumenteerde instructies van de Verwerkingsverantwoordelijke.
4.3. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld in kennis indien naar het oordeel van de Verwerker instructies van de Verwerkingsverantwoordelijke met betrekking tot de verwerking van Persoonsgegevens in strijd zijn met Wetgeving inzake gegevensbescherming.
4.4. De Verwerker waarborgt dat alle werknemers, vertegenwoordigers, functionarissen en opdrachtnemers die betrokken zijn bij de omgang met Persoonsgegevens: (i) zich bewust zijn van het vertrouwelijke karakter van de Persoonsgegevens en contractueel zijn gebonden om de Persoonsgegevens vertrouwelijk te houden; (ii) passende training hebben ontvangen over hun verantwoordelijkheden als verwerker; en (iii) gebonden zijn aan de voorwaarden van deze DPA.
4.5. De Verwerker treft passende technische en organisatorische maatregelen om Persoonsgegevens te beschermen, rekening houdend met de stand van de techniek, de implementatiekosten en de aard, omvang, context en doeleinden van de verwerking alsmede het risico, dat qua waarschijnlijkheid en ernst kan variëren, voor de rechten en vrijheden van natuurlijke personen.
4.6. De Verwerker treft passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat passend is bij het risico, waaronder indien passend onder meer: (i) pseudonimisering en encryptie van Persoonsgegevens; (ii) het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te waarborgen; (iii) het vermogen om de beschikbaarheid van en toegang tot Persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident; (iv) een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen ter waarborging van de beveiliging van de verwerking. Bij het beoordelen van het passende beveiligingsniveau wordt in het bijzonder rekening gehouden met de risico’s die de verwerking met zich meebrengt, met name risico’s van accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot Persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt.
4.7. De technische en organisatorische maatregelen zoals beschreven in Bijlage B worden te allen tijde nageleefd als minimale beveiligingsstandaard. De Verwerkingsverantwoordelijke erkent en stemt ermee in dat de technische en organisatorische maatregelen onderhevig zijn aan ontwikkeling en beoordeling en dat de Verwerker alternatieve passende maatregelen mag toepassen in plaats van de maatregelen zoals beschreven in de bijlagen bij deze DPA, mits dergelijke maatregelen ten minste gelijkwaardig zijn aan de technische en organisatorische maatregelen in Bijlage B en passend zijn op grond van de verplichtingen van de Verwerker in de artikelen 4.5 en 4.6 hierboven.
4.8. De Verwerkingsverantwoordelijke erkent en stemt ermee in dat het bij het leveren van de Diensten nodig kan zijn dat de Verwerker toegang heeft tot Persoonsgegevens om te reageren op technische problemen of vragen van de Verwerkingsverantwoordelijke en om de goede werking van de Diensten te waarborgen. Dergelijke toegang door de Verwerker wordt beperkt tot deze doeleinden.
4.9. Rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt, ondersteunt de Verwerker de Verwerkingsverantwoordelijke door passende technische en organisatorische maatregelen te treffen, voor zover mogelijk, om de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan zijn verplichting om te reageren op verzoeken tot uitoefening van de rechten van de Betrokkene en om te voldoen aan zijn verplichtingen inzake gegevensbescherming met betrekking tot de verwerking van Persoonsgegevens.
4.10. De Verwerker mag niet: (i) Persoonsgegevens verkopen; (ii) Persoonsgegevens bewaren, gebruiken of verstrekken voor commerciële doeleinden anders dan het leveren van de Diensten onder de voorwaarden van de Overeenkomst; of (iii) Persoonsgegevens bewaren, gebruiken of verstrekken buiten de voorwaarden van de Overeenkomst.
5.1. De Verwerkingsverantwoordelijke verklaart en garandeert dat: (i) hij zal voldoen aan deze DPA en aan zijn verplichtingen onder Wetgeving inzake gegevensbescherming; (ii) hij alle noodzakelijke toestemmingen en machtigingen heeft verkregen die nodig zijn om de Verwerker, zijn Gelieerde entiteiten en Subverwerkers in staat te stellen hun rechten uit te oefenen of hun verplichtingen onder deze DPA na te komen; en (iii) alle Gelieerde entiteiten van de Verwerkingsverantwoordelijke die de Diensten gebruiken, zullen voldoen aan de verplichtingen van de Verwerkingsverantwoordelijke zoals uiteengezet in deze DPA.
5.2. De Verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om Persoonsgegevens te beschermen, rekening houdend met de stand van de techniek, de implementatiekosten en de aard, omvang, context en doeleinden van de verwerking alsmede het risico, dat qua waarschijnlijkheid en ernst kan variëren, voor de rechten en vrijheden van natuurlijke personen. De Verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat passend is bij het risico, waaronder indien passend onder meer: (i) pseudonimisering en encryptie van Persoonsgegevens; (ii) het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te waarborgen; (iii) het vermogen om de beschikbaarheid van en toegang tot Persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident; (iv) een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen ter waarborging van de beveiliging van de verwerking. Bij het beoordelen van het passende beveiligingsniveau wordt in het bijzonder rekening gehouden met de risico’s die de verwerking met zich meebrengt, met name risico’s van accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot Persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt.
5.3. De Verwerkingsverantwoordelijke erkent en stemt ermee in dat sommige instructies van de Verwerkingsverantwoordelijke, waaronder het ondersteunen door de Verwerker bij audits, inspecties, DPIA’s of het verlenen van enige bijstand onder deze DPA, kunnen leiden tot aanvullende kosten. In dat geval zal de Verwerker de Verwerkingsverantwoordelijke vooraf informeren over zijn tarieven voor het verlenen van dergelijke bijstand en is hij gerechtigd de Verwerkingsverantwoordelijke zijn redelijke kosten en uitgaven in rekening te brengen, tenzij schriftelijk anders overeengekomen.
6.1. De Verwerkingsverantwoordelijke erkent en stemt ermee in dat de Verwerker Subverwerkers mag inschakelen in verband met het leveren van de Diensten.
6.2. Alle Subverwerkers die Persoonsgegevens verwerken bij het leveren van de Diensten aan de Verwerkingsverantwoordelijke, zullen voldoen aan de verplichtingen van de Verwerker zoals uiteengezet in deze DPA.
6.3. De Verwerkingsverantwoordelijke machtigt de Verwerker om de Subverwerkers te gebruiken die zijn opgenomen in de lijst van Subverwerkers die is gepubliceerd op: https://multiply.cloud/en/legal-resources/ voor de verwerking van Persoonsgegevens. Tijdens de looptijd van deze DPA zal de Verwerker de Verwerkingsverantwoordelijke 30 dagen voorafgaand, via e-mail, op de hoogte stellen van wijzigingen in de lijst van Subverwerkers voordat een nieuwe of vervangende Subverwerker wordt gemachtigd om Persoonsgegevens te verwerken in verband met het leveren van de Diensten.
6.4. De Verwerkingsverantwoordelijke kan bezwaar maken tegen het gebruik van een nieuwe of vervangende Subverwerker door de Verwerker hiervan onverwijld schriftelijk in kennis te stellen binnen vijftien (15) dagen na ontvangst van de kennisgeving van de Verwerker. Indien de Verwerkingsverantwoordelijke bezwaar maakt tegen een nieuwe of vervangende Subverwerker, kan de Verwerkingsverantwoordelijke de Overeenkomst beëindigen voor zover het de Diensten betreft die de Verwerker niet kan leveren zonder gebruik te maken van de nieuwe of vervangende Subverwerker. De Verwerker zal de Verwerkingsverantwoordelijke alle vooruitbetaalde vergoedingen terugbetalen die betrekking hebben op de resterende looptijd van de Overeenkomst na de ingangsdatum van de beëindiging voor deze beëindigde Diensten.
6.5. Alle Subverwerkers die Persoonsgegevens verwerken, zullen voldoen aan de verplichtingen van de Verwerker zoals uiteengezet in deze DPA. De Verwerker zal, voordat de betreffende Subverwerker enige verwerkingsactiviteiten met betrekking tot de Persoonsgegevens uitvoert: (i) iedere Subverwerker aanstellen onder een schriftelijke overeenkomst met in wezen dezelfde verplichtingen als die van de Verwerker in deze DPA, afdwingbaar door de Verwerker; en (ii) waarborgen dat iedere Subverwerker al die verplichtingen naleeft.
6.6. De Verwerkingsverantwoordelijke stemt ermee in dat de Verwerker en zijn Subverwerkers Beperkte doorgiften van Persoonsgegevens mogen verrichten met het oog op het leveren van de Diensten aan de Verwerkingsverantwoordelijke overeenkomstig de Overeenkomst. De Verwerker bevestigt dat deze Subverwerkers: (i) gevestigd zijn in een derde land of gebied dat door de EU Commissie of, voor zover van toepassing, een Toezichthoudende autoriteit is erkend als land met een passend beschermingsniveau; of (ii) de toepasselijke SCC’s met de Verwerker zijn aangegaan; of (iii) andere wettelijk erkende passende waarborgen hebben getroffen.
7.1. De partijen komen overeen dat wanneer een doorgifte van Persoonsgegevens plaatsvindt tussen de Verwerkingsverantwoordelijke en de Verwerker, of van de Verwerker naar een Subverwerker, die een Beperkte doorgifte is, deze onderworpen is aan de toepasselijke SCC’s.
7.2. De partijen komen overeen dat de EU SCC’s van toepassing zijn op Beperkte doorgiften vanuit de EER. De EU SCC’s worden geacht te zijn aangegaan (en door verwijzing in deze DPA te zijn opgenomen) en als volgt ingevuld:
7.3. De partijen komen overeen dat de EU SCC’s, zoals gewijzigd in clausule 7.2 hierboven, als volgt worden aangepast wanneer de FADP van toepassing is op een Beperkte doorgifte:
De Swiss Federal Data Protection and Information Commissioner (“FDPIC”) is de enige Toezichthoudende autoriteit voor Beperkte doorgiften die uitsluitend onder de FADP vallen; Beperkte doorgiften die zowel onder de FADP als de EU AVG vallen, worden behandeld door de EU-toezichthoudende autoriteit die in Bijlage A van deze DPA is genoemd; De term ‘lidstaat’ mag niet zo worden uitgelegd dat Betrokkenen in Zwitserland wordt uitgesloten van de mogelijkheid om hun rechten af te dwingen bij de rechter in hun gewone verblijfplaats (Zwitserland) overeenkomstig Clausule 18(c) van de EU SCC’s; Waar Beperkte doorgiften uitsluitend onder de FADP vallen, moeten alle verwijzingen naar de GDPR in de EU SCC’s worden begrepen als verwijzingen naar de FADP; Waar Beperkte doorgiften zowel onder de FADP als de EU AVG vallen, moeten alle verwijzingen naar de GDPR in de EU SCC’s worden begrepen als verwijzingen naar de FADP voor zover de Beperkte doorgiften onder de FADP vallen; De Zwitserse SCC’s beschermen ook de Persoonsgegevens van rechtspersonen tot de inwerkingtreding van de herziene FADP. 7.4. De partijen komen overeen dat de UK SCC’s van toepassing zijn op Beperkte doorgiften vanuit het VK en dat de UK SCC’s worden geacht te zijn aangegaan (en door verwijzing in deze DPA te zijn opgenomen), zoals opgenomen in Bijlage C van deze DPA.
7.5. Indien enige bepaling van deze DPA direct of indirect in strijd is met SCC’s, prevaleren de bepalingen van de toepasselijke SCC’s boven de voorwaarden van deze DPA.
8.1. De Verwerkingsverantwoordelijke kan correctie, verwijdering, blokkering en/of terbeschikkingstelling van Persoonsgegevens verlangen tijdens of na beëindiging van de Overeenkomst. De Verwerkingsverantwoordelijke erkent en stemt ermee in dat de Verwerker het verzoek zal verwerken voor zover dit rechtmatig is en een dergelijk verzoek redelijkerwijs zal uitvoeren overeenkomstig zijn standaard operationele procedures, voor zover mogelijk.
8.2. Indien de Verwerker een verzoek van een Betrokkene ontvangt met betrekking tot Persoonsgegevens, zal de Verwerker de Betrokkene doorverwijzen naar de Verwerkingsverantwoordelijke, tenzij dit wettelijk verboden is. De Verwerkingsverantwoordelijke vergoedt de Verwerker alle kosten die voortvloeien uit het verlenen van redelijke bijstand bij de afhandeling van een verzoek van een Betrokkene. Indien de Verwerker wettelijk verplicht is om de Betrokkene te antwoorden, zal de Verwerkingsverantwoordelijke, waar van toepassing, volledig met de Verwerker samenwerken.
9.1. De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die redelijkerwijs noodzakelijk is om naleving van zijn verwerkingsverplichtingen aan te tonen en staat audits en inspecties toe en draagt daaraan bij.
9.2. Iedere audit die onder deze DPA wordt uitgevoerd, bestaat uit een beoordeling van de meest recente rapporten, certificaten en/of uittreksels opgesteld door een onafhankelijke auditor die gebonden is aan vertrouwelijkheidsbepalingen vergelijkbaar met die in de Overeenkomst. Indien het verstrekken daarvan naar het redelijke oordeel van de Verwerkingsverantwoordelijke niet voldoende is, kan de Verwerkingsverantwoordelijke een uitgebreider audit uitvoeren, die: (i) voor rekening van de Verwerkingsverantwoordelijke is; (ii) qua scope beperkt is tot voor de Verwerkingsverantwoordelijke specifieke onderwerpen en vooraf wordt overeengekomen; (iii) wordt uitgevoerd tijdens de gebruikelijke kantooruren van de Verwerker en na redelijke aankondiging van ten minste 4 weken, tenzij zich een identificeerbaar materieel probleem heeft voorgedaan; en (iv) wordt uitgevoerd op een wijze die de dagelijkse bedrijfsvoering van de Verwerker niet verstoort.
9.3. Deze bepaling wijzigt of beperkt de auditrechten van de Verwerkingsverantwoordelijke niet, maar beoogt de procedures te verduidelijken voor elke audit die op grond daarvan wordt uitgevoerd.
10.1. De Verwerker stelt de Verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte nadat hij zich bewust is geworden van (en in ieder geval binnen 72 uur na ontdekking van) iedere beveiligingsinbreuk die leidt tot de accidentele of onrechtmatige vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot Persoonsgegevens (“Inbreuk in verband met Persoonsgegevens”).
10.2. In geval van een Inbreuk in verband met Persoonsgegevens zal de Verwerker alle commercieel redelijke maatregelen nemen om de Persoonsgegevens te beveiligen, de gevolgen van de Inbreuk te beperken en de Verwerkingsverantwoordelijke te ondersteunen bij het nakomen van zijn verplichtingen onder toepasselijke wetgeving.
11.1. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld op de hoogte van ieder verzoek of iedere klacht met betrekking tot de verwerking van Persoonsgegevens die de Verwerkingsverantwoordelijke nadelig treft, tenzij een dergelijke kennisgeving niet is toegestaan op grond van toepasselijke wetgeving of een relevant rechterlijk bevel.
11.2. De Verwerker mag kopieën maken van en/of Persoonsgegevens bewaren ter naleving van wettelijke of regelgevende vereisten, waaronder, maar niet beperkt tot, bewaarplichten.
11.3. De Verwerker zal de Verwerkingsverantwoordelijke redelijkerwijs ondersteunen bij het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA’s), rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt.
11.4. De Verwerkingsverantwoordelijke stelt de Verwerker binnen een redelijke termijn op de hoogte van wijzigingen in toepasselijke wetgeving, codes of regelgeving inzake gegevensbescherming die de contractuele verplichtingen van de Verwerker kunnen beïnvloeden. De Verwerker reageert binnen een redelijke termijn op eventuele wijzigingen die nodig zijn in de voorwaarden van deze DPA of in de technische en organisatorische maatregelen om naleving te waarborgen. Indien de Verwerker noodzakelijke wijzigingen niet kan doorvoeren, kan de Verwerkingsverantwoordelijke het deel of de delen van de Diensten beëindigen die tot niet-naleving leiden. Voor zover andere delen van de geleverde Diensten door dergelijke wijzigingen niet worden geraakt, blijft de levering van die Diensten ongewijzigd.
11.5. De Verwerkingsverantwoordelijke en de Verwerker en, waar van toepassing, hun vertegenwoordigers, zullen op verzoek samenwerken met een Toezichthoudende autoriteit bij de uitvoering van hun respectieve verplichtingen onder deze DPA en Wetgeving inzake gegevensbescherming.
12.1. De in de Overeenkomst opgenomen aansprakelijkheidsbeperkingen zijn van toepassing op alle vorderingen die voortvloeien uit enige schending van de voorwaarden van deze DPA.
12.2. De partijen komen overeen dat de Verwerker aansprakelijk is voor iedere schending van deze DPA die wordt veroorzaakt door handelen of nalaten, of nalatigheid, van zijn Subverwerkers in dezelfde mate als de Verwerker aansprakelijk zou zijn indien hij de diensten van iedere Subverwerker rechtstreeks onder de voorwaarden van deze DPA zou uitvoeren, met inachtneming van eventuele aansprakelijkheidsbeperkingen in de Overeenkomst.
12.3. De partijen komen overeen dat de Verwerkingsverantwoordelijke aansprakelijk is voor iedere schending van deze DPA die wordt veroorzaakt door handelen of nalaten, of nalatigheid, van zijn Gelieerde entiteiten alsof dergelijk handelen, nalaten of nalatigheid door de Verwerkingsverantwoordelijke zelf was gepleegd.
12.4. De Verwerkingsverantwoordelijke heeft geen recht op dubbele vergoeding voor hetzelfde verlies.
13.1. De Verwerker zal Persoonsgegevens uitsluitend verwerken gedurende de looptijd van de DPA. De looptijd van deze DPA vangt aan op de Ingangsdatum van de Overeenkomst en deze DPA eindigt automatisch tegelijk met de beëindiging of het aflopen van de Overeenkomst.
14.1. De Verwerker zal, naar keuze van de Verwerkingsverantwoordelijke, na ontvangst van een schriftelijk verzoek dat binnen 30 dagen na het einde van de dienstverlening is ontvangen, de Persoonsgegevens verwijderen of aan de Verwerkingsverantwoordelijke teruggeven. De Verwerker zal in ieder geval alle kopieën van Persoonsgegevens in zijn systemen verwijderen binnen 1 jaar na de ingangsdatum van beëindiging van de Overeenkomst of deactivering van het account van de Verwerkingsverantwoordelijke, tenzij toepasselijke wet- of regelgeving opslag van de Persoonsgegevens na beëindiging vereist.
15.1. Deze DPA bevat de volledige afspraak tussen partijen met betrekking tot het onderwerp hiervan.
15.2. Indien een bepaling van deze DPA ongeldig is of ongeldig wordt, blijft de rechtswerking van de overige bepalingen onaangetast. Geacht wordt een geldige bepaling te zijn overeengekomen die zo dicht mogelijk aansluit bij hetgeen partijen commercieel beoogden en die de ongeldige bepaling vervangt. Hetzelfde geldt voor eventuele leemten.
15.3. Behoudens andersluidende bepalingen in de SCC’s, wordt deze DPA beheerst door het recht van Engeland en Wales. De rechtbanken van Engeland zijn exclusief bevoegd voor de beslechting van alle geschillen die uit deze DPA voortvloeien.
15.4. Partijen komen overeen dat deze DPA deel uitmaakt van en wordt beheerst door de voorwaarden van de Overeenkomst.
Lijst van Partijen, Beschrijving van Verwerking en Doorgifte van Persoonsgegevens, Bevoegde Toezichthoudende Autoriteit
A. Lijst van Partijen
| betekent de Klant. | |
| Adres: | Zoals voor de Klant uiteengezet in de Overeenkomst. |
| Naam, functie en contactgegevens van de contactpersoon: | Zoals door de Klant verstrekt in zijn account en gebruikt voor notificatie- en facturatiedoeleinden. |
| Zoals door de Klant verstrekt in zijn account en gebruikt voor notificatie- en facturatiedoeleinden. | Gebruik van de Diensten. |
| Handtekening en datum: | Door het aangaan van de Overeenkomst wordt de Exporteur geacht de SCC’s te hebben ondertekend die in deze DPA zijn opgenomen, inclusief de Bijlagen daarbij, per de Ingangsdatum van de Overeenkomst. |
| Rol: | Verwerkingsverantwoordelijke. |
| Naam van Vertegenwoordiger (indien van toepassing): | Elke VK- of EU-vertegenwoordiger die is genoemd in het privacybeleid van de Exporteur. |
| betekent Multiply Software Limited. | |
| Adres: | 2 Leman Street, Londen, E1W 9US, Verenigd Koninkrijk |
| Naam, functie en contactgegevens van de contactpersoon: | Julien Demoor Chief Executive Officer
|
| Activiteiten die relevant zijn voor de onder de SCC’s doorgegeven gegevens: | Het leveren van cloud computing-oplossingen aan de Exporteur, waarbij de Importeur Persoonsgegevens verwerkt op instructie van de Exporteur overeenkomstig de voorwaarden van de Overeenkomst. |
| Handtekening en datum: | Door het aangaan van de Overeenkomst wordt de Exporteur geacht de SCC’s te hebben ondertekend die in deze DPA zijn opgenomen, inclusief de Bijlagen daarbij, per de Ingangsdatum van de Overeenkomst. |
| Rol: | Verwerker. |
| Categorieën Betrokkenen: | Werknemers, vertegenwoordigers, adviseurs, consultants en freelancers van de Verwerkingsverantwoordelijke (die natuurlijke personen zijn). Gebruikers, Gelieerde entiteiten en andere deelnemers die door de Verwerkingsverantwoordelijke zijn gemachtigd om toegang te krijgen tot of gebruik te maken van de Diensten overeenkomstig de voorwaarden van de Overeenkomst. |
| Categorieën Persoonsgegevens: | Categorieën Persoonsgegevens: De Verwerkingsverantwoordelijke kan Persoonsgegevens aan de Diensten verstrekken, waarvan de omvang door de Verwerkingsverantwoordelijke wordt bepaald en beheerst. De Persoonsgegevens omvatten onder meer (maar niet beperkt tot):
|
| Gevoelige gegevens: | Er worden geen gevoelige gegevens verwerkt of doorgegeven en dergelijke gegevens mogen niet voorkomen in de inhoud van e-mails of in bijlagen. |
| De frequentie van de verwerking en doorgifte (bijv. of de gegevens eenmalig of doorlopend worden doorgegeven): | Doorlopend gedurende de looptijd van de Overeenkomst. |
| Aard van de verwerking: | Verwerkingshandelingen omvatten onder meer (maar niet beperkt tot):
|
| Doel(en) van de doorgifte en verdere verwerking: | Persoonsgegevens worden doorgegeven aan onderaannemers die een deel van de Persoonsgegevens moeten verwerken om hun diensten aan de Verwerker te kunnen leveren als onderdeel van de Diensten die de Verwerker aan de Verwerkingsverantwoordelijke levert. |
| De periode gedurende welke de Persoonsgegevens worden bewaard, of, als dat niet mogelijk is, de criteria om die periode te bepalen: | Tenzij schriftelijk anders overeengekomen: gedurende de looptijd van de Overeenkomst, met inachtneming van clausule 14 van de DPA. |
| Voor doorgiften aan (Sub-)verwerkers: specificeer ook het onderwerp, de aard en de duur van de verwerking: | De lijst van Subverwerkers die is gepubliceerd op: https://multiply.cloud/en/sub-processor-list/ vermeldt welke Persoonsgegevens door elke Subverwerker worden verwerkt en welke diensten door elke Subverwerker worden geleverd. |
| Identificeer de bevoegde toezichthoudende autoriteit(en) (bijv. overeenkomstig Clausule 13 van de SCC’s) | Waar de EU AVG van toepassing is: de Ierse gegevensbeschermingsautoriteit – Data Protection Commission (DPC). Waar de UK GDPR van toepassing is: de UK Information Commissioner’s Office (ICO). Waar de FADP van toepassing is: de Swiss Federal Data Protection and Information Commissioner (FDPIC). |
Bijlage B
Technische en Organisatorische Beveiligingsmaatregelen
(Inclusief technische en organisatorische maatregelen om de beveiliging van gegevens te waarborgen)
Hieronder volgt een beschrijving van de technische en organisatorische maatregelen die door de Verwerker zijn geïmplementeerd (inclusief relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, omvang, context en het doel van de verwerking, en de risico’s voor de rechten en vrijheden van natuurlijke personen.
Waar van toepassing dient deze Bijlage B als Bijlage II bij de SCC’s.
| Maatregel | Beschrijving |
| Maatregelen voor pseudonimisering en encryptie van Persoonsgegevens | Voor het doel van doorgiftecontrole wordt encryptietechnologie gebruikt. De geschiktheid van een encryptietechnologie wordt afgemeten aan het beschermingsdoel. De gearchiveerde gegevens van de Verwerkingsverantwoordelijke worden versleuteld opgeslagen (at rest) met AES256-bit-encryptie. Gegevens tijdens transport (in transit) worden beschermd door Transport Layer Security (“TLS”). |
| Maatregelen om voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen | Toegang tot gegevens die noodzakelijk zijn voor het uitvoeren van de betreffende taak wordt binnen systemen en applicaties gewaarborgd via een passend rollen- en autorisatieconcept. Conform de principes “least privilege” en “need-to-know” heeft elke rol uitsluitend de rechten die noodzakelijk zijn voor het uitvoeren van de taak door de betreffende persoon. Om toegangscontrole tot gegevens te handhaven, wordt state-of-the-art encryptietechnologie toegepast op de Persoonsgegevens zelf wanneer dit passend wordt geacht om, op basis van risico, gevoelige gegevens te beschermen. |
| Processen voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen | De Verwerker voert meerdere interne audits uit. De Verwerker streeft ernaar audits te automatiseren; daarom is het merendeel van de monitoring van zijn infrastructuur geautomatiseerd, draait deze 24/7 en is deze gebaseerd op diverse frameworks (CIS, NEST etc.). De Verwerker laat eenmaal per kalenderjaar een externe audit uitvoeren op het gebied van security en compliance. |
| Maatregelen voor gebruikersidentificatie en autorisatie | Remote toegang tot de gegevensverwerkingssystemen is uitsluitend mogelijk via de beveiligde VPN-tunnel van de Verwerker. Nadat gebruikers zich eerst authenticeren op de beveiligde VPN-tunnel, wordt na succesvolle authenticatie autorisatie uitgevoerd door het verstrekken van een unieke gebruikersnaam en wachtwoord aan een gecentraliseerde directoryservice. Alle toegangspogingen, zowel geslaagd als mislukt, worden gelogd en gemonitord. |
| Maatregelen voor bescherming van gegevens tijdens transmissie | Gegevens tijdens transport (in transit) worden beschermd door Transport Layer Security (“TLS”). |
| Maatregelen voor bescherming van gegevens tijdens opslag | Persoonsgegevens worden uitsluitend intern bewaard en op servers van datacenters van derden. De gearchiveerde gegevens van de Verwerkingsverantwoordelijke worden versleuteld opgeslagen (at rest) met encryptie en gegevens tijdens transport (in transit) worden beschermd door Transport Layer Security (“TLS”). |
| Maatregelen voor interne IT- en IT-security governance en management | Medewerkers krijgen instructies om Persoonsgegevens uitsluitend te verzamelen, verwerken en gebruiken binnen het kader en voor de doeleinden van hun werkzaamheden (bijv. dienstverlening). Op technisch niveau omvat multi-client-capaciteit zowel scheiding van functies als passende scheiding tussen test- en productiesystemen. De Persoonsgegevens van de Verwerkingsverantwoordelijke worden zodanig opgeslagen dat deze logisch gescheiden zijn van gegevens van andere klanten. |
| Maatregelen om dataminimalisatie te waarborgen | Wanneer Persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verwerkt, worden zij onverwijld verwijderd. Hierbij geldt dat bij elke verwijdering de Persoonsgegevens in eerste instantie worden vergrendeld en vervolgens na een bepaalde vertraging definitief worden verwijderd. Dit gebeurt om accidentele verwijderingen of mogelijke opzettelijke schade te voorkomen. |
| Maatregelen om datakwaliteit te waarborgen | Alle gegevens waarover de Verwerker beschikt, worden door de Verwerkingsverantwoordelijke verstrekt. De Verwerker beoordeelt de kwaliteit van de door de Verwerkingsverantwoordelijke aangeleverde gegevens niet. De Verwerker biedt rapportagetools binnen ons product om de Verwerkingsverantwoordelijke te helpen de opgeslagen gegevens te begrijpen en te valideren. |
| Maatregelen om beperkte bewaartermijnen te waarborgen | De Verwerker hanteert een dataclassificatieschema voor alle gegevens die hij opslaat en ons bewaarbeleid specificeert hoe elk type gegevens wordt bewaard. Wanneer een record met Persoonsgegevens wordt verwijderd, wordt dit permanent verwijderd uit onze actieve databases. De gegevens blijven in onze back-ups bewaard totdat zij volgens het bewaarbeleid worden vervangen (geroteerd) door recentere back-ups. |
| Maatregelen om accountability te waarborgen | De Verwerker beoordeelt intern halfjaarlijks zijn informatiebeveiligingsbeleid om te waarborgen dat dit nog relevant is en wordt nageleefd. Alle medewerkers die met gevoelige gegevens omgaan, moeten het informatiebeveiligingsbeleid erkennen. Deze medewerkers krijgen eenmaal per jaar hertraining op het informatiebeveiligingsbeleid. Er is een disciplinaire regeling voor medewerkers die het informatiebeveiligingsbeleid niet naleven. |
| Maatregelen die door de (Sub-)verwerker moeten worden genomen om de Verwerkingsverantwoordelijke te kunnen ondersteunen (en, bij doorgiften van een Verwerker naar een Subverwerker, de Data Exporter). | Doorgifte van Persoonsgegevens aan een derde (bijv. klanten, onderaannemers, service providers) vindt uitsluitend plaats als er een overeenkomst bestaat en uitsluitend voor de specifieke doeleinden. Indien Persoonsgegevens buiten de EER worden doorgegeven, waarborgt de Verwerker dat op de doellocatie of bij de doelorganisatie een passend niveau van gegevensbescherming bestaat overeenkomstig de gegevensbeschermingsvereisten van de Europese Unie, bijvoorbeeld door gebruik te maken van overeenkomsten op basis van de EU SCC’s. |
Bijlage C
Addendum voor internationale doorgifte van gegevens bij de EU-modelcontractbepalingen van de Europese Commissie
VERSIE B1.0, van kracht vanaf 21 maart 2022
Dit Addendum is uitgegeven door de Information Commissioner voor partijen die Beperkte doorgiften verrichten. De Information Commissioner is van oordeel dat dit Addendum passende waarborgen biedt voor Beperkte doorgiften wanneer het wordt aangegaan als juridisch bindende overeenkomst.
Deel 1: Tabellen
Tabel 1: Partijen
| Startdatum | De datum die is opgenomen in Bijlage I van de goedgekeurde EU SCC’s. | - |
| De partijen | Exporteur (die de Beperkte doorgifte verzendt) | Importeur (die de Beperkte doorgifte ontvangt) |
| Gegevens van de partijen | Volledige juridische naam:. Hoofdadres: Officieel registratienummer (indien aanwezig) (ondernemingsnummer of vergelijkbare identificator): | Volledige juridische naam: Hoofdadres: Officieel registratienummer (indien aanwezig) (ondernemingsnummer of vergelijkbare identificator): |
| Hoofdcontact | Volledige naam (optioneel): Functietitel: Contactgegevens inclusief e-mail: | Volledige naam (optioneel): Functietitel: Contactgegevens inclusief e-mail: |
| Handtekening (indien vereist voor de toepassing van Section 2) | - | - |
Tabel 2: Geselecteerde SCC’s, modules en geselecteerde clausules
| Addendum EU SCC’s | de goedgekeurde EU SCC’s, inclusief de Appendix Information en met uitsluitend de volgende modules, clausules of optionele bepalingen van de goedgekeurde EU SCC’s die voor de doeleinden van dit Addendum van kracht worden: | ||||
| Module | Actieve module | Clausule 11 (Optie) | Clausule 9a Algemene autorisatie | Clausule 9a (Termijn) | Worden door de Importeur ontvangen persoonsgegevens gecombineerd met persoonsgegevens die door de Exporteur zijn verzameld? |
| 1 | false | niet gebruikt | - | - | - |
| 2 | true | niet gebruikt | true | 30 dagen | - |
| 3 | true | niet gebruikt | true | 30 dagen | - |
| 4 | ja/nee | niet gebruikt | - | - | ja/nee |
Tabel 3: Appendix Information
“Appendix Information” betekent de informatie die voor de geselecteerde modules moet worden verstrekt zoals opgenomen in de Appendix van de goedgekeurde EU SCC’s (anders dan de partijen), en die voor dit Addendum is opgenomen in:
| Bijlage 1A: Lijst van Partijen: Zoals opgenomen in Bijlage I van de goedgekeurde EU SCC’s |
| Bijlage 1B: Beschrijving van de Doorgifte: Zoals opgenomen in Bijlage I van de goedgekeurde EU SCC’s |
| Bijlage II: Technische en organisatorische maatregelen, inclusief technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen: Zoals opgenomen in Bijlage II van de goedgekeurde EU SCC’s |
Tabel 4: Dit Addendum beëindigen wanneer het goedgekeurde Addendum wijzigt
| Dit Addendum beëindigen wanneer het goedgekeurde Addendum wijzigt | Welke partijen dit Addendum mogen beëindigen zoals opgenomen in Section 19: Importeur Exporteur |
Deel 2: Verplichte Clausules
Dit Addendum aangaan
Interpretatie van dit Addendum
| Addendum | Dit International Data Transfer Addendum, bestaande uit dit Addendum waarin de Addendum EU SCC’s zijn opgenomen. |
| Addendum EU SCC’s | De versie(s) van de goedgekeurde EU SCC’s waarbij dit Addendum is gevoegd, zoals opgenomen in Tabel 2, inclusief de Appendix Information. |
| Appendix Information | Zoals opgenomen in Tabel 3. |
| Passende Waarborgen | De beschermingsstandaard voor de persoonsgegevens en voor de rechten van betrokkenen, die door de UK Data Protection Laws is vereist wanneer u een Beperkte doorgifte verricht en daarbij vertrouwt op standaardbepalingen inzake gegevensbescherming onder Article 46(2)(d) UK GDPR. |
| Goedgekeurd Addendum | Het sjabloon-Addendum dat is uitgegeven door de ICO en overeenkomstig s119A van de Data Protection Act 2018 op 2 februari 2022 aan het parlement is voorgelegd, zoals dit wordt herzien onder Section 18. |
| Goedgekeurde EU SCC’s | De Standard Contractual Clauses zoals opgenomen in de Bijlage bij Commission Implementing Decision (EU) 2021/914 van 4 juni 2021. |
| ICO | De Information Commissioner. |
| Beperkte doorgifte | Een doorgifte waarop Hoofdstuk V van de UK GDPR van toepassing is. |
| VK | Het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland. |
| UK Data Protection Laws | Alle wetten met betrekking tot gegevensbescherming, de verwerking van persoonsgegevens, privacy en/of elektronische communicatie die van tijd tot tijd in het VK van kracht zijn, waaronder de UK GDPR en de Data Protection Act 2018. |
| UK GDPR | Zoals gedefinieerd in section 3 van de Data Protection Act 2018. |
4. Dit Addendum moet altijd worden uitgelegd op een wijze die in overeenstemming is met de UK Data Protection Laws en zodat het voldoet aan de verplichting van partijen om de Passende Waarborgen te bieden.
Indien de bepalingen die zijn opgenomen in de Addendum EU SCC’s de goedgekeurde SCC’s wijzigen op een wijze die niet is toegestaan onder de goedgekeurde EU SCC’s of het Goedgekeurde Addendum, worden dergelijke wijziging(en) niet opgenomen in dit Addendum en treden de equivalente bepalingen van de goedgekeurde EU SCC’s in de plaats daarvan.
Indien er sprake is van enige inconsistentie of strijd tussen de UK Data Protection Laws en dit Addendum, zijn de UK Data Protection Laws van toepassing.
Indien de betekenis van dit Addendum onduidelijk is of er meer dan één betekenis mogelijk is, geldt de betekenis die het meest aansluit bij de UK Data Protection Laws.
Verwijzingen naar wetgeving (of specifieke bepalingen van wetgeving) betekenen die wetgeving (of die specifieke bepaling) zoals deze in de loop der tijd kan veranderen. Dit omvat situaties waarin die wetgeving (of die specifieke bepaling) na het aangaan van dit Addendum is geconsolideerd, opnieuw is vastgesteld en/of is vervangen.
Hiërarchie
Hoewel Clausule 5 van de goedgekeurde EU SCC’s bepaalt dat de goedgekeurde EU SCC’s prevaleren boven alle gerelateerde overeenkomsten tussen partijen, komen partijen overeen dat voor Beperkte doorgiften de hiërarchie in Section 10 prevaleert.
Indien er sprake is van enige inconsistentie of strijd tussen het Goedgekeurde Addendum en de Addendum EU SCC’s (waar van toepassing), prevaleert het Goedgekeurde Addendum boven de Addendum EU SCC’s, behalve wanneer (en voor zover) de inconsistente of conflicterende voorwaarden van de Addendum EU SCC’s een hogere bescherming bieden aan betrokkenen; in dat geval prevaleren die voorwaarden boven het Goedgekeurde Addendum.
Waar dit Addendum Addendum EU SCC’s omvat die zijn aangegaan ter bescherming van doorgiften waarop de Algemene Verordening Gegevensbescherming (EU) 2016/679 van toepassing is, erkennen partijen dat niets in dit Addendum die Addendum EU SCC’s beïnvloedt.
Opname van en wijzigingen in de EU SCC’s
a. zij samen functioneren voor doorgiften die door de data-exporteur aan de data-importeur worden gedaan, voor zover de UK Data Protection Laws van toepassing zijn op de verwerking door de data-exporteur bij het verrichten van die doorgifte, en zij Passende Waarborgen bieden voor die doorgiften;
b. Sections 9 tot 11 Clausule 5 (Hiërarchie) van de Addendum EU SCC’s overrulen; en
c. dit Addendum (inclusief de Addendum EU SCC’s die daarin zijn opgenomen) (1) wordt beheerst door het recht van Engeland en Wales en (2) geschillen daaruit worden beslecht door de rechtbanken van Engeland en Wales, in beide gevallen tenzij het recht en/of de rechtbanken van Schotland of Noord-Ierland uitdrukkelijk door partijen zijn gekozen.
Tenzij partijen alternatieve wijzigingen zijn overeengekomen die voldoen aan de vereisten van Section 12, zijn de bepalingen van Section 15 van toepassing.
Er mogen geen wijzigingen in de goedgekeurde EU SCC’s worden aangebracht anders dan om te voldoen aan de vereisten van Section 12.
De volgende wijzigingen in de Addendum EU SCC’s (voor de doeleinden van Section 12) worden aangebracht:
a. Verwijzingen naar de “Clauses” betekenen dit Addendum, inclusief de Addendum EU SCC’s;
b. In Clausule 2 worden de woorden verwijderd:
“and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679”;
c. Clausule 6 (Description of the transfer(s)) wordt vervangen door:
“The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter’s processing when making that transfer.”;
d. Clausule 8.7(i) van Module 1 wordt vervangen door:
“it is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer”;
e. Clausule 8.8(i) van Modules 2 en 3 wordt vervangen door:
“the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;”
f. Verwijzingen naar “Regulation (EU) 2016/679”, “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” en “that Regulation” worden allemaal vervangen door “UK Data Protection Laws”. Verwijzingen naar specifieke Article(s) van “Regulation (EU) 2016/679” worden vervangen door het equivalente artikel of de equivalente sectie van de UK Data Protection Laws;
g. Verwijzingen naar Regulation (EU) 2018/1725 worden verwijderd;
h. Verwijzingen naar de “European Union”, “Union”, “EU”, “EU Member State”, “Member State” en “EU or Member State” worden allemaal vervangen door “UK”;
i. De verwijzing naar “Clause 12(c)(i)” in Clause 10(b)(i) van Module one wordt vervangen door “Clause 11(c)(i)”;
j. Clause 13(a) en Part C van Annex I worden niet gebruikt;
k. “competent supervisory authority” en “supervisory authority” worden beide vervangen door “Information Commissioner”;
l. In Clause 16(e) wordt subsectie (i) vervangen door:
“the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;”;
m. Clause 17 wordt vervangen door:
“These Clauses are governed by the laws of England and Wales.”;
n. Clause 18 wordt vervangen door:
“Any dispute arising from these Clauses shall be resolved by the courts of England and Wales. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of any country in the UK. The Parties agree to submit themselves to the jurisdiction of such courts.”; en
o. De voetnoten bij de goedgekeurde EU SCC’s maken geen deel uit van het Addendum, met uitzondering van voetnoten 8, 9, 10 en 11.
Wijzigingen van dit Addendum
Partijen kunnen overeenkomen om Clauses 17 en/of 18 van de Addendum EU SCC’s te wijzigen zodat zij verwijzen naar het recht en/of de rechtbanken van Schotland of Noord-Ierland.
Indien partijen het format van de informatie in Deel 1: Tabellen van het Goedgekeurde Addendum willen wijzigen, kunnen zij dit doen door de wijziging schriftelijk overeen te komen, mits de wijziging de Passende Waarborgen niet vermindert.
Van tijd tot tijd kan de ICO een herziene versie van het Goedgekeurde Addendum uitgeven die:
a. redelijke en proportionele wijzigingen aanbrengt in het Goedgekeurde Addendum, waaronder het corrigeren van fouten; en/of
b. wijzigingen in de UK Data Protection Laws weerspiegelt. De herziene versie van het Goedgekeurde Addendum zal de startdatum vermelden waarop de wijzigingen van kracht zijn en of partijen dit Addendum inclusief de Appendix Information moeten herzien. Dit Addendum wordt automatisch gewijzigd zoals opgenomen in het herziene Goedgekeurde Addendum vanaf de daarin genoemde startdatum.
a. haar directe kosten voor het nakomen van haar verplichtingen onder het Addendum; en/of
b. haar risico onder het Addendum,
en zij in beide gevallen eerst redelijke stappen heeft genomen om die kosten of risico’s te beperken zodat deze niet substantieel en disproportioneel zijn, dan mag die partij dit Addendum beëindigen aan het einde van een redelijke opzegtermijn door de andere partij vóór de startdatum van het herziene Goedgekeurde Addendum schriftelijk voor die termijn in kennis te stellen.
Wauw! Multiply heeft
het aantal Buy Box-wins verhoogd naar 80%, de verkoop met 32% verhoogd en de winst verhoogd waar we geen concurrentie hebben. Proefperiode voorbij, nu volledig aangemeld. Hartelijk dank!
Ga in slechts een paar klikken aan de slag!
Ontgrendel de tools die u nodig heeft