Bijlage gegevensverwerking

 

Deze Bijlage maakt integraal deel uit van het Contract en wordt aangegaan door:

 

1. (i) De Klant ("Gegevensexporteur")
2. (ii) IQUALIF ("Gegevensimporteur")

 

Elk zijnde een "Partij" en gezamenlijk "Partijen".

 

Inleiding

WAAR de Gegevensimporteur professionele softwarediensten, computer- en aanverwante diensten levert (zoals browsers met geavanceerde zoekfuncties);

WAAR krachtens het Contract de Gegevensimporteur heeft ingestemd met het leveren van de in het Contract gespecificeerde diensten aan de Gegevensexporteur (de "Diensten");

WAAR, door het leveren van de Diensten, de Gegevensimporteur toegang krijgt tot of profiteert van toegang tot de informatie van de Gegevensexporteur of de informatie van andere personen die een (potentiële) relatie met de Gegevensexporteur hebben, dergelijke informatie kan worden gekwalificeerd als persoonsgegevens in de zin van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 ter bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van die gegevens ("AVG") en andere toepasselijke gegevensbeschermingswetten.

WAAR deze Bijlage de voorwaarden bevat die van toepassing zijn op het verzamelen, verwerken en gebruiken van dergelijke persoonsgegevens door de Gegevensimporteur in zijn hoedanigheid als de gemachtigde gegevensverwerker van de Gegevensexporteur, om ervoor te zorgen dat de Partijen voldoen aan de toepasselijke gegevensbeschermingswetgeving.

 

DAAROM, en om de Partijen in staat te stellen hun relatie op wettelijke wijze voort te zetten, hebben de Partijen deze Bijlage als volgt gesloten:

Deel 1

 

1. Structuur van het document en definities

1.1 Structuur

Deze Bijlage bestaat uit verschillende delen als volgt:

 

Deel 1:	bevat algemene bepalingen, bijvoorbeeld met betrekking tot de in deze Bijlage gebruikte definities, naleving van lokale wetten, timing en beëindiging
Deel 2:	bevat de ongewijzigde tekst van het document met de Standaard Contractuele Clausules
Bijlage 1.1 van Deel 2:	bevat de details van de verwerkingsactiviteiten die door de Gegevensimporteur aan de Gegevensexporteur worden geleverd als de gemachtigde gegevensverwerker (inclusief de verwerking, aard en doel van de verwerking, het type persoonsgegevens en de categorieën van betrokkenen) onder deze Bijlage
Bijlage 2 van Deel 2:	bevat een beschrijving van de technische en organisatorische beveiligingsmaatregelen van de Gegevensimporteur, die worden toegepast in verband met alle verwerkingsactiviteiten beschreven in Bijlage 1.1 van Deel 2
Deel 3:	bevat de handtekeningen van de Partijen die gebonden zijn aan deze Bijlage en identificeert elke Gegevensimporteur

 

1.2 Terminologie en definities

Voor de doeleinden van deze Bijlage zijn de terminologie en definities gebruikt door de AVG van toepassing (In de tekst van het document met de Standaard Contractuele Clausules in Deel 2, waar gedefinieerde termen niet met hoofdletters worden geschreven). 

 

"Lidstaat"	betekent een land dat behoort tot de Europese Unie of de Europese Economische Ruimte
"Bijzondere categorieën van (persoons)gegevens"	verwijst naar persoonsgegevens die ras of etnische afkomst onthullen, politieke opvattingen, religieuze of filosofische overtuigingen, of lidmaatschap van een vakbond, en genetische gegevens, biometrische gegevens, indien verwerkt met het doel een persoon uniek te identificeren, gegevens betreffende gezondheid, gegevens betreffende het seksleven of de seksuele geaardheid van een persoon
"Standaard Contractuele Clausules"	betekent de Standaard Contractuele Clausules voor het overdragen van persoonsgegevens van verwerkingsverantwoordelijken gevestigd in derde landen, krachtens Commissiebesluit 2010/87/EU van 5 februari 2010, dat is gewijzigd door het Uitvoeringsbesluit van de Commissie (EU) 2016/2297 van 16 december 2016
“Gegevensverwerker”	betekent elke verwerker, gevestigd binnen of buiten de EU/EER, die ermee instemt persoonsgegevens te ontvangen van de Gegevensimporteur of een andere verwerker van de Gegevensimporteur, uitsluitend voor de verwerking die door de Gegevensexporteur moet worden uitgevoerd na de overdracht in overeenstemming met de instructies van de Gegevensexporteur, de voorwaarden van deze Bijlage en het Contract met de Gegevensimporteur

 

 

2. Verplichtingen van de Gegevensexporteur

2.1 De Gegevensexporteur is verplicht te zorgen voor naleving van alle toepasselijke verplichtingen onder de AVG en andere toepasselijke gegevensbeschermingswetgeving die op de Gegevensexporteur van toepassing is en om deze naleving aan te tonen zoals vereist door artikel 5 (2) van de AVG. De Gegevensexporteur garandeert dat de Gegevensimporteur de voorafgaande toestemming van de betrokkenen heeft verkregen in overeenstemming met artikel 6 (a) van de AVG en heeft voldaan aan zijn verplichting om de betrokkenen te informeren in overeenstemming met artikel 13 en 14 van de AVG.

2.2 De Gegevensexporteur moet de Gegevensimporteur voorzien van de respectieve bestanden van de verwerkingsactiviteiten in overeenstemming met artikel 30 (1) van de AVG met betrekking tot de Diensten onder deze Bijlage, voor zover nodig voor de Gegevensimporteur om te voldoen aan de verplichting onder artikel 30 (2) van de AVG.

2.3 De Gegevensexporteur moet een functionaris voor gegevensbescherming of vertegenwoordiger aanstellen voor zover vereist door toepasselijke gegevensbeschermingswetgeving. De Gegevensexporteur is verplicht de contactgegevens van de functionaris voor gegevensbescherming of vertegenwoordiger, indien aanwezig, aan de Gegevensimporteur te verstrekken.

2.4. De Gegevensexporteur bevestigt voorafgaand aan de voltooiing van de verwerking, door acceptatie van deze Bijlage, dat de technische en organisatorische beveiligingsmaatregelen van de Gegevensimporteur, zoals uiteengezet in Bijlage 2 bij Deel 2, passend en voldoende zijn om de rechten van de betrokkene te beschermen en bevestigt dat de Gegevensimporteur voldoende waarborgen biedt in dit opzicht.

 

3. Naleving van lokale wetgeving

Om te voldoen aan de vereisten van de implementatie van de verwerkers volgens artikel 28 van de AVG, zijn de volgende wijzigingen van toepassing:

 

3.1 Instructies

1. (i) De Gegevensexporteur geeft de Gegevensimporteur de opdracht persoonsgegevens alleen namens de Gegevensexporteur te verwerken. De instructies van de Gegevensexporteur zijn opgenomen in deze Bijlage en in het Contract. De Gegevensexporteur is verplicht ervoor te zorgen dat alle aan de Gegevensimporteur gegeven instructies voldoen aan de toepasselijke gegevensbeschermingswetten. De Gegevensimporteur mag persoonsgegevens alleen verwerken in overeenstemming met de door de Gegevensexporteur gegeven instructies, tenzij anders vereist door de Europese Unie of de wet van de Lidstaat (in dat laatste geval is Deel 1 Clausule 3.2 (iv) (c) van toepassing).
2. (ii) Alle andere instructies die verder gaan dan de instructies in deze Bijlage of in het Contract moeten worden opgenomen in het onderwerp van deze Bijlage en het Contract. Indien de uitvoering van deze aanvullende instructie kosten met zich meebrengt voor de Gegevensimporteur, zal de Gegevensimporteur de Gegevensexporteur informeren over deze kosten en een uitleg geven voordat de instructie wordt uitgevoerd. Pas nadat de Gegevensexporteur de acceptatie van deze kosten voor de uitvoering van de instructie heeft bevestigd, zal de Gegevensimporteur deze aanvullende instructie uitvoeren. De Gegevensexporteur moet aanvullende instructies schriftelijk geven, tenzij urgentie of andere specifieke omstandigheden een andere vorm vereisen (bijv. mondeling, elektronisch). Instructies in een andere vorm dan schriftelijk moeten zonder vertraging schriftelijk worden bevestigd door de Gegevensexporteur.
3. 1. Tenzij de Gegevensexporteur zelf de correctie, verwijdering of beperking van persoonsgegevens niet kan uitvoeren, kunnen de instructies ook betrekking hebben op de correctie, verwijdering en/of beperking van persoonsgegevens zoals uiteengezet in Deel 1 Clausule 3.3.
4. 2. De Gegevensimporteur moet de Gegevensexporteur onmiddellijk informeren als hij van mening is dat een Instructie in strijd is met de AVG of andere toepasselijke gegevensbeschermingsbepalingen van de Europese Unie of een Lidstaat ("Betwiste Instructie"). Indien de Gegevensimporteur van mening is dat een Instructie in strijd is met de AVG of andere toepasselijke gegevensbeschermingsbepalingen van de Europese Unie of een Lidstaat, is de Gegevensimporteur niet verplicht de Betwiste Instructie op te volgen. Indien de Gegevensexporteur de Betwiste Instructie bevestigt na ontvangst van informatie van de Gegevensimporteur en zijn verantwoordelijkheid voor de Betwiste Instructie erkent, zal de Gegevensimporteur de Betwiste Instructie uitvoeren, tenzij de Betwiste Instructie betrekking heeft op (i) de uitvoering van technische en organisatorische maatregelen, (ii) de rechten van de Betrokkenen of (iii) het inschakelen van Gegevensverwerkers. In de gevallen (i) tot (iii) kan de Gegevensimporteur contact opnemen met een bevoegde toezichthoudende autoriteit om de betwiste Instructie juridisch te laten beoordelen door deze autoriteit. Indien de toezichthoudende autoriteit de betwiste Instructie als legaal verklaart, zal de Gegevensimporteur de betwiste Instructie uitvoeren. Deel 1 Clausule 3.1 (ii) blijft van toepassing.

 

3.2 Verplichtingen van de Gegevensimporteur

1. (i) De Gegevensimporteur moet ervoor zorgen dat personen die door de Gegevensimporteur zijn gemachtigd om persoonsgegevens namens de Gegevensexporteur te verwerken, in het bijzonder werknemers van de Gegevensimporteur en werknemers van eventuele onderaannemers, zich hebben verbonden tot geheimhouding of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, en dat dergelijke personen die toegang hebben tot persoonsgegevens deze verwerken in overeenstemming met de instructies van de Gegevensexporteur.
2. (ii) De Gegevensimporteur moet de technische en organisatorische beveiligingsmaatregelen zoals uiteengezet in Bijlage 2 bij Deel 2 implementeren voordat hij persoonsgegevens namens de Gegevensexporteur verwerkt. De Gegevensimporteur mag de technische en organisatorische beveiligingsmaatregelen van tijd tot tijd wijzigen, mits deze niet minder bescherming bieden dan die in Bijlage 2 bij Deel 2 zijn vastgelegd.
3. (iii) De Gegevensimporteur zal op verzoek van de Gegevensexporteur informatie verstrekken om aan te tonen dat hij voldoet aan zijn verplichtingen onder deze Bijlage. De Partijen komen overeen dat aan deze informatieplicht wordt voldaan door de Gegevensexporteur een auditrapport te verstrekken (dat de beveiliging van principes, systeem beschikbaarheid en vertrouwelijkheid omvat) ("Auditrapport"). Indien aanvullende auditactiviteiten wettelijk vereist zijn, kan de Gegevensexporteur verzoeken dat inspecties worden uitgevoerd door de Gegevensexporteur zelf of een andere auditor die door de Gegevensexporteur is aangesteld, onder voorwaarde dat deze auditor een geheimhoudingsovereenkomst met de Gegevensimporteur ondertekent tot redelijke tevredenheid van de Gegevensimporteur ("Audit"). Deze Audit is onderworpen aan de volgende voorwaarden: (i) de voorafgaande formele schriftelijke toestemming van de Gegevensimporteur; en (ii) de Gegevensexporteur draagt alle kosten met betrekking tot de On-Site Audit voor de Gegevensexporteur en de Gegevensimporteur. De Gegevensexporteur moet een auditrapport opstellen waarin de resultaten en bevindingen van de On-Site Audit worden samengevat ("On-Site Auditrapport"). De On-Site Auditrapporten en de Auditrapporten zijn vertrouwelijke informatie van de Gegevensimporteur en mogen niet aan derden worden bekendgemaakt, tenzij vereist door toepasselijke gegevensbeschermingswetgeving of met toestemming van de Gegevensimporteur.
4. (iv) De Gegevensimporteur is verplicht de Gegevensexporteur onverwijld te informeren:
   1. a. over elke wettelijk bindende verzoek tot openbaarmaking van persoonsgegevens door een wetshandhavingsinstantie, tenzij anders verboden, zoals een verbod op grond van het strafrecht ter bescherming van de vertrouwelijkheid van een politieonderzoek
   2. b. over elke klacht en verzoek rechtstreeks ontvangen van een betrokkene (bijv. met betrekking tot toegang, rectificatie, verwijdering, beperking van verwerking, gegevensoverdraagbaarheid, bezwaar tegen gegevensverwerking, geautomatiseerde besluitvorming) zonder op dat verzoek te reageren, tenzij de Gegevensimporteur daartoe gemachtigd is
   3. c. indien de Gegevensimporteur of Gegevensverwerker verplicht is, krachtens de wet van de Europese Unie of van de Lidstaat waaraan de Gegevensimporteur of Gegevensverwerker is onderworpen, persoonsgegevens te verwerken buiten de instructies van de Gegevensexporteur, voordat hij deze verwerking buiten de instructies uitvoert, tenzij wetten van de Europese Unie of van de Lidstaat een dergelijke verwerking verbieden op grond van dwingende redenen van algemeen belang, in welk geval de kennisgeving aan de Gegevensexporteur de wettelijke vereiste krachtens die wet van de Europese Unie of van de Lidstaat zal specificeren; of
   4. d. indien de Gegevensimporteur een inbreuk op persoonsgegevens constateert, uitsluitend door zichzelf of zijn onderaannemer, die de persoonsgegevens van de Gegevensexporteur die onder dit contract vallen zou beïnvloeden, in welk geval de Gegevensimporteur de Gegevensexporteur zal bijstaan in zijn verplichting, jegens de toepasselijke gegevensbeschermingswetgeving, om de betrokkenen en, indien van toepassing, de toezichthoudende autoriteiten te informeren door de informatie die hij ter beschikking heeft te verstrekken, in overeenstemming met artikel 33 (3) van de AVG.
   5. (v) Op verzoek van de Gegevensexporteur zal de Gegevensimporteur de Gegevensexporteur verplichten te assisteren bij zijn verplichting om een gegevensbeschermingseffectbeoordeling uit te voeren die vereist kan zijn krachtens artikel 35 van de AVG en een voorafgaande raadpleging die vereist kan zijn krachtens artikel 36 van de AVG met betrekking tot de door de Gegevensimporteur aan de Gegevensexporteur geleverde diensten onder deze Bijlage, door de nodige informatie aan de Gegevensexporteur te verstrekken. De Gegevensimporteur is alleen verplicht deze hulp te verlenen indien de Gegevensexporteur zijn verplichting niet op andere wijze kan vervullen. De Gegevensimporteur zal de Gegevensexporteur informeren over de kosten van deze hulp. Zodra de Gegevensexporteur heeft bevestigd dat hij deze kosten kan dragen, zal de Gegevensimporteur deze hulp aan de Gegevensexporteur verlenen.
   6. (vi) Na beëindiging van de dienstverlening kan de Gegevensexporteur binnen een maand na de diensten verzoeken om teruggave van de persoonsgegevens die door de Gegevensimporteur onder deze Bijlage zijn verwerkt. Tenzij de wetgeving van de Lidstaat of van de Europese Unie de Gegevensimporteur verplicht dergelijke persoonsgegevens op te slaan of te bewaren, zal de Gegevensimporteur alle dergelijke persoonlijke of niet-persoonlijke gegevens na de periode van één maand verwijderen, ongeacht of deze op verzoek van de Gegevensexporteur zijn teruggegeven of niet.

 

3.3 Rechten van betrokkenen

1.  
   1. (i) De Gegevensexporteur beheert en beantwoordt verzoeken van betrokkenen. De Gegevensimporteur is niet verplicht rechtstreeks aan de betrokkenen te antwoorden.
   2. (ii) Indien de Gegevensexporteur de hulp van de Gegevensimporteur nodig heeft bij het verwerken en beantwoorden van verzoeken van de betrokkene, zal de Gegevensexporteur een verdere instructie geven in overeenstemming met Clausule 3.1 (ii) van Deel 1. De Gegevensimporteur zal de Gegevensexporteur assisteren met de volgende passende en technische organisatorische maatregelen om te reageren op verzoeken tot uitoefening van de rechten van betrokkenen zoals uiteengezet in Hoofdstuk III van de AVG als volgt:
   3. a. Met betrekking tot verzoeken om informatie zal de Gegevensimporteur de Gegevensexporteur alleen voorzien van de informatie die vereist is door artikel 13 en 14 van de AVG die hij ter beschikking heeft indien de Gegevensexporteur deze niet zelf kan vinden.
   4. b. Met betrekking tot verzoeken om toegang (artikel 15 van de AVG) zal de Gegevensimporteur de Gegevensexporteur alleen voorzien van de informatie die aan een betrokkene moet worden verstrekt voor het genoemde verzoek om toegang, die hij ter beschikking heeft indien laatstgenoemde deze niet zelf kan vinden.
   5. c. Met betrekking tot verzoeken om rectificatie (artikel 16 van de AVG), verzoeken om verwijdering (artikel 17 van de AVG), beperking van verzoeken tot verwerking (artikel 18 van de AVG), of verzoeken om overdraagbaarheid (artikel 20 van de AVG), en alleen indien de Gegevensexporteur zelf de persoonsgegevens niet kan corrigeren, verwijderen, beperken of overdragen aan een andere derde partij, zal de Gegevensimporteur de Gegevensexporteur de mogelijkheid bieden om de betreffende persoonsgegevens te corrigeren, verwijderen, beperken of over te dragen aan de andere derde partij, of indien dit niet mogelijk is, zal hij de assistentie verlenen om de betreffende persoonsgegevens te corrigeren, verwijderen, beperken of over te dragen aan de andere derde partij.
   6. d. Met betrekking tot de kennisgeving met betrekking tot rectificatie, verwijdering of beperking van verwerking (artikel 19 van de AVG), zal de Gegevensimporteur de Gegevensexporteur assisteren door alle ontvangers van persoonsgegevens die door de Gegevensimporteur als verwerkers zijn ingeschakeld te informeren indien de Gegevensexporteur dit verzoekt en indien de Gegevensexporteur de situatie niet zelf kan verhelpen.
   7. e. Met betrekking tot het recht van bezwaar uitgeoefend door een betrokkene (artikel 21 en 22 van de AVG) zal de Gegevensexporteur bepalen of het bezwaar legitiem is en hoe hiermee om te gaan.
   8. (iii) De assistentieverplichtingen van de Gegevensimporteur zijn beperkt tot persoonsgegevens die binnen zijn infrastructuur worden verwerkt (bijv. databases, systemen, applicaties die eigendom zijn van of worden geleverd door de Gegevensimporteur).
   9. (iv) De Gegevensexporteur zal bepalen of een betrokkene de rechten van betrokkenen zoals uiteengezet in Clausule 3.1 van dit Deel 1 kan uitoefenen en zal de Gegevensimporteur adviseren in hoeverre de in Clausules 3.3 (ii), (iii) van Deel 1 gespecificeerde assistentie noodzakelijk is.
   10. (v) Indien de Gegevensexporteur aanvullende of gewijzigde technische en organisatorische maatregelen verlangt om te voldoen aan de rechten van betrokkenen die verder gaan dan de assistentie die door de Gegevensimporteur wordt verleend onder Subclausule 3.3 (ii), (iii) van Deel 1, zal de Gegevensimporteur de Gegevensexporteur informeren over de kosten van het implementeren van dergelijke aanvullende of gewijzigde technische en organisatorische maatregelen. Zodra de Gegevensexporteur heeft bevestigd dat hij deze kosten kan dragen, zal de Gegevensimporteur dergelijke aanvullende of gewijzigde technische en organisatorische maatregelen implementeren om de Gegevensexporteur te helpen bij het reageren op de verzoeken van de betrokkenen.
   11. (vi) Zonder afbreuk te doen aan de reikwijdte van Clausule 3.3 (v) van Deel 1, is de Gegevensexporteur verplicht de Gegevensimporteur te vergoeden voor zijn redelijke kosten die worden gemaakt bij het reageren op verzoeken van betrokkenen.

 

3.4 Subverwerking

1.  
   1. (i) De Gegevensexporteur machtigt het gebruik van onderaannemers door de Gegevensimporteur voor het leveren van diensten onder deze Bijlage. De Gegevensimporteur zal dergelijke Gegevensverwerkers zorgvuldig selecteren. De Gegevensexporteur keurt de in Bijlage 1.1 aan het einde van Deel 2 vermelde Gegevensverwerkers goed.
   2. (ii) De Gegevensimporteur zal zijn verplichtingen onder deze Bijlage overdragen aan de Gegevensverwerker(s) voor zover van toepassing op de uitbestede diensten.
   3. (iii) De Gegevensimporteur kan naar eigen inzicht een andere geschikte en betrouwbare Gegevensverwerker ontslaan, vervangen of aanstellen. Indien schriftelijk verzocht door de Gegevensexporteur, moet de Gegevensimporteur de onderstaande procedure volgen:
2.  
   1. a. De Gegevensimporteur zal de Gegevensexporteur informeren over elke wijziging in de lijst van Gegevensverwerkers zoals vermeld in Clausule 3.4 (i) van Deel 1. Indien de Gegevensexporteur niet binnen dertig dagen na ontvangst van de kennisgeving van de Gegevensimporteur bezwaar maakt onder Clausule 3.4. (b) van Deel 1, worden de aanvullende Gegevensverwerkers geacht te zijn geaccepteerd.
   2. b. Indien de Gegevensexporteur een gegronde reden heeft om bezwaar te maken tegen een aanvullende Gegevensverwerker, zal hij de Gegevensimporteur binnen dertig dagen na ontvangst van de kennisgeving van de Gegevensimporteur en vóór de ingebruikname van de dienst van de Gegevensimporteur schriftelijk op de hoogte stellen. Indien de Gegevensexporteur bezwaar maakt tegen het gebruik van een aanvullende Gegevensverwerker, kan de Gegevensimporteur het bezwaar opheffen door een van de volgende opties te kiezen (naar eigen inzicht): (A) de Gegevensimporteur zal zijn plannen om een aanvullende verwerker te gebruiken met betrekking tot de persoonsgegevens van de Gegevensexporteur annuleren; (B) de Gegevensimporteur zal de door de Gegevensexporteur gevraagde corrigerende maatregelen nemen in zijn bezwaar (het bezwaar intrekken) en de aanvullende verwerker gebruiken met betrekking tot de persoonsgegevens van de Gegevensexporteur; (C) de Gegevensimporteur kan stoppen met het leveren of de Gegevensexporteur kan ermee instemmen om (tijdelijk of permanent) een bepaald aspect van de dienst niet te gebruiken dat het gebruik van de verdere verwerker van de Gegevensexporteur van de persoonsgegevens van de Gegevensexporteur zou inhouden.
3.  
   1. (iv) indien de Gegevensverwerker buiten de EU-EER is gevestigd in een land dat niet wordt erkend als het bieden van een adequaat beschermingsniveau van gegevensbescherming volgens een besluit van de Europese Commissie, zal de Gegevensimporteur maatregelen nemen om te voldoen aan een adequaat beschermingsniveau van gegevensbescherming in overeenstemming met de AVG (deze maatregelen kunnen onder andere het gebruik van gegevensverwerkingsovereenkomsten op basis van de clausules van het EU-model, overdracht aan zelfgecertificeerde Gegevensverwerkers in het kader van het EU-VS Privacy Shield of een soortgelijk programma omvatten).

 

3.5 Verloop

De afloopdatum van deze Bijlage is identiek aan de afloopdatum van het overeenkomstige Contract. Behoudens andersluidende bepalingen in deze Bijlage, zijn de rechten en plichten met betrekking tot beëindiging gelijk aan die in het Contract.

 

4. Beperking van aansprakelijkheid

4.1 Elke partij handelt haar verplichtingen onder deze Bijlage en de toepasselijke gegevensbeschermingswetgeving af.

4.2 Elke aansprakelijkheid met betrekking tot een schending van de verplichtingen onder deze Bijlage of toepasselijke gegevensbeschermingswetgeving is onderworpen aan en wordt beheerst door de aansprakelijkheidsbepalingen zoals opgenomen in of van toepassing op het Contract, tenzij anders bepaald in deze Bijlage. Indien de aansprakelijkheid wordt beheerst door de aansprakelijkheidsbepalingen zoals opgenomen in of van toepassing op het Contract, wordt voor het berekenen van aansprakelijkheidslimieten of het bepalen van de toepassing van andere aansprakelijkheidsbeperkingen elke aansprakelijkheid die voortvloeit uit deze Bijlage geacht voort te vloeien uit het Contract.

 

5. Algemene bepalingen

5.1 Indien er inconsistenties of tegenstrijdigheden zijn tussen Deel 1 en Deel 2 van deze Bijlage, prevaleert Deel 2. Specifiek blijft Deel 1, dat eenvoudigweg verder gaat dan Deel 2 (d.w.z. de voorwaarden van de Standaard clausules) zonder deze tegen te spreken, geldig.

5.2 Indien er een discrepantie ontstaat tussen de bepalingen van deze Bijlage en die van andere contracten die bindend zijn voor de partijen, prevaleert deze Bijlage met betrekking tot de gegevensbeschermingsverplichtingen van de partijen. Bij twijfel of clausules in andere contracten betrekking hebben op de gegevensbeschermingsverplichtingen van de partijen, prevaleert deze Bijlage.

5.3 Indien enige bepaling van deze Bijlage ongeldig of onafdwingbaar is, blijft de rest van deze Bijlage volledig van kracht. De ongeldige of onafdwingbare bepaling zal (i) worden gewijzigd om de geldigheid en afdwingbaarheid te waarborgen, terwijl zoveel mogelijk de bedoeling van de partijen wordt behouden, of - indien dit niet mogelijk is - (ii) worden geïnterpreteerd alsof het ongeldige of onafdwingbare deel nooit deel uitmaakte van het contract. Het voorgaande is ook van toepassing indien er een omissie in deze Bijlage is.

5.5 Voor zover nodig kunnen de Partijen wijzigingen verzoeken in Deel 1, Clausule 3 (Naleving van lokale wetgeving) of andere delen van de Bijlage om te voldoen aan interpretaties, richtlijnen of bevelen uitgegeven door de bevoegde autoriteiten van de Unie of de Lidstaten, nationale handhavingsbepalingen of andere juridische ontwikkelingen met betrekking tot de AVG of andere voorwaarden van delegatie aan entiteiten die betrokken zijn bij gegevensverwerking en specifiek met betrekking tot het gebruik van de Standaard Contractuele Clausules in de AVG. De voorwaarden van de Standaard Contractuele Clausules mogen niet worden gewijzigd of vervangen tenzij de Europese Commissie dit uitdrukkelijk goedkeurt (bijv. door nieuwe adequate clausules en gegevensbeschermingsnormen).

5.6 Elke verwijzing in deze Bijlage naar de "Clausules" wordt begrepen als verwijzend naar alle bepalingen van deze Bijlage, tenzij anders vermeld.

5.7 De rechtskeuze in Deel 2, Clausule 9 is van toepassing op het gehele Contract.

 

6. Persoonsgegevens die door de partijen voor persoonlijke doeleinden worden verzonden en verwerkt (overdracht van de verwerkingsverantwoordelijke aan de verwerkingsverantwoordelijke)

6.1 De Partijen zijn zich er volledig van bewust dat bepaalde persoonsgegevens worden overgedragen van de Gegevensexporteur aan de Gegevensimporteur en vice versa, en dat dergelijke gegevens door elke Partij voor eigen doeleinden worden verwerkt. Met betrekking tot dergelijke persoonsgegevens worden de overige bepalingen van deze Bijlage niet beïnvloed (behalve deze clausule 6).

6.2 De Gegevensexporteur kan persoonsgegevens met betrekking tot het personeel van de Gegevensimporteur overdragen aan de Gegevensimporteur, inclusief informatie over beveiligingsincidenten, of andere documenten of bestanden die door de Gegevensexporteur zijn gemaakt of opgesteld in verband met de door het personeel van de Gegevensimporteur geleverde Diensten. De Gegevensimporteur kan dergelijke persoonsgegevens voor eigen doeleinden verwerken, met name in zijn professionele relaties met het personeel van de Gegevensimporteur, voor kwaliteitscontrole en training, of voor zakelijke doeleinden.

6.3. De Gegevensimporteur kan persoonsgegevens overdragen aan de Gegevensexporteur, inclusief de naam en contactgegevens van het personeel van de Gegevensimporteur. De Gegevensexporteur kan dergelijke persoonsgegevens voor eigen doeleinden verwerken.

6.4 Beide partijen zullen voldoen aan alle toepasselijke gegevensbeschermingswetten, inclusief de AVG, bij het verzamelen, verwerken en gebruiken van dergelijke persoonsgegevens die van de andere partij zijn ontvangen onder clausule 1 van Deel 1. In het bijzonder zullen beide Partijen adequate beveiligingsmaatregelen nemen, die een vergelijkbaar beschermingsniveau bieden als de beveiligingsmaatregelen uiteengezet in Bijlage 2 van Deel 2. Elke toegang tot dergelijke persoonsgegevens zal beperkt zijn tot het noodzakelijke.

6.5 Beide Partijen moeten dergelijke persoonsgegevens zo spoedig mogelijk verwijderen nadat de doelstellingen zijn bereikt.

Deel 2

 

BESLUIT VAN DE COMMISSIE

van 5 februari 2010

over standaardcontractbepalingen voor de overdracht van persoonsgegevens aan verwerkers gevestigd in derde landen krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad

 

 

 

Clausule 1

Definities

In de zin van de clausules:

a) 'persoonsgegevens', 'bijzondere categorieën van gegevens', 'verwerking/verwerken', 'verantwoordelijke', 'verwerker', 'betrokkene' en 'toezichthoudende autoriteit' hebben dezelfde betekenis als in richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 ter bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (1);

b) de 'Gegevensexporteur' is de verwerkingsverantwoordelijke die de persoonsgegevens overdraagt;

c) de 'Gegevensimporteur' is de verwerker die ermee instemt persoonsgegevens te ontvangen van de Gegevensexporteur die bestemd zijn om namens de Gegevensexporteur te worden verwerkt na de overdracht in overeenstemming met zijn instructies en onder de voorwaarden van deze clausules en die niet onderworpen is aan het mechanisme van een derde land dat adequate bescherming biedt in de zin van artikel 25, lid 1, van richtlijn 95/46/EG; (d) 'Gegevensverwerker' betekent de verwerker die door de Gegevensimporteur of door een andere verwerker van de Gegevensimporteur is ingeschakeld en die ermee instemt persoonsgegevens uitsluitend te ontvangen voor verwerkingsactiviteiten die namens de Gegevensexporteur moeten worden uitgevoerd na de overdracht in overeenstemming met de instructies van de Gegevensexporteur, onder de voorwaarden van deze Clausules en onder de voorwaarden van het schriftelijke onderaannemingscontract voor gegevensverwerking;

e) "toepasselijke gegevensbeschermingswetgeving" betekent de wetgeving die de fundamentele rechten en vrijheden van natuurlijke personen beschermt, inclusief het recht op privacy met betrekking tot de verwerking van persoonsgegevens, en van toepassing is op een verantwoordelijke in de Lidstaat waar de Gegevensexporteur is gevestigd;

f) “technische en organisatorische maatregelen met betrekking tot beveiliging” betekent maatregelen die bedoeld zijn om persoonsgegevens te beschermen tegen accidentele of onrechtmatige vernietiging of accidenteel verlies, wijziging, ongeoorloofde bekendmaking of toegang, met name wanneer de verwerking de overdracht van gegevens via netwerken omvat, en tegen alle andere onrechtmatige vormen van verwerking.

Clausule 2

Details van de overdracht

De details van de overdracht, inclusief, indien van toepassing, bijzondere categorieën van persoonsgegevens, zijn gespecificeerd in Bijlage 1, die integraal deel uitmaakt van deze clausules.

Clausule 3

Derdenbegunstigde clausule

1. De betrokkene kan deze Clausule, Clausule 4(b) tot (i), Clausule 5(a) tot (e) en (g) tot (j), Clausule 6 (1) en (2), Clausule 7, Clausule 8(2) en Clausules 9 tot 12 afdwingen tegen de Gegevensexporteur als derde begunstigde

2. De betrokkene kan deze Clausule, Clausule 5 (a) tot (e) en (g), Clausule 6, Clausule 7, Clausule 8 (2) en Clausules 9 tot 12 afdwingen tegen de Gegevensimporteur indien de Gegevensexporteur fysiek is verdwenen of juridisch niet meer bestaat, tenzij al zijn wettelijke verplichtingen door contract of krachtens de wet zijn overgedragen aan de opvolgende entiteit, aan wie de rechten en verplichtingen van de Gegevensexporteur derhalve toekomen, en tegen wie de betrokkene deze clausules kan afdwingen.

De betrokkene kan deze Clausule, Clausule 5 (a) tot (e) en (g), Clausule 6, Clausule 7, Clausule 8 (2) en Clausules 9 tot 12 afdwingen tegen de Gegevensverwerker, maar alleen in gevallen waarin de Gegevensexporteur en de Gegevensimporteur fysiek zijn verdwenen, juridisch niet meer bestaan of insolvent zijn geworden, tenzij alle wettelijke verplichtingen van de Gegevensexporteur door contract of krachtens de wet zijn overgedragen aan de juridische opvolger, aan wie de rechten en verplichtingen van de Gegevensexporteur derhalve toekomen, en tegen wie de betrokkene deze clausules kan afdwingen. De aansprakelijkheid van de Gegevensverwerker moet beperkt zijn tot zijn eigen verwerkingsactiviteiten onder deze clausules.

4. De partijen hebben geen bezwaar tegen vertegenwoordiging van de betrokkene door een vereniging of ander orgaan indien hij of zij dit wenst en indien de nationale wet dit toestaat.

Clausule 4

Verplichtingen van de Gegevensexporteur

De Gegevensexporteur aanvaardt en garandeert het volgende:

a) de verwerking, inclusief de feitelijke overdracht van persoonsgegevens, is uitgevoerd en zal worden uitgevoerd in overeenstemming met de relevante bepalingen van de toepasselijke gegevensbeschermingswetgeving (en, indien van toepassing, is gemeld aan de bevoegde autoriteiten van de Lidstaat waar de Gegevensexporteur is gevestigd) en is niet in strijd met de relevante bepalingen van die Staat;

b) zij hebben de Gegevensimporteur geïnstrueerd, en zullen dit doen voor de duur van de verwerking van persoonsgegevens, om de overgedragen persoonsgegevens uitsluitend namens de Gegevensexporteur en in overeenstemming met de toepasselijke gegevensbeschermingswetgeving en deze clausules te verwerken;

c) de Gegevensimporteur zal voldoende waarborgen bieden met betrekking tot de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in Bijlage 2 bij dit contract;

d) na evaluatie van de vereisten van de toepasselijke gegevensbeschermingswetgeving zijn de beveiligingsmaatregelen adequaat om persoonsgegevens te beschermen tegen accidentele of onrechtmatige vernietiging of verlies, wijziging, ongeoorloofde bekendmaking of toegang, met name wanneer de verwerking de overdracht van gegevens via een netwerk omvat, en tegen alle andere onrechtmatige vormen van verwerking en zorgen voor een beveiligingsniveau dat passend is bij de risico's die de verwerking met zich meebrengt en de aard van de te beschermen gegevens, rekening houdend met het technologisch niveau en de kosten van implementatie;

e) zij zullen zorgen voor naleving van de beveiligingsmaatregelen;

f) indien de overdracht betrekking heeft op bijzondere categorieën van gegevens, is de betrokkene geïnformeerd of zal hij worden geïnformeerd vóór de overdracht, of zo spoedig mogelijk daarna, dat zijn of haar gegevens kunnen worden overgedragen aan een derde land dat geen adequaat beschermingsniveau biedt in de zin van richtlijn 95/46/EG;

g) zij zullen elke kennisgeving ontvangen van de Gegevensimporteur of enige Gegevensverwerker onder Clausules 5 (b) en 8 (3) doorsturen aan de toezichthoudende autoriteit voor gegevensbescherming indien zij besluiten de overdracht voort te zetten of de opschorting op te heffen;

h) zij zullen aan betrokkenen, indien zij dit verzoeken, een kopie van deze Clausules, behalve Bijlage 2, en een samenvattende beschrijving van de beveiligingsmaatregelen, en een kopie van elke verdere onderaannemingsovereenkomst die onder deze Clausules is gesloten, ter beschikking stellen, tenzij de Clausules of de overeenkomst commerciële informatie bevatten, in welk geval zij deze informatie kunnen weglaten;

i) in geval van onderaanneming van de gegevensverwerking wordt de verwerkingsactiviteit uitgevoerd in overeenstemming met Clausule 11 door een Gegevensverwerker die ten minste hetzelfde beschermingsniveau van persoonsgegevens en rechten van betrokkenen biedt als de Gegevensimporteur onder deze Clausules; en

j) zij zullen zorgen voor naleving van Clausule 4 (a) tot (i).

Clausule 5

Verplichtingen van de Gegevensimporteur

De Gegevensimporteur aanvaardt en garandeert het volgende:

a) zij zullen de persoonsgegevens alleen verwerken namens de Gegevensexporteur en onder de instructies van de Gegevensexporteur en deze clausules; indien zij om welke reden dan ook niet kunnen voldoen, stemmen zij ermee in de Gegevensexporteur zo spoedig mogelijk te informeren, in welk geval de Gegevensexporteur de overdracht van gegevens kan opschorten en/of het contract kan beëindigen;

b) zij hebben geen reden te geloven dat de op hen toepasselijke wet hen verhindert de instructies van de Gegevensexporteur en de verplichtingen die op hen rusten krachtens het contract na te komen, en indien een dergelijke wet wordt gewijzigd die een materieel nadelig effect kan hebben op de garanties en verplichtingen onder de Clausules, zullen zij de Gegevensexporteur onverwijld op de hoogte stellen van de wijziging nadat zij hiervan kennis hebben genomen, in welk geval de Gegevensexporteur de overdracht van gegevens kan opschorten en/of het contract kan beëindigen; (c) zij hebben de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in Bijlage 2 geïmplementeerd voordat zij de overgedragen persoonsgegevens verwerken;

d) zij zullen de Gegevensexporteur onverwijld informeren:

i) over elk bindend verzoek tot openbaarmaking van persoonsgegevens door een wetshandhavingsinstantie, tenzij anders gespecificeerd, zoals een strafrechtelijk verbod gericht op het bewaren van de geheimhouding van een politieonderzoek;

ii) over elke incidentele of ongeoorloofde toegang; en

iii) over elk verzoek rechtstreeks ontvangen van de betrokkenen zonder daarop te reageren tenzij zij daartoe gemachtigd zijn; beheerders

e) zij zullen alle vragen van de Gegevensexporteur met betrekking tot hun verwerking van de overgedragen persoonsgegevens snel en correct behandelen en zullen handelen onder het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de overgedragen gegevens;

f) op verzoek van de Gegevensexporteur zullen zij hun gegevensverwerkingsfaciliteiten onderwerpen aan een audit van de verwerkingsactiviteiten die onder deze clausules vallen, uit te voeren door de Gegevensexporteur of een toezichthoudend orgaan bestaande uit onafhankelijke leden met de vereiste professionele kwalificaties, onderworpen aan een geheimhoudingsplicht en gekozen door de Gegevensexporteur, indien nodig met instemming van de toezichthoudende autoriteit;

g) zij zullen aan de betrokkene, indien deze dit verzoekt, een kopie van deze Clausules of enige bestaande onderaannemingsovereenkomst voor gegevensverwerking verstrekken, tenzij de Clausules of de overeenkomst commerciële informatie bevatten, in welk geval zij deze informatie kunnen verwijderen, behalve Bijlage 2, die zal worden vervangen door een samenvattende beschrijving van de beveiligingsmaatregelen, indien de betrokkene geen kopie van de Gegevensexporteur kan verkrijgen;

h) in het geval van vertrouwelijke verdere onderaanneming van de gegevensverwerking zullen zij ervoor zorgen dat zij de Gegevensexporteur vooraf informeren en schriftelijke toestemming van de Gegevensexporteur verkrijgen;

i) de verwerkingsdiensten die door de Gegevensverwerker worden geleverd, zullen voldoen aan Clausule 11;

j) zij zullen onverwijld een kopie van elke onderaannemingsovereenkomst voor gegevensverwerking die zij onder deze Clausules zijn aangegaan, aan de Gegevensexporteur toezenden.

Clausule 6

Aansprakelijkheid

1. De partijen komen overeen dat elke betrokkene die schade heeft geleden als gevolg van een schending van de verplichtingen genoemd in Clausule 3 of Clausule 11 door een partij of door een Gegevensverwerker, een schadevergoeding kan verkrijgen van de Gegevensexporteur voor de geleden schade.

2. Indien een betrokkene wordt verhinderd een schadevordering in te stellen zoals bedoeld in lid 1 tegen de Gegevensexporteur wegens het niet naleven door de Gegevensimporteur of zijn Gegevensverwerker van enige van zijn verplichtingen onder Clausule 3 of Clausule 11 omdat de Gegevensexporteur fysiek is verdwenen, juridisch niet meer bestaat of insolvent is geworden, stemt de Gegevensimporteur ermee in dat de betrokkene een klacht tegen hem kan indienen alsof hij de Gegevensexporteur was, tenzij alle wettelijke verplichtingen van de Gegevensexporteur door contract of krachtens de wet zijn overgedragen aan zijn opvolgende entiteit, tegen wie de betrokkene dan zijn rechten kan afdwingen. De Gegevensimporteur kan zich niet beroepen op een schending van zijn verplichtingen door een Gegevensverwerker om zijn eigen aansprakelijkheid te vermijden.

3. Indien een betrokkene wordt verhinderd de vordering bedoeld in de leden 1 en 2 in te stellen tegen de Gegevensexporteur of de Gegevensimporteur wegens schending door de Gegevensverwerker van zijn verplichtingen onder Clausule 3 of Clausule 11 omdat de Gegevensexporteur en de Gegevensimporteur fysiek zijn verdwenen, juridisch niet meer bestaan of insolvent zijn geworden, stemt de Gegevensverwerker ermee in dat de betrokkene een klacht tegen hem kan indienen met betrekking tot zijn eigen verwerkingsactiviteiten in overeenstemming met deze clausules alsof hij de Gegevensexporteur of Gegevensimporteur was, tenzij alle wettelijke verplichtingen van de Gegevensexporteur of Gegevensimporteur door contract of krachtens de wet zijn overgedragen aan de juridische opvolger, tegen wie de betrokkene dan zijn rechten kan afdwingen. De aansprakelijkheid van de Gegevensverwerker moet beperkt zijn tot zijn eigen verwerkingsactiviteiten in overeenstemming met deze clausules.

 

Clausule 7

Mediation en jurisdictie

1. De Gegevensimporteur stemt ermee in dat indien de betrokkene op grond van de clausules het recht van derde begunstigde inroept en/of schadevergoeding eist voor het geleden nadeel, hij de beslissing van de betrokkene zal accepteren:

a) om het geschil voor te leggen aan mediation door een onafhankelijke persoon of, indien van toepassing, de toezichthoudende autoriteit;

b) om het geschil voor te leggen aan de rechtbanken van de Lidstaat waar de Gegevensexporteur is gevestigd.

2. De partijen komen overeen dat de keuze van de betrokkene de procedurele of materiële rechten van de betrokkene om herstel te verkrijgen krachtens andere bepalingen van nationale of internationale wetgeving niet zal beïnvloeden.

Clausule 8

Samenwerking met toezichthoudende autoriteiten

1. De Gegevensexporteur stemt ermee in een kopie van het onderhavige contract te deponeren bij de toezichthoudende autoriteit indien deze dit vereist of indien een dergelijke deponering is voorzien in de toepasselijke gegevensbeschermingswetgeving.

2. De partijen komen overeen dat de toezichthoudende autoriteit controles kan uitvoeren bij de Gegevensimporteur en elke Gegevensverwerker in dezelfde mate en onder dezelfde voorwaarden als bij controles bij de Gegevensexporteur in overeenstemming met de toepasselijke gegevensbeschermingswetgeving.

3. De Gegevensimporteur zal de Gegevensexporteur zo spoedig mogelijk informeren over het bestaan van wetgeving betreffende de Gegevensimporteur of enige Gegevensverwerker die verificatie bij de Gegevensimporteur of enige Gegevensverwerker verhindert overeenkomstig lid 2. In dat geval kan de Gegevensexporteur de maatregelen nemen voorzien in Clausule 5 (b).

Clausule 9

Toepasselijk recht

De clausules zijn van toepassing en worden beheerst door het recht van de Lidstaat waar de Gegevensexporteur is gevestigd.

Clausule 10

Wijziging van het contract

De partijen verbinden zich ertoe de onderhavige clausules niet te wijzigen. De partijen blijven vrij om andere commerciële clausules op te nemen die zij noodzakelijk achten, mits deze niet in strijd zijn met de onderhavige clausules.

Clausule 11

Vervolgonderaanneming

1. De Gegevensimporteur zal geen van zijn verwerkingsactiviteiten die namens de Gegevensexporteur worden uitgevoerd onder deze clausules uitbesteden zonder de voorafgaande schriftelijke toestemming van de Gegevensexporteur. De Gegevensimporteur zal zijn verplichtingen onder deze Clausules alleen uitbesteden, met toestemming van de Gegevensexporteur, via een schriftelijke overeenkomst met de Gegevensverwerker die aan de Gegevensverwerker dezelfde verplichtingen oplegt als die aan de Gegevensimporteur onder deze Clausules. Indien de Gegevensverwerker zijn gegevensbeschermingsverplichtingen onder die schriftelijke overeenkomst niet kan nakomen, blijft de Gegevensimporteur volledig verantwoordelijk tegenover de Gegevensexporteur voor de nakoming van die verplichtingen.

2. De voorafgaande schriftelijke overeenkomst tussen de Gegevensimporteur en de Gegevensverwerker zal ook een derde-begunstigde clausule bevatten zoals uiteengezet in Clausule 3 voor gevallen waarin de betrokkene wordt verhinderd de schadevordering bedoeld in Clausule 6 (1) in te stellen tegen de Gegevensexporteur of Gegevensimporteur omdat de Gegevensexporteur of Gegevensimporteur fysiek is verdwenen, juridisch niet meer bestaat of insolvent is geworden en alle wettelijke verplichtingen van de Gegevensexporteur of Gegevensimporteur niet door contract of krachtens de wet zijn overgedragen aan een andere opvolgende entiteit. De aansprakelijkheid van de Gegevensverwerker moet beperkt zijn tot zijn eigen verwerkingsactiviteiten in overeenstemming met deze clausules.

3. De bepalingen met betrekking tot de gegevensbeschermingsaspecten van de onderaanneming van de gegevensverwerking van het contract bedoeld in lid 1 worden beheerst door het recht van de Lidstaat waarin de Gegevensexporteur is gevestigd.

4. De Gegevensexporteur houdt een lijst bij van de onderaannemingsovereenkomsten voor gegevensverwerking die onder deze Clausules zijn gesloten en door de Gegevensimporteur zijn gemeld overeenkomstig Clausule 5 (j), die ten minste eenmaal per jaar wordt bijgewerkt. Deze lijst wordt ter beschikking gesteld aan de toezichthoudende autoriteit voor gegevensbescherming van de Gegevensexporteur.

Clausule 12

Verplichting na beëindiging van de verwerking van persoonsgegevens

1. De partijen komen overeen dat na voltooiing van de gegevensverwerkingsdiensten de Gegevensimporteur en de Gegevensverwerker, naar keuze van de Gegevensexporteur, alle overgedragen persoonsgegevens en kopieën daarvan aan de Gegevensexporteur zullen retourneren, of alle dergelijke gegevens zullen vernietigen en bewijs van vernietiging aan de Gegevensexporteur zullen verstrekken, tenzij wetgeving die op de Gegevensimporteur van toepassing is, hem verhindert alle of een deel van de overgedragen persoonsgegevens te retourneren of te vernietigen. In dat geval garandeert de Gegevensimporteur dat hij de vertrouwelijkheid van de overgedragen persoonsgegevens zal waarborgen en dat hij de gegevens niet langer actief zal verwerken.

2. De Gegevensimporteur en de Gegevensverwerker zullen ervoor zorgen dat zij, indien verzocht door de Gegevensexporteur en/of de toezichthoudende autoriteit, hun middelen voor gegevensverwerking onderwerpen aan verificatie van de maatregelen bedoeld in lid 1.

 

 

 

 

Bijlage 1.1 bij Deel 2

Details van de overdracht

 

 

Gegevensexporteur

De Gegevensexporteur is de Klant zoals gedefinieerd in de Contractuele overeenkomst.

 

Gegevensimporteur

De Gegevensimporteur is IQUALIF en is aangewezen om de gegevens te verwerken en diensten te leveren aan de Gegevensexporteur.

 

Betrokkenen

De overgedragen persoonsgegevens betreffen de volgende categorieën van betrokkenen:

☒ telefoongebruikers vermeld in de universele gids

☐ Overigen, waaronder:

 

Categorieën van gegevens

De overgedragen persoonsgegevens betreffen de volgende categorieën van gegevens:

 

Categorieën van persoonsgegevens van de betrokkenen van de Gegevensexporteur in het bijzonder,

☒ Volledige naam

☒ Postadres

☒ Contactgegevens (e-mail, telefoon, IP-adres, enz.)

☒ Details van marketingactiviteiten betreffende de telefoongebruiker

☒ Overigen, waaronder het type woning, inkomen en gemiddelde leeftijden per stad, anoniem gemaakt

 

Bijzondere categorieën van gegevens (indien van toepassing)

De overgedragen persoonsgegevens betreffen de volgende bijzondere categorieën van gegevens:

☒ De overdracht van bijzondere categorieën van gegevens is niet voorzien

☐ Ras of etnische afkomst

☐ Religieuze of filosofische overtuigingen

☐ Lidmaatschap van een vakbond

☐ Politieke opvattingen

☐ Genetische informatie

☐ Biometrische informatie

☐ Informatie over seksuele geaardheid of seksueel leven

☐ Gezondheidsgegevens

 

Verwerkingsactiviteiten

De overgedragen persoonsgegevens zullen onderworpen zijn aan de volgende basisverwerkingsactiviteiten:

 

•  
  • • Doel van de verwerking

De verwerking die namens de Gegevensexporteur wordt uitgevoerd, is met name gebaseerd op de volgende onderwerpen:

☒ Afhandeling van de producten of diensten die door de Gegevensexporteur worden aangeboden

☒ Het aanbieden van een product of dienst die de gebelde persoon kan aanvragen

☒ Bestellingen opgenomen van de gebelde personen en verdere verwerking van deze bestellingen

☒ Onderzoeksvragenlijsten en analyses

☒ Telemarketing

☐ Overigen, waaronder:

 

•  
  • • Aard en doel van de verwerking

De Gegevensimporteur verwerkt de persoonsgegevens van de betrokkenen namens de Gegevensexporteur om de volgende diensten te leveren, en met name:

☒ Verkoop en marketing

☒ Overigen, waaronder het bijwerken van databases van gemeentehuizen en politieke partijen

 

•  
  • • Levering van diensten en inzet van dienstverleners

 

IQUALIF combineert, centraliseert en levert voornamelijk diensten aan de Gegevensexporteur. De door de genoemde dienstverlener geleverde diensten kunnen (onder andere naar gelang van de situatie) worden gestructureerd rond de volgende nevendiensten: (i) het leveren van applicaties, tools, systemen en IT-infrastructuur met betrekking tot de gebruikte dataverwerkingscentra, om de diensten te leveren en te ondersteunen, inclusief de verwerking van de persoonsgegevens van de betrokkenen zoals hierboven beschreven, via dergelijke applicaties, tools en systemen, (ii) het leveren van IT-ondersteuning, onderhoud en andere diensten met betrekking tot dergelijke applicaties, tools, systemen en IT-infrastructuur, inclusief mogelijke toegang tot persoonsgegevens die in dergelijke applicaties, tools en systemen zijn opgeslagen, en (iii) het leveren van gegevensbeschermingsdiensten, beschermingsmonitoring en incidentresponsdiensten, inclusief mogelijke toegang tot persoonsgegevens bij het leveren van dergelijke beschermingsdiensten. IQUALIF kan Gegevensverwerkers inschakelen zoals hieronder vermeld om de diensten, inclusief nevendiensten, te leveren.

 

•  
  • • Externe dienstverleners van derden als sub-entiteiten die zijn aangewezen voor gegevensverwerking

 

IQUALIF schakelt externe en derde dienstverleners in, die geen dochterondernemingen van IQUALIF zijn, om de levering van diensten aan de Gegevensexporteur te ondersteunen. De Gegevensexporteur keurt dergelijke externe dienstverleners van derden goed als sub-entiteiten die zijn aangewezen voor gegevensverwerking.

 

Indien een sub-entiteit die betrokken is bij gegevensverwerking buiten de EU/EER is gevestigd, in een land dat volgens een besluit van de Europese Commissie niet wordt beschouwd als het bieden van een adequaat beschermingsniveau van gegevensbescherming, zal de Gegevensimporteur stappen ondernemen om een adequaat beschermingsniveau van gegevensbescherming te verkrijgen in overeenstemming met de AVG en sectie 3.4 (iv) van Deel 1.

 

 

Bijlage 2, Deel 2

Technische en organisatorische beschermingsmaatregelen

 

De Gegevensimporteur zal de volgende technische en organisatorische beschermingsmaatregelen nemen, bevestigd door de Gegevensexporteur, om een passend beveiligingsniveau te garanderen voor de rechten en vrijheden van natuurlijke personen, afhankelijk van de risico's. Bij de beoordeling van het betrokken beschermingsniveau heeft de Gegevensexporteur met name rekening gehouden met de risico's die de verwerking met zich meebrengt, inclusief accidentele of onrechtmatige vernietiging, wijziging, ongeoorloofde bekendmaking of toegang tot persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt. Ter verduidelijking: Deze technische en organisatorische beschermingsmaatregelen zijn niet van toepassing op de applicaties, tools, systemen en/of IT-infrastructuur die door de Gegevensexporteur worden geleverd.

1 Algemene technische en organisatorische beschermingsmaatregelen

1.1 Algemene informatie en gegevensbeschermingsstrategieën

De volgende stappen moeten worden genomen om algemene strategieën voor gegevens- en informatiebescherming te volgen:

a) maatregelen nemen om de genomen technische en organisatorische beschermingsmaatregelen te evalueren;

b) training geven om het bewustzijn onder werknemers te vergroten;

c) een beschrijving hebben van de betrokken systemen en toegang verlenen aan werknemers;

d) een formeel documentatieproces opzetten telkens wanneer systemen worden geïmplementeerd of gewijzigd;

e) de organisatorische structuur, processen, verantwoordelijkheden en respectieve evaluaties documenteren;

1.2 Organisatie van informatiebescherming

De volgende maatregelen moeten worden genomen om de activiteiten voor gegevens- en informatiebescherming te coördineren:

a) gedefinieerde verantwoordelijkheden voor de bescherming van informatie en gegevens (bijv. via het gegevensbeschermingsbeleid);

b) de benodigde expertise op het gebied van informatie- en gegevensbescherming beschikbaar houden;

c) alle werknemers zijn verplicht persoonsgegevens vertrouwelijk te houden en zijn geïnformeerd over de mogelijke gevolgen van het schenden van deze verplichting.

1.3 Toegangscontrole tot verwerkingsruimten

De volgende maatregelen moeten worden genomen om te voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkende systemen (in het bijzonder software en hardware) wanneer persoonsgegevens worden verwerkt, opgeslagen of verzonden:

a) beveiligde gebieden instellen;

b) toegang tot gegevensverwerkende systemen beschermen en beperken;

c) toegangsautorisaties voor werknemers en derden vaststellen, inclusief de respectieve documenten;

d) elke toegang tot dataverwerkingscentra waarin persoonsgegevens zijn opgeslagen, wordt geregistreerd.

1.4 Toegangscontrole tot gegevensverwerkende systemen

De volgende maatregelen moeten worden genomen om onbevoegde toegang tot gegevensverwerkende systemen te voorkomen:

a) gebruikersauthenticatiebeleid en -procedures;

b) het gebruik van wachtwoorden op alle computersystemen;

c) externe toegang tot het netwerk vereist multi-factor authenticatie en wordt verleend aan de betrokkene volgens zijn verantwoordelijkheden en na autorisatie;

d) toegang tot specifieke functies is gebaseerd op functieomschrijvingen en/of individueel toegewezen attributen aan een gebruikersaccount;

e) toegangsrechten met betrekking tot persoonsgegevens worden regelmatig herzien;

f) registraties van wijzigingen in toegangsrechten worden bijgehouden.

1.5 Controle van toegang tot specifieke gebruiksgebieden van gegevensverwerkende systemen

De volgende maatregelen moeten worden genomen om ervoor te zorgen dat bevoegde personen met het recht om het gegevensverwerkingssysteem te gebruiken alleen toegang hebben tot gegevens binnen hun respectieve verantwoordelijkheden en toegangsautorisaties en dat persoonsgegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd:

a) beleid, instructies en training van werknemers met betrekking tot hun verplichtingen inzake vertrouwelijkheid, toegangsrechten tot persoonsgegevens en de reikwijdte van de verwerking van persoonsgegevens;

b) disciplinaire maatregelen tegen personen die zonder toestemming toegang hebben tot persoonsgegevens;

c) toegang tot persoonsgegevens wordt alleen verleend aan bevoegde personen op basis van het need-to-know principe;

d) een lijst van systeembeheerders bijhouden en passende maatregelen nemen om systeembeheerders te monitoren;

e) persoonsgegevens niet kopiëren of reproduceren op enig opslagmedium om onbevoegden in staat te stellen de informatie van de bron te verwijderen;

f) gecontroleerde en gedocumenteerde verwijdering of vernietiging van gegevens;

g) alle persoonsgegevens die om wettelijke of regelgevende redenen moeten worden bewaard (bijv. bewaarplichten), veilig opslaan en alleen zolang als wettelijk vereist.

1.6 Controle van transmissies

De volgende maatregelen moeten worden genomen om te voorkomen dat persoonsgegevens tijdens de overdracht of het transport van gegevensdragers (afhankelijk van de uitgevoerde verwerking van persoonsgegevens) worden gelezen, gekopieerd, gewijzigd of verwijderd door onbevoegden:

a) gebruik van firewalls;

b) vermijden van opslag van persoonsgegevens op mobiele opslagapparaten voor transportdoeleinden, of het versleutelen van de apparaten; c) gebruik op laptops en andere mobiele apparaten alleen nadat de versleutelingsbeveiliging is geactiveerd;

d) registratie van overdrachten van persoonsgegevens.

1.7 Controle van gegevensinvoer

De volgende maatregelen moeten worden genomen om te waarborgen dat kan worden gecontroleerd en vastgesteld of persoonsgegevens in gegevensverwerkende systemen zijn ingevoerd of verwijderd en door wie:

a) een beleid voor het autoriseren van het lezen, wijzigen en verwijderen van opgeslagen gegevens;

b) beschermingsmaatregelen met betrekking tot het lezen, wijzigen en verwijderen van opgeslagen gegevens.

1.8 Controle van werkzaamheden

In het geval van gedelegeerde verwerking van persoonsgegevens moeten de volgende maatregelen worden genomen om ervoor te zorgen dat dergelijke gegevens worden verwerkt in overeenstemming met de instructies van de Verantwoordelijke:

a) entiteiten of sub-entiteiten die zijn aangewezen voor gegevensverwerking, zorgvuldig gekozen (dienstverleners die persoonsgegevens verwerken namens de verantwoordelijke);

b) instructies met betrekking tot de reikwijdte van elke verwerking van persoonsgegevens aan de werknemers, entiteiten of sub-entiteiten die zijn aangewezen voor gegevensverwerking;

c) auditrechten overeengekomen met de entiteiten of sub-entiteiten die zijn aangewezen voor gegevensverwerking;

d) overeenkomsten gesloten met de entiteiten of sub-entiteiten die zijn aangewezen voor gegevensverwerking.

1.9 Scheiding van verwerking voor andere doeleinden

De volgende maatregelen moeten worden genomen om ervoor te zorgen dat gegevens die voor andere doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt:

a) gescheiden toegang tot persoonsgegevens in overeenstemming met de bestaande rechten van gebruikers;

b) interfaces, batchverwerking en rapportage zijn voor andere doeleinden en functies, zodat gegevens die voor andere doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt.

1.10 Pseudonimisering

De volgende maatregelen moeten worden genomen met betrekking tot de pseudonimisering van persoonsgegevens:

a) Indien de Gegevensexporteur een specifieke verwerkingsactiviteit opdraagt of indien dit passend wordt geacht door de Gegevensimporteur in overeenstemming met de geldende gegevensbeschermingswetten met betrekking tot bepaalde verwerkingsactiviteiten, zal de verwerking van persoonsgegevens zodanig worden uitgevoerd dat de gegevens niet langer aan een specifieke persoon kunnen worden toegeschreven zonder gebruik te maken van aanvullende informatie. Deze aanvullende informatie wordt apart bewaard;

b) gebruik van pseudonimiseringsmethoden, inclusief randomisatie van toewijzingslijsten; creatie van waarden in de vorm van sharps.

1.11 Versleuteling

De volgende stappen moeten worden genomen om persoonsgegevens te versleutelen in applicaties en transmissies die versleuteling ondersteunen:   a) gebruik van versleutelingstechnieken;

b) opzetten van versleutelingsbeheer ter ondersteuning van de toegestane versleutelingstechnieken;

c) ondersteuning van het gebruik van cryptografie via procedures en protocollen voor het genereren, wijzigen, intrekken, vernietigen, distribueren, certificeren, opslaan, vastleggen, gebruiken en archiveren van cryptografische sleutels ter bescherming tegen ongeoorloofde wijziging en bekendmaking.

1.12 Volledigheid van gegevensverwerkende systemen en diensten

De volgende maatregelen moeten worden genomen om de volledigheid van gegevensverwerkende systemen en diensten te waarborgen:

a) bescherming van gegevensverwerkende systemen tegen manipulatie of vernietiging door geschikte middelen (bijv. antivirussoftware, data loss prevention software en software tegen malware, softwarepatches, firewalls en beheerde desktopbescherming);

b) het verbod op het installeren van diensten of software die schadelijk zijn voor gegevensverwerkende systemen, diensten of de manipulatie van persoonsgegevens;

c) gebruik van een netwerkdetectie- en preventiesysteem voor inbraak in de structuur van het netwerk zelf.

1.13 Beschikbaarheid van gegevensverwerkende systemen en diensten en de mogelijkheid om toegang tot en gebruik van persoonsgegevens te herstellen in geval van een materieel of technisch incident

De volgende maatregelen moeten worden genomen om de beschikbaarheid van gegevensverwerkende systemen te waarborgen, evenals om snel de beschikbaarheid van en toegang tot persoonsgegevens te kunnen herstellen in geval van een materieel of technisch incident (met name door ervoor te zorgen dat persoonsgegevens worden beschermd tegen accidentele vernietiging of verlies):

a) beschikken over middelen voor het maken van back-upkopieën en het herstellen van verloren of verwijderde gegevens;

b) infrastructuurredundantie en prestatietests;

c) fysieke bescherming van computerbronnen;

d) gebruik van hulpmiddelen om de status en beschikbaarheid van het interne netwerk te monitoren;

e) incidentrapportage- en responsbeleid die het incidentbeheerproces regelen, en herhaling van naleving van deze beleidslijnen als onderdeel van regelmatige training;

f) back-ups (soms off-site) om het systeem te herstellen zodat het zijn functies weer kan uitvoeren;

g) plannen voor bedrijfscontinuïteit/herstelfuncties bij rampen

1.14 Veerkracht van gegevensverwerkende systemen en diensten

De volgende maatregelen moeten worden genomen om de veerkracht van gegevensverwerkende systemen en diensten te waarborgen:

a) systemen en configuraties harmonisch, met gebruik van goedgekeurde beveiligingsparameters;

b) netwerkredundantie;

c) beschermingsmaatregelen voor kritieke systemen.

1.15 Procedure voor het regelmatig testen, evalueren en beoordelen van de effectiviteit van technische en organisatorische maatregelen om de beveiliging van gegevensverwerking te waarborgen

Procedure voor het regelmatig testen, evalueren en beoordelen van de effectiviteit van technische en organisatorische maatregelen ter bescherming van gegevensverwerking.

a) de nodige stappen ondernemen om risico's en mitigatiestrategieën te beoordelen;

b) vergaderingen van de IT-afdeling voor serviceanalyse om actuele kwesties te bespreken;

c) plannen voor bedrijfscontinuïteit/herstelfuncties bij rampen worden regelmatig bijgewerkt.

 

Deel 3

Handtekeningen van de partijen en lijst van Gegevensimporteurs

 

Wanneer u het online bestelformulier invult en valideert door het vakje aan te vinken waarin u akkoord gaat met de algemene voorwaarden, wordt het contract dat de relatie tussen de Klant en IQUALIF regelt, tot stand gebracht.

Het verzenden van de betaling aan IQUALIF wordt beschouwd als het akkoord en de totstandkoming van het contract.

---

Let op: Deze tekst is vertaald uit het Frans. De originele Franse versie, die geldig en juridisch bindend is, is beschikbaar hier.