Data Processing Agreement (DPA)
DE ONDERGETEKENDE:
en
hierna gezamenlijk te noemen: Partijen;
OVERWEGINGEN:
KOMEN HET VOLGENDE OVEREEN:
De met een hoofdletter geschreven termen in deze DPA hebben de volgende betekenissen:
1.2 Data Breach: een inbreuk op beveiligingsmaatregelen gericht op de bescherming van Personal Data tegen verlies of enige vorm van onrechtmatige verwerking, evenals elk incident of elke gebeurtenis waarbij verlies of onrechtmatige verwerking van Personal Data plaatsvindt of zou kunnen plaatsvinden.
1.3 Overeenkomst: de Overeenkomst tussen Processor en Controller betreffende de cybersecurity SAAS-oplossing geleverd door Processor, waaruit de verwerking van Personal Data voortvloeit.
1.4 Personal Data: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator, of aan de hand van een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.
1.5 Sub-Processor: de natuurlijke of rechtspersoon die een Processor bijstaat bij de verwerking van Personal Data ten behoeve van de Controller.
1.6 Processing: elke bewerking of elk geheel van bewerkingen met betrekking tot Personal Data, al dan niet uitgevoerd met geautomatiseerde middelen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen.
1.7 Data Processing Agreement (DPA): deze overeenkomst tussen Controller en Processor betreffende de verwerking van persoonsgegevens, inclusief overwegingen en bijbehorende bijlagen.
2.1 Deze DPA treedt in werking op de datum waarop Partijen de Overeenkomst ondertekenen.
2.2 Deze DPA blijft van kracht zolang de Processor Personal Data verwerkt ten behoeve van de Controller onder de Overeenkomst.
3.1 Tijdens de uitvoering van de Overeenkomst kan de Verwerkingsverantwoordelijke Persoonsgegevens aan de Verwerker verstrekken. Een overzicht van de categorieën Persoonsgegevens die aan de Verwerker kunnen worden verstrekt, is opgenomen in de Privacy Policy.
3.2 De Verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking van Persoonsgegevens. Dit doel is vastgelegd in de Privacy Policy.
3.3 De Verwerker verwerkt deze Persoonsgegevens uitsluitend voor de uitvoering van de Overeenkomst, deze DPA en de schriftelijke instructies van de Verwerkingsverantwoordelijke. De Verwerker verwerkt Persoonsgegevens alleen voor de doeleinden zoals beschreven in de Privacy Policy en zal de Persoonsgegevens niet voor andere of eigen doeleinden gebruiken, tenzij dit wettelijk verplicht is.
3.4 Indien een instructie zoals bedoeld in artikel 3.3, naar de mening van de Verwerker, in strijd is met een wettelijke bepaling inzake gegevensbescherming, zal de Verwerker de Verwerkingsverantwoordelijke hiervan vóór de verwerking op de hoogte stellen, tenzij een wettelijke bepaling een dergelijke kennisgeving verbiedt.
3.5 De Verwerkingsverantwoordelijke verleent de Verwerker een algemene machtiging om de verwerking van Persoonsgegevens uit te besteden aan Sub-verwerkers, inclusief de Sub-verwerkers die op de website van de Verwerker staan vermeld.
3.6 Indien de Verwerker een nieuwe of vervangende Sub-verwerker inschakelt, zal de Verwerker:
(a) De lijst met Sub-verwerkers die beschikbaar is op de website van de Verwerker bijwerken.
(b) In wezen dezelfde gegevensbeschermingsvoorwaarden opleggen aan elke Sub-verwerker die het inschakelt als die welke in deze DPA zijn opgenomen (inclusief bepalingen inzake gegevensoverdracht, indien van toepassing).
(c) Aansprakelijk blijven jegens de Verwerkingsverantwoordelijke voor elke schending van deze DPA veroorzaakt door een handeling, fout of nalatigheid van een dergelijke Sub-verwerker.
(d) De Verwerkingsverantwoordelijke op de hoogte stellen, indien de Verwerkingsverantwoordelijke zich heeft aangemeld. Indien de Verwerkingsverantwoordelijke ervoor kiest om 14 dagen voordat Guardey een nieuwe of vervangende Sub-verwerker inschakelt schriftelijk op de hoogte te worden gesteld, moet de Verwerkingsverantwoordelijke zich voor dergelijke meldingen aanmelden via deze link.
3.7 De Verwerkingsverantwoordelijke kan binnen veertien (14) dagen na ontvangst van de kennisgeving overeenkomstig 3.6(d) en op redelijke gronden met betrekking tot het vermogen van de Sub-verwerker om te voldoen aan de toepasselijke wetgeving inzake gegevensbescherming, schriftelijk bezwaar maken tegen de aanstelling van een nieuwe of vervangende Sub-verwerker door de Verwerker. In dat geval zullen de Partijen de zorgen van de Verwerkingsverantwoordelijke te goeder trouw bespreken met het oog op het bereiken van een commercieel redelijke oplossing. Indien de Partijen geen dergelijke oplossing kunnen bereiken, heeft de Verwerker het recht, naar eigen goeddunken, om ofwel de betwiste Sub-verwerker niet aan te stellen, ofwel de Verwerkingsverantwoordelijke toe te staan de toepasselijke Bestelling en/of de Overeenkomst op te schorten of te beëindigen.
3.8 De Verwerker zal de nodige bijstand verlenen om te voldoen aan de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG. In het bijzonder zal de Verwerker meewerken aan het uitvoeren van de nodige acties naar aanleiding van verzoeken van Betrokkenen betreffende toegang, rectificatie, beperking of verwijdering van Persoonsgegevens.
3.9 De Verwerker zal de Persoonsgegevens uitsluitend binnen de Europese Unie opslaan en verwerken, tenzij anders overeengekomen met de Verwerkingsverantwoordelijke.
3.10 De Verwerkingsverantwoordelijke garandeert dat de verwerking van Persoonsgegevens zoals opgedragen aan de Verwerker niet in strijd is met de gegevensbeschermingsregelgeving en niet onrechtmatig is. De Verwerkingsverantwoordelijke vrijwaart de Verwerker tegen alle aanspraken van derden, inclusief die van toezichthoudende autoriteiten, die verband houden met deze kwestie.
3.11 Internationale Gegevensoverdrachten:
(a) Indien de verwerking de overdracht van Persoonsgegevens buiten de EU/EER omvat, zal de Verwerker zorgen voor een passend beschermingsniveau in overeenstemming met Hoofdstuk V van de AVG.
(b) Voor overdrachten naar landen zonder adequaatheidsbesluit, zullen standaardcontractbepalingen (SCC's) of een ander goedgekeurd overdrachtsmechanisme worden gebruikt.
(c) De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte stellen van Sub-verwerkers buiten de EU/EER en de Verwerkingsverantwoordelijke toestaan bezwaar te maken tegen dergelijke overdrachten overeenkomstig 3.7.
4.1 De Verwerker zal de bepalingen van deze DPA blijven naleven na beëindiging van de Overeenkomst en de DPA zolang de Verwerker Persoonsgegevens van de Verwerkingsverantwoordelijke bewaart.
5.1 Bij beëindiging van de Overeenkomst en de DPA, zullen alle Persoonsgegevens zo spoedig redelijkerwijs mogelijk worden teruggegeven aan de Verwerkingsverantwoordelijke (of een door de Verwerkingsverantwoordelijke aangewezen derde) of worden vernietigd op verzoek van de Verwerkingsverantwoordelijke, naar keuze van de Verwerkingsverantwoordelijke.
6.1 De Verwerker zal passende technische en organisatorische maatregelen implementeren om Persoonsgegevens te beschermen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen zullen een beveiligingsniveau waarborgen dat passend is voor het risico dat de verwerking met zich meebrengt en de aard van de te beschermen Persoonsgegevens, rekening houdend met de stand van de techniek en de kosten van implementatie. Een gedetailleerde lijst van deze maatregelen is opgenomen in de Security Policy.
6.2 De Verwerker zal de in artikel 6.1 bedoelde maatregelen bijwerken indien de Verwerkingsverantwoordelijke dergelijke updates verzoekt omdat de Verwerkingsverantwoordelijke van mening is dat dit nodig is om een passend beveiligingsniveau te handhaven zoals beschreven in artikel 6.1. In dergelijke gevallen is de Verwerker gerechtigd de overeengekomen prijzen met de Verwerkingsverantwoordelijke te verhogen ter dekking van de kosten die de Verwerker in verband met deze updates heeft gemaakt.
7.1 Op verzoek verstrekt de Verwerker kopieën van certificeringen, samenvattingen van auditrapporten en/of andere relevante documentatie die het bezit, indien redelijkerwijs vereist door de Verwerkingsverantwoordelijke om de naleving van deze DPA door de Verwerker te verifiëren.
7.2 Hoewel het de intentie van de partijen is om doorgaans te vertrouwen op de verplichtingen van de Verwerker zoals uiteengezet in Artikel 7.1 om de naleving van deze DPA door de Verwerker te verifiëren, kan de Verwerkingsverantwoordelijke, na een bevestigd Security Incident of indien een gegevensbeschermingsautoriteit dit vereist, de Verwerker dertig (30) dagen van tevoren schriftelijk op de hoogte stellen met het verzoek dat een derde partij een audit uitvoert van de activiteiten en faciliteiten van de Verwerker ("Audit"); op voorwaarde dat (i) elke Audit wordt uitgevoerd op kosten van de Verwerkingsverantwoordelijke; (ii) de partijen gezamenlijk overeenstemming bereiken over de reikwijdte, timing en duur van de Audit; en (iii) de Audit de reguliere bedrijfsvoering van de Verwerker niet onredelijk beïnvloedt.
8.1 De Verwerkingsverantwoordelijke is verantwoordelijk voor het beoordelen van de noodzaak om een Datalek te melden aan de toezichthoudende autoriteit en/of Betrokkenen en voor het doen van de daadwerkelijke melding.
8.2 De Verwerker meldt elk Datalek of vermoeden daarvan zo snel mogelijk aan de Verwerkingsverantwoordelijke, maar in elk geval binnen 24 uur na ontdekking van het lek. De Verwerker verstrekt ten minste de volgende informatie:
(a) de (vermoedelijke) oorzaak van het Datalek;
(b) de (bekende of verwachte) gevolgen van het Datalek;
(c) locatiegegevens van het Datalek;
(d) eventuele ongeautoriseerde ontvangers van de Persoonsgegevens en alle beschikbare informatie over hen;
(e) suggesties voor maatregelen om de schade te beperken;
(f) alle andere informatie gevraagd door de Verwerkingsverantwoordelijke.
8.3 De Verwerker werkt mee aan het verzoek van de Verwerkingsverantwoordelijke om Betrokkenen of toezichthoudende autoriteiten adequaat te informeren over het Datalek en is beschikbaar voor overleg met de Verwerkingsverantwoordelijke. 8.4 De Verwerkingsverantwoordelijke en de Verwerker bewaren strikte vertrouwelijkheid jegens elkaar met betrekking tot het Datalek, elk vermoeden van een Datalek en verdere gerelateerde zaken, behalve voor verplichtingen onder EU- of nationale wetgeving.
9.1 Elke partij is aansprakelijk voor en vrijwaart de andere partij tegen alle claims, vorderingen, schade en verliezen die voortvloeien uit of in verband staan met een schending van deze DPA, voor zover een dergelijke schending toerekenbaar is aan nalatigheid, opzettelijk wangedrag of niet-naleving van toepasselijke wetgeving inzake gegevensbescherming door die partij.
9.2 De aansprakelijkheid van de Verwerker voor elke schending van deze DPA is beperkt tot directe schade en zal de bedragen die de Verwerkingsverantwoordelijke aan de Verwerker heeft betaald onder de Overeenkomst gedurende de 12 maanden voorafgaand aan de schending niet overschrijden.
10.1 De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld op de hoogte indien het een verzoek ontvangt van een Betrokkene om zijn of haar rechten onder de AVG uit te oefenen.
10.2 De Verwerker werkt samen met de Verwerkingsverantwoordelijke en verleent de Verwerkingsverantwoordelijke bijstand om deze in staat te stellen aan dergelijke verzoeken te voldoen binnen de termijnen zoals vastgelegd in de AVG.
11.1 De Verwerker wijst de volgende contactpersoon aan voor de coördinatie van verplichtingen onder deze DPA:
Contactgegevens Verwerker:
11.2 Alle communicatie betreffende deze DPA moet gericht worden aan de hierboven gespecificeerde contactpersoon.
11.3 De Verwerkingsverantwoordelijke moet zijn contactgegevens verstrekken via de aangewezen communicatiekanalen op de website van de Verwerker of door contact op te nemen met het supportteam van de Verwerker via de hierboven vermelde contactgegevens.
12.1 UK GDPR: Indien en voor zover de verwerking van Persoonsgegevens onder deze DPA betrekking heeft op betrokkenen in het Verenigd Koninkrijk, zijn de bepalingen van de UK GDPR van toepassing. Verwijzingen naar de GDPR in deze DPA omvatten, waar van toepassing, ook verwijzingen naar de UK GDPR.
12.2 CCPA / CPRA: Indien en voor zover de verwerking van Persoonsgegevens onder deze DPA betrekking heeft op betrokkenen in Californië, zijn de bepalingen van de California Consumer Privacy Act (CCPA) en de California Privacy Rights Act (CPRA) van toepassing. De Verwerker zal:
(a) De Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen van alle consumentenverzoeken onder de CCPA/CPRA.
(b) Samenwerken met de Verwerkingsverantwoordelijke om ervoor te zorgen dat dergelijke verzoeken tijdig en in overeenstemming met de CCPA/CPRA worden afgehandeld.
(c) Geen Persoonsgegevens “verkopen” zoals gedefinieerd door de CCPA/CPRA.
(d) Naleving van de CCPA/CPRA-vereisten waarborgen, inclusief transparantie en meldingen van consumentenrechten.
13.1 Afwijkingen van deze DPA zijn alleen bindend indien uitdrukkelijk schriftelijk overeengekomen tussen de Partijen.
13.2 Algemene voorwaarden of andere algemene of bijzondere voorwaarden van de Verwerker zijn niet van toepassing op deze DPA en worden uitdrukkelijk afgewezen door de Verwerkingsverantwoordelijke.
13.3 Deze DPA vormt een aanvulling op de Overeenkomst. In geval van strijdigheid tussen de bepalingen van deze DPA en de Overeenkomst, prevaleren de bepalingen van deze DPA.
13.4 Deze DPA wordt beheerst door Nederlands recht.
13.5 Geschillen tussen de Partijen die niet via overleg kunnen worden opgelost, worden voorgelegd aan de bevoegde Nederlandse rechter in Den Haag.