Addendum gegevensverwerking
(DPA)
Deze Aanvulling Gegevensverwerking (“Data Processing Addendum, DPA”) is een bijlage bij de Serviceovereenkomst tussen Zervant en de Klant en is onderhevig aan de bepalingen en voorwaarden daarin voor zover hier niet anders is overeengekomen. Ze is alleen juridisch bindend in combinatie met de Serviceovereenkomst tussen Zervant en de Klant. De Serviceovereenkomst met alle bijlagen (inclusief deze DPA) worden gezamenlijk de “Overeenkomst” genoemd.
1. Definities van de DPA
De definities van de Serviceovereenkomst zijn van toepassing op deze DPA. Ter aanvulling zijn de volgende definities van toepassing op deze DPA:
Persoonsgegevens wil zeggen alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene), ongeacht of deze identificatie direct of indirect plaatsvindt of kan plaatsvinden.
Klantpersoonsgegevens wil zeggen de persoonsgegevens van de Klant of anderszins gerelateerd aan de activiteiten van de Klant.
Verwerking wil zeggen handelingen en procedures met betrekking tot of omvatting van Persoonsgegevens zoals verzamelen, vastleggen, ordenen, opslaan, bijwerken, wijzigen, opvragen of gebruiken.
Verwerkingsverantwoordelijke wil zeggen de entiteit die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt.
Betrokkene wil zeggen de natuurlijke persoon, wiens Persoonsgegevens worden verwerkt.
Verwerker wil zeggen de entiteit die Persoonsgegevens verwerkt namens en volgens de instructies van de Verwerkingsverantwoordelijke.
Inbreuk in verband met persoonsgegevens wil zeggen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Toepasselijke wet- en regelgeving wil zeggen de wetgeving en praktijken die voortvloeien uit de Algemene Verordening Gegevensbescherming, de nationale wetgeving die de Algemene Verordening Gegevensbescherming uitvoert of aanvult, de regelgeving en verklaringen van regelgevende autoriteiten, waaronder het Europees Comité voor gegevensbescherming en handelingen van de Commissie.
Onderaannemer wil zeggen een entiteit die Persoonsgegevens verwerkt, volgens de instructies van de Verwerker als subverwerker van de Verwerker.
2. Doel
Zervant levert Diensten aan de Klant zoals omschreven in de Serviceovereenkomst. Ten aanzien van het leveren van de Dienst aan de Klant in het kader van de Serviceovereenkomst, is het mogelijk dat Zervant Persoonsgegevens namens de Klant verwerkt. Het doel van deze DPA is om de bepalingen en voorwaarden overeen te komen die van toepassing zijn op de Verwerking van Klantpersoonsgegevens met betrekking tot de Diensten.
3. Verplichtingen van de Klant
3.1 Verwerkingsverantwoordelijke
De Klant is de Verwerkingsverantwoordelijke met betrekking tot alle Klantpersoonsgegevens die volgens deze DPA en Serviceovereenkomst worden verwerkt en zal verantwoordelijk zijn voor de wettige opslag, Verwerking en gebruik en voor de nauwkeurigheid van de Klantpersoonsgegevens, alsmede voor het vervullen van andere wettelijke verplichtingen van een verwerkingsverantwoordelijke. De Klant zal verantwoordelijk zijn voor het informeren van de Betrokkenen van verstrekkingen van hun Persoonsgegevens en zal indien nodig hun toestemming verkrijgen voor deze verstrekkingen.
De Klant erkent dat de Verwerker niet kan controleren of en geen verplichting heeft tot het verifiëren van de Klantpersoonsgegevens die namens de Klant aan de Verwerker zijn verstrekt of overgedragen voor de Verwerking wanneer de Klant de Dienst gebruikt. De Klant verzekert dat deze een geschikte rechtsgrond heeft voor het uitwisselen en verstrekken van Klantpersoonsgegevens aan de Verwerker en is hiervoor aansprakelijk, zodat de Verwerker de Klantpersoonsgegevens wettig kan verwerken zoals overeengekomen tussen de Partijen.
3.2 Instructies
De Klant bevestigt dat de instructies van de Klant met betrekking tot de Verwerking van de Klantpersoonsgegevens (“Instructies”) uitputtend in de Overeenkomst zijn vastgelegd. Wanneer de Klant vervolgens de Instructies wil aanpassen, zal de Klant voornamelijk de functies gebruiken die door de Diensten worden aangeboden. Als dergelijke functies echter niet toereikend zijn voor het implementeren van dergelijke nieuwe Instructies, zal de Klant schriftelijk contact opnemen met de Verwerker. Als de omvang van dergelijke nieuwe Instructies verder gaat dan de Dienst kan aanbieden, behoudt de Verwerker zich het recht voor de Klant bijkomend gemaakte kosten in rekening te brengen met betrekking tot het uitvoeren van dergelijke instructies door de Verwerker. Instructies moeten commercieel redelijk zijn, in overeenstemming zijn met Toepasselijke wet- en regelgeving en consequent met de overeenkomst zijn.
4. Verplichtingen van Zervant
4.1 Verwerker
Zervant is de Verwerker met betrekking tot de Klantpersoonsgegevens die Verwerkt worden volgens de Overeenkomst. Zervant verbindt zich tot naleving van de Toepasselijke wet- en regelgeving en de Instructies van de Klant met betrekking tot alle Verwerking van de Klantpersoonsgegevens. De Verwerker mag de Klantpersoonsgegevens niet kopiëren of reproduceren of de Klantpersoonsgegevens Verwerken voor doeleinden anders dan in de Overeenkomst overeengekomen over Verwerking.
De Verwerker zal de Klant informeren als de Verwerker redelijkerwijs gelooft dat nieuwe door de Klant gegeven Instructies de Toepasselijke wet- en regelgeving schenden. De Verwerker mag de uitvoering van dergelijke nieuwe Instructies schorsen totdat deze door de Klant zijn aangepast of bevestigd. De Klant is er altijd uiteindelijk verantwoordelijk voor dat alle Instructies in overeenkomst zijn met de Toepasselijke wet- en regelgeving. De Verwerker zal enkel verplicht zijn om de Klant te informeren als de Verwerker in de Instructies een dreigende schending van de Toepasselijke wet- en regelgeving ontdekt, maar de Verwerker is niet anderszins verplicht om na te gaan of te verifiëren of de Instructies in overeenstemming zijn met de Toepasselijke wet- en regelgeving.
4.2 Bijstand
Zervant stemt ermee in de Klant redelijkerwijs bij te staan om te voldoen aan de verplichtingen als Verwerkingsverantwoordelijke met betrekking tot de Klantpersoonsgegevens die onder deze overeenkomst door Zervant worden Verwerkt. Bij deze verplichtingen kan het gaan om het bijstaan van de Klant bij het beantwoorden van verzoeken of vragen van bevoegde toezichthoudende autoriteiten, het uitvoeren van gegevensbeschermingseffectbeoordeling en het verzoeken van voorafgaande raadpleging, alsmede het bijstaan van de Klant bij het uitvoeren van verzoeken van Betrokkenen met betrekking tot hun rechten binnen de Toepasselijke wet- en regelgeving.
Als het aankomt op bijstand bij het ingaan op verzoeken van een Betrokkene die zijn/haar rechten onder de Toepasselijke wet- en regelgeving uitoefent (zoals het recht op toegang en het recht op rectificatie of wissing), zal de Klant eerst gebruikmaken van de overeenkomstige functies van de Diensten. Wanneer en voor zover de Klant niet door gebruik van de functies van de Dienst aan een dergelijk verzoek kan voldoen, zal Zervant de Klant anderszins commercieel redelijke bijstand bieden. Zervant heeft het recht om alle redelijkerwijs bijkomende gemaakte kosten voor dergelijke bijstand te factureren en de Klant zal verplicht zijn dergelijke bijkomende kosten zoals door Zervant gefactureerd, te betalen.
Indien er een Betrokkene, ander individu of toezichthoudende autoriteit direct bij Zervant een verzoek tot bijstand indient met betrekking tot de Klantpersoonsgegevens (zoals een verzoek tot toegang, rectificatie of wissing, het leveren van informatie of het uitvoeren van een andere actie), zal Zervant de Klant zo spoedig als redelijkerwijs mogelijk en voor zover toegestaan binnen de Toepasselijke wet- en regelgeving over een dergelijk verzoek informeren.
4.3 Doorgiften van persoonsgegevens
Zervant verwerkt Klantpersoonsgegevens hoofdzakelijk binnen de Europese Economische Ruimte (“EEA”). Om de Diensten te leveren, kan Zervant echter van tijd tot tijd ook Klantpersoonsgegevens buiten de EEA verstrekken of uitwisselen. Bij dit soort situaties kan het gaan om gevallen waarbij de onderaannemers van Zervant of hun systemen zich buiten de EEA bevinden.
In dergelijke gevallen zal Zervant altijd de nodige juridische waarborgen toepassen om de beveiliging en vertrouwelijkheid van de Klantpersoonsgegevens te waarborgen in overeenstemming met de Toepasselijke wet- en regelgeving. De Klant erkent en accepteert dergelijke verstrekkingen en doorgiften met betrekking tot de Diensten. Zervant zal, op verzoek van de Klant, de Klant van verdere informatie voorzien over dergelijke doorgiften en de toegepaste juridische waarborgen.
Het recht van Zervant op gebruik van Onderaannemers wordt in hoofdstuk 6 verder omschreven.
4.4 Functionaris voor gegevensbescherming
Zervant heeft een Privacy-en Informatiefunctionaris aangewezen om problemen op het gebied van Gegevensbescherming af te handelen. Als de Toepasselijke wet- en regelgeving dit vereist, wijst Zervant een functionaris voor gegevensbescherming aan en zal het de relevante contactgegevens op aanvraag aan de Klant doorgeven.
4.5 Werknemers
Zervant maakt werknemers vertrouwd met, instrueert en leidt werknemers op die deelnemen aan de Verwerking van Persoonsgegevens (waaronder Klantpersoonsgegevens) met betrekking tot de gegevensbescherming en privacyvereisten onder de Toepasselijke wet- en regelgeving, en verzekert dat deze werknemers zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
Als de Klant specifieke Instructies heeft gegeven met betrekking tot de Verwerking van de Klantpersoonsgegevens, zal Zervant de werknemers betrokken bij de Verwerking van Klantpersoonsgegevens eveneens op de hoogte stellen van de inhoud van dergelijke Instructies.
4.6 Beveiliging
Zervant voert gepaste technische en organisatorische beveiligingsmaatregelen uit en onderhoudt deze ter bescherming van alle Persoonsgegevens (inclusief de Klantpersoonsgegevens) die het Verwerkt.
Zervant kiest dergelijke beveiligingsmaatregelen naar eigen oordeel gebaseerd op bijv. industriestandaarden, marktpraktijk en specifieke vereisten onder de Toepasselijke wet- en regelgeving. Zervant kan zijn beveiligingsmaatregelen van tijd tot tijd aanpassen maar zal het algehele beveiligingsniveau zolang de DPA van kracht is niet verminderen .
Zervant zal te allen tijde de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen gebruikt voor Verwerking van persoonsgegevens verzekeren. Zervant zal regelmatig de effectiviteit van de door Zervant uitgevoerde technische en organisatorische beveiligingsmaatregelen testen, onderzoeken en evalueren. Zervant verbindt zich tot naleving van regelgevingsbesluiten met betrekking tot passende beveiligingsmaatregelen voor de Verwerking van Persoonsgegevens.
In het geval van een beveiligingsincident dat per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de Klantpersoonsgegevens Verwerkt door Zervant (“Beveiligingsincident”), zal Zervant de Klant onverwijld over dergelijk Beveiligingsincident informeren.
Dergelijke kennisgeving over een Beveiligingsincident zal op zijn minst en zoals vereist onder de Toepasselijke wet- en regelgeving bevatten:
- a) een omschrijving van de aard en de strekking van het Beveiligingsincident, inclusief, indien mogelijk, de categorieën en geschatte aantallen van de Betrokkenen op wie het Beveiligingsincident betrekking heeft, evenals de categorieën en geschatte aantallen van Klantpersoonsgegevens waarop het Beveiligingsincident betrekking heeft.
- b) naam en contactgegevens van de functionaris voor gegevensbescherming van Zervant (indien aangewezen) of andere contactpunten waar meer informatie kan worden verkregen.
- c) een omschrijving van de geschatte gevolgen van het Beveiligingsincident; en
- d) een omschrijving van de maatregelen die Zervant heeft genomen of beoogt te nemen om het Beveiligingsincident aan te pakken en te verhelpen, inclusief maatregelen voor het matigen van de potentieel negatieve effecten.
De bovengenoemde informatie over het Beveiligingsincident kan ook in stappen worden verstrekt in het geval Zervant deze niet allemaal tegelijk kan verstrekken bij het informeren van de Klant over het Beveiligingsincident. Zervant zal alle ondervonden Beveiligingsincidenten vastleggen in overeenstemming met de Toepasselijke wet- en regelgeving.
5. Audit
Zervant zal passende registers bijhouden of anderszins zijn Verwerking met betrekking tot Klantpersoonsgegevens vastleggen wanneer en voor zover vereist door de Toepasselijke wet- en regelgeving.
Op verzoek zal Zervant de Klant een kopie bieden met het relevante deel van dergelijke documentatie of registers gerelateerd aan de Verwerking van de Klantpersoonsgegevens door Zervant.
De Klant of een externe controleur aangewezen door de Klant mag de naleving door Zervant van deze DPA en Toepasselijke wet- en regelgeving met betrekking tot Verwerking van de Klantpersoonsgegevens controleren in overeenstemming met de bepalingen van deze DPA.
De Klant moet Zervant schriftelijk minimaal eenentwintig (21) dagen op voorhand verwittigen van iedere voorgenomen audit in de bedrijfsruimten van Zervant. Zervant zal een testplatform opzetten waar de Klant de audit met betrekking tot de Diensten van Zervant kan uitvoeren. Dergelijke audits moeten in de eerste plaats worden uitgevoerd door een onafhankelijke externe controleur en altijd tijdens de reguliere kantooruren van Zervant, zonder aanzienlijke verstoring van de bedrijfsvoering van Zervant.
Zervant zal een kopie van zijn registers van de Verwerking van de Klantpersoonsgegevens en alle andere bestaande documentatie verstrekken waar relevant voor de audit en op verzoek van de Klant en stemt ermee in om de Klant redelijke bijstand te verlenen bij de audits.
Voor alle door de Klant gevraagde aanvullende documentatie, ondersteuning of diensten behoudt Zervant zich het recht voor om de inspanning en de daaruit voortvloeiende redelijke kosten aan de Klant te factureren.
Dit zal ook een passende vergoeding omvatten voor de gewerkte uren van de werknemers van Zervant tijdens hun ondersteuning van de Klant bij de audit. De Klant is verantwoordelijk voor zijn eigen kosten (inclusief de kosten van een eventuele externe controleur) in verband met dergelijke audits.
Zervant stemt er ook mee in om audits te laten uitvoeren door bevoegde toezichthoudende autoriteiten met betrekking tot de Verwerking van Klantpersoonsgegevens door Zervant en stemt ermee in om de nodige informatie over zijn activiteiten met betrekking tot Verwerking te verstrekken aan deze bevoegde toezichthoudende autoriteiten.
Indien Zervant een bericht van een bevoegde toezichthoudende autoriteit over een voorgenomen audit met betrekking tot de Verwerking van de Klantpersoonsgegevens ontvangt, zal Zervant de Klant onmiddellijk op de hoogte stellen van een dergelijke voorgenomen audit van de toezichthoudende autoriteit.
6. Onderaannemers
Zervant maakt gebruik van Onderaannemers in verband met zijn Diensten, waarvan sommige ook zullen deelnemen aan de Verwerking van de Klantpersoonsgegevens. De Klant geeft algemene machtiging en toestemming, zodat Zervant gelieerde bedrijven en andere Onderaannemers kan betrekken bij en gebruiken voor de verwerking van de Klantpersoonsgegevens in verband met de levering van de Diensten, voor zover deze toewijzing niet leidt tot niet-naleving van de Toepasselijke wet- en regelgeving of de verplichtingen van Zervant op grond van deze DPA.
Zervant verzekert dat de betrokken Onderaannemers voldoende gekwalificeerd zijn, een gegevensverwerkingsovereenkomst met Zervant zijn aangegaan en zich zullen houden aan verplichtingen op het gebied van gegevensverwerking en geheimhouding die minstens even uitgebreid zijn als de verplichtingen die in het kader van deze DPA zijn overeengekomen. Zervant controleert de prestaties van zijn Onderaannemers regelmatig en is aansprakelijk voor hun werk naar de Klant alsof het zijn eigen werk is. Zervant stemt ermee in om de Klant op diens verzoek een lijst van zijn Onderaannemers, gebruikt in verband met de Diensten, te verstrekken
Zervant is vrij om Onderaannemers te kiezen en te wijzigen in overeenstemming met de voorwaarden van deze DPA en de Toepasselijke wet- en regelgeving. Zervant zal de Klant niettemin op de hoogte brengen van eventuele materiële wijzigingen bij zijn Onderaannemers. Indien de Klant een gegronde reden heeft om van mening te zijn dat een dergelijke wijziging van de Onderaannemers van Zervant zou leiden tot een risico met betrekking tot de Klantpersoonsgegevens, heeft de Klant het recht om bezwaar te maken tegen een dergelijke wijziging van de Onderaannemers van Zervant.
7. Aansprakelijkheid
In verband met de Verwerking van Klantpersoonsgegevens in verband met de Overeenkomst zullen beide Partijen aansprakelijk zijn jegens elkaar voor directe schade die door hun inbreuken op deze DPA of op de Toepasselijke wet- en regelgeving wordt toegebracht aan de niet-overtredende Partij (met inbegrip van, maar niet beperkt tot, eventuele bestuursrechtelijke sancties die door de bevoegde toezichthoudende autoriteiten worden opgelegd).
Geen van beide Partijen is aansprakelijk voor indirecte of gevolgschade, met inbegrip van, maar niet beperkt tot, winst-, inkomsten-, reputatie- of goodwillderving.
De aansprakelijkheid van de Partijen in het kader van deze Overeenkomst is onderworpen aan het in de Overeenkomst overeengekomen aansprakelijkheidsplafond.
8. Geldigheid
Deze DPA treedt in werking op dezelfde datum als waarop de Algemene Verordening Gegevensbescherming geldt en zal geldig blijven tot de Overeenkomst wordt beëindigd.
Gedurende de periode van dertig (30) dagen na beëindiging van de Overeenkomst stelt Zervant de Klantgegevens op verzoek van de Klant onverwijld ter beschikking van de Klant. Na beëindiging van de Overeenkomst zal Zervant onverwijld alle Klantpersoonsgegevens (en eventuele kopieën daarvan) vernietigen of teruggeven aan de Klant, tenzij Zervant op grond van de vereisten van op Zervant van toepassing zijnde wet- en regelgeving verplicht is de Klantpersoonsgegevens te bewaren.