Home 5 Bijlage gegevensbescherming

Bijlage gegevensbescherming

Geldig vanaf 12 april 2024

De klant die akkoord gaat met deze Voorwaarden (“Klant”) heeft een Gebruikersovereenkomst of een SaaS Dienstenovereenkomst afgesloten met masernet GmbH Deutschland (“masernet”, “wij”, “onze”, etc.) waaronder masernet is overeengekomen diensten te leveren aan de Klant (zoals van tijd tot tijd gewijzigd, de “Overeenkomst“).

Dit Addendum Gegevensbescherming, inclusief de bijlagen hierbij (het“Addendum”) is van kracht vanaf de Ingangsdatum van het Addendum (zoals hieronder gedefinieerd) en vervangt alle eerder van toepassing zijnde Voorwaarden voor Gegevensverwerking en Beveiliging. Dit Addendum maakt deel uit van de Overeenkomst.

  1. Definities
    Voor de toepassing van dit Addendum hebben de volgende termen de hieronder vermelde betekenis. Termen die in dit Addendum met een hoofdletter worden gebruikt, maar niet anderszins worden gedefinieerd, hebben de betekenis die in de Overeenkomst is vastgelegd.
    1.1Ingangsdatum van het Addendum” betekent de datum waarop de Partijen dit Addendum zijn overeengekomen.
    1.2“Verbonden ondernemingen” betekent alle ondernemingen die rechtstreeks of onrechtstreeks zeggenschap uitoefenen over, gecontroleerd worden door of onder gemeenschappelijke controle staan van de relevante onderneming, waarbij “zeggenschap” verwijst naar de macht om de relevante onderneming te leiden of te beheren, hetzij via het bezit van stemrechtverlenende effecten, bij contract of anderszins.
    1.3“Auditverslagen” heeft de betekenis die eraan wordt gegeven in Artikel 5.4.4 (Auditverslagen).
    1.4“CCPA” betekent de California Consumer Privacy Act van 2018.
    1.5“Persoonsgegevens van de Klant” betekent alle persoonsgegevens of persoonlijke informatie van Betrokkenen die zijn opgenomen in de gegevens die aan masernet zijn verstrekt of waartoe masernet toegang heeft door of namens de Klant of de Eindgebruikers van de Klant in verband met de Diensten.
    1.6“Wereldwijde wetgeving inzake gegevensbescherming” betekent de Europese wetgeving inzake gegevensbescherming, CCPA en LGPD die van toepassing zijn op de verwerking van de Persoonsgegevens van de Klant onder de Overeenkomst.
    1.7“EER” betekent de Europese Economische Ruimte.
    1.8“EU” betekent de Europese Unie.
    1.9“Europese wetgeving inzake gegevensbescherming”: de GDPR en andere wetten inzake gegevensbescherming van de EU, haar lidstaten, Zwitserland, IJsland, Liechtenstein en Noorwegen die van toepassing zijn op de verwerking van persoonsgegevens van klanten in het kader van de Overeenkomst.
    1.10“GDPR” betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van betrokkenen in de EU en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
    1.11“Informatiebeveiligingsincident” betekent een inbreuk op de beveiliging van masernet die resulteert in de onopzettelijke of onwettige vernietiging, verlies, wijziging of ongeoorloofde bekendmaking van of toegang tot Persoonsgegevens van Klant in bezit, bewaring of beheer van masernet. “Informatiebeveiligingsincidenten” omvatten geen onsuccesvolle pogingen of activiteiten die de beveiliging van Persoonsgegevens van Klanten niet in gevaar brengen, waaronder onsuccesvolle inlogpogingen, pings, poortscans, denial of service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.
    1.12“LGPD” betekent de Braziliaanse Algemene Verordening Gegevensbescherming.
    1.13“Standaard Contractuele Clausules” of “SCC’s” zijn de standaard gegevensbeschermingsclausules voor de doorgifte van persoonsgegevens aan verwerkers in derde landen die geen adequaat niveau van gegevensbescherming waarborgen, zoals beschreven in artikel 46 van de GDPR.
    1.14“Veiligheidsdocumentatie” betekent alle documenten en informatie verstrekt door Masernet in overeenstemming met paragraaf 5.4.1 (Audits).
    1.15“Beveiligingsmaatregelen” heeft de betekenis als gegeven in Paragraaf 5.1.1 (Beveiligingsmaatregelen van Masernet).
    1.16“Diensten” betekent de diensten en/of producten die masernet levert aan de klant onder de overeenkomst.
    1.17“Subverwerkers” zijn derden die op grond van dit Addendum gemachtigd zijn om persoonsgegevens van de Klant te verwerken in verband met de Diensten.
    1.18“Termijn” betekent de periode vanaf de ingangsdatum van het Addendum tot het einde van de levering van de Diensten door masernet.
    1.19“Doorgifteoplossing” betekent de modelcontractbepalingen of een andere oplossing die de rechtmatige doorgifte van Persoonsgegevens naar een derde land mogelijk maakt in overeenstemming met artikel 45 of 46 van de GDPR.

    1.20De termen “Persoonsgegevens”, “Betrokkene”, “Verwerking”, “Verwerkingsverantwoordelijke”, “Verwerker” en “Toezichthoudende Autoriteit” zoals gebruikt in dit Addendum hebben de betekenissen zoals bepaald in de GDPR en LGPD, en de termen “Gegevensimporteur” en “Gegevensuitvoerder” hebben de betekenissen zoals bepaald in de Standaard Contractuele Clausules. De termen “Persoonsgegevens”, “Bedrijf” en “Dienstverlener” hebben de betekenis zoals uiteengezet in de CCPA.

  2. Duur van het Addendum
    Dit Addendum wordt van kracht op de Ingangsdatum van het Addendum en blijft van kracht ongeacht het verstrijken van de Termijn totdat masernet alle Persoonsgegevens van de Klant verwijdert zoals beschreven in dit Addendum, op welk moment het automatisch vervalt.
  3. Gegevensverwerking
    3.1 Rollen en naleving; autorisatie.
    3.1.1 Verantwoordelijkheden van de Verwerker en de Verantwoordelijke. Dit Addendum is alleen van toepassing voor zover wij Persoonsgegevens van de Klant verwerken namens de Klant. Waar Europese wetgeving inzake gegevensbescherming, de LGPD of de CCPA van toepassing zijn op de verwerking van de persoonsgegevens van de Klant, erkennen en stemmen de partijen hiermee in:
    1. het object en de details van de verwerking worden beschreven in Bijlage 1;
    2. masernet is een verwerker van dergelijke Persoonsgegevens van Klanten onder de Europese wetgeving inzake gegevensbescherming of de LGPD en/of een dienstverlener met betrekking tot dergelijke Persoonsgegevens van Klanten onder de CCPA, zoals van toepassing;
    3. De Klant is ofwel een verwerkingsverantwoordelijke of een verwerker van dergelijke Persoonsgegevens van Klanten onder de Europese wetgeving inzake gegevensbescherming of de LGPD en/of een organisatie met betrekking tot dergelijke Persoonsgegevens van Klanten onder de CCPA, zoals van toepassing; en
    4. elke partij zal voldoen aan haar verplichtingen onder de toepasselijke wereldwijde wetgeving inzake gegevensbescherming met betrekking tot de verwerking van dergelijke Persoonsgegevens van Klanten.
    3.1.2 Toestemming door de derde verwerkingsverantwoordelijke. Wanneer Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van Persoonsgegevens van Klanten en de Klant een Verwerker is, garandeert de Klant aan masernet dat de instructies en handelingen van de Klant met betrekking tot deze Persoonsgegevens van Klanten, met inbegrip van zijn benoeming van masernet als verdere Verwerker en zijn toestemming voor de bekendmaking van Persoonsgegevens van Klanten door masernet aan zijn Sub-Verwerkers, zijn geautoriseerd door de relevante Verwerkingsverantwoordelijke.
    3.2 Toepassing van de verwerking.
    3.2.1 Instructies van de Klant. Door het aangaan van dit Addendum, instrueert de Klant masernet om de Persoonsgegevens van de Klant alleen te verwerken in overeenstemming met de toepasselijke wetgeving: (a) om de Diensten te verlenen; (b) zoals toegestaan door de Overeenkomst, inclusief dit Addendum en de Bijlagen; en (c) zoals verder gedocumenteerd in andere schriftelijke instructies gegeven door de Klant en schriftelijk erkend door masernet als instructies voor de doeleinden van dit Addendum.

    3.2.2 masernet zal de Instructies naleven. masernet zal alleen Persoonsgegevens van de Klant verwerken in overeenstemming met de instructies van de Klant (inclusief met betrekking tot gegevensoverdrachten) zoals beschreven in paragraaf 3.2.1 (“Instructies van de Klant”), tenzij toepasselijke wereldwijde wetgeving inzake gegevensbescherming waaraan masernet is onderworpen, vereist dat masernet Persoonsgegevens van de Klant anders verwerkt, in welk geval masernet de Klant hiervan op de hoogte zal stellen (tenzij de wet masernet verbiedt dit te doen om zwaarwegende redenen van algemeen belang).

  4. Verwijderen van gegevens
    4.1 Verwijderingbij beëindiging. Tenzij anders bepaald in de overeenkomst, zal de klant masernet instrueren om alle persoonsgegevens van de klant (met inbegrip van bestaande kopieën) te verwijderen uit de systemen van masernet zo snel als vereist door de toepasselijke wetgeving na het verstrijken van de looptijd van de overeenkomst, tenzij de toepasselijke wetgeving masernet verhindert dergelijke gegevens te verwijderen. Voor zover de klant gebonden is aan wet- of regelgeving die masernet zou verplichten persoonsgegevens van de klant te bewaren na het verstrijken van de Termijn, en de klant nalaat masernet op de hoogte te stellen van dergelijke bewaarplichten, is de klant als enige aansprakelijk voor het verwijderen van dergelijke gegevens door masernet in overeenstemming met dit artikel 4.1.

  5. Gegevensbeveiliging
    5.1 Beveiligingsmaatregelenontroles en ondersteuning van masernet.
    5.1.1 van de veiligheidsvoorschriften door de werknemers van masernet masernet verleent enkel toegang tot de persoonsgegevens van de klant aan die werknemers, contractanten en uitbestede verwerkers die deze toegang nodig hebben voor de omvang van hun diensten en die onderworpen zijn aan overeenkomstige vertrouwelijkheidsovereenkomsten.
    5.1.2 Naleving Security Compliance by masernet Staff. masernet will grant access to Customer Personal Data only to employees, contractors and Subprocessors who need such access for the scope of their performance, and are subject to appropriate confidentiality arrangements.
    5.1.3 masernet’s Beveiligingsbijstand. masernet zal (rekening houdend met de aard van de verwerking van de Persoonsgegevens van de Klant en de informatie waarover masernet beschikt) de Klant de redelijke bijstand verlenen die de Klant nodig heeft om te voldoen aan zijn verplichtingen met betrekking tot de Persoonsgegevens van de Klant onder de wereldwijde wetgeving inzake gegevensbescherming, met inbegrip van artikel 32 tot en met 34 van de GDPR en artikel 6 en 46 van de LGPD:
    1. Implementatie en onderhoud van veiligheidsmaatregelen in overeenstemming met paragraaf 5.1.1 (masernet veiligheidsmaatregelen);
    2. naleving van de bepalingen van paragraaf 5.2 (Informatiebeveiligingsincidenten); en
    3. de Klant voorzien van de veiligheidsdocumentatie in overeenstemming met paragraaf 5.4.1 (Beoordeling van de veiligheidsdocumentatie) en de Overeenkomst, inclusief dit Addendum.
    5.2 Informatiebeveiligingsincidenten.
    5.2.1 Kennisgeving van Informatie Beveiligings Incidenten. Indien masernet zich bewust wordt van een Informatiebeveiligingsincident, zal masernet: (a) de klant onmiddellijk na kennisname van het Informatiebeveiligingsincident op de hoogte brengen; en (b) redelijke stappen ondernemen om het geval van een dergelijk Informatiebeveiligingsincident te identificeren, de schade te minimaliseren en herhaling te voorkomen.
    5.2.2 Details van het informatiebeveiligingsincident. Kennisgevingen uit hoofde van deze Sectie 5.2 (Informatiebeveiligingsincidenten) bevatten, voor zover redelijkerwijs mogelijk, een beschrijving van de details van het Informatiebeveiligingsincident, met inbegrip van (i) de aard van het Informatiebeveiligingsincident, met inbegrip van, voor zover mogelijk, de categorieën en bij benadering het aantal getroffen personen en de categorieën en bij benadering het aantal getroffen persoonsgegevens; (ii) de naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar nadere informatie kan worden verkregen; (iii) de waarschijnlijke gevolgen van het Informatiebeveiligingsincident; (iv) de genomen of voorgestelde maatregelen om de potentiële risico’s te beperken en de stappen die masernet de Klant aanbeveelt om het Informatiebeveiligingsincident aan te pakken, waaronder, indien van toepassing, maatregelen om de potentiële negatieve gevolgen te beperken.
    5.2.3 Melding. De klant is als enige verantwoordelijk voor het naleven van de op hem van toepassing zijnde wetgeving inzake het melden van incidenten en voor het nakomen van eventuele meldingsverplichtingen aan derden in verband met een of meer informatiebeveiligingsincidenten.
    5.2.4 Geen erkenning van schuld door masernet. Het op de hoogte brengen van masernet van een Informatie Beveiligingsincident of het reageren op een dergelijk incident in overeenstemming met deze Sectie 5.2 (Informatie Beveiligingsincidenten) zal niet worden opgevat als een erkenning van schuld of aansprakelijkheid vanwege masernet met betrekking tot het Informatie Beveiligingsincident.
    5.3 Veiligheidsverantwoordelijkheiden -beoordeling van de klant.
    5.3.1 Beveiligingsverantwoordelijkheden van de klant. De klant stemt ermee in dat, zonder afbreuk te doen aan de verplichtingen van masernet onder paragraaf 5.1 (Beveiligingsmaatregelen, controles en ondersteuning van masernet) en paragraaf 5.2 (Informatiebeveiligingsincidenten):
    1. De Klant is als enige verantwoordelijk voor zijn gebruik van de Diensten, met inbegrip van:
      1. passend gebruik van de diensten om een beveiligingsniveau te garanderen dat in verhouding staat tot het risico met betrekking tot de persoonsgegevens van de klant;
      2. het beveiligen van de authenticatiegegevens, systemen en apparaten die door de Klant worden gebruikt om toegang te krijgen tot de Diensten; en
      3. het beveiligen van de systemen en apparaten van de Klant die masernet gebruikt om de Diensten te verlenen; en
      4. de beveiliging van de persoonlijke gegevens van haar klanten.
    2. masernet is niet verplicht persoonsgegevens van de klant te beschermen die de klant opslaat of doorgeeft buiten de systemen van masernet en haar subverwerkers (bijv. offline of on-site opslag).
    5.3.2 Veiligheidsbeoordeling van de klant.
    1. De Klant is als enige verantwoordelijk voor het beoordelen van de Beveiligingsdocumentatie en voor het zelf beoordelen of de Diensten, de beveiligingsmaatregelen en de verplichtingen van Masernet onder dit Artikel 5 (Gegevensbeveiliging) voldoen aan de behoeften van de Klant, inclusief met betrekking tot eventuele beveiligingsverplichtingen van de Klant onder toepasselijke wereldwijde wetgeving inzake gegevensbescherming.
    2. De klant erkent en stemt ermee in dat (rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking van de persoonsgegevens van de klant en de risico’s voor individuen) de beveiligingsmaatregelen geïmplementeerd en onderhouden door masernet, zoals uiteengezet in Sectie 5.1.1 (Beveiligingsmaatregelen van masernet), een beveiligingsniveau bieden dat geschikt is voor het risico dat wordt gevormd door de persoonsgegevens van de klant.
    5.4 Compliancebeoordelingen en -audits.
    5.4.1 Beoordelingen. De Klant mag masernet’s naleving van zijn verplichtingen onder dit Addendum maximaal eenmaal per jaar controleren. Daarnaast mag de Klant of de toezichthoudende autoriteit van de Klant frequentere controles uitvoeren (inclusief inspecties) voor zover vereist door de toepasselijke wereldwijde wetgeving inzake gegevensbescherming. masernet zal bijdragen aan dergelijke controles door de Klant of de toezichthoudende autoriteit van de Klant te voorzien van de informatie en bijstand die redelijkerwijs vereist is om de controle uit te voeren, met inbegrip van alle relevante gegevens over verwerkingsactiviteiten die van toepassing zijn op de Diensten.
    5.4.2 Bezwaren tegen de auditor van een derde partij. Indien een derde de audit dient uit te voeren, kan masernet de auditor weigeren indien, naar masernet’s redelijke oordeel, de auditor niet voldoende gekwalificeerd of onafhankelijk is, een concurrent van masernet is of anderszins kennelijk ongeschikt is. Een dergelijk bezwaar door masernet verplicht de klant een andere auditor aan te stellen of de audit zelf uit te voeren.
    5.4.3 Aanvraag voor audit. Om een audit aan te vragen dient de Klant een gedetailleerd auditplan in te dienen bij masernet ten minste twee weken voor de voorgestelde auditdatum. Het voorgestelde auditplan moet de voorgestelde reikwijdte, duur en startdatum van de audit beschrijven. masernet zal het voorgestelde auditplan beoordelen en eventuele zorgen of kwesties aan de Klant meedelen (bijv. elk verzoek om informatie die de beveiliging, privacy, werkomstandigheden of ander relevant beleid van masernet in gevaar zou kunnen brengen). masernet zal met de Klant samenwerken om een definitief auditplan overeen te komen. Niets in deze paragraaf 5.4 (Nalevingscontroles en audits) verplicht masernet tot het schenden van vertrouwelijkheidsverplichtingen.
    5.4.4 Auditrapporten. Indien de gevraagde reikwijdte van de audit wordt behandeld in een SSAE 16/18/ISAE 3402 Type 2, AICPA SOC 2 (SOC for Service Organisations: Trust Services Criteria), ISO, NIST of vergelijkbaar auditrapport dat is uitgevoerd door een gekwalificeerde derde auditor (“Auditrapporten”) binnen twaalf (12) maanden na het auditverzoek van de Klant, en masernet bevestigt dat er geen bekende materiële wijzigingen zijn in de geauditeerde controles, stemt de Klant ermee in deze bevindingen te accepteren in plaats van een audit aan te vragen van de controles die in het rapport worden behandeld.
    5.4.5 Uitvoeren van de audit. De audit moet worden uitgevoerd tijdens de normale kantooruren in de betreffende vestiging, met inachtneming van het overeengekomen definitieve auditplan en het gezondheids- en veiligheidsbeleid of andere relevante beleidslijnen van masernet, en mag de bedrijfsactiviteiten van masernet niet op onredelijke wijze hinderen.
    5.4.6 Voorwaarden van de audit. De Klant zal masernet onverwijld op de hoogte stellen van alle inbreuken die tijdens een audit worden ontdekt en zal masernet voorzien van alle auditrapporten die worden gegenereerd in verband met een audit overeenkomstig dit Artikel 5.4 (Compliance Reviews en Audits), tenzij verboden door toepasselijke wereldwijde wetgeving inzake gegevensbescherming of anderszins bevolen door een toezichthoudende autoriteit. De Klant mag de auditrapporten enkel gebruiken om te voldoen aan zijn wettelijke auditvereisten en/of om de naleving van de vereisten van dit Addendum te bevestigen. De Auditrapporten en alle Masernetinformatie die tijdens het auditproces wordt uitgewisseld, zijn Vertrouwelijke Informatie van de partijen onder de voorwaarden van de Overeenkomst.
    5.4.7 Kosten van de audit. Alle audits zijn voor rekening van de Klant. De Klant zal masernet vergoeden voor de tijd besteed door masernet of zijn subverwerkers in verband met audits of inspecties overeenkomstig dit artikel 5.4 (Compliance Beoordelingen en Audits) op basis van de dan geldende tarieven voor professionele diensten van masernet, die op verzoek aan de Klant zullen worden verstrekt. De Klant is verantwoordelijk voor alle kosten die in rekening worden gebracht door een auditor die door de Klant wordt ingeschakeld om een dergelijke audit uit te voeren.

    5.4.8 Standaard Contractuele Clausules. De Partijen komen overeen dat dit artikel 5.4 (nalevingscontroles en -audits) voldoet aan de verplichtingen van Masernet op grond van de auditvereisten van de modelcontractbepalingen die van toepassing zijn op de Gegevensimporteur op grond van artikel 5(f) en op Subverwerkers op grond van artikel 11 en artikel 12(2).

  6. Impactbeoordelingen en raadplegingen
    masernet zal (rekening houdend met de aard van de Verwerking en de informatie waarover masernet beschikt) de Klant redelijkerwijs bijstaan bij het voldoen aan zijn verplichtingen onder de toepasselijke wereldwijde wetgeving inzake gegevensbescherming met betrekking tot effectbeoordelingen voor gegevensbescherming en voorafgaande raadplegingen, met inbegrip van, indien van toepassing, de verplichtingen van de Klant onder de artikelen 35 en 36 van de GDPR:
    6.1 Audit rapporten en beveiligingsmaatregelen. Het ter inzage beschikbaar stellen van kopieën van auditrapporten of andere documentatie waarin relevante aspecten van het informatiebeveiligingsprogramma van Masernet en de in verband daarmee toegepaste beveiligingsmaatregelen worden beschreven; en
    6.2 Voorwaardelijke informatie. Het verstrekken van de informatie in de Overeenkomst, inclusief dit Addendum.


  7. Rechten van de betrokkene
    7.1 Verantwoordelijkheid van de Klant voor Verzoeken. Indien masernet gedurende de Termijn een verzoek ontvangt van een Betrokkene met betrekking tot Persoonsgegevens van de Klant, zal masernet, naar eigen goeddunken, (i) de Klant informeren over het verzoek, (ii) de Betrokkene adviseren zijn verzoek aan de Klant te richten, en/of (iii) de Betrokkene informeren dat zijn verzoek is doorgestuurd naar de Klant. De Klant is verantwoordelijk voor het beantwoorden van een dergelijk verzoek.
    7.2 masernet’s Data Subject Request Assistance. masernet zal (rekening houdend met de aard van de verwerking van de Persoonsgegevens van Klant) Klant voorzien van self-service functionaliteit via de Diensten of andere redelijke assistentie die nodig is voor Klant om te voldoen aan zijn verplichting onder de toepasselijke wereldwijde wetgeving inzake gegevensbescherming om te reageren op Verzoeken van Betrokkenen, met inbegrip van, indien van toepassing, de verplichting van Klant om te reageren op verzoeken om de rechten van Betrokkenen uit te oefenen onder Hoofdstuk III van de GDPR, artikelen 18 en 19 van de LGPD of artikel 1798.105 van de CCPA. Klant zal masernet vergoeden voor de kosten van dergelijke assistentie buiten de levering van zelfbedieningsfuncties die deel uitmaken van de Diensten, tegen de op dat moment geldende tarieven voor professionele diensten van masernet, die op verzoek aan Klant zullen worden verstrekt.

  8. Gegevensoverdracht
    8.1 faciliteitenvoor gegevensopslag en -verwerking. masernet mag, onder voorbehoud van punt 8.2 (gegevensoverdracht vanuit de EER), de persoonsgegevens van de klant opslaan en verwerken waar masernet of zijn subverwerkers faciliteiten hebben.
    8.2 Overdracht van gegevens buiten de EER.
    8.2.1 Overdrachtsverplichtingen van masernet. Indien de opslag en/of verwerking van Persoonsgegevens van de Klant (zoals uiteengezet in Sectie 8.1 (Opslag en verwerking van gegevens)) de overdracht van Persoonsgegevens van de Klant naar landen buiten de EER of Zwitserland met zich meebrengt en de Europese wetgeving inzake gegevensbescherming van toepassing is op de overdracht van dergelijke gegevens (“Doorgegeven Persoonsgegevens”), zal masernet een dergelijke overdracht uitvoeren in overeenstemming met een overdrachtsoplossing en de Klant op verzoek informatie verstrekken over een dergelijke overdrachtsoplossing.
    8.2.2 Verplichtingen van de Klant tijdens de overdracht. Met betrekking tot Overgedragen Persoonsgegevens stemt de Klant ermee in dat indien masernet redelijkerwijs vereist onder de Europese wetgeving inzake gegevensbescherming dat de Klant een andere overdrachtsoplossing gebruikt die wordt aangeboden door masernet (anders dan de Standaard Contractuele Clausules die hierbij zijn gevoegd als Bijlage 3 en waarnaar wordt verwezen, voor zover de Klant Persoonsgegevens van de LR of Zwitserland naar masernet overdraagt), en masernet redelijkerwijs eist dat de Klant alle maatregelen neemt (waaronder mogelijk het opstellen van documenten) die nodig zijn om een dergelijke oplossing volledig van kracht te laten zijn, de Klant dit zal doen.

    8.3 Openbaarmaking van Vertrouwelijke Informatie die Persoonsgegevens bevat. Indien de Klant Standaard Contractuele Clausules heeft afgesloten zoals beschreven in paragraaf 8.2 (Gegevensoverdracht vanuit de EER), zal masernet, niettegenstaande iets anders in de Overeenkomst, alle openbaarmakingen van Vertrouwelijke Informatie van de Klant die Persoonsgegevens bevat en alle kennisgevingen met betrekking tot dergelijke openbaarmakingen doen in overeenstemming met dergelijke Standaard Contractuele Clausules. Voor de toepassing van de Algemene Contractuele Bepalingen komen de Klant en masernet overeen dat (i) de Klant optreedt als gegevensexporteur namens zichzelf en namens de Filialen van de Klant en (ii) masernet of haar respectievelijke Filiaal optreedt als gegevensimporteur namens zichzelf en/of namens de Filialen van masernet.

  9. Subprocessors
    9.1 Instemming met het inschakelen van subverwerkers. De klant geeft in het algemeen toestemming voor het inschakelen van andere derden als subverwerkers en geeft toestemming voor het doorgeven van persoonsgegevens van de klant aan de door masernet ingeschakelde subverwerkers. Indien de klant Standaard Contractuele Clausules heeft afgesloten zoals beschreven in paragraaf 8.2 (Gegevensoverdrachten vanuit de EER), vormen de bovenstaande toestemmingen de voorafgaande schriftelijke toestemming van de klant aan masernet voor het uitbesteden van de verwerking van de persoonsgegevens van de klant waar een dergelijke toestemming vereist is onder de Standaard Contractuele Clausules.
    9.2 Informatieover Subverwerkers. Informatie over Subverwerkers, met inbegrip van hun functies en locaties, is beschikbaar op https://masernet.com/dpa/subprocessors (en kan van tijd tot tijd worden bijgewerkt door masernet in overeenstemming met dit Addendum).
    9.3 Eisenvoor het inschakelen van Subverwerkers. Bij het inschakelen van een sub-verwerker, zal masernet een schriftelijke overeenkomst aangaan met deze sub-verwerker die gegevensbeschermingsverplichtingen bevat die niet minder beschermend zijn dan die in de Overeenkomst (inclusief dit Addendum) met betrekking tot de bescherming van de persoonsgegevens van de Klant voor zover van toepassing op het type diensten dat door deze sub-verwerker wordt geleverd. masernet zal aansprakelijk zijn voor alle verplichtingen die aan de sub-verwerker zijn toegewezen en voor alle handelingen en nalatigheden van de sub-verwerker.

    9.4 Optieom bezwaar te maken tegen wijzigingen in de subverwerker. Indien gedurende de looptijd van de Overeenkomst een nieuwe Sub-Verwerker wordt ingeschakeld, zal masernet de Klant ten minste 30 dagen voordat de nieuwe Sub-Verwerker Persoonsgegevens van de Klant verwerkt op de hoogte stellen van de indienstneming (met inbegrip van de naam en locatie van de betreffende Sub-Verwerker en de activiteiten die deze zal uitvoeren). De Klant kan bezwaar maken tegen een nieuwe Sub-Verwerker door binnen tien (10) werkdagen nadat hij op de hoogte is gesteld van de aanstelling van de Sub-Verwerker, zoals hierboven beschreven, masernet hiervan schriftelijk op de hoogte te stellen. Indien de Klant bezwaar maakt tegen een nieuwe Subverwerker, zullen de Klant en masernet te goeder trouw samenwerken om een wederzijds aanvaardbare oplossing te vinden om dit bezwaar op te lossen. Indien de partijen niet in staat zijn om binnen een redelijke termijn tot een wederzijds aanvaardbare oplossing te komen, kan de Klant, als enige en exclusieve remedie, de Overeenkomst beëindigen door schriftelijke kennisgeving aan masernet.

  10. Verwerking van gegevensrecords

    10.1 Registers van verwerking door masernet. Klant erkent dat masernet onder de GDPR verplicht is om: (a) bepaalde informatie te verzamelen en bij te houden, waaronder de naam en contactgegevens van elke verwerker en/of verwerkingsverantwoordelijke waarvoor masernet optreedt en, indien van toepassing, de lokale vertegenwoordiger en functionaris voor gegevensbescherming van dergelijke verwerker of verwerkingsverantwoordelijke; en (b) dergelijke informatie beschikbaar te stellen aan toezichthoudende autoriteiten. Indien de GDPR van toepassing is op de verwerking van persoonsgegevens van de Klant, zal de Klant dergelijke informatie op verzoek aan masernet verstrekken en ervoor zorgen dat alle verstrekte informatie nauwkeurig en actueel is.

  11. Aansprakelijkheid
    11.1 Beperking van Aansprakelijkheid. De gecombineerde totale aansprakelijkheid van een partij en haar Gelieerde Ondernemingen jegens de andere partij en haar Gelieerde Ondernemingen, hetzij contractueel, op grond van onrechtmatige daad of enige andere theorie van aansprakelijkheid, onder of in verband met de Overeenkomst, dit Addendum en de Standaard Contractuele Clausules, indien aangegaan zoals beschreven in Sectie 8.2 (Gegevensoverdrachten vanuit de EER), is beperkt, behoudens Sectie 11.2 (Uitsluitingen van aansprakelijkheidsbeperkingen), tot aansprakelijkheidsbeperkingen of andere aansprakelijkheidsbeperkingen die door de partijen in de Overeenkomst zijn overeengekomen.

    11.2 Uitsluitingvan Aansprakelijkheidsbeperking. Artikel 11.1 (Beperking van aansprakelijkheid) heeft geen invloed op de aansprakelijkheid van een Partij jegens Betrokkenen onder de bepalingen van de Standaard Contractuele Clausules voor Derdenbegunstigden voor zover de beperking van dergelijke rechten verboden is door Europese wetgeving inzake gegevensbescherming.

  12. Analytics
    De Klant erkent en stemt ermee in dat masernet geanonimiseerde en/of geaggregeerde gegevens mag creëren en afleiden die de Klant of enige natuurlijke persoon niet identificeren uit de verwerking in verband met de Diensten, en dat masernet dergelijke gegevens mag gebruiken, publiceren of delen met derden om de producten en diensten van masernet te verbeteren en voor andere legitieme zakelijke doeleinden.
  13. Kennisgevingen
    Niettegenstaande andersluidende bepalingen in de Overeenkomst, kunnen kennisgevingen die vereist of toegestaan zijn door masernet aan de Klant worden gedaan (a) in overeenstemming met de opzeggingsclausule van de Overeenkomst, (b) aan masernet’s primaire contactpunten met de Klant, en/of (c) aan een e-mail die door de Klant is verstrekt voor het verstrekken van Service-gerelateerde kennisgevingen of waarschuwingen. De Klant is zelf verantwoordelijk voor de geldigheid van deze e-mailadressen.
  14. Effect van deze Voorwaarden 
    Niettegenstaande andersluidende bepalingen in de Overeenkomst, zal in geval van tegenstrijdigheid of inconsistentie tussen dit Addendum en de overige bepalingen van de Overeenkomst, dit Addendum prevaleren.

Bijlage 1

Doel en details van gegevensverwerking

Deze Bijlage 1 wordt opgenomen in het Addendum en maakt tevens deel uit van de Algemene Contractuele Bepalingen (voor zover deze Algemene Contractuele Bepalingen van toepassing zijn op de Klant).

Gegevens importerenDe gegevensimporteur (of serviceprovider/verwerker) is masernet, een leverancier van productiviteitsoplossingen.
GegevensexporteurDe gegevensexporteur (of bedrijf/controleur) is de klant die partij is bij het addendum.
Objectde levering van diensten door masernet aan de klant zoals uiteengezet in het contract en addendum.
Duur van de verwerkingDe termijn plus de periode vanaf het verstrijken van de termijn tot het verwijderen van alle persoonsgegevens van de klant door masernet in overeenstemming met het addendum.
Aard en doel van de verwerkingmasernet ontvangt, verwerkt en bewaart persoonsgegevens van de Klant ten behoeve van het verlenen van de Diensten aan de Klant in overeenstemming met de Overeenkomst en het Addendum, om te communiceren met de Klant en zijn Eindgebruikers, om klantenservice te verlenen, om de Diensten te bewaken, te onderhouden en te verbeteren en om anderszins te voldoen aan zijn verplichtingen uit hoofde van de Overeenkomst.
Categorieën van mogelijke gegevens
  • Voornaam en achternaam
  • Titel
  • Positie
  • Werkgever
  • Contactgegevens (bedrijf, e-mail, telefoon, fysiek bedrijfsadres)
  • ID-gegevens
  • Aansluitgegevens
  • Lokalisatiegegevens
  • Andere elektronische gegevens die worden verzonden, opgeslagen, verzonden of ontvangen door een Eindgebruiker (dit kan speciale categorieën van persoonsgegevens omvatten onder de GDPR of gevoelige persoonsgegevens onder de LGPD voor zover dergelijke gegevens worden verzonden, opgeslagen, verzonden of ontvangen door een Eindgebruiker; masernet vraagt geen gevoelige of speciale categorieën van persoonsgegevens voor het leveren van de Diensten)
  • Informatie over facturen of betalingen voor de masernetdienst
  • Informatie over gebruik
 
Betrokkenen
  • werknemers, agenten, adviseurs en/of freelancers van de Klant (die natuurlijke personen zijn) en/of personen over wie via de Diensten gegevens aan masernet worden verstrekt door (of in opdracht van) de Klant
  • Eindgebruikers die door de klant gemachtigd zijn om de diensten te gebruiken
Subprocessors

Bijlage 2

Veiligheidsmaatregelen

Deze Bijlage 2 wordt opgenomen in het Addendum en maakt tevens deel uit van de Algemene Contractuele Bepalingen (voor zover deze Algemene Contractuele Bepalingen van toepassing zijn op de Klant).

Vanaf de ingangsdatum van het Addendum zal masernet technische en organisatorische beveiligingsmaatregelen implementeren en onderhouden. masernet kan deze beveiligingsmaatregelen van tijd tot tijd bijwerken of wijzigen, mits dergelijke updates en wijzigingen de algehele beveiliging van de Diensten niet wezenlijk verminderen.

Bijlage 3

Standaard contractbepalingen

Voor de toepassing van artikel 26, lid 2, van Richtlijn 95/46/EG betreffende de doorgifte van persoonsgegevens aan verwerkers die zijn gevestigd in derde landen die geen passend niveau van gegevensbescherming waarborgen, aanvaardt de klant die de bepalingen overeenkomstig het addendum aanvaardt (de “gegevensexporteur”) dat

En

Masernet GmbH Duitsland (de “gegevensimporteur”)

HEBBEN OVEREENSTEMMING BEREIKT omtrent de volgende contractbepalingen (de “bepalingen”) teneinde passende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van natuurlijke personen met betrekking tot de doorgifte van in aanhangsel 1 opgenomen persoonsgegevens door de gegevensexporteur aan de gegevensimporteur.

Achtergrond

De gegevensexporteur heeft een Data Processing Addendum (“DPA”) afgesloten met de gegevensimporteur. Volgens de voorwaarden van de DPA omvatten de door de gegevensimporteur geleverde diensten de doorgifte van persoonsgegevens aan de gegevensimporteur. De gegevensimporteur is gevestigd in een land dat geen adequaat niveau van gegevensbescherming garandeert. Om naleving van Richtlijn 95/46/EG en de toepasselijke wetgeving inzake gegevensbescherming te waarborgen, stemt de voor de verwerking verantwoordelijke in met de levering van dergelijke diensten, met inbegrip van de daarmee verband houdende verwerking van persoonsgegevens, op voorwaarde dat de gegevensimporteur voldoet aan de voorwaarden van deze bepalingen.

Clausule 1: Definities

Voor de toepassing van de clausules:

  1. De termen “persoonsgegevens”, “bijzondere categorieën gegevens”, “verwerking”, “voor de verwerking verantwoordelijke”, “verwerker”, “betrokkene” en “toezichthoudende autoriteit” hebben dezelfde betekenis als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
  2. de “gegevensexporteur” is de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;
  3. gegevensimporteur”: de verwerker die ermee instemt van de gegevensexporteur persoonsgegevens te ontvangen om namens hem te worden verwerkt na de doorgifte in overeenstemming met zijn instructies en de bepalingen van de bepalingen, en die niet onderworpen is aan een regeling van een derde land die passende bescherming biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
  4. subverwerker”: een door de gegevensimporteur of door een andere subverwerker van de gegevensimporteur ingeschakelde verwerker die overeenkomt van de gegevensimporteur of van een andere subverwerker van de gegevensimporteur persoonsgegevens te ontvangen die uitsluitend bestemd zijn voor verwerkingsactiviteiten die namens de gegevensexporteur worden uitgevoerd na de doorgifte in overeenstemming met diens instructies, de bepalingen van de bepalingen en de voorwaarden van het schriftelijke subcontract;
  5. toepasselijke wetgeving inzake gegevensbescherming”: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, met name hun recht op persoonlijke levenssfeer met betrekking tot de verwerking van persoonsgegevens, die van toepassing zijn op een voor de verwerking verantwoordelijke in de lidstaat waarin de gegevensexporteur is gevestigd;
  6. technische en organisatorische beveiligingsmaatregelen”: maatregelen ter bescherming van persoonsgegevens tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.

Clausule 2: Details van de overdracht

De details van de doorgifte, in het bijzonder de bijzondere categorieën persoonsgegevens, worden uiteengezet in Bijlage 1, die deel uitmaakt van de Clausules.

Clausule 3: Derdebegunstigingsclausule

  1. De betrokkene kan zich jegens de gegevensexporteur op deze bepaling, bepaling 4, onder b) tot en met i), bepaling 5, onder a) tot en met e) en g) tot en met j), bepaling 6, leden 1 en 2, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 beroepen als derdebegunstigde.
  2. De betrokkene kan deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegen de gegevensimporteur inroepen wanneer de gegevensexporteur feitelijk of juridisch heeft opgehouden te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daarmee de rechten en verplichtingen van de gegevensexporteur heeft overgenomen, in welk geval de betrokkene deze bepalingen tegen die rechtsopvolger kan inroepen.
  3. De betrokkene kan deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de subverwerker afdwingen indien zowel de gegevensexporteur als de gegevensimporteur feitelijk of juridisch heeft opgehouden te bestaan of insolvent is geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en aldus de rechten en verplichtingen van de gegevensexporteur heeft overgenomen; In dat geval kan de betrokkene deze tegen deze organisatie doen gelden. De aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingsactiviteiten krachtens de bepalingen.
  4. De partijen hebben er geen bezwaar tegen dat een betrokkene wordt vertegenwoordigd door een vereniging of andere organisatie indien de betrokkene hier uitdrukkelijk om verzoekt en dit is toegestaan onder de nationale wetgeving.

Clausule 4: Verplichtingen van de gegevensexporteur

De gegevensexporteur gaat hiermee akkoord en garandeert dit:

  1. dat de verwerking van de persoonsgegevens, met inbegrip van de doorgifte zelf, heeft plaatsgevonden en zal blijven plaatsvinden in overeenstemming met de desbetreffende bepalingen van de toepasselijke wetgeving inzake gegevensbescherming (en, indien van toepassing, is aangemeld bij de bevoegde autoriteiten van de lidstaat waarin de gegevensexporteur is gevestigd) en geen inbreuk maakt op de desbetreffende bepalingen van die staat;
  2. dat hij de gegevensimporteur heeft geïnstrueerd en zal instrueren om gedurende de verwerking van de persoonsgegevens de doorgegeven persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en de bepalingen te verwerken;
  3. de gegevensimporteur voldoende waarborgen biedt met betrekking tot de technische en organisatorische beveiligingsmaatregelen overeenkomstig bijlage 2 bij deze overeenkomst;
  4. dat, na verificatie van de eisen van de toepasselijke wetgeving inzake gegevensbescherming, de beveiligingsmaatregelen geschikt zijn om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en dat die maatregelen een passend beveiligingsniveau waarborgen gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging ervan;
  5. dat het de naleving van de veiligheidsmaatregelen zal garanderen;
  6. dat, indien de doorgifte bijzondere categorieën gegevens betreft, de betrokkene vóór of zo spoedig mogelijk na de doorgifte ervan in kennis is of zal worden gesteld dat zijn of haar gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt in de zin van Richtlijn 95/46/EG;
  7. elke kennisgeving door de gegevensimporteur of een subverwerker krachtens bepaling 5, onder b), en bepaling 8, lid 3, door te zenden aan de toezichthoudende autoriteit voor gegevensbescherming, indien de gegevensexporteur besluit de doorgifte voort te zetten of de opschorting op te heffen;
  8. betrokkenen op verzoek een afschrift van de bepalingen, met uitzondering van bijlage 2, verstrekken, alsmede een beknopte beschrijving van de beveiligingsmaatregelen en een afschrift van elk contract voor subverwerkingsdiensten dat krachtens de bepalingen moet worden gesloten, tenzij de bepalingen of het contract commerciële informatie bevatten, in welk geval zij deze commerciële informatie kan verwijderen;
  9. in het geval van subverwerking, de in bepaling 11 bedoelde verwerkingsactiviteit wordt uitgevoerd door een subverwerker die ten minste hetzelfde niveau van bescherming van de persoonsgegevens en de rechten van de betrokkene biedt als de gegevensimporteur krachtens de bepalingen; en
  10. dat zij zal zorgen voor naleving van clausule 4 letters a) tot en met i).

Clausule 5: Verplichtingen van de gegevensimporteur

De gegevensimporteur gaat hiermee akkoord en garandeert dit:

  1. de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en de bepalingen verwerken; indien hij hiertoe om welke reden dan ook niet in staat is, verbindt hij zich ertoe de gegevensexporteur onverwijld mede te delen dat hij hiertoe niet in staat is, in welk geval de gegevensexporteur het recht heeft de gegevensdoorgifte op te schorten en/of het contract te beëindigen;
  2. dat hij geen reden heeft om aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen en dat hij, in geval van een wijziging van die wetgeving die een aanzienlijk nadelig effect op de in de bepalingen bedoelde garanties en verplichtingen zou kunnen hebben, de gegevensexporteur, zodra hij er kennis van heeft gekregen, onverwijld van die wijziging in kennis stelt, in welk geval de gegevensexporteur het recht heeft de gegevensdoorgifte op te schorten en/of het contract te beëindigen;
  3. dat zij de technische en organisatorische veiligheidsmaatregelen heeft genomen zoals gespecificeerd in Appendix 2 alvorens de doorgegeven persoonsgegevens te verwerken;
  4. en zal de gegevensexporteur onmiddellijk op de hoogte worden gebracht:
    1. elk wettelijk bindend verzoek van een wetshandhavingsinstantie om de persoonsgegevens openbaar te maken, tenzij anderszins verboden, bijvoorbeeld door een verbod op grond van het strafrecht om de vertrouwelijkheid van een strafrechtelijk onderzoek te beschermen,
    2. onopzettelijke of onbevoegde toegang en
    3. elk verzoek dat rechtstreeks van de betrokkenen wordt ontvangen, zonder op dat verzoek in te gaan, tenzij ze daartoe anderszins gemachtigd zijn;
  5. snel en correct te antwoorden op alle vragen van de gegevensexporteur over de verwerking van de doorgegeven persoonsgegevens en het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de doorgegeven gegevens op te volgen;
  6. op verzoek van de gegevensexporteur zijn gegevensverwerkingsfaciliteiten te onderwerpen aan een controle van de onder deze bepalingen vallende verwerkingsactiviteiten, die wordt uitgevoerd door de gegevensexporteur of door een toezichthoudende autoriteit, bestaande uit onafhankelijke leden die de nodige beroepskwalificaties bezitten en gebonden zijn door het beroepsgeheim, die door de gegevensexporteur in voorkomend geval in overeenstemming met de toezichthoudende autoriteit worden gekozen;
  7. de betrokkene op verzoek een afschrift van de bepalingen of van elk bestaand contract inzake subverwerking verstrekken, tenzij de bepalingen of het contract commerciële informatie bevatten, in welk geval de betrokkene deze commerciële informatie mag verwijderen, met uitzondering van bijlage 2, die wordt vervangen door een beknopte beschrijving van de beveiligingsmaatregelen in gevallen waarin de betrokkene geen afschrift van de gegevensexporteur kan krijgen;
  8. dat hij de gegevensexporteur vooraf heeft geïnformeerd in geval van subverwerking en diens schriftelijke toestemming heeft verkregen;
  9. dat de verwerking wordt uitgevoerd door de subverwerker in overeenstemming met sectie 11;
  10. de gegevensexporteur onverwijld een afschrift verstrekken van de subverwerkingscontracten die hij krachtens de bepalingen heeft gesloten.

Clausule 6: Aansprakelijkheid

  1. De partijen komen overeen dat elke betrokkene die schade heeft geleden ten gevolge van een schending door een partij of een subverwerker van de verplichtingen bedoeld in bepaling 3 of bepaling 11, recht heeft op vergoeding van de geleden schade door de gegevensexporteur.
  2. Wanneer een betrokkene geen vordering tot schadevergoeding krachtens lid 1 tegen de gegevensexporteur kan instellen wegens een inbreuk door de gegevensimporteur of zijn subverwerker op een van de in bepaling 3 of bepaling 11 genoemde verplichtingen, omdat de gegevensexporteur feitelijk of juridisch heeft opgehouden te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensimporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensimporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen; In dat geval kan de betrokkene zijn of haar rechten tegen dat bedrijf doen gelden. De gegevensimporteur kan zich niet beroepen op het feit dat een subverwerker zijn verplichtingen niet is nagekomen om zijn eigen aansprakelijkheid te ontlopen.
  3. Indien een betrokkene geen vordering kan instellen tegen de gegevensexporteur of de gegevensimporteur op grond van de leden 1 en 2 wegens niet-nakoming door de subverwerker van een van zijn verplichtingen krachtens bepaling 3 of bepaling 11 omdat zowel de gegevensexporteur als de gegevensimporteur feitelijk of juridisch niet meer bestaan of insolvent zijn, stemt de subverwerker ermee in dat de betrokkene een vordering kan instellen tegen de subverwerker met betrekking tot diens eigen verwerking krachtens de bepalingen als ware hij de gegevensexporteur of de gegevensimporteur, als ware hij de gegevensexporteur of de gegevensimporteur, stemt de subverwerker ermee in dat de betrokkene een vordering kan instellen tegen de subverwerker met betrekking tot diens eigen verwerkingen krachtens de bepalingen als ware hij de gegevensexporteur of de gegevensimporteur, tenzij een opvolgend bedrijf contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen; In dat geval kan de betrokkene zijn of haar rechten doen gelden tegen dit bedrijf. De aansprakelijkheid van de subverwerker is beperkt tot zijn eigen verwerkingsactiviteiten onder de Clausules

Clausule 7: Arbitrage en rechtsbevoegdheid

  1. De gegevensimporteur stemt ermee in dat de gegevensimporteur de beslissing van de betrokkene aanvaardt indien de betrokkene rechten van derden jegens de gegevensimporteur doet gelden en/of schadevergoeding eist krachtens de bepalingen:
    1. om het geschil te onderwerpen aan arbitrage door een onafhankelijke persoon of, indien nodig, door de toezichthoudende autoriteit;
    2. ohet geschil voorleggen aan de rechtbanken van de lidstaat waar de gegevensexporteur is gevestigd.
  2. De partijen komen overeen dat de keuze van de betrokkene geen invloed heeft op zijn of haar materiële en procedurele rechten om verhaal te halen onder andere bepalingen van nationaal of internationaal recht.

Clausule 8: Samenwerking met de toezichthoudende autoriteiten

  1. De gegevensexporteur stemt ermee in een kopie van deze overeenkomst bij de toezichthoudende autoriteit in te dienen indien de toezichthoudende autoriteit daarom verzoekt of indien een dergelijke indiening vereist is onder de toepasselijke wetgeving inzake gegevensbescherming.
  2. De partijen komen overeen dat de toezichthoudende autoriteit het recht heeft de gegevensimporteur en eventuele subverwerkers te onderwerpen aan een audit die dezelfde reikwijdte heeft en aan dezelfde voorwaarden is onderworpen als een audit van de gegevensexporteur krachtens de toepasselijke wetgeving inzake gegevensbescherming.
  3. De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van het bestaan van wettelijke bepalingen die op hem of op een subverwerker van toepassing zijn en die een controle van de gegevensimporteur of een subverwerker overeenkomstig lid 2 verhinderen. In dat geval mag de gegevensexporteur de in punt 5, onder b), bedoelde maatregelen nemen.

Clausule 9: Toepasselijk recht

De bepalingen zijn onderworpen aan de wetgeving van de lidstaat waarin de gegevensexporteur is gevestigd.

Clausule 10: Wijziging van het contract

De partijen verbinden zich ertoe de clausules niet te wijzigen of aan te passen. Dit belet de partijen niet om, indien nodig, clausules over bedrijfsgerelateerde kwesties toe te voegen, zolang deze niet in tegenspraak zijn met de clausules.

Clausule 11: Subverwerking

  1. De gegevensimporteur besteedt de verwerkingsactiviteiten die hij krachtens de bepalingen namens de gegevensexporteur uitvoert, niet uit zonder voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur zijn verplichtingen uit hoofde van de bepalingen met toestemming van de gegevensexporteur uitbesteedt, mag hij dit slechts doen door middel van een schriftelijke overeenkomst met de subverwerker waarbij aan de subverwerker dezelfde verplichtingen worden opgelegd als die welke krachtens de bepalingen voor de gegevensimporteur gelden. Indien de subverwerker zijn verplichtingen inzake gegevensbescherming uit hoofde van een dergelijke schriftelijke overeenkomst niet nakomt, blijft de gegevensimporteur jegens de gegevensexporteur volledig aansprakelijk voor de nakoming van de verplichtingen van de subverwerker uit hoofde van die overeenkomst.
  2. Het voorafgaande schriftelijke contract tussen de gegevensimporteur en de subverwerker dient tevens te voorzien in een derdenbeding overeenkomstig bepaling 3, indien de betrokkene de in bepaling 6, lid 1, bedoelde vordering tot schadevergoeding niet tegen de gegevensexporteur of de gegevensimporteur kan instellen omdat deze feitelijk of juridisch hebben opgehouden te bestaan of insolvent zijn geworden en geen rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen. De aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingsactiviteiten in overeenstemming met de bepalingen.
  3. (2. Op de bepalingen betreffende de gegevensbeschermingsaspecten van de in lid 1 bedoelde subverwerking van het contract is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing.
  4. De gegevensexporteur houdt een lijst bij van de subverwerkingscontracten die krachtens de bepalingen zijn gesloten en die krachtens bepaling 5, onder j), door de gegevensimporteur zijn aangemeld; deze lijst wordt ten minste eenmaal per jaar bijgewerkt. De lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voo

Clausule 12: Verplichtingen na beëindiging van de verwerking van persoonsgegevens

  1. De partijen komen overeen dat de gegevensimporteur en de subverwerker bij de beëindiging van de gegevensverwerkingsdiensten, naar keuze van de gegevensexporteur, ofwel alle doorgegeven persoonsgegevens en de kopieën daarvan aan de gegevensexporteur terugbezorgen, ofwel alle persoonsgegevens vernietigen en dit aan de gegevensexporteur bevestigen, tenzij de gegevensimporteur wettelijk wordt verhinderd alle of een deel van de doorgegeven persoonsgegevens terug te bezorgen of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens zal waarborgen en de doorgegeven persoonsgegevens niet langer actief zal verwerken.
  2. (2. De gegevensimporteur en de subverwerker zorgen ervoor dat hun gegevensverwerkingsfaciliteiten op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit aan een audit van de in lid 1 bedoelde maatregelen worden onderworpen.
SubprocessorActiviteitenPersoonlijke gegevensLocatie(s)
Amazon Web Servicesnfrastructuur (cloud service provider)N.A.VS, Brazilië, Ierland, Duitsland, India, Australië, Zuid-Korea
DeftBox-oplossingenOntwikkelingOrganisatie, account-ID, metagegevens van het verzoek, IP, account-IDIndia
Google AnalyticsAnalytics, MarketingN.A.VS
HetznerInfrastructuur (cloud service provider)Duitsland
LinkedinMarketingN.A.VS
OVH-cloudInfrastructuur (cloud service provider)N.A.Duitsland
NamecheapInfrastructuurE-mail, e-mailinhoud en gerelateerde infrastructuuractiviteitenVS