| Naam | Verwerkingsregio | Beschrijving verwerking van | Overdrachtsmechanisme |
|---|---|---|---|
| Amazon Web Services (AWS), Inc. | EU / VS | hosting | Privacy van gegevenskader |
| Atlassian Pty Ltd. | USA | hosting | Privacy van gegevenskader |
| Google Cloud Platform LLC | EU / VS | hosting | Privacy van gegevenskader |
| Microsoft Azure | EU / VS | hosting | Privacy van gegevenskader |
| Van Twilio Inc. | USA | Cloudcommunicatieplatform | Data Privacy Framework of SCC |
Verwerkersovereenkomst
Deze overeenkomst definieert de voorwaarden waaronder Encryption Consulting persoonsgegevens namens haar klanten verwerkt. De overeenkomst beschrijft de rollen, verantwoordelijkheden en waarborgen om te voldoen aan wetgeving inzake gegevensbescherming, zoals de AVG. De DPA zorgt ervoor dat gegevens rechtmatig, veilig en uitsluitend volgens de instructies van de klant worden verwerkt.
Laatst bijgewerkt 14 januari 2025
Deze gegevensverwerkingsovereenkomst (“DPA”) wordt beheerst door en hierbij gehecht aan de Master Service Agreement, Servicevoorwaarden of enige andere overeenkomst (“Overeenkomst”) uitgevoerd door en tussen Encryption Consulting LLC (“Encryption Consulting"), en u, een klant, gebruiker of individu (“ ”). Encryption Consulting en Klant worden elk aangeduid als “feest" en gezamenlijk als "partijen'.
Alle met een hoofdletter geschreven begrippen die hierin niet worden gedefinieerd, hebben de betekenis die daaraan in de Overeenkomst is toegekend.
TERWIJLEncryption Consulting is een toonaangevende leverancier van cryptografische diensten en producten die organisaties helpt identiteiten te beveiligen, gegevens te beschermen en digitaal vertrouwen op te bouwen. (“Encryptie Consulting”), alles zoals overeengekomen door de partijen in het toepasselijke bestelformulier of andere besteldocumenten die zijn opgenomen in de Overeenkomst (gezamenlijk de “Diensten)");
TERWIJLde Diensten kunnen vereisen dat Encryption Consulting Persoonsgegevens (zoals deze termen hieronder worden gedefinieerd) namens Klant verwerkt, die Klant uitsluitend aan Encryption Consulting bekendmaakt voor de beperkte en gespecificeerde doeleinden die hierin worden uiteengezet, en onderworpen aan de voorwaarden van deze DPA; en
TERWIJLDe partijen wensen deze DPA aan te vullen om te voldoen aan de wetten inzake gegevensbescherming van het Verenigd Koninkrijk, de EU, Zwitserland, de Verenigde Staten en andere landen, en komen het volgende overeen:
DEFINITIES
- "Voldoende land“een land is dat een adequaatheidsbesluit heeft ontvangen van de Europese Commissie of een andere bevoegde gegevensbeschermingsautoriteit.
- De voorwaarden "Bedrijf","Zakelijk doel" "Consument", "Controller","Gegevensonderwerp","Persoonsgegevens","Inbreuk op persoonsgegevens“, “verwerkingsoplossingen" (En "Proces“), “Gegevensverwerker","Holder" “Gevoelige gegevens”, “Dienstverlener”, “Verkoop” (of “Verkopen”) en “Delen”, "Speciale categorieën van persoonlijke gegevens"En"Toezichthoudende autoriteit"hebben allemaal dezelfde betekenis als die welke daaraan wordt toegekend onder de toepasselijke wetgeving inzake gegevensbescherming. Verder wordt in deze DPA verstaan onder "Gegevensonderwerp"zal ook betekenen en verwijzen naar een "Consument"En"Persoonsgegevens"zal ook betekenen en verwijzen naar"Persoonlijke informatie", En "Speciale categorieën gegevens"Of"Zeer gevoelige gegevens"zal ook betekenen en verwijzen naar"Gevoelige data'.
- "Klanten data" betekent Klantgegevens (zoals gedefinieerd in de Overeenkomst) en alle Persoonsgegevens die door Encryption Consulting worden verwerkt in het kader van de levering van haar Diensten aan Klant, alles zoals gedetailleerd in Bijlage I hierbij gevoegd.
- "Kader voor gegevensprivacy" of "DPF" betekent het EU-VS-gegevensprivacykader en de Britse uitbreiding van het EU-VS-gegevensprivacykader, beheerd door het Amerikaanse ministerie van Handel, zoals gewijzigd, vervangen of vervangen.
- "Principes van het kader voor gegevensbescherming"betekent de principes en aanvullende principes die zijn opgenomen in het relevante Data Privacy Framework, beschikbaar op: Deelnamevereisten Data Privacy Framework (DPF) Principes zoals gewijzigd, vervangen of vervangen.
- "Wet bescherming persoonsgegevens"betekent alle toepasselijke wetten en regelgevingen inzake privacy en gegevensbescherming (waaronder, indien van toepassing, de wetgeving inzake gegevensbescherming van de EU, de wetgeving inzake gegevensbescherming van het VK, de Zwitserse wetgeving inzake gegevensbescherming en de Amerikaanse wetgeving inzake gegevensbescherming, zoals deze van tijd tot tijd kunnen worden gewijzigd of vervangen).
- "EER” betekent de Europese Economische Ruimte.
- "Europese gegevensbeschermingswetten"betekent gezamenlijk de wetten en voorschriften van de Europese Unie, de EER, hun lidstaten en het Verenigd Koninkrijk, die van toepassing zijn op de verwerking van persoonsgegevens, waaronder (indien van toepassing):
- (i) Algemene Verordening Gegevensbescherming van de EU (Verordening 2016/679) (“EU AVG“); Verordening 2018/1725; en de e-privacyrichtlijn (Richtlijn 2002/58/EG), zoals gewijzigd (e-Privacywet);
- (ii) “Britse wetgeving inzake gegevensbescherming“ – de Data Protection Act 2018 (DPA 2018), zoals gewijzigd, en de EU AVG zoals opgenomen in de Britse wetgeving zoals gewijzigd (“VK AVG"en gezamenlijk met de EU AVG wordt hierin verwezen als de "GDPR');
- (iii) “Zwitserse wetten inzake gegevensbescherming"Of"FADP” – de Zwitserse federale wet op de gegevensbescherming (gedateerd 19 juni 1992, vanaf 1 maart 2019) (“FDPA“) en de Verordening op de Federale Wet op Gegevensbescherming (“FODP');
- (iv) Nationale wetten inzake gegevensbescherming die zijn vastgesteld krachtens, krachtens, ter vervanging of opvolging van de EU AVG of de e-privacywet;
- (v) Elke wijziging of wetgeving die een van de voorgaande vervangt of actualiseert; en
- (vi) Elke juridische of administratieve interpretatie van een van de bovenstaande punten, met inbegrip van elke bindende juridische of administratieve interpretatie van een van de bovenstaande punten, of goedgekeurde certificeringsmechanismen die zijn uitgegeven door een relevante toezichthoudende autoriteit.
- "Instructies"betekent de schriftelijke, gedocumenteerde instructies die de Klant aan Encryption Consulting verstrekt, waarin Encryption Consulting wordt opgedragen een specifieke of algemene actie uit te voeren met betrekking tot Klantgegevens (inclusief, maar niet beperkt tot, instructies om de Diensten te verlenen onder de Overeenkomst en instructies onder deze DPA).
- "Beveiligingsincident"betekent elke onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Klantgegevens. Elke inbreuk op Persoonsgegevens wordt beschouwd als een Beveiligingsincident.
- "Standaard contractbepalingen"Of"SCC's" middelen
- (i) De standaard contractuele bepalingen voor de doorgifte van Persoonsgegevens aan derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad, aangenomen door Besluit 2021/914 van de Europese Commissie van 4 juni 2021, die te vinden zijn op hier,
- (ii) Het Britse “International Data Transfer Addendum to the European Commission Standard Contractual Clauses” is beschikbaar op: Addendum Internationale Gegevensoverdracht en hierbij bij verwijzing opgenomen (“UK SCC”); of
- (iii) De toepasselijke standaardbepalingen inzake gegevensbescherming die zijn uitgegeven, goedgekeurd of erkend door de Zwitserse federale commissaris voor gegevensbescherming en informatie (“Zwitserse SCC”).
- "Amerikaanse wetten inzake gegevensbescherming"betekent alle Amerikaanse federale en staatswetten en -regelgeving op het gebied van privacy die van kracht zijn vanaf de ingangsdatum van deze DPA en die van toepassing zijn op de verwerking van klantgegevens door Encryption Consulting, en alle uitvoeringsvoorschriften en wijzigingen daarvan, inclusief maar niet beperkt tot de
- (i) California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 – 1798.199) van 2018, inclusief zoals gewijzigd door de California Privacy Rights Act, evenals alle regelgeving die van tijd tot tijd daaronder wordt uitgevaardigd (“CCPA"),
- (ii) De Colorado Privacy Act CRSA § 6-1-1301 en volgende (SB 21-190) (“CPA"), de
- (iii) De Connecticut Data Privacy Act, SB 6 (Connecticut 2022) (“CTDPA');
- (iv) De Florida Digital Bill of Rights SB 262 (“FDBR');
- (v) De Montana Consumer Data Privacy Act 68e wetgevende macht 2023, SB 0384 (“MTCDPA');
- (vi) De Oregon Consumer Data Privacy Act ORS 646A.570-646A.589 (“OCDPA');
- (vii) De Texas Data Privacy and Security Act, Tex. Bus. & Com. Code Ann. § 541.001 e.v. (“TDPSA');
- (viii) De Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 e.v. (“UCPA');
- (ix) De Washington “My Health My Data” Act, Wash. Rev. Code § 19.373.005 et seq., en Nev. Rev. Stat. § 603A, zoals gewijzigd door Nevada SB 370 (samen de “Wetten inzake consumentengezondheidsgegevens in Washington en Nevada"); En
- (x) De Virginia Consumer Data Protection Act, Va. Code Ann. § 59.1-575 e.v. (SB 1392) (“VCDPA“). Alle bepalingen zoals van tijd tot tijd gewijzigd of vervangen, inclusief alle uitvoeringsvoorschriften en wijzigingen daarvan.
Alle andere termen die hierin niet zijn gedefinieerd, hebben de betekenis die daaraan wordt toegekend in de Overeenkomst of de toepasselijke wetgeving inzake gegevensbescherming. Een verwijzing naar een term of artikel van de wetgeving inzake gegevensbescherming verwijst naar de gewijzigde versie. Verwijzingen naar de AVG in deze Gegevensbeschermingsovereenkomst verwijzen naar de AVG of de Britse AVG, afhankelijk van de toepasselijke wetgeving.
ROLLEN EN DETAILS VAN VERWERKING
- Partijen erkennen en komen overeen dat Encryption Consulting, in het kader van de nakoming van hun verplichtingen zoals uiteengezet in de Overeenkomst, en met betrekking tot de Verwerking van Klantgegevens, en in overeenstemming met de toepasselijke Wetgeving inzake Gegevensbescherming, optreedt als Gegevensverwerker en Klant optreedt als Gegevensbeheerder.
- Elke partij is individueel en afzonderlijk verantwoordelijk voor de naleving van de verplichtingen die op die partij van toepassing zijn onder de toepasselijke wetgeving inzake gegevensbescherming. De Klant is als enige verantwoordelijk voor het waarborgen dat zijn Instructies voldoen aan de toepasselijke wetgeving inzake gegevensbescherming en een rechtmatige verwerking van Klantgegevens mogelijk maken, onder meer door het verkrijgen van de vereiste toestemming en het verstrekken van de vereiste openbaarmakingen onder de toepasselijke wetgeving inzake gegevensbescherming.
- Het onderwerp en de duur van de Verwerking die door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke wordt uitgevoerd, de aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen worden beschreven in Bijlage I hierbij gevoegd.
- Indien gevoelige gegevens, bijzondere categorieën persoonsgegevens of zeer gevoelige gegevens worden verwerkt (zoals gedefinieerd in de wetgeving inzake gegevensbescherming), met inbegrip van informatie die "consumentengezondheidsgegevens" vormt in de zin van de CTDPA of de Washington en Nevada Consumer Health Data Laws, of informatie die "beschermde gezondheidsinformatie" vormt in de zin van de Health Insurance Portability and Accountability Act van 1996, 5 USC § 553 e.v., samen met eventuele wijzigingswetgeving en alle daaruit voortvloeiende regelgeving, of persoonsgegevens die door Amerikaanse regelgevende instanties worden beschouwd als gevoelige verwerking in aanmerking komend onder de Amerikaanse wetgeving inzake gegevensbescherming of Amerikaanse staats- of federale wetgeving inzake consumentenbescherming, zoals financiële informatie, demografische informatie, kredietscores, enz., is het de verantwoordelijkheid van Klant om Encryption Consulting van dergelijke verwerking op de hoogte te stellen en ervoor te zorgen dat, indien nodig en van toepassing, aanvullende contractuele verplichtingen worden nagekomen. Ter voorkoming van twijfel: Encryption Consulting monitort en beoordeelt Klantgegevens die worden verwerkt in overeenstemming met deze DPA niet en is mogelijk niet op de hoogte van enige gevoeligheid in Klantgegevens.
VERWERKING VAN PERSOONSGEGEVENS
- Encryption Consulting verklaart en garandeert dat zij Klantgegevens namens de Klant zal verwerken, uitsluitend ten behoeve van het leveren van de Dienst, en dit alles in overeenstemming met de schriftelijke instructies van de Klant onder de Overeenkomst en deze DPA. Onverminderd het bovenstaande, indien Encryption Consulting op grond van toepasselijke wetgeving, waaronder de Wet Bescherming Persoonsgegevens of wetgeving van een unie of lidstaat, verplicht is Klantgegevens te verwerken anders dan opgedragen door Klant, zal Encryption Consulting redelijke inspanningen leveren om de Klant hierover te informeren voorafgaand aan de Verwerking van dergelijke Klantgegevens, tenzij dit verboden is onder toepasselijk recht.
- Encryption Consulting verklaart hierbij dat zij de regels, vereisten en definities onder de toepasselijke wetgeving inzake gegevensbescherming begrijpt en dat zij niet:
- (i) De klantgegevens verkopen of delen;
- (ii) De Klantgegevens bewaren, gebruiken of openbaar maken voor een ander doel dan het in de Overeenkomst gespecificeerde Zakelijke Doel;
- (iii) Persoonlijke informatie ontvangen of verwerken als tegenprestatie voor de diensten die het aan de klant levert; of
- (iv) De Klantgegevens combineren met andere Persoonsgegevens die zij van of namens een andere klant ontvangt.
- Encryption Consulting voldoet aan de vereisten die zijn vastgelegd in de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot de verwerking van geanonimiseerde gegevens.
- Encryption Consulting zal de Klant onverwijld informeren indien zij naar eigen redelijk oordeel van mening is dat een van de instructies van de Klant in strijd is met de toepasselijke wetgeving. In een dergelijk geval heeft Encryption Consulting het recht om alle verwerkingsactiviteiten met betrekking tot de inbreukmakende instructie onmiddellijk op te schorten of te staken.
- Encryption Consulting stelt de Klant op de hoogte indien zij vaststelt dat zij niet langer kan voldoen aan haar verplichtingen op grond van deze DPA of de toepasselijke wetgeving inzake gegevensbescherming.
- Encryption Consulting zal redelijke medewerking en bijstand verlenen aan de Klant om te waarborgen dat aan diens verplichting wordt voldaan om gegevensbeschermingseffectbeoordelingen uit te voeren en voorafgaand overleg te plegen met toezichthoudende autoriteiten of andere bevoegde autoriteiten op het gebied van gegevensbescherming, voor zover dit vereist is op grond van de toepasselijke wetgeving inzake gegevensbescherming (met inbegrip van gegevensbeschermingseffectbeoordelingen en overleg met regelgevende instanties), op voorwaarde dat Encryption Consulting alleen bijstand hoeft te verlenen voor informatie die redelijkerwijs beschikbaar is voor de Klant.
- Indien van toepassing, zal Encryption Consulting de Klant bijstaan bij het waarborgen dat de Verwerkte Klantgegevens juist en actueel zijn, door de Klant onverwijld te informeren indien Encryption Consulting zich ervan bewust wordt dat de Klantgegevens die zij verwerkt onjuist of verouderd zijn.
- Encryption Consulting zorgt ervoor dat:
- (i) De betrouwbaarheid van haar personeel en van alle andere personen die onder haar toezicht handelen en die in contact kunnen komen met Klantgegevens of op een andere manier toegang kunnen hebben tot Klantgegevens en deze kunnen verwerken; en
- (ii) Dat de personen die bevoegd zijn om de Klantgegevens te Verwerken, zich tot geheimhouding hebben verplicht of onder een passende wettelijke geheimhoudingsplicht vallen.
RECHTEN VAN BETROKKENE EN WETTELIJKE VERZOEKEN
- Er is overeengekomen dat wanneer Encryption Consulting een verzoek ontvangt van een betrokkene tot uitoefening van diens rechten of van een bevoegde autoriteit met betrekking tot Klantgegevens, Encryption Consulting, indien van toepassing, de Klant onverwijld op de hoogte stelt van een dergelijk verzoek en de betrokkene of de bevoegde autoriteit doorverwijst naar de Klant, zodat de Klant rechtstreeks kan reageren op het verzoek van de betrokkene of de bevoegde autoriteit, tenzij anders vereist op grond van de toepasselijke wetgeving.
- Partijen verlenen elkaar commercieel redelijke medewerking en bijstand met betrekking tot de verwerking van en de reactie op verzoeken van de betrokkene of de bevoegde autoriteit, voor zover toegestaan onder de Wet bescherming persoonsgegevens, met inbegrip van dergelijke verzoeken onder het Data Privacy Framework. Encryption Consulting verleent Klant de hierboven vermelde medewerking en bijstand, mits Klant redelijkerwijs niet zelfstandig aan dergelijke verplichtingen kan voldoen met behulp van informatie die beschikbaar is in de documentatie, op de website of via een andere selfservicefunctie van Encryption Consulting.
SUBVERWERKING
- De Klant verleent Encryption Consulting algemene toestemming om externe gegevensverwerkers in te schakelen (“Subverwerker”) om Klantgegevens te Verwerken. De Klant machtigt Encryption Consulting specifiek om de Sub-Processors in te schakelen en aan te stellen zoals vermeld in Bijlage IIIom Klantgegevens te verwerken en staat elke Subverwerker toe om namens hem een Subverwerker aan te wijzen.
- Encryption Consulting kan een extra subverwerker inschakelen of een bestaande subverwerker vervangen om klantgegevens te verwerken, op voorwaarde dat de klant dertig (30) dagen van tevoren op de hoogte wordt gesteld van haar voornemen om dit te doen (een dergelijke kennisgeving kan worden verstrekt via het account van de klant of via e-mailcorrespondentie) (“Verklaring"En"Opzegtermijn” respectievelijk). Indien de Klant binnen de Opzegtermijn geen bezwaar heeft gemaakt tegen de toevoeging of vervanging van een Subverwerker, wordt deze Subverwerker geacht door de Klant te zijn goedgekeurd. Indien de Klant binnen de Opzegtermijn bezwaar maakt tegen de toevoeging of vervanging van een Subverwerker, kan Encryption Consulting, naar eigen goeddunken, de inzet van een andere Subverwerker voor dezelfde dienstverlening voorstellen, of de Klant anderszins in staat stellen de Overeenkomst te beëindigen indien de Diensten onder dergelijke omstandigheden redelijkerwijs niet kunnen worden geleverd, zonder aansprakelijkheid jegens de Klant.
- Encryption Consulting zal, wanneer zij een Subverwerker inschakelt, via een juridisch bindende overeenkomst tussen Encryption Consulting en de Subverwerker verplichtingen inzake gegevensbescherming opleggen die niet minder zwaar zijn dan, en ten minste hetzelfde beschermingsniveau bieden als, de verplichtingen die in deze Gegevensbeschermingsovereenkomst zijn vastgelegd. Encryption Consulting zal ervoor zorgen dat een dergelijke overeenkomst de Subverwerker verplicht voldoende garanties te bieden om passende technische en organisatorische maatregelen te implementeren, zodat de Verwerking voldoet aan de vereisten van de Wetgeving inzake Gegevensbescherming. Subverwerkers zijn contractueel verplicht om in redelijkheid samen te werken met Encryption Consulting, de Klant of een bevoegde regelgevende instantie in geval van een onderzoek of beveiligingsincident.
- Encryption Consulting blijft verantwoordelijk jegens de Klant voor de nakoming van de verplichtingen van de Subverwerker overeenkomstig deze DPA.
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
- Rekening houdend met de stand van de techniek, de kosten van de uitvoering, de aard, de omvang, de context en de doeleinden van de Verwerking alsook de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen en onverminderd eventuele andere door partijen overeengekomen beveiligingsnormen, zal Encryption Consulting de beveiliging, vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens beschermen en deze beschermen tegen Beveiligingsincidenten.
- De huidige technische en organisatorische maatregelen die door Encryption Consulting worden geïmplementeerd en onderhouden, worden verder gedetailleerd in Bijlage II aan deze DPA, zoals van tijd tot tijd bijgewerkt (mits dergelijke wijzigingen geen wezenlijk negatief effect zullen hebben op het beschermingsniveau van Klantgegevens).
BEVEILIGINGSINCIDENT
- Encryption Consulting zal de Klant onverwijld, uiterlijk binnen 72 uur, op de hoogte stellen zodra zij kennis krijgt van een Beveiligingsincident met betrekking tot de Klantgegevens. Een melding van Encryption Consulting met betrekking tot of een reactie op een Beveiligingsincident op grond van Artikel 7 mag niet worden opgevat als een erkenning door Encryption Consulting van enige fout of aansprakelijkheid met betrekking tot het Beveiligingsincident.
- Encryption Consulting zal:
- (i) Redelijkerwijs noodzakelijke stappen ondernemen om een beveiligingsincident te verhelpen, de effecten ervan te minimaliseren en te onderzoeken, en de oorzaak ervan te identificeren;
- (ii) Op verzoek van Klant, medewerking verlenen aan Klant en Klant voorzien van redelijke assistentie en informatie in verband met het inperken, onderzoeken, verhelpen of beperken van het Beveiligingsincident, indien van toepassing, met de verplichting om de betrokken Betrokkenen hiervan op de hoogte te stellen. Op verzoek van Klant en rekening houdend met de aard van de Verwerking en de informatie waarover Encryption Consulting beschikt, zal Encryption Consulting een rapport of schriftelijke kennisgeving verstrekken met details over het Beveiligingsincident, de betrokken Persoonsgegevens en de Betrokkenen.
CONTROLERECHTEN
- Encryption Consulting zal nauwkeurige schriftelijke verslagen bijhouden van alle verwerkingsactiviteiten van Klantgegevens die worden uitgevoerd onder deze DPA, en zal deze verslagen op schriftelijk verzoek van de Klant dertig (30) dagen voorafgaand aan de overeenkomst ter beschikking stellen aan de Klant, maar niet vaker dan eenmaal per twaalf (12) maanden van de overeenkomst (“Auditrapporten”). Een samenvatting van de ISO27001/ISO27701-certificering, het SOCII-rapport of recente penetratietests, evenals informatie verstrekt via de vragenlijst van de Klant, geldt als een voldoende auditrapport. Het verstrekte auditrapport wordt beschouwd als vertrouwelijke informatie van Encryption Consulting en is onderworpen aan de overeenkomstige vertrouwelijkheidsverplichtingen uit de Overeenkomst of vereist ondertekening van een geheimhoudingsverklaring.
- Indien het Auditrapport redelijkerwijs als onvoldoende wordt beschouwd om naleving aan te tonen, zal Encryption Consulting, uitsluitend na voorafgaande redelijke schriftelijke kennisgeving en niet meer dan eenmaal per kalenderjaar, aan een door de Klant aangewezen gerenommeerde auditor de informatie ter beschikking stellen die nodig is om redelijkerwijs naleving van deze DPA aan te tonen of indien vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming of een toepasselijke autoriteit, en zal zij audits, met inbegrip van inspecties, door een dergelijke gerenommeerde auditor toestaan, uitsluitend met betrekking tot de Verwerking van de Klantgegevens (“Audit“) in overeenstemming met de onderstaande voorwaarden. De auditor is onderworpen aan standaard geheimhoudingsverplichtingen (inclusief jegens derden). Encryption Consulting kan bezwaar maken tegen een door de Klant aangestelde auditor indien Encryption Consulting redelijkerwijs van mening is dat de auditor niet over de juiste kwalificaties beschikt of een concurrent van Encryption Consulting is. De Klant draagt alle kosten in verband met de Audit en zorgt ervoor (en zorgt ervoor dat elk van zijn auditors dit ook doet) dat de Audit tijdens de Audit wordt uitgevoerd tijdens de reguliere kantooruren en dat er geen schade, letsel of verstoring wordt veroorzaakt aan de gebouwen, apparatuur, het personeel en de bedrijfsactiviteiten van Encryption Consulting terwijl zijn personeel zich tijdens de Audit op die locaties bevindt. Encryption Consulting stemt uitsluitend in met een Audit onder de volgende voorwaarden:
- (i) Er is dertig (30) dagen van tevoren een schriftelijke kennisgeving verstrekt; en
- (ii) haar bevindingen beperken tot uitsluitend informatie die relevant is voor Klantgegevens of een toepasselijk Beveiligingsincident.
- Niets in deze Gegevensverwerkingsovereenkomst (DPA) verplicht Encryption Consulting om het volgende aan Klant of diens externe auditor bekend te maken, of om Klant of diens externe auditor toegang te verlenen tot:
- (i) Alle gegevens van andere klanten van Encryption Consulting of interne gegevens van Encryption Consulting, met inbegrip van, maar niet beperkt tot, gegevens die worden verwerkt in de rol van Encryption Consulting als verwerkingsverantwoordelijke;
- (ii) interne boekhoudkundige of financiële informatie van Encryption Consulting;
- (iii) Elk bedrijfsgeheim van Encryption Consulting of haar gelieerde ondernemingen;
- (iv) Alle informatie die, naar het redelijke oordeel van Encryption Consulting, de veiligheid van de systemen van Encryption Consulting in gevaar zou kunnen brengen of een schending van haar verplichtingen onder toepasselijk recht of haar verplichtingen op het gebied van veiligheid, privacy of vertrouwelijkheid jegens derden zou kunnen veroorzaken; of
- (v) Alle informatie waartoe Klant of diens externe auditor toegang wenst te verkrijgen om een andere reden dan de nakoming te goeder trouw van Klants verplichtingen onder de Wet bescherming persoonsgegevens. Toegang tot enig onderdeel van de IT-systemen of -infrastructuur van Encryption Consulting (inclusief, maar niet beperkt tot, praktische of intrusieve tests) is niet toegestaan.
GRENSOVERSCHRIJDENDE OVERDRACHT VAN PERSOONSGEGEVENS
- Encryption Consulting neemt deel aan en certificeert de naleving van het Data Privacy Framework. Zoals vereist door het Data Privacy Framework, Encryption Consulting
- (i) Ten minste hetzelfde niveau van privacybescherming biedt als vereist door de Data Privacy Framework Principles;
- (ii) Zal de Klant op de hoogte stellen als Encryption Consulting vaststelt dat zij niet langer kan voldoen aan haar verplichting om hetzelfde beschermingsniveau te bieden als vereist door de Data Privacy Framework Principles, en
- (iii) Na schriftelijke kennisgeving redelijke en passende maatregelen zal nemen om ongeoorloofde verwerking van Persoonsgegevens te verhelpen.
- Klant erkent en stemt ermee in dat Encryption Consulting voor de levering van de Diensten Klantgegevens kan verwerken, inclusief overdragen, naar verschillende rechtsgebieden waar Encryption Consulting, haar gelieerde ondernemingen of subverwerkers actief zijn. Encryption Consulting zal ervoor zorgen dat overdrachten plaatsvinden in overeenstemming met de wetgeving inzake gegevensbescherming.
- Waar de Europese wetgeving inzake gegevensbescherming van toepassing is:
- Encryption Consulting zal geen Klantgegevens afkomstig uit de EER, het Verenigd Koninkrijk of Zwitserland overdragen aan een land of ontvanger waarvan niet is erkend dat het een passend beschermingsniveau biedt voor dergelijke Persoonsgegevens (in de zin van de Europese Wet Bescherming Persoonsgegevens), tenzij het eerst alle nodige maatregelen neemt om ervoor te zorgen dat de overdracht in overeenstemming is met de toepasselijke Wet Bescherming Persoonsgegevens. Dergelijke maatregelen kunnen onder meer (maar niet uitsluitend) omvatten:
- (i) Het overdragen van dergelijke Klantgegevens aan een ontvanger die valt onder een passend kader of ander wettelijk toereikend overdrachtsmechanisme dat door de relevante autoriteiten of rechtbanken is erkend als een toereikend beschermingsniveau voor Persoonsgegevens, met inbegrip van een passend land of kaders voor gegevensbescherming en overdracht;
- (ii) Aan een ontvanger die een bindende machtiging voor bedrijfsregels heeft verkregen in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming; of
- (iii) Aan een ontvanger die de Standaardcontractbepalingen heeft ondertekend.
- Wanneer Klant en Encryption Consulting, of Encryption Consulting en/of haar Onderverwerker, een beroep doen op de Standaard Contractuele Bepalingen om een overdracht naar een derde land te vergemakkelijken, is het volgende van toepassing:
- Voor de overdracht van klantgegevens vanuit de EER is de EU SCC van toepassing en wordt als volgt ingevuld: (1) Module II (Verantwoordelijke voor de verwerking naar Verwerkers) is van toepassing; (2) In clausule 7 is de optionele dokclausule niet van toepassing; (3) In clausule 9 is optie 2 (algemene schriftelijke toestemming) van toepassing op de subverwerkers die onder Bijlage III en de methode voor het aanstellen van de Sub-Processor is zoals uiteengezet in de Sub-Processing Sectie van de DPA; (4) In Clausule 11 is de optionele taal niet van toepassing en kunnen Gegevensbetrokkenen geen klacht indienen bij een onafhankelijk geschillenbeslechtingsorgaan; (5) In clausule 17 is optie 1 van toepassing en wordt het EU SCC beheerst door het recht van de Republiek Ierland; (6) In artikel 18(b) kiezen de partijen de bevoegde rechtbanken van de Republiek Ierland als hun keuze van forum en jurisdictie; (7) Bijlage I(A) van het EU-SCC wordt als volgt ingevuld: Klant is de Gegevensexporteur, Encryption Consulting is de Gegevensimporteur, de contactgegevens van de partijen Ingangsdatum van de overeenkomst; Bijlage I(B) van het EU SCC wordt voltooid zoals uiteengezet in Bijlage I van deze DPA; Bijlage I(C) van het EU SCC zal de bevoegde toezichthoudende autoriteit(en) identificeren als de toezichthoudende autoriteit van de Republiek Ierland;(8) Bijlage II van het EU-SCC wordt geacht te zijn aangevuld met de informatie zoals uiteengezet in Bijlage III van deze DPA;(9) Bijlage III van het EU-SCC worden aangevuld met de lijst van Subverwerkers zoals opgenomen in Bijlage II van deze DPA.
- Voor de overdracht van Klantgegevens vanuit het Verenigd Koninkrijk is de Britse SCC van toepassing en wordt deze als volgt aangevuld: (1) Tabel 1 wordt voltooid zoals uiteengezet in sectie (i)(7) hierboven; (2) Tabel 2 wordt voltooid zoals uiteengezet in sectie (i)(1) – (i)(4) hierboven;(3) Tabellen 3 wordt als volgt ingevuld: Bijlage 1A moet worden aangevuld met de relevante informatie zoals uiteengezet in sectie (i)(7) hierboven; Bijlage 1B moet worden aangevuld met relevante informatie zoals uiteengezet in Bijlage I van deze DPA; Bijlage II wordt aangevuld met de relevante informatie zoals uiteengezet in Bijlage III van deze DPA; Bijlage III wordt aangevuld met de lijst van subverwerkers zoals opgenomen in Bijlage II van deze DPA; (4) Tabel 4 wordt aangevuld met de optie ‘geen van beide partijen’; en (5) Eventuele conflicten tussen de voorwaarden van de EU SCC en de UK SCC worden opgelost overeenkomstig artikel 10 en artikel 11 van de UK SCC.
- Voor de overdracht van Klantgegevens vanuit Zwitserland is de Zwitserse SCC van toepassing met de volgende wijzigingen: (i) verwijzingen naar “Verordening (EU) 2016/679” worden geïnterpreteerd als verwijzingen naar de Zwitserse DPA; (ii) verwijzingen naar “EU”, “Unie” en “lidstaatrecht” worden geïnterpreteerd als verwijzingen naar het Zwitserse recht; en (iii) verwijzingen naar de “bevoegde toezichthoudende autoriteit” en “bevoegde rechtbanken” worden vervangen door “de Zwitserse federale commissaris voor gegevensbescherming en informatie” en de “relevante rechtbanken in Zwitserland”.
- Encryption Consulting zal geen Klantgegevens afkomstig uit de EER, het Verenigd Koninkrijk of Zwitserland overdragen aan een land of ontvanger waarvan niet is erkend dat het een passend beschermingsniveau biedt voor dergelijke Persoonsgegevens (in de zin van de Europese Wet Bescherming Persoonsgegevens), tenzij het eerst alle nodige maatregelen neemt om ervoor te zorgen dat de overdracht in overeenstemming is met de toepasselijke Wet Bescherming Persoonsgegevens. Dergelijke maatregelen kunnen onder meer (maar niet uitsluitend) omvatten:
TERMIJN, BEËINDIGING EN CONFLICT
- Deze DPA treedt in werking op de ingangsdatum (zoals gedefinieerd in de Overeenkomst) en blijft van kracht totdat de Overeenkomst wordt beëindigd of zolang Encryption Consulting Klantgegevens Verwerkt.
- Encryption Consulting is gerechtigd deze DPA te beëindigen of de Verwerking van Klantgegevens te staken indien de Verwerking van Klantgegevens volgens de Instructies van Klant of deze DPA in strijd is met toepasselijke wettelijke vereisten, mits Klant niet binnen tien (10) dagen na ontvangst van de desbetreffende kennisgeving van Encryption Consulting bijgewerkte Instructies heeft verstrekt om de overtreding te verhelpen. Encryption Consulting kan ook, naar eigen goeddunken, de Verwerking van Klantgegevens opschorten totdat de overtreding is verholpen, zonder aansprakelijkheid jegens Klant en onverminderd eventuele kosten die Klant heeft gemaakt vóór de datum van opschorting.
- Na beëindiging of afloop van deze DPA zal Encryption Consulting, naar keuze van de Klant, alle namens de Klant Verwerkte Klantgegevens verwijderen en aan de Klant bevestigen dat zij dit heeft gedaan. Totdat de Klantgegevens zijn verwijderd of geretourneerd, zullen de partijen ervoor blijven zorgen dat deze DPA wordt nageleefd. De keuze van de Klant zal schriftelijk aan Encryption Consulting worden meegedeeld na de beëindiging. Niettegenstaande het voorgaande mag Encryption Consulting Klantgegevens bewaren.
- (i) Zoals vereist door de toepasselijke wetgeving; of
- (ii) Overeenkomstig haar standaard back-up- of bewaarbeleid, op voorwaarde dat Encryption Consulting in beide gevallen de vertrouwelijkheid van de bewaarde Klantgegevens bewaart en anderszins voldoet aan de toepasselijke bepalingen van deze DPA met betrekking tot de bewaarde Klantgegevens en deze niet verder verwerkt, behalve zoals vereist door de Wet bescherming persoonsgegevens.
- In geval van een conflict tussen de voorwaarden van deze DPA en de Overeenkomst, prevaleert deze DPA. Ter voorkoming van twijfel: indien er standaardcontractbepalingen tussen partijen zijn overeengekomen, prevaleren de voorwaarden van de standaardcontractbepalingen boven die van deze DPA.
BIJLAGE I
DETAILS VAN DE VERWERKING
Deze bijlage bevat bepaalde details over de verwerking van klantgegevens zoals vereist onder de wetgeving inzake gegevensbescherming.
Categorieën van betrokkenen:
Zoals geüpload door Klant tijdens het gebruik van de Diensten.
Categorieën van verwerkte Persoonsgegevens:
Zoals geüpload door Klant tijdens het gebruik van de Diensten.
Bijzondere categorieën persoonsgegevens:
Geen. Het is de klant uitdrukkelijk verboden om gevoelige gegevens of bijzondere categorieën gegevens aan Encryption Consulting te verstrekken, tenzij schriftelijk overeengekomen met Encryption Consulting.
Aard van de verwerking:
Verzameling, opslag, organisatie, communicatie, overdracht, hosting en andere soorten verwerking ten behoeve van het verlenen van de Diensten zoals uiteengezet in de Overeenkomst.
Doel(en) van de verwerking:
Om de Service te verlenen.
Bewaartermijn:
Zolang dit nodig is om de Service door Encryption Consulting te verlenen, mits er geen wettelijke verplichting bestaat om de Klantgegevens na beëindiging te bewaren of tenzij anderszins door de Klant wordt verzocht.
Procesfrequentie:
Continue basis
BIJLAGE II
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
Bekijk het beveiligingsbeleid van Encryption Consulting hier om meer te weten te komen over de technische en organisatorische maatregelen die zij heeft geïmplementeerd om een passend beveiligingsniveau voor de Verwerking van Klantgegevens te garanderen.
BIJLAGE III
LIJST MET SUBVERWERKERS
Vanaf de hierboven vermelde ingangsdatum maakt Encryption Consulting gebruik van de volgende subverwerkers:
- Definities
- Rollen en details van verwerking
- Verwerking van persoonlijke gegevens
- Rechten van betrokkenen en wettelijke verzoeken
- Subverwerking
- Technische en organisatorische maatregelen
- Beveiligingsincident
- Auditrechten
- Grensoverschrijdende doorgifte van persoonsgegevens
- Looptijd, beëindiging en conflict
- Bijlage I
- Bijlage II
- Bijlage iii