Voorwarden voor gegevensverwerking

In verband met de Diensten die op grond van de serviceovereenkomst (“Serviceovereenkomst”) worden geleverd door de serviceprovider als gegevensverwerker, zijnde Imprimaof de relevante partner die partij is bij de Serviceovereenkomst (de relevante partij wordt de “Serviceprovider” genoemd) aan de Klant als gegevensbeheerder (“Klant”), zijn de partijen overeengekomen dat deze voorwaarden voor gegevensverwerking (“Voorwaarden”) van toepassing zijn om te voldoen aan de nalevingsverplichtingen die op grond van de Gegevensbeschermingswet aan de Klant worden opgelegd. Deze Voorwaarden zullen via verwijzing worden opgenomen in de Serviceovereenkomst.

DOOR DE DIENSTEN TE BLIJVEN VERLENEN OF ONTVANGEN, VOOR ZOVER VAN TOEPASSING, GAAN DE PARTIJEN AKKOORD MET DEZE VOORWAARDEN.

HIERBIJ WORDT HET VOLGENDE OVEREENGEKOMEN:

1.DEFINITIES

In deze Voorwaarden hebben woorden met een hoofdletter de betekenis zoals gedefinieerd in de Serviceovereenkomst, tenzij deze Voorwaarden hieronder of elders in deze Voorwaarden uitdrukkelijk anders vermelden:

“Partner” verwijst naar elke entiteit die direct of indirect zeggenschap heeft over, wordt bestuurd door, of onder gezamenlijke zeggenschap staat met een partij, van tijd tot tijd gedurende de Looptijd;

“Gegevens-beschermingswet” verwijst naar de wetgeving inzake gegevensprivacy die van toepassing is op de verwerkingsactiviteiten in verband met de Diensten, inclusief, indien van toepassing, Richtlijn 95/46/EG, zoals gewijzigd of vervangen door een eventuele latere verordening, richtlijn of ander juridisch instrument van de Europese Unie, onder meer door de Algemene Verordening Gegevensbescherming of een soortgelijke wet, of de toepasselijke wetgeving inzake gegevensprivacy van andere relevante rechtsgebieden;

“Eind-gebruiker” heeft de betekenis zoals gedefinieerd in de Serviceovereenkomst;

“Diensten” verwijst naar de diensten zoals beschreven in de Serviceovereenkomst en het onderstaande gedeelte;

“Contract-bepalingen” verwijst naar de modelcontractbepalingen van de Europese Commissie voor de grensoverschrijdende overdracht van persoonsgegevens, zoals van tijd tot tijd gewijzigd of vervangen, of een gelijkwaardige reeks contractbepalingen die zijn goedgekeurd voor gebruik onder de gegevensbeschermingswet; en

“Persoons-gegevens van de klant” verwijst naar de persoonsgegevens die door ons worden verwerkt in verband met de Diensten zoals hieronder verder beschreven. In overeenstemming met bepaling 2.2 kan dit de persoonsgegevens van een Partner van de Klant omvatten.

De woorden “betrokkene”, “persoonsgegevens”, “verwerking” en variaties, “verwerkingsverantwoordelijke” en “verwerker” hebben de betekenis die eraan wordt toegekend in de Gegevensbeschermingswet.

2. AANSTELLING

  1. De Klant wordt door zijn Partners en Eindgebruikers aangesteld om verschillende diensten te leveren en te beheren, waaronder de Diensten in hun naam. Dienovereenkomstig kunnen Persoonsgegevens van de klant persoonsgegevens bevatten in verband waarvan Partners van de Klant en Eindgebruikers verwerkingsverantwoordelijken zijn. De Klant bevestigt dat het toegestaan is om aan de Serviceprovider alle instructies of andere vereisten mee te delen namens de Partners van de Klant en Eindgebruikers met betrekking tot de verwerking van Persoonsgegevens van de klant door de Serviceprovider in verband met de Diensten.
  2. De Serviceprovider is aangesteld door de Klant om Persoonsgegevens van de Klant te verwerken namens de Klant en/of Partners van de Klant en/of Eindgebruikers, al naargelang het geval, zoals nodig is om de Diensten te verlenen of zoals anderszins schriftelijk is overeengekomen door de partijen.

3. DUUR

Deze Voorwaarden gaan in op: (i) de datum van de uitvoering ervan, of (ii) de datum van inwerkingtreding van de Serviceovereenkomst (de “Datum van inwerkingtreding”) en zullen volledig van kracht blijven tot de beëindiging of afloop van de Serviceovereenkomst (de “Looptijd”).

4. DIENSTEN

De Serviceprovider kan Persoonsgegevens van de klant verwerken zoals hieronder beschreven:

  • Beschrijving van de Diensten: Cloudgebaseerde virtuele dataroomservices.
  • Onderwerp van de verwerking: Verwerkingsactiviteiten in verband met het verlenen van Diensten.
  • Duur van de verwerking: Voor de duur van de Serviceovereenkomst
  • Aard en doel van de verwerking: Hosten van Persoonsgegevens in de dataroom en mogelijk maken dat eindgebruikers toegang hebben tot Persoonsgegevens van de klant en ze kunnen verwerken als onderdeel van de Diensten.
  • Type Persoonsgegevens: Gegevens met betrekking tot werkgelegenheid, aandeelhouders, klanten, bedrijf, verkoop, financiën, enz
  • Categorieën betrokkenen: Personeel, adviseurs, aandeelhouders, klanten en andere individuen.

5. NALEVING GEGEVENSBESCHERMING

Met betrekking tot de verwerking van Persoonsgegevens van de klant gedurende de Looptijd stemt de Serviceprovider, tenzij anders bepaald door de wet, ermee in om:

  1. de Gegevensbeschermingswet na te leven met betrekking tot de verwerking van Persoonsgegevens van de klant;
  2. Persoonsgegevens van de klant alleen te verwerken zoals vereist in verband met de Diensten, in overeenstemming met de gedocumenteerde wettige instructies van de Klant die redelijkerwijs van tijd tot tijd worden aangegeven in de context van de Diensten, en voor interne bedrijfsanalyses. De Klant garandeert en verklaart op continue basis dat zijn instructies de Serviceprovider niet in strijd met de wet zullen brengen;
  3. de Klant te informeren indien een instructie naar diens mening in strijd is met de Gegevensbeschermingswet;
  4. ervoor te zorgen dat al het personeel dat door de Serviceprovider is geautoriseerd om Persoonsgegevens van de klant te verwerken, zich heeft verplicht tot geheimhouding of een passende wettelijke geheimhoudingsplicht heeft;
  5. passende technische en organisatorische maatregelen te implementeren om Persoonsgegevens van de klant op passende wijze te beschermen, rekening houdend met de aard van de Persoonsgegevens van de klant die moeten worden beschermd en het risico op schade die zou kunnen voortvloeien uit een Beveiligingsinbreuk (zoals hieronder gedefinieerd), zoals uiteengezet in de Serviceovereenkomst of passende alternatieve maatregelen, en minimaal de maatregelen die zijn uiteengezet in het Aanhangsel;
  6. de Klant zonder onnodige vertraging te informeren over verzoeken van betrokkenen onder de Gegevensbeschermingswet of verzoeken van regelgevende of rechtshandshavingsinstanties met betrekking tot Persoonsgegevens van de klant. De Serviceprovider kan elk toegangsverzoek van een betrokkene erkennen. Indien overeengekomen kan de Serviceprovider, op kosten van de Klant, namens de Klant reageren op het toegangsverzoek van de betrokkene;
  7. op kosten van de Klant, de assistentie te verlenen die de Klant redelijkerwijs nodig kan hebben om ervoor te zorgen dat de Klant de Gegevensbeschermingswet naleeft met betrekking tot gegevensbeveiliging, meldingen van datalekken, gegevensbeschermingseffectbeoordelingen en voorafgaand overleg met bevoegde toezichthoudende autoriteiten die verantwoordelijk zijn voor privacy- en gegevensbeschermingsaangelegenheden;
  8. naar de keuze en op kosten van de Klant alle Persoonsgegevens van de klant te verwijderen of terug te sturen naar de Klant na het einde van de dienstverlening, en bestaande kopieën van alle Persoonsgegevens van de klant te verwijderen, met uitzondering van Persoonsgegevens van de klant die zijn gearchiveerd voor bedrijfscontinuïteits- en noodhersteldoeleinden, indien van toepassing, en geanonimiseerde Persoonsgegevens van de klant die worden bewaard voor legitieme zakelijke doeleinden. De Serviceprovider kan alle Persoonsgegevens van de klant verwijderen of vernietigen die niet langer nodig zijn om deze Voorwaarden na te leven; en
  9. op kosten van de Klant, informatie beschikbaar te stellen voor de Klant die redelijkerwijs nodig is om de naleving van deze Voorwaarden door de Serviceprovider aan te tonen en audits door een onafhankelijke derde partij mogelijk te maken, zoals de partijen kunnen overeenkomen.

De Klant zal onmiddellijk de assistentie verlenen die de Serviceprovider redelijkerwijs nodig kan hebben om te voldoen aan zijn verplichtingen inzake gegevensprivacy en -beveiliging onder deze Voorwaarden.

6. KENNISGEVING

De Serviceprovider zal, op verzoek en op kosten van de Klant, aan elke betrokkene een standaard Privacyverklaring voor de Klant verstrekken, waar de Klant redelijkerwijs van tijd tot tijd om kan verzoeken in overeenstemming met de Serviceovereenkomst.

7. SUBVERWERKERS

  1. De Serviceprovider zal eventuele subcontractanten die betrokken zijn bij de verwerking van Persoonsgegevens van de klant (elk een “Subverwerker“) alleen inschakelen met de toestemming van de Klant, die, onder voorbehoud van bepaling 7.2, hierbij wordt gegeven.
  2. Bij het inschakelen van een Subverwerker zal de Serviceprovider:
    1. redelijke zorgvuldigheid betrachten;
    2. een contract aangaan onder voorwaarden, voor zover praktisch uitvoerbaar dezelfde als in deze Voorwaarden, en dat Contractbepalingen kan bevatten om voldoende waarborgen te bieden met betrekking tot de verwerking van Persoonsgegevens van de klant; en
    3. de Klant van tijd tot tijd informeren over voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van een Subverwerker. Als de Klant op redelijke gronden bezwaar maakt tegen een dergelijke wijziging, zullen de partijen te goeder trouw samenwerken om een dergelijk bezwaar op te lossen.

8. VEILIGHEID SINCIDENTEN

  • Beveiligingsinbreuk” betekent een inbreuk op de beveiliging die leidt tot onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens van de klant die worden verzonden, opgeslagen of anderszins verwerkt.
  • De Serviceprovider zal de Klant onverwijld op de hoogte brengen als hij kennis krijgt van een Beveiligingsinbreuk. Waar mogelijk zal de Serviceprovider zorgen voor gefaseerde kennisgevingen.
  • De Serviceprovider zal de Beveiligingsinbreuk onderzoeken en redelijke maatregelen nemen om de effecten van de Beveiligingsinbreuk veroorzaakt door de Serviceprovider te identificeren, te voorkomen en te beperken. Op kosten van de Klant zal de Serviceprovider verdere maatregelen nemen die de klant redelijkerwijs kan verzoeken om de Gegevens-beschermingswetgeving na te leven.
  • De Klant mag geen aanvraag, mededeling, kennisgeving, persbericht of rapport met betrekking tot een Beveiligingsinbreuk vrijgeven of publiceren zonder voorafgaande schriftelijke toestemming van de Serviceprovider; een dergelijke goedkeuring zal niet op onredelijke gronden worden onthouden.

9. INTERNATIONALE GEGEVENSOVERDRACHTEN

  1. Serviceprovider zorgt ervoor dat er geen Persoonsgegevens van de klant worden overgedragen vanuit:
    1. de Europese Economische Ruimte; of
    2. elk ander grondgebied waar beperkingen worden opgelegd aan de overdracht van Persoonsgegevens van de klant over de grenzen heen op grond van de wetgeving inzake gegevensbescherming, zonder de uitdrukkelijke voorafgaande schriftelijke toestemming van de Klant, die hierbij wordt gegeven, onder voorbehoud van bepaling 9.2
  2. Op kosten van de Klant zal de Serviceprovider de assistentie verlenen die de Klant redelijkerwijs nodig kan hebben om ervoor te zorgen dat er Contractbepalingen of een ander toepasselijk overdrachtsmechanisme, zoals het EU-VS-privacyschild met betrekking tot overdrachten tussen de EU en de VS, aanwezig zijn om te zorgen voor een passend niveau van gegevensbescherming.

10. DIVERSEN

  1. Een bepaling en andere koppen in deze Voorwaarden zijn alleen bedoeld ter referentie en zullen geen deel uitmaken van noch anderszins de betekenis of interpretatie van deze Voorwaarden beïnvloeden.
  2. Onder voorbehoud van bepaling 10.3 is de aansprakelijkheid van beide partijen onder deze Voorwaarden onderhevig aan de uitsluitingen en beperkingen van aansprakelijkheid onder de Serviceovereenkomst.
  3. Niets in deze Voorwaarden zal de aansprakelijkheid van beide partijen uitsluiten of beperken, wat niet kan worden beperkt of uitgesloten door de toepasselijke wetgeving. Onder voorbehoud van de voorgaande zin (i) vormen deze Voorwaarden en de Serviceovereenkomst de volledige overeenkomst tussen de partijen met betrekking tot de verwerking van Persoonsgegevens van de klant als onderdeel van de Diensten en vervangen ze alle eerdere overeenkomsten, afspraken, onderhandelingen en besprekingen van de partijen met betrekking tot het onderwerp; en (ii) bij het aangaan van deze Voorwaarden heeft geen van de partijen een beroep gedaan op, en zal geen van de partijen enig recht of rechtsmiddel hebben op basis van een verklaring, vertegenwoordiging of garantie, ongeacht of deze uit onachtzaamheid of onschuldig zijn gedaan, behalve degene die uitdrukkelijk in deze Voorwaarden zijn uiteengezet.
  4. De Klant zal de Serviceprovider binnen 15 dagen na de factuurdatum alle kosten en uitgaven betalen, inclusief maar niet beperkt tot redelijke advocaatkosten en de kosten voor het voorbereiden en verzenden van correspondentie gemaakt door de Serviceprovider en/of zijn Partners in verband met het uitvoeren van taken op kosten van de Klant onder deze Voorwaarden.
  5. Indien de Klant ervoor zorgt dat de Diensten niet langer worden geleverd onder de Serviceovereenkomst zoals beoogd door de Serviceprovider vanwege het verzoek van de Klant om een contract met een Subverwerker geheel of gedeeltelijk op te schorten of te beëindigen, de overdracht van Persoonsgegevens van de klant op te schorten of te beëindigen, alle Persoonsgegevens van de klant te vernietigen of terug te sturen naar de Klant of om de toegang tot Persoonsgegevens van de klant of een soortgelijk verzoek op te schorten of te beëindigen, heeft de Serviceprovider het recht om de Serviceovereenkomst te allen tijde zonder aansprakelijkheid te beëindigen met onmiddellijke of vertraagde werking door schriftelijke kennisgeving aan de Klant. Bij beëindiging van de Serviceovereenkomst door de Serviceprovider of de Klant om redenen die verband houden met deze Voorwaarden of naleving van de Gegevensbeschermingswet, worden alle servicekosten, onkosten en andere betalingen onder de Serviceovereenkomst onmiddellijk door de klant aan de Serviceprovider betaald, berekend alsof de Serviceovereenkomst op rechtmatige wijze voor het gemak door de Klant is beëindigd in overeenstemming met de voorwaarden ervan.
  6. Alle kennisgevingen over een beëindiging of inbreuk moeten schriftelijk en in het Engels worden opgesteld en gericht aan de primaire contactpersoon of juridische afdeling van de andere partij. De kennisgeving wordt behandeld zoals aangegeven bij ontvangst, zoals geverifieerd door een geldig ontvangstbewijs of elektronisch logboek. Kennisgevingen per post worden 48 uur vanaf de datum van verzending per aangetekende post geacht te zijn ontvangen.
  7. De bepalingen van deze Voorwaarden zijn scheidbaar. Als een zin, clausule of bepaling geheel of gedeeltelijk ongeldig of niet-afdwingbaar is, heeft een dergelijke ongeldigheid of niet-afdwingbaarheid alleen invloed op die zin, clausule of bepaling, en blijft de rest van deze Voorwaarden volledig van kracht.
  8. Elke partij kan zijn rechten en/of verplichtingen onder deze Voorwaarden overdragen aan haar opvolger als gevolg van een fusie, overname, verkoop, reorganisatie of liquidatie.
  9. Op deze voorwaarden is de wet van toepassing zoals uiteengezet in de Serviceovereenkomst en de partijen onderwerpen zich aan de exclusieve jurisdictie van het land van herkomst van deze wet in het geval van een (contractueel of niet-contractueel) geschil met betrekking tot deze Voorwaarden, met dien verstande dat een van beide partijen zich tot de rechtbank kan wenden voor een gerechtelijk bevel of verzoek met betrekking tot de bescherming van zijn eigendom, intellectuele eigendomsrechten of vertrouwelijke informatie.

BIJLAGE – Beveiligingsmaatregelen

De Serviceprovider zal de volgende minimummaatregelen nemen, indien van toepassing.

  • behoud ISO 27001:2013-certificering
  • nieuwste generatie firewalls
  • toegangscontrole voor gebruikers met minimale systeembevoegdheden met gebruikers-ID’s en wachtwoorden met een beperkte levensduur, indien van toepassing
  • beperkte toegang op afstand en meervoudige authenticatie voor toegang op afstand
  • realtime bescherming van antivirus-, antimalware- en antispywaresoftware
  • naleving van de instructies van de hardware- en softwarefabrikanten
  • gegevensscheiding volgens klant en doel waar van toepassing
  • regelmatige software-updates
  • veilige gegevensverwijdering van buiten gebruik gestelde apparaten
  • 256-bits versleuteling van draagbare gegevensopslagapparaten en versleuteling van Persoonsgegevens die onderweg zijn
  • inbraakdetectie- en -preventiesystemen;
  • gegevensback-up met regelmatige tests
  • procedures voor bedrijfscontinuïteit en noodherstel
  • doorlichting personeel
  • fysieke toegangscontrole voor personeel met minimale bevoegdheden
  • geheimhoudingsovereenkomsten voor personeel
  • personeel opleiden op gebied van vertrouwelijkheid