Data Processing Addendum

Dit Data Processing Addendum (het ‘DPA’ of ‘Addendum’) is toegevoegd aan en maakt deel uit van de Algemene Voorwaarden van de Leverancier (de ‘Overeenkomst’) tussen Valamis Group Ltd. (‘Leverancier’) en de klant (‘Klant’).

1. Doel van dit Data Processing Addendum

De Leverancier is de eigenaar, licentiegever en/of verstrekker van bepaalde softwareproducten en/of -diensten die de Leverancier in licentie heeft gegeven en/of anderszins levert aan de Klant.

Dit Addendum beschrijft de voorwaarden voor de verwerking van persoonsgegevens door de Leverancier namens de Klant.

Voor de toepassing van dit Addendum wordt onder de toepasselijke wetgeving inzake gegevensbescherming verstaan de toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens, inclusief maar niet beperkt tot Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 April 2016 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (General Data Protection Regulation, ‘GDPR’), alsmede aanvullende Finse wetgeving.

2. Gedefinieerde begrippen

Valamis Group Affiliate: een bedrijf of een andere rechtspersoon direct of indirect bestuurd door, onder gezamenlijk bestuur met of het bestuur voerend over de Leverancier, die kan helpen bij het leveren van de diensten en mogelijk betrokken is bij de verwerking van persoonsgegevens. ‘Bestuur’ betekent, met betrekking tot een vennootschap of een andere rechtspersoon: (i) in het bezit van de meerderheid van de stemrechten in die vennootschap of een andere rechtspersoon, of (ii) die de directe of indirecte macht heeft om de samenstelling te bepalen van de raad van bestuur of een ander soortgelijk beslissingsorgaan van die vennootschap of een andere rechtspersoon. ‘Bestuurd’ zal dienovereenkomstig worden geïnterpreteerd.

EU-standaardcontractbepalingen (EU Standard Contract Clauses – SCC’s): de standaardcontractbepalingen voor de overdracht van persoonlijk identificeerbare gegevens van beheerders in de EU aan verwerkers in derde landen, zoals goedgekeurd door de Europese Commissie (Besluit 2010/87/ EU).

Begrippen als ‘databeheerder’, ‘verwerker’, ‘betrokkene’, ‘verwerking’, ‘persoonsgegevens’ en ‘inbreuk in verband met persoonsgegevens’, alsmede andere begrippen die zijn gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming, hebben de betekenis die er in dergelijke wetgeving aan wordt gegeven.

3. Verplichtingen van de Leverancier

  1. De Leverancier treedt op als gegevensverwerker volgens de toepasselijke wetgeving inzake gegevensbescherming. De Leverancier verwerkt persoonsgegevens die door de Klant worden beheerd (handelend als gegevensverwerker) namens de Klant volgens afzonderlijk gedocumenteerde instructies van de Klant, tenzij anderszins vereist op basis van wetgeving die van toepassing is op de Leverancier, in welk geval de Leverancier de Klant zal informeren over dergelijke tegenstrijdige verplichtingen. Indien, naar de mening van de Leverancier, een instructie van de Klant inbreuk maakt op de toepasselijke wetgeving, probeert de Leverancier de Klant hiervan op de hoogte te brengen.
  2. De Leverancier moet passende technische en organisatorische maatregelen nemen om de beveiliging van de verwerking te waarborgen en moet passende documentatie bijhouden over deze maatregelen en verwerkingsactiviteiten overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming.
  3. De Leverancier verbindt zich ertoe ervoor te zorgen dat de personen die onder het gezag en het toezicht van de Leverancier persoonsgegevens verwerken, zich hebben verplicht tot geheimhouding of een passende wettelijke verplichting tot vertrouwelijkheid hebben. Bovendien verwerken dergelijke personen persoonsgegevens die worden beheerd door de Klant alleen op grond van dit Addendum (inclusief sectie 5 (Gebruik van gegevens door de Leverancier)), de Overeenkomst en de afzonderlijk overeengekomen instructies van de Klant.
  4. Rekening houdend met de aard van de verwerking en de informatie waarover de Leverancier beschikt, staat de Leverancier de Klant redelijkerwijs bij om te voldoen aan de bepalingen van de toepasselijke wetgeving inzake gegevensbescherming betreffende de rechten van de betrokken personen met passende technische en organisatorische maatregelen en informeert de Leverancier de Klant over verzoeken ontvangen van de betrokken personen met betrekking tot persoonsgegevens die door de Klant worden beheerd.
  5. De Leverancier zal de Klant de informatie verstrekken die redelijkerwijs noodzakelijk is om aan te tonen dat hij de verplichtingen met betrekking tot de verwerking van persoonsgegevens namens de Klant heeft nageleefd. Als de audit moet worden uitgevoerd door een derde partij, die geen concurrent van de Leverancier mag zijn, moeten beide partijen onderling overeenstemming bereiken over de derde partij en moet de accountant vóór de uitvoering van de controle een schriftelijke geheimhoudingsovereenkomst aangaan die aanvaardbaar is voor de Leverancier. Om een ​​audit aan te vragen, moet de Klant een gedetailleerd auditplan indienen, ten minste 4 weken voor de voorgestelde auditdatum, met een beschrijving van de voorgestelde reikwijdte, duur en startdatum van de audit ter beoordeling. De auditrapporten zijn vertrouwelijke informatie van de partijen onder de voorwaarden van de Overeenkomst.
  6. Rekening houdend met de aard van de verwerking en de informatie waarover de Leverancier beschikt, zal de Leverancier de Klant redelijkerwijs helpen bij het waarborgen van de naleving van de verplichtingen van de Klant uit hoofde van de artikelen 32 – 36 van de GDPR.

4. Verplichtingen van de Klant

De Klant verbindt zich ertoe de naleving van de verplichtingen van de beheerder onder de toepasselijke wetgeving inzake gegevensbescherming te verzekeren. In het bijzonder is de Klant verantwoordelijk om – onder meer – het volgende zeker te stellen:

  1. De Klant heeft het recht om persoonsgegevens aan de Leverancier te verstrekken in overeenstemming met de doeleinden van de Overeenkomst en dit Addendum (inclusief sectie 5 (Gebruik van Gegevens door de Leverancier));
  2. Er is een geldige rechtsgrond voor de verwerking in de toepasselijke wetgeving inzake gegevensbescherming;
  3. De verwerking en doeleinden van de verzamelde of verwerkte gegevens zijn voorafgaand aan de verwerkingsactiviteiten gespecificeerd;
  4. De verzamelde gegevens zijn nauwkeurig, correct en noodzakelijk voor elk specifiek doel van de verwerking en er worden geen onnodige gegevens verzameld;
  5. De Klant instrueert de Leverancier rechtmatig in de verwerking van persoonsgegevens, inclusief het aanbieden van gedocumenteerde instructies met betrekking tot de verwerking van persoonsgegevens;
  6. De Klant geeft toegangsrechten aan door de Klant aangewezen personen en verwijdert toegangsrechten wanneer deze niet langer nodig zijn, en draagt zorg voor de juiste begeleiding en training van zijn gebruikers;
  7. Persoonsgegevens zijn beschermd tegen ongeoorloofde toegang en onbedoelde of onwettige vernietiging, wijziging, openbaarmaking, transport of andere onwettige verwerking;
  8. Persoonsgegevens die onnauwkeurig of onjuist zijn, worden onmiddellijk gerectificeerd of gewist;
  9. Persoonsgegevens die verouderd of niet noodzakelijk zijn geworden, worden niet verwerkt, maar op een betrouwbare manier verwijderd, tenzij de toepasselijke wetgeving opslag van de persoonsgegevens vereist;
  10. Betrokkenen hebben de mogelijkheid om transparante informatie te verkrijgen over de verwerking van hun persoonsgegevens. Deze informatie is gemakkelijk toegankelijk en begrijpelijk, en wordt verstrekt in duidelijke en eenvoudige taal.

5. Gebruik van data door de Leverancier

De Klant erkent en stemt ermee in dat de Leverancier alle gegevens, inclusief persoonsgegevens, betreffende het gebruik van de diensten en/of producten van de Leverancier (inclusief software) door de Klant (inclusief de werknemers en andere geautoriseerde gebruikers van de Klant) mag gebruiken voor de productontwikkeling van de Leverancier en andere doeleinden. Waar redelijkerwijs mogelijk, zal de Leverancier ernaar streven om de persoonsgegevens in anonieme vorm te gebruiken. Voor zover dergelijke gegevens persoonsgegevens bevatten en de Leverancier de gegevens gebruikt voor doeleinden die onafhankelijk zijn van het DPA, zal de Leverancier worden beschouwd als gegevensbeheerder met betrekking tot dergelijke verwerking. Waar relevant stemt de Klant ermee in om de Leverancier redelijkerwijs te helpen bij het waarborgen van de naleving van de verplichtingen van de Leverancier als gegevensbeheerder, bijvoorbeeld door het verstrekken van informatie over deze verwerking aan zijn gebruikers, zoals verder geïnstrueerd door de Leverancier.

6. Verwijdering van data

Na de beëindiging of het aflopen van de Overeenkomst, of op verzoek van de Klant, zal de Leverancier alle persoonsgegevens die de Leverancier namens de Klant verwerkt krachtens dit Addendum en de Overeenkomst vernietigen of aan de Klant terugsturen.

Dit vereiste is niet van toepassing voor zover de Leverancier op grond van toepasselijke wetgeving verplicht is om sommige of alle persoonsgegevens te bewaren, of in situaties waarin de Leverancier wordt beschouwd als databeheerder met betrekking tot dergelijke persoonsgegevens. Om twijfel te voorkomen is deze verplichting ook niet van toepassing op situaties waarin de Leverancier persoonsgegevens verwerkt als bedoeld in sectie 5 (Gebruik van gegevens door de Leverancier) hierboven.

7. Internationale overdrachten

De partijen komen overeen dat (a) de Leverancier persoonsgegevens buiten de Europese Economische Ruimte (EER) mag overdragen, mits de Leverancier de nodige maatregelen heeft genomen om ervoor te zorgen dat de overdracht plaatsvindt in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming, en ( b) de Leverancier het recht heeft de EU-standaardcontractbepalingen namens en in de naam van de Klant met de sub-verwerkers van de Leverancier te ondertekenen, indien de Leverancier dit nodig acht om ervoor te zorgen dat dergelijke overdrachten van persoonsgegevens worden gedaan in overeenstemming met toepasselijke wetgeving.

8. Subverwerkers

De Leverancier moet mogelijk subverwerkers inschakelen om diensten en ondersteuning aan de Klant te verlenen. De Klant geeft hierbij zijn specifieke toestemming aan de Leverancier om Valamis Group Affiliates in te zetten als subverwerkers. Bovendien geeft de Klant hierbij algemene toestemming voor het inzetten van andere subverwerkers door de Leverancier onder de volgende voorwaarden:

  1. De Leverancier zal de Klant een lijst bezorgen van de subverwerker(s) die wordt ingezet (worden ingezet) bij de verwerking van persoonsgegevens namens de Klant;
  2. De Leverancier zal de Klant vooraf op de hoogte brengen van elke wijziging in de subverwerkers en de Klant de gelegenheid bieden om bezwaar te maken tegen een dergelijke verandering. De Klant moet snel op de kennisgeving van de Leverancier reageren en in ieder geval niet later dan 14 dagen na ontvangst van de kennisgeving van de Leverancier. De klant mag geen onredelijk bezwaar maken tegen het gebruik van een subverwerker.
  3. Indien de Klant bezwaar maakt tegen een dergelijke wijziging, heeft de Leverancier het recht om het deel van de Overeenkomst waarop de subverwerking betrekking heeft, schriftelijk te beëindigen met een opzegtermijn van dertig (30) dagen.
  4. De Leverancier zal van subverwerkers verlangen dat zij een schriftelijke overeenkomst sluiten en zich houden aan de verplichtingen inzake gegevensbescherming, beveiliging en vertrouwelijkheid die van toepassing zijn op de Leverancier krachtens dit Addendum en deze Overeenkomst of verplichtingen die voorzien in hetzelfde niveau van gegevensbescherming.
  5. De Leverancier blijft verantwoordelijk jegens de Klant voor de prestaties van zowel de Leverancier zelf, als van zijn subverwerkers.

9. Beveiligingsincidenten en inbreuk in verband met persoonsgegevens

  1. De Leverancier zal de Klant onverwijld in kennis stellen van een inbreuk die de persoonsgegevens van de Klant betreft.
  2. De Leverancier zal redelijkerwijze met de Klant samenwerken en alle commercieel redelijke stappen ondernemen die de Klant redelijkerwijs kan doen om te helpen bij het onderzoeken, beperken en verhelpen van elke dergelijke inbreuk in verband met de persoonsgegevens.

10. Beperking van de aansprakelijkheid

De Leverancier is niet aansprakelijk voor enige indirecte en/of gevolgschade en/of verliezen. De totale aansprakelijkheid van de Leverancier onder of in verband met dit DPA zal altijd beperkt zijn tot 100.000 euro.

11. Overige voorwaarden

  1. De Leverancier heeft het recht om de Klant alle in het kader van of met betrekking tot dit DPA uitgevoerde activiteiten in rekening te brengen in overeenstemming met de dan geldende uurtarieven of andere prijslijsten.
  2. Dit Addendum vervangt alle eerdere overeenkomsten met betrekking tot data processing tussen de partijen.
  3. In andere opzichten zullen de bepalingen van de Overeenkomst op dit Addendum worden toegepast.
  4. Op de Overeenkomst is het Nederlands recht van toepassing, met uitsluiting van de bepalingen inzake de rechtskeuze. Het Verdrag van de Verenigde Naties inzake Contracten voor de internationale verkoop van goederen, gesloten te Wenen op 11 april 1980, is uitgesloten. Alle geschillen die voortvloeien uit of verband houden met de Overeenkomst en/of de totstandkoming daarvan worden beslecht door arbitrage in overeenstemming met het Arbitragereglement van het Nederlands Arbitrage Instituut. Het scheidsgerecht bestaat uit een (1) arbiter. Het scheidsgerecht wordt benoemd volgens de lijstprocedure. De arbitrage vindt plaats in Den Haag, Nederland. De arbitrage zal worden uitgevoerd en de arbitrale uitspraak zal in het Nederlands worden gegeven of, indien de Klant geen Nederlandse entiteit is, in het Engels.

12. Privacyverzoeken

Als u privacyverzoeken hebt dan kunt u contact opnemen met dataprotection@valamis.com