Aanvulling inzake gegevensverwerking

Aanvulling inzake gegevensverwerking

Deze bijlage inzake gegevensverwerking („DPA“) heeft betrekking op de onderliggende overeenkomst voor cloudhosting („Overeenkomst“) waarbij ISVHost („Dienstverlener“) cloudhostingdiensten levert aan de klant („Onderneming“) en maakt deel uit van de Overeenkomst.  

OVERWEGENDE DAT de Dienstverlener in het kader van de Overeenkomst bepaalde diensten voor het Bedrijf verricht („Diensten”);  

OVERWEGENDE DAT de dienstverlener, als onderdeel van de diensten die hij krachtens de overeenkomst aan het bedrijf levert, persoonlijke gegevens zal ontvangen of daartoe toegang zal hebben, zoals die term wordt gebruikt en begrepen in de zin van de wetgeving inzake gegevensbescherming (hieronder gedefinieerd);

OVERWEGENDE DAT de partijen een DPA willen sluiten die voldoet aan de vereisten van de wetgeving inzake gegevensbescherming.  

DAAROM IS HET VOLGENDE OVEREENGEKOMEN:  

1. Definities

1. Onder „contextoverschrijdende gedragsgerichte reclame“ wordt verstaan: het richten van reclame op een consument op basis van diens persoonlijke gegevens die zijn verkregen uit de activiteiten van de consument op verschillende websites, applicaties of diensten van andere bedrijven of met een ander merk, dan het bedrijf, de website, de applicatie of de dienst met een ander merk waarmee de consument opzettelijk interactie aangaat.  

2. Onder „consument“ wordt verstaan: een natuurlijke persoon die ingezetene is van een rechtsgebied waar wetgeving inzake gegevensbescherming van toepassing is, met inbegrip van maar niet beperkt tot een „consument“ zoals gedefinieerd in de California Consumer Privacy Act, zoals gewijzigd bij de California Privacy Rights Act, de Virginia Consumer Data Protection Act, de Colorado Privacy Act, de Connecticut Data Privacy Act, de Utah Consumer Privacy Act, de Texas Data Privacy and Security Act, de Oregon Consumer Privacy Act en andere toepasselijke staatswetgeving inzake gegevensbescherming.

3. Onder „wetgeving inzake gegevensbescherming“ wordt verstaan: alle toepasselijke wetten, regels, voorschriften en andere wettelijke of zelfregulerende vereisten in elk rechtsgebied met betrekking tot privacy, gegevensbescherming, gegevensbeveiliging, melding van inbreuken of de verwerking (zoals hieronder gedefinieerd) van persoonsgegevens.

4. Onder „persoonsgegevens“ wordt verstaan alle informatie waarmee een persoon kan worden geïdentificeerd, zoals gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming.

5. Onder „verwerking“ en „verwerken“ wordt verstaan: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, met inbegrip van, maar niet beperkt tot, het verzamelen, opslaan en gebruiken van persoonsgegevens.  

6. Onder „profilering“ wordt verstaan: elke vorm van geautomatiseerde verwerking van persoonsgegevens met het oog op het beoordelen, analyseren of voorspellen van de economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen van een persoon.

7. Onder „beveiligingsinbreuk“ wordt verstaan: de ongeoorloofde of onrechtmatige vernietiging, verlies, wijziging, openbaarmaking of verwerking van persoonsgegevens.  

8. De termen „verkoop“, „verkopen“ of „derde partij“ hebben de betekenis zoals vastgelegd in artikel 1798.140 van het Burgerlijk Wetboek van Californië, zoals gewijzigd, en in overeenkomstige definities in andere toepasselijke wetgeving inzake gegevensbescherming.

9. Onder „gevoelige gegevens“ of „gevoelige persoonsgegevens“ wordt verstaan: persoonsgegevens die informatie bevatten over ras of etnische afkomst, religieuze overtuigingen, diagnoses met betrekking tot de geestelijke of lichamelijke gezondheid, seksuele geaardheid, staatsburgerschap of immigratiestatus; genetische of biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon; persoonsgegevens die zijn verzameld van een bekend kind; of nauwkeurige geolocatiegegevens, zoals nader omschreven in de toepasselijke wetgeving inzake gegevensbescherming.

10. Onder „dienstverlener“ vallen ook de term „verwerker“ en soortgelijke termen, en deze termen hebben dezelfde betekenis als gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming.

11. De termen „delen“, „gedeeld“ of „delen“ hebben de betekenis zoals vastgelegd in artikel 1798.140 van het Burgerlijk Wetboek van Californië, zoals gewijzigd, en in soortgelijke definities in andere toepasselijke wetgeving inzake gegevensbescherming.

12. Onder „subverwerker“ wordt verstaan elke onderaannemer die namens de dienstverlener persoonsgegevens verwerkt.

2. Verplichtingen van de dienstverlener

1. De Dienstverlener zal Persoonsgegevens uitsluitend verwerken met het oog op het leveren van de Diensten aan het Bedrijf zoals vermeld in de Overeenkomst of zoals anderszins schriftelijk door het Bedrijf is aangegeven. Alle Verwerking van Persoonsgegevens door de Dienstverlener geschiedt in overeenstemming met de wetgeving inzake gegevensbescherming.  

2. Zonder het voorgaande te beperken, zal de Dienstverlener: (i) geen Persoonsgegevens verkopen; (ii) geen Persoonsgegevens delen voor contextoverschrijdende gedragsgerichte reclame; (iii) geen Persoonsgegevens bewaren, gebruiken of openbaar maken voor enig ander doel, met inbegrip van commerciële doeleinden, dan de in de Overeenkomst gespecificeerde zakelijke doeleinden of zoals anderszins schriftelijk door het Bedrijf is toegestaan; (iv) Persoonsgegevens bewaren, gebruiken of openbaar maken aan derden buiten de directe zakelijke relatie tussen het Bedrijf en de Dienstverlener; (v) enige toepasselijke beperkingen schenden die zijn opgesomd in de Wetgeving inzake gegevensbescherming, met inbegrip van die betreffende het combineren van de Persoonsgegevens die de Dienstverlener ontvangt van, of namens, het Bedrijf met Persoonsgegevens die de Dienstverlener ontvangt van, of namens, een andere persoon of personen, of die de Dienstverlener verzamelt uit enige interactie tussen zichzelf en een individu; met dien verstande echter dat het voorgaande de Dienstverlener niet verbiedt om Geanonimiseerde Gegevens (zoals hieronder gedefinieerd) te combineren met andere geanonimiseerde of gepseudonimiseerde gegevens voor interne analytische, onderzoeks- of productverbeteringsdoeleinden van de Dienstverlener; of (vi) zich bezighouden met enige Verwerking van Persoonsgegevens die verboden of niet toegestaan is door “Verwerkers” of “Dienstverleners” krachtens de Wetgeving inzake gegevensbescherming.

3. Onverminderd het voorgaande mag de Dienstverlener van het Bedrijf ontvangen Persoonsgegevens de-identificeren, anonimiseren of aggregeren, op voorwaarde dat: (i) deze de-identificatie, anonimisering of aggregatie plaatsvindt in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming; (ii) de daaruit voortvloeiende gegevens („Gede-identificeerde gegevens“) redelijkerwijs niet kunnen worden gebruikt om een persoon te identificeren of aan een persoon te koppelen; (iii) de Dienstverlener technische beveiligingsmaatregelen en bedrijfsprocessen implementeert om heridentificatie te voorkomen; en (iv) de Dienstverlener contractueel verbiedt dat eventuele downstream-ontvangers pogingen ondernemen om de gegevens te heridentificeren. De Dienstverlener mag Geanonimiseerde Gegevens gebruiken, bewaren en combineren voor zijn eigen interne analyse-, onderzoeks-, benchmarking- en product- of dienstverbeteringsdoeleinden. De Dienstverlener zal geen pogingen ondernemen om Geanonimiseerde Gegevens of enige andere gepseudonimiseerde, geanonimiseerde, geaggregeerde of geanonimiseerde informatie opnieuw te identificeren.

4. Indien de Dienstverlener wettelijk verplicht is om Persoonsgegevens aan een derde partij te verstrekken: (i) zal de Dienstverlener het Bedrijf onverwijld een redelijke gelegenheid bieden om de wettelijke verplichting aan te vechten of om bescherming tegen de openbaarmaking te vragen; en (ii) zal de Dienstverlener, na overleg met het Bedrijf en diens juridisch adviseur, slechts de minimale hoeveelheid Persoonsgegevens openbaar maken die nodig is om aan de wettelijke verplichting te voldoen.

5. De Dienstverlener zal het Bedrijf binnen vijf (5) werkdagen op de hoogte stellen indien de Dienstverlener vaststelt dat hij niet langer kan voldoen aan zijn verplichtingen uit hoofde van deze DPA of de wetgeving inzake gegevensbescherming, of dat hij een van zijn verplichtingen uit hoofde van deze DPA niet is nagekomen of de wetgeving inzake gegevensbescherming heeft geschonden.  

6. Behalve voor zover dit nodig is om te voldoen aan wettelijke verplichtingen, zal de Dienstverlener alle Persoonsgegevens uit zijn systemen verwijderen zodra de Diensten met betrekking tot de Verwerking zijn beëindigd. Indien de Dienstverlener wettelijk verplicht is om dergelijke Persoonsgegevens te bewaren, zal de Dienstverlener het Bedrijf hiervan op de hoogte stellen. Daarna mogen dergelijke Persoonsgegevens in het systeem van de Dienstverlener blijven opgeslagen, maar mogen ze op geen enkele andere wijze worden verwerkt en moeten ze voldoen aan alle toepasselijke wetgeving inzake gegevensbescherming.  

7. De dienstverlener verleent het bedrijf het recht om, na een redelijke kennisgeving, redelijke en passende maatregelen te nemen om elk ongeoorloofd gebruik van persoonsgegevens te stoppen en te verhelpen.  

8. De partijen zullen redelijkerwijs met elkaar samenwerken om deze DPA aan te passen of te wijzigen indien nieuwe of gewijzigde wetgeving inzake gegevensbescherming een dergelijke aanpassing of wijziging vereist.  

3. Beperkingen inzake gevoelige gegevens en profilering. De volgende aanvullende vereisten zijn van toepassing op de verwerking van gevoelige gegevens door de dienstverlener en op alle profileringactiviteiten:

1. De Dienstverlener mag geen Gevoelige Gegevens verwerken, behalve voor zover dit strikt noodzakelijk is voor het uitvoeren van de Diensten en uitsluitend met voorafgaande schriftelijke toestemming van het Bedrijf, waarin de categorieën van de te verwerken Gevoelige Gegevens en de doeleinden van die verwerking worden gespecificeerd.

2. De dienstverlener dient voor gevoelige gegevens versterkte technische en organisatorische beveiligingsmaatregelen te implementeren en te handhaven die in verhouding staan tot het verhoogde risico dat aan dergelijke gegevens verbonden is, waaronder versleuteling van gegevens in opslag en tijdens verzending, toegangscontroles die de toegang beperken tot bevoegd personeel, en het registreren van alle toegang tot gevoelige gegevens.

3. De dienstverlener erkent dat consumenten op grond van de toepasselijke wetgeving inzake gegevensbescherming het recht hebben om het gebruik en de openbaarmaking van hun gevoelige gegevens te beperken, en zal alle verzoeken tot beperking die door het bedrijf worden doorgegeven, inwilligen.

4. De Dienstverlener mag geen profilering van Consumenten uitvoeren op basis van Persoonsgegevens die hij van het Bedrijf heeft ontvangen, tenzij: (i) deze profilering strikt noodzakelijk is voor het verlenen van de Diensten; (ii) het Bedrijf vooraf schriftelijke toestemming heeft gegeven voor deze profilering; en (iii) de profilering geen juridische of vergelijkbare ingrijpende gevolgen heeft voor Consumenten zonder passende waarborgen.

5. De dienstverlener verstrekt het bedrijf voldoende informatie om het bedrijf in staat te stellen de vereiste gegevensbeschermingseffectbeoordeling of een soortgelijke beoordeling uit te voeren met betrekking tot profilering, overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming.

6. Indien de Dienstverlener een verzoek van een Consument ontvangt om zich af te melden voor profilering, hetzij rechtstreeks, hetzij via het Bedrijf, dient de Dienstverlener alle profileringactiviteiten met betrekking tot de Persoonsgegevens van die Consument onmiddellijk te staken en deze stopzetting schriftelijk aan het Bedrijf te bevestigen.

4. Bijstand bij de verwerking. Indien de dienstverlener een subverwerker of een andere persoon inschakelt om hem bij te staan bij de verwerking van persoonsgegevens, dient hij het bedrijf hiervan op de hoogte te stellen, en deze subverwerkers of ingeschakelde personen dienen:  

1. zijn geselecteerd via procedures die redelijkerwijs zijn ontworpen om de betrouwbaarheid, bekwaamheid en integriteit van die subverwerker of persoon te waarborgen, met inbegrip van het uitvoeren van passende antecedentenonderzoeken voor zover dit wettelijk is toegestaan;

2. de nodige opleiding hebben gevolgd om de dienstverlener te helpen bij het naleven van deze DPA;

3. een passende schriftelijke overeenkomst hebben gesloten die deze subverwerker of persoon verplicht om de wetgeving inzake gegevensbescherming na te leven en persoonsgegevens uitsluitend te verwerken zoals toegestaan in deze DPA; en

4. Van de dienstverlener toegang tot persoonsgegevens verkrijgen, uitsluitend voor zover die toegang nodig is om de onderaannemer of persoon in staat te stellen de verplichtingen na te komen waarvoor die onderaannemer of persoon is ingeschakeld.

5. Bijstand bij de naleving van de wetgeving inzake gegevensbescherming. De partijen zullen op redelijke wijze met elkaar samenwerken en elkaar bijstaan om ervoor te zorgen dat zij hun respectieve nalevingsverplichtingen uit hoofde van de wetgeving inzake gegevensbescherming nakomen, rekening houdend met de aard van de verwerking door de dienstverlener en de informatie waarover de dienstverlener beschikt. Zonder het voorgaande te beperken:

1. De dienstverlener dient het bedrijf zo spoedig mogelijk, maar uiterlijk binnen drie (3) werkdagen na ontvangst van een verzoek of klacht met betrekking tot persoonsgegevens, hiervan op de hoogte te stellen.  

2. De dienstverlener zal niet op dergelijke verzoeken reageren, tenzij het bedrijf de dienstverlener daartoe schriftelijk toestemming heeft gegeven, behalve voor zover de dienstverlener op grond van de toepasselijke wetgeving verplicht is om rechtstreeks te reageren.  

3. Indien de Dienstverlener krachtens de toepasselijke wetgeving verplicht is om rechtstreeks te reageren, zal hij, tenzij dit wettelijk verboden is, het Bedrijf hiervan op de hoogte stellen alvorens de eerste kennisgeving te doen, en de redelijke instructies van het Bedrijf opvolgen bij het reageren op een dergelijk verzoek.

4. Indien het Bedrijf de Dienstverlener verzoekt om Persoonsgegevens te verwijderen of te wijzigen, zal de Dienstverlener hier onmiddellijk gevolg aan geven en deze verzoeken tot verwijdering of wijziging doorgeven aan onderliggende partijen in overeenstemming met de wetgeving inzake gegevensbescherming.

6. Beveiliging. De dienstverlener zal passende technische en organisatorische maatregelen nemen om een beveiligingsniveau voor de persoonsgegevens te waarborgen dat in verhouding staat tot het risico, en deze maatregelen moeten in alle gevallen in overeenstemming zijn met de toepasselijke wetgeving inzake gegevensbescherming

7. Beveiligingsinbreuk. De dienstverlener zal voldoen aan alle verplichtingen met betrekking tot beveiligingsinbreuken die krachtens de wetgeving inzake gegevensbescherming op hem van toepassing zijn. Rekening houdend met de aard van de verwerking en de informatie waarover hij beschikt, zal de dienstverlener het bedrijf redelijke bijstand verlenen bij het nakomen van de verplichtingen van het bedrijf met betrekking tot beveiligingsinbreuken.

De partijen bij de overeenkomst verklaren en garanderen hierbij dat zij naar behoren bevoegd zijn om hun partij juridisch te binden aan de bepalingen van deze DPA.

‍