Voorwaarden en Beleid

Gegevensverwerkingsovereenkomst, 2022

Download een kopie →

Ingangsdatum: 28 oktober^e, 2022

Deze Gegevensverwerkingsovereenkomst (“DPA”) maakt deel uit van de Nitro Bedrijfsovereenkomsten of Nitro Voorwaarden voor de Dienstverlening, afhankelijk van wat van toepassing is, die het gebruik van de diensten van Nitro (“Overeenkomst”) regelt, afgesloten tussen U of de Licentienemer (iedereen zoals gedefinieerd in de relevante Overeenkomst; en voor de doeleinden van deze DPA worden U en de Licentienemer hierin gezamenlijk aangeduid als “Klant”) en Nitro Software, Inc. (“Nitro”) om de overeenkomst van de partijen weer te geven met betrekking tot de verwerking van Persoonsgegevens door Nitro uitsluitend namens de Klant onder de Overeenkomst. Beide partijen worden aangeduid als de “Partijen” en elk, een “Partij”.

Voor de doeleinden van deze DPA hebben de onderstaande termen de onderstaande betekenissen. Hoofdletters die worden gebruikt maar niet gedefinieerd in deze DPA hebben de betekenissen die zijn gegeven in de Overeenkomst.

(a) Connectie betekent elke entiteit die direct of indirect de controle heeft, onder controle staat of onder gemeenschappelijke controle staat met de betrokken entiteit, waarbij “controle” verwijst naar de macht om de richting van de betrokken entiteit te bepalen, hetzij (i) door eigendom van stemgevende effecten, hetzij (ii) door de mogelijkheid om feitelijk de bestuursbeslissingen van die entiteit te beheersen, op contractuele basis of anderszins.

(b) API betekent elke applicatieprogrammeerinterface die door Nitro aan de Klant ter beschikking wordt gesteld in verband met de Overeenkomst.

(c) Toepasselijke Gegevensbeschermingswetten betekent de privacy-, gegevensbeschermings- en databeveiligingswetten en -voorschriften van enige jurisdictie die van toepassing zijn op de verwerking van Persoonsgegevens onder de Overeenkomst, inclusief, maar niet beperkt tot, de Europese Gegevensbeschermingswetten en de CCPA, elke keer gewijzigd.

(d) CCPA betekent de California Consumer Privacy Act van 2018 en alle daaronder uitgevaardigde voorschriften.

(e) Klantgegevens betekent informatie die aan Nitro wordt verstrekt of beschikbaar wordt gesteld voor verwerking namens de Klant om de Diensten uit te voeren.

(f) Documentatie betekent de gebruikershandleiding, release-informatie, implementatiehandleidingen en enige andere technische documentatie met betrekking tot de Diensten of Professionele Diensten die aan de Klant door Nitro wordt verstrekt.

(g) EEA betekent de Europese Economische Ruimte.

(h) Europese Gegevensbeschermingswetten betekent de AVG en andere wetten en voorschriften inzake gegevensbescherming van de Europese Unie, haar lidstaten, Zwitserland, IJsland, Liechtenstein, Noorwegen en het Verenigd Koninkrijk, in elk geval voor zover van toepassing op de verwerking van Persoonsgegevens onder de Overeenkomst.

(i) AVG betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016, zoals van tijd tot tijd gewijzigd.

(j) Informatiebeveiligingsincident betekent een bekend beveiligingsincident van Nitro dat leidt tot de per ongeluk of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot Persoonsgegevens in bezit van, onder controle van of in bewaring bij Nitro. Informatiebeveiligingsincidenten omvatten geen onsuccesvolle pogingen of activiteiten die de beveiliging van Persoonsgegevens niet in gevaar brengen, inclusief, maar niet beperkt tot, onsuccesvolle aanmeldpogingen, pings, poort scannen, denial-of-service-aanvallen of andere netwerk aanvallen op firewalls of netwerk systemen.

(k) Intellectuele Eigendomsrechten betekent alle intellectuele eigendomsrechten wereldwijd, inclusief: (i) patenten, openbaarmakingen van uitvindingen (of deze nu patentbaar zijn of niet), patentaanvragen, heruitgiftes, herbeoordelingen, gebruiksmodelrechten en ontwerprechten (geïnregistreerd of niet), en geregistreerde of andere industriële eigendomsrechten, (ii) handelsmerken, dienstmerken, bedrijfsnamen, handelsnamen, internetidentifiers, handelsstyling, en andere vergelijkbare aanduidingen van bron of oorsprong samen met de goodwill die door een van de voorgaande wordt gesymboliseerd, (iii) auteursrechten, morele rechten, ontwerprechten, databankrechten, dataverzamelingen, en andere sui generis-rechten, (iv) handelsgeheimen of andere eigendomsrechten in vertrouwelijke informatie of technische, regelgevende en andere informatie, ontwerpen, resultaten, technieken, en ander knowhow, en (v) aanvragen, registraties en verlengingen voor, en alle daaraan verbonden rechten met betrekking tot, een van de voorgaande in elk deel van de wereld.

(l) Persoonsgegevens betekent Klantgegevens die “persoonsgegevens”, “persoonlijke informatie” of “persoonlijk identificeerbare informatie” vormen zoals gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming, of informatie van een vergelijkbaar karakter die door deze wordt gereguleerd, met uitzondering van Persoonsgegevens die betrekking hebben op het personeel of vertegenwoordigers van de Klant die zakelijke contacten van Nitro zijn in de normale loop van de zakelijke relatie, waarbij Nitro optreedt als een verwerkingsverantwoordelijke van dergelijke informatie.

(m) Verwerking betekent elke handeling of set van handelingen die wordt uitgevoerd op Persoonsgegevens of op sets van Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzameling, registratie, organisatie, structurering, opslag, aanpassing of wijziging, ophalen, raadplegen, gebruik, openbaarmaking door overdracht, verspreiding of anderszins beschikbaar stellen, afstemming of combinatie, beperking, verwijdering of vernietiging.

(n) Professionele Diensten betekent alle diensten die door Nitro worden uitgevoerd met betrekking tot de Diensten zoals activatie, training, configuratie, integratie, beoordeling, en optimalisatie.

(o) Beveiligingsmaatregelen heeft de betekenis zoals gegeven in Sectie 5(a) (Beveiligingsmaatregelen van de leverancier).

(p) Standaardcontractuele clausules betekent de verplichte bepalingen van de standaardcontractuele clausules voor de overdracht van persoonsgegevens aan verwerkers die zijn gevestigd in derde landen in de vorm zoals vastgesteld door de Europese Commissie Besluit 2016/679/EU en 2018/914/EU, en geïmplementeerd door het besluit van de Europese Commissie 2021/914, gedateerd 4 juni 2021.

(q) Subverwerkers betekent derde partijen die Nitro inhuurt om Persoonsgegevens te Verwerken in verband met de Diensten.

(r) Derde partij Subverwerkers heeft de betekenis zoals gegeven in Sectie 5 (Subverwerkers) van Bijlage 1.

(s) De termen verwerkingsverantwoordelijke, betrokkene, verwerker, en toezichthoudende autoriteit zoals gebruikt in deze DPA hebben de betekenissen zoals gegeven in de AVG.

(a) Deze DPA blijft van kracht zolang Nitro Persoonsgegevens verwerkt, ongeacht het verstrijken of beëindigen van de Overeenkomst.

(b) Bijlage 1 (EU Bijlage) van deze DPA is uitsluitend van toepassing op Verwerking die onder Europese Gegevensbeschermingswetten valt.

(c) Bijlage 2 (Californië Bijlage) van deze DPA is uitsluitend van toepassing op Verwerking die onder de CCPA valt als de Klant een “bedrijf” of “dienstverlener” is (zoals gedefinieerd in de CCPA) met betrekking tot die Verwerking.

Nitro zal Persoonsgegevens alleen verwerken in overeenstemming met de instructies van de Klant aan Nitro. Deze DPA is een volledige uitdrukking van dergelijke instructies, en de aanvullende instructies van de Klant zullen bindend zijn voor Nitro alleen volgens een wijziging van deze DPA die door beide Partijen is ondertekend. De klant instrueert Nitro om Persoonsgegevens te verwerken om de Diensten te leveren zoals voorzien in de Overeenkomst.

De Klant erkent en gaat ermee akkoord dat Nitro als onderdeel van de Diensten kan:

(a) elementen creëren en afleiden van Verwerking die gerelateerd is aan de Diensten die nodig zijn voor het leveren van de Diensten; en/of

(b) creëren en afleiden van verwerking gerelateerd aan de Diensten geanonimiseerde en/of geaggregeerde gegevens die de Klant of een natuurlijke persoon niet identificeren, en deze geanonimiseerde en/of geaggregeerde gegevens gebruiken, publiceren of delen met derden om de producten en diensten van Nitro te verbeteren en/of voor andere legitieme zakelijke doeleinden.

(a) Beveiligingsmaatregelen van de provider. Nitro zal technische en organisatorische maatregelen implementeren en handhaven die zijn ontworpen om Persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van of toegang tot Persoonsgegevens ("Beveiligingsmaatregelen") zoals beschreven in Bijlage 3 (Beveiligingsmaatregelen). Nitro kan de Beveiligingsmaatregelen van tijd tot tijd zonder voorafgaande kennisgeving bijwerken, zolang de bijgewerkte maatregelen de algehele bescherming van Persoonsgegevens niet materieel verminderen.

(b) Informatiebeveiligingsincidenten. Nitro zal de Klant zonder onnodige vertraging op de hoogte stellen van elk Informatiebeveiligingsincident waarvan Nitro op de hoogte raakt. Dergelijke meldingen kunnen beschikbare details van het Informatiebeveiligingsincident beschrijven, inclusief een samenvatting van de stappen die zijn ondernomen om de potentiële risico's te mitigeren en stappen die Nitro de Klant aanbeveelt om te overwegen om het Informatiebeveiligingsincident aan te pakken. Nitro's melding van of reactie op een Informatiebeveiligingsincident zal niet worden geïnterpreteerd als een erkenning van enige fout of aansprakelijkheid van Nitro met betrekking tot het Informatiebeveiligingsincident.

(c) Verantwoordelijkheden en beoordeling van de beveiliging van de Klant.

(i) Verantwoordelijkheden voor de beveiliging van de Klant. De Klant stemt ermee in dat, zonder beperking van de verplichtingen van Nitro onder Sectie 5 (Beveiliging), de Klant uitsluitend verantwoordelijk is voor zijn gebruik van de Diensten, inclusief (a) het maken van passend gebruik van de Diensten om een niveau van beveiliging te garanderen dat passend is voor het risico met betrekking tot de Persoonsgegevens; (b) het beveiligen van de accountauthenticatiegegevens, systemen en apparaten die de Klant gebruikt om toegang te krijgen tot de Diensten; (c) het beveiligen van de systemen en apparaten van de Klant die Nitro gebruikt om de Diensten te verlenen; en (d) het maken van back-ups van Persoonsgegevens.

(ii) Beoordeling van de Beveiliging van de Klant. De Klant stemt ermee in dat de Diensten, de Beveiligingsmaatregelen en de verplichtingen van Nitro onder deze DPA adequaat zijn om te voldoen aan de behoeften van de Klant, inclusief ten aanzien van eventuele beveiligingsverplichtingen van de Klant onder de Toepasbare Gegevensbeschermingswetten, en een niveau van beveiliging bieden dat passend is voor het risico met betrekking tot de Persoonsgegevens.

(a) Nitro's Assistentie bij Verzoeken van Betrokkenen. Nitro zal (rekening houdend met de aard van de Verwerking van Persoonsgegevens) de Klant de redelijk noodzakelijke ondersteuning bieden die nodig is voor de Klant om aan zijn verplichtingen onder de Toepasbare Gegevensbeschermingswetten te voldoen voor het vervullen van verzoeken door betrokkenen om hun rechten uit te oefenen onder de Toepasbare Gegevensbeschermingswetten (“Verzoeken van Betrokkenen”) met betrekking tot Persoonsgegevens in het bezit of de controle van Nitro. De Klant zal Nitro vergoeden voor enige dergelijke ondersteuning tegen de dan geldende professionele diensten tarieven van Nitro, die op verzoek aan de Klant beschikbaar worden gesteld.

(b) Verantwoordelijkheid van de Klant voor Verzoeken. Als Nitro een Verzoek van een Betrokkene ontvangt, zal Nitro de betrokkene adviseren om de aanvraag bij de Klant in te dienen en de Klant is verantwoordelijk voor het beantwoorden van de aanvraag.

(a) Compliance van de Klant. De Klant zal voldoen aan zijn verplichtingen onder de Toepasbare Gegevensbeschermingswetten. De Klant zal ervoor zorgen (en is uitsluitend verantwoordelijk voor het ervoor zorgen) dat zijn instructies in Sectie 3 in overeenstemming zijn met de Toepasbare Gegevensbeschermingswetten, en dat de Klant alle kennisgevingen aan, en alle toestemmingen van, personen aan wie de Persoonsgegevens betrekking hebben en alle andere partijen heeft gegeven zoals vereist door de Toepasbare Gegevensbeschermingswetten voor de Klant om Persoonsgegevens te verwerken zoals bedoeld in de Overeenkomst.

(b) Verboden Gegevens. De Klant verklaart en garandeert aan Nitro dat Klantgegevens geen en zullen geen, zonder de voorafgaande schriftelijke toestemming van Nitro, bevatten enige sociale zekerheidsnummers of andere door de overheid uitgegeven identificatienummers; biometrische informatie; wachtwoorden voor online accounts; inloggegevens voor financiële accounts; belastingaangiftegegevens; kredietrapporten of consumentenrapporten; informatie over betalingskaarten die onderworpen zijn aan de Payment Card Industry Data Security Standard; informatie die onderworpen is aan de Gramm-Leach-Bliley Act, de Fair Credit Reporting Act of de regelgeving die onder een van die wetten is vastgesteld; informatie die onderhevig is aan beperkingen onder de Toepasbare Gegevensbeschermingswetten die de Persoonsgegevens van kinderen regelen, inclusief, zonder beperking, alle informatie over kinderen jonger dan 13 jaar; of enige informatie die valt binnen speciale gegevenscategorieën (zoals gedefinieerd in de AVG). De Klant verklaart verder dat Klantgegevens geen en zullen geen beschermd gezondheidsinformatie bevatten die onderhevig is aan de Health Insurance Portability and Accountability Act (HIPAA) of enige soortgelijke wetgeving in andere rechtsgebieden; andere informatie met betrekking tot de medische geschiedenis van een individu, mentale of fysieke toestand, of medische behandeling of diagnose door een zorgverlener; of informatie over gezondheidsverzekeringen, tenzij de Klant en Nitro afzonderlijk een HIPAA Business Associate-overeenkomst zijn aangegaan.

Tenzij uitdrukkelijk gewijzigd door de DPA, blijven de bepalingen van de Overeenkomst volledig van kracht en effect. In het geval van een conflict of inconsistentie tussen deze DPA en de voorwaarden van de Overeenkomst, heeft deze DPA voorrang. Ongeacht enige bepaling in de Overeenkomst of enig orderformulier dat in verband daarmee is ingevoerd, erkennen en stemmen de Partijen ermee in dat de toegang van Nitro tot Persoonsgegevens geen onderdeel vormt van de tegenprestatie die door de Partijen is uitgewisseld in het kader van de Overeenkomst. Ongeacht enige tegenstrijdige bepaling in de Overeenkomst, kunnen alle kennisgevingen die door Nitro aan de Klant onder deze DPA vereist of toegestaan zijn, worden gedaan (a) in overeenstemming met enige kennisgevingsclausule van de Overeenkomst; (b) aan de primaire contactpunten van Nitro bij de Klant; of (c) aan elk e-mailadres dat door de Klant is opgegeven voor het doel van het verstrekken van communicatie of waarschuwingen met betrekking tot de diensten. De Klant is uitsluitend verantwoordelijk voor het ervoor zorgen dat dergelijke adressen voor kennisgevingen geldig zijn.

(a) Onderwerp en details van de verwerking. De Partijen erkennen en stemmen ermee in dat (i) het onderwerp van de Verwerking onder de Overeenkomst de levering van de Diensten door Nitro betreft; (ii) de duur van de Verwerking is van het moment dat Nitro de Persoonsgegevens ontvangt tot het moment dat alle Persoonsgegevens door Nitro worden verwijderd in overeenstemming met de Overeenkomst; (iii) de aard en het doel van de Verwerking zijn het leveren van de Diensten; (iv) de betrokkenen bij de Persoonsgegevens zijn de Klant (voor zover de Klant een individu is), gebruikers van de Diensten of Nitro's software, en individuen wiens Persoonsgegevens zijn gegenereerd, gedeeld of geüpload door de Klant en/of gebruikers van de Diensten en/of Nitro's software; en (v) de categorieën van Persoonsgegevens zijn de persoonsgegevens die door de Klant of door gebruikers van de Diensten en/of Nitro's software zijn gegenereerd, gedeeld, geüpload of aangevraagd (die persoonsgegevens kunnen bevatten die zijn vastgelegd in documenten, foto's en andere media en door gebruikers gegenereerde inhoud zoals documenten, tekst, foto's en andere inhoud).

(b) Rollen en naleving van regelgeving; Autorisatie. De Partijen erkennen en stemmen ermee in dat (i) Nitro een verwerker is van Persoonsgegevens onder de Europese Gegevensbeschermingswetgeving; (ii) de Klant een verantwoordelijke (of een verwerker die handelt op instructies van een verantwoordelijke) is van Persoonsgegevens onder de Europese Gegevensbeschermingswetgeving; en (iii) elke Partij zich zal houden aan de verplichtingen die op haar van toepassing zijn in die rol onder de Europese Gegevensbeschermingswetgeving met betrekking tot de Verwerking van Persoonsgegevens. Als de Klant een verwerker is, verklaart en garandeert de Klant aan Nitro dat de instructies en handelingen van de Klant met betrekking tot Persoonsgegevens, inclusief de aanstelling van Nitro als een andere verwerker, zijn goedgekeurd door de relevante verantwoordelijke.

(c) Nitro's naleving van instructies. Nitro verwerkt Persoonsgegevens alleen in overeenstemming met de instructies van de Klant zoals vermeld in deze DPA, tenzij de toepasselijke Europese Gegevensbeschermingswetgeving anders vereist; in dat geval zal Nitro de Klant op de hoogte stellen (tenzij die wet Nitro verbiedt om dit te doen).

(d) Verwijdering van gegevens. Nitro zal alle Persoonsgegevens op de systemen van Nitro verwijderen op schriftelijk verzoek van de Klant en na beëindiging van de levering van Diensten, en zal bestaande kopieën verwijderen, tenzij door (i) de toepasselijke wetten van de Europese Unie of haar Lidstaten, met betrekking tot Persoonsgegevens die onder de Europese Gegevensbeschermingswetgeving vallen, of (ii) de Toepasbare Gegevensbeschermingswetten, met betrekking tot alle andere Persoonsgegevens, voortdurende opslag van de Persoonsgegevens vereist is. Nitro zal aan die instructie voldoen zodra dit redelijkerwijs mogelijk is en uiterlijk 180 dagen na dergelijke afloop of beëindiging, tenzij de Toepasbare Gegevensbeschermingswetten opslag vereisen. De Klant kan ervoor kiezen om een kopie van die Persoonsgegevens van Nitro aan te vragen tegen een aanvullend bedrag door dit schriftelijk aan te vragen ten minste 30 dagen voor de afloop of beëindiging van de Overeenkomst. Na de overeenkomst van de Partijen over dergelijke kosten op grond van een werkorder of andere wijziging van de Overeenkomst, zal Nitro een kopie van die Persoonsgegevens verstrekken voordat deze worden verwijderd conform deze clausule.

(a) Nitro's Beveiligingsmaatregelen, controles en assistentie

(i) Nitro's Beveiligingsassistentie. Bij schriftelijk verzoek zal Nitro de Klant redelijke assistentie bieden die nodig is om aan zijn verplichtingen met betrekking tot Persoonsgegevens onder de Europese Gegevensbeschermingswetten te voldoen, inclusief de artikelen 32 tot en met 34 (inclusief) van de AVG, door (a) de Beveiligingsmaatregelen te implementeren en te handhaven; (b) te voldoen aan de voorwaarden van Sectie 5(b) (Informatiebeveiligingsincidenten) van de DPA; en (c) te voldoen aan deze Bijlage 1. De Klant erkent hierbij en stemt ermee in dat dergelijke maatregelen voldoende zijn voor de Klant om aan deze verplichtingen te voldoen.

(ii) Naleving van de beveiligingsmaatregelen door Nitro personeel. Nitro zal ervoor zorgen dat zijn personeel dat bevoegd is om toegang te krijgen tot Persoonlijke Gegevens onderhevig is aan de juiste vertrouwelijkheidsverplichtingen.

(b) Beoordelingen en controles van naleving De Klant kan de naleving van Nitro met zijn verplichtingen onder deze DPA eens per kalenderjaar en op andere momenten die vereist kunnen zijn door de Europese privacywetgeving controleren, inclusief wanneer dit is opgelegd door de toezichthoudende autoriteit van de Klant. Nitro zal de Klant of de toezichthoudende autoriteit van de Klant bij dergelijke controles helpen door de informatie en hulp te bieden die redelijkerwijs noodzakelijk zijn om de controle uit te voeren. Als een derde partij de controle moet uitvoeren, kan Nitro bezwaar maken tegen de auditor als deze naar redelijke mening van Nitro niet onafhankelijk, een concurrent van Nitro of om andere redenen manifest ongeschikt is. Een dergelijk bezwaar van Nitro zal vereisen dat de Klant een andere auditor aanstelt of de controle zelf uitvoert. Om een controle aan te vragen, moet de Klant ten minste drie (3) weken voorafgaand aan de voorgestelde controledatum een voorgesteld controleplan aan Nitro voorleggen en elke derde auditor moet een gebruikelijke geheimhoudingsverklaring ondertekenen die wederzijds acceptabel is voor Nitro (deze acceptatie mag niet onredelijk worden onthouden) en die zorgt voor de vertrouwelijke behandeling van alle informatie die in verband met de controle is uitgewisseld en alle rapporten met betrekking tot de resultaten of bevindingen daarvan. Het voorgestelde controleplan moet de voorgestelde reikwijdte, duur en startdatum van de controle beschrijven. Nitro zal het voorgestelde controleplan beoordelen en de Klant van eventuele zorgen of vragen voorzien (bijvoorbeeld elke verzoek om informatie die de veiligheid, gegevensbescherming, privacy, werkgelegenheid of andere relevante beleidsregels van Nitro kan compromitteren). Nitro zal in samenwerking met de Klant werken om een definitief controleplan overeen te komen. Niets in deze Sectie 2(b) verplicht Nitro om enig vertrouwelijkheidsverplichtingen te schenden. Als de controles of maatregelen die in de aangevraagde controle moeten worden beoordeeld, worden behandeld in een SOC 2 Type 2, ISO, of vergelijkbaar auditrapport dat is uitgevoerd door een gekwalificeerde derde auditor die binnen twaalf (12) maanden na de aanvraag van de Klant is voltooid en Nitro heeft bevestigd dat er sindsdien geen bekende materiële nadelige veranderingen in de gecontroleerde controles zijn geweest, gaat de Klant akkoord met het accepteren van dat rapport in plaats van een controle van die controles of maatregelen aan te vragen. De controle moet plaatsvinden tijdens de reguliere kantooruren van Nitro, onder voorbehoud van het overeengekomen definitieve controleplan en de veiligheids-, beveiligings- en/of andere relevante beleidsregels van Nitro, en mag de bedrijfsactiviteiten van Nitro niet onredelijk verstoren. De Klant zal Nitro onmiddellijk op de hoogte stellen van enige niet-naleving die tijdens een controle is ontdekt en Nitro alle controlerapporten verstrekken die zijn gegenereerd in verband met enige controle onder deze Sectie 2(b), tenzij verboden door de Europese privacywetgeving of anderszins geïnstrueerd door een toezichthoudende autoriteit. De Klant mag de controlerapporten alleen gebruiken voor de doeleinden van het voldoen aan de regulatoire controle-eisen van de Klant en/of ter bevestiging van de naleving van de vereisten van deze DPA. Alle controles zijn voor rekening van de Klant. De Klant vergoedt Nitro voor de tijd die Nitro en derden hebben besteed in verband met enige controles of inspecties onder deze Sectie 2(b) tegen de op dat moment geldende professional services tarieven van Nitro, welke op verzoek aan de Klant ter beschikking zullen worden gesteld. De Klant is verantwoordelijk voor alle kosten die door een auditor in rekening worden gebracht die door de Klant is aangewezen om een dergelijke controle uit te voeren.

Nitro zal (rekening houdend met de aard van de Verwerking en de informatie die beschikbaar is voor Nitro) de Klant redelijk helpen in het voldoen aan zijn verplichtingen onder Artikelen 35 en 36 van de AVG, door (a) documentatie beschikbaar te stellen die relevante aspecten van Nitro’s informatiebeveiligingsprogramma en de daarbinnen toepasselijke beveiligingsmaatregelen beschrijft en (b) de andere informatie te verstrekken die in de Overeenkomst is opgenomen, inclusief deze DPA.

(a) Gegevensverwerkingsfaciliteiten. Nitro kan, met inachtneming van Artikel 4(b) (Overdrachten buiten de EEA), Persoonlijke Gegevens opslaan en verwerken in de Verenigde Staten of ergens waar Nitro of zijn Subverwerkers faciliteiten aanhouden.

(b) Overdrachten buiten de EEA. Als de Klant Persoonlijke Gegevens buiten de EEA naar Nitro overdraagt naar een land dat door de Europese Commissie niet als adequaat wordt beschouwd wat betreft gegevensbescherming, wordt die overdracht beheerst door de Standaardcontractclausules, waarvan de voorwaarden hierbij zijn opgenomen in deze DPA. In het vervolg van het voorgaande stemmen de Partijen overeen dat (i) de Klant zal optreden als de gegevensexporteur en Nitro als de gegevensimporteur onder de Standaard Contractuele Clausules; (ii) voor de doeleinden van Bijlage 1 bij de Standaard Contractuele Clausules, de categorieën van betrokkenen, gegevens, bijzondere categorieën van gegevens (indien van toepassing) en de Verwerkingsactiviteiten zullen zijn zoals uiteengezet in Sectie 1(a) van deze Bijlage 1 (Onderwerp en Details van Verwerking); (iii) voor de doeleinden van Bijlage 2 bij de Standaard Contractuele Clausules, de technische en organisatorische maatregelen de Beveiligingsmaatregelen zullen zijn; (iv) de gegevensimporteur de kopieën van de subverwerkingscontracten zal verstrekken die door de gegevensimporteur naar de gegevensexporteur moeten worden gestuurd overeenkomstig Clausule 5(j) van de Standaard Contractuele Clausules op verzoek van de gegevensexporteur, en dat de gegevensimporteur alle commerciële informatie of clausules die niet met de Standaard Contractuele Clausules of hun equivalent verband houden, van tevoren kan verwijderen of redigeren; (v) de audits zoals beschreven in Clausule 5(f) en Clausule 12(2) van de Standaard Contractuele Clausules zullen worden uitgevoerd in overeenstemming met Sectie 2(b) van deze Bijlage 1 (Beoordelingen en Audits van Naleving); (vi) de autorisaties van de Klant in Sectie 5 (Subverwerkers) van deze Bijlage 1 zullen de voorafgaande schriftelijke toestemming van de Klant vormen voor de onderaanneming door Nitro van de Verwerking van Persoonsgegevens indien zo'n toestemming vereist is onder Clausule 5(h) van de Standaard Contractuele Clausules; en (vii) certificering van verwijdering van Persoonsgegevens zoals beschreven in Clausule 12(1) van de Standaard Contractuele Clausules zal worden verstrekt op schriftelijk verzoek van de gegevensimporteur.

Niettegenstaande het voorgaande, zullen de Standaard Contractuele Clausules (of verplichtingen die gelijkwaardig zijn aan die onder de Standaard Contractuele Clausules) niet van toepassing zijn voor zover een alternatieve erkende nalevingsnorm voor de overdracht van Persoonsgegevens buiten de EER van toepassing is conform de Europese wetten inzake gegevensbescherming op de overdracht. In het geval van een conflict of inconsistentie tussen (a) deze Bijlage 1 en enige andere bepaling van deze DPA, zal deze Bijlage 1 gelden, of (b) de Standaard Contractuele Clausules en enige andere bepaling van deze Overeenkomst, zullen de Standaard Contractuele Clausules gelden.

(a) Toestemming voor het Inschakelen van Subverwerkers. De Klant verleent specifiek toestemming voor het inschakelen van de Affiliates van Nitro als Subverwerkers en verleent in het algemeen toestemming voor het inschakelen van andere derden als Subverwerkers (“Derde Partij Subverwerkers”).

(b) Informatie over Subverwerkers. Informatie over Subverwerkers, inclusief hun functies en locaties, is beschikbaar op: https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (zoals van tijd tot tijd door Nitro kan worden bijgewerkt) of op een ander webadres dat Nitro van tijd tot tijd aan de Klant kan verstrekken (samen “Subverwerker Site”).

(c) Vereisten voor het Inschakelen van Subverwerkers. Bij het inschakelen van een Subverwerker zal Nitro een schriftelijk contract aangaan met die Subverwerker waarin de verplichtingen op het gebied van gegevensbescherming niet minder beschermend zijn dan die in deze DPA met betrekking tot Persoonsgegevens voor zover van toepassing op de aard van de door die Subverwerker geleverde diensten. Nitro is aansprakelijk voor alle verplichtingen onder de Overeenkomst die zijn uitbesteed aan, de Subverwerker of zijn handelingen en omissies die daarmee verband houden.

(d) Kans om bezwaar te maken tegen wijzigingen van Subverwerkers. Wanneer Nitro na de ingangsdatum van de Overeenkomst een nieuwe Derde Partij Subverwerker inschakelt, zal Nitro de Klant op de hoogte stellen van de inschakeling (inclusief de naam en locatie van de relevante Subverwerker en de activiteiten die hij zal uitvoeren) door de Subverwerker Site bij te werken of via andere schriftelijke middelen. Als de Klant bezwaar maakt tegen een dergelijke inschakeling in een schriftelijke kennisgeving aan Nitro binnen 15 dagen na te zijn ingelicht over de inschakeling op redelijke gronden met betrekking tot de bescherming van Persoonsgegevens, zullen Klant en Nitro in goed vertrouwen samenwerken om een wederzijds acceptabele oplossing te vinden om dit bezwaar aan te pakken. Als de Partijen niet binnen een redelijke termijn tot een wederzijds aanvaardbare oplossing kunnen komen, kan de Klant, als enige en exclusieve remedie, de Overeenkomst beëindigen en de Diensten annuleren door Nitro schriftelijk in kennis te stellen en Nitro te betalen voor alle verschuldigde en openstaande bedragen onder de Overeenkomst op de datum van een dergelijke beëindiging.

(e) Voldoende Toestemming. De Klant erkent en stemt ermee in dat de hierboven beschreven procedures voldoende zijn om de voorafgaande schriftelijke toestemming van de Klant voor de subverwerking onder Artikel 28 van de AVG te verkrijgen, en voor zover vereist onder Clausule 5(h) van de Standaard Contractuele Clausules.

1. Voor de doeleinden van deze Bijlage 2, zullen de termen “bedrijf”, “commercieel doel”, “verkopen” en “dienstverlener” de respectieve betekenissen hebben die daarin zijn gegeven in de CCPA, en “persoonlijke informatie” zal Persoonsgegevens betekenen die persoonlijke informatie zijn die wordt beheerst door de CCPA.
2. Het is de intentie van de Partijen dat met betrekking tot persoonlijke informatie, Nitro een dienstverlener is. Nitro zal (a) geen persoonlijke informatie verkopen; (b) geen persoonlijke informatie bewaren, gebruiken of openbaar maken voor andere doeleinden dan voor het specifieke doel om de diensten te verlenen, inclusief het bewaren, gebruiken of openbaar maken van persoonlijke informatie voor commerciële doeleinden die niet verband houden met het verlenen van de diensten; of (c) persoonlijke informatie bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen Nitro en de Klant. Nitro certificeert hierbij dat het zijn verplichtingen onder deze Sectie 2 begrijpt en zich eraan zal houden.
3. De Partijen erkennen dat het bewaren, gebruiken en openbaar maken van persoonlijke informatie dat door de instructies van de Klant zoals gedocumenteerd in de DPA is toegestaan, integrale onderdelen zijn van de dienstverlening van Nitro en de zakelijke relatie tussen de Partijen.
   
   

De bescherming van informatie is het belangrijkste doel van informatiebeveiliging, wat wordt bereikt door het implementeren van een geschikte set van controles, waaronder organisatorische structuren, beleidslijnen en procedures, processen en technische IT-controles. Deze controles moeten worden ontworpen, geïmplementeerd, gemonitord, herzien en verbeterd om ervoor te zorgen dat de informatie-assets van Nitro en zijn dochterondernemingen, zijn partners of klanten op elk moment veilig zijn. Verwijs naar Technische Organisatorische Maatregelen.

Download een kopie →