Voorwaarden en beleid

Addendum voor gegevensverwerking, 2022

Nitro Pro

Ingangsdatum: 28 oktober 2022

Dit Addendum voor gegevensverwerking ("DPA") maakt deel uit van de Nitro Business Servicevoorwaarden of Nitro Servicevoorwaarden, zoals van toepassing, die van toepassing zijn op het gebruik van Nitro's services ("Overeenkomst") die zijn aangegaan door en tussen U of de Licentiehouder (elk zoals gedefinieerd in de relevante Overeenkomst en voor de toepassing van deze DPA worden U en de Licentiehouder hierin aangeduid als "Klant") en Nitro Software, Inc. ("Nitro") om de overeenkomst van de partijen weer te geven met betrekking tot de Verwerking van Persoonsgegevens door Nitro uitsluitend namens de Klant onder de Overeenkomst. Beide Partijen worden aangeduid als de "Partijen" en elk een "Partij".

1 . Definities

Voor de doeleinden van deze DPA hebben de onderstaande termen de betekenis zoals hieronder uiteengezet. Begrippen met een hoofdletter die in deze DPA worden gebruikt maar niet worden gedefinieerd, hebben de betekenis die eraan wordt gegeven in de Overeenkomst.

(a) Gelieerde onderneming betekent elke entiteit die direct of indirect zeggenschap heeft over, wordt gecontroleerd door of onder gemeenschappelijke zeggenschap staat met de onderworpen entiteit, waarbij "zeggenschap" verwijst naar de bevoegdheid om de leiding van de onderworpen entiteit te sturen of te veroorzaken, ongeacht of (i) door het bezit van stemrechtverlenende effecten, of (ii) door de mogelijkheid om daadwerkelijk de managementbeslissingen van een dergelijke entiteit te controleren, contractueel of anderszins.

(b) API betekent elke applicatie-programmeerinterface die door Nitro aan de Klant beschikbaar wordt gesteld in verband met de Overeenkomst.

(c) Toepasselijke gegevensbeschermingswetten betekent de privacy-, gegevensbeschermings- en gegevensbeveiligingswetten en -voorschriften van elk rechtsgebied dat van toepassing is op de Verwerking van Persoonsgegevens onder de Overeenkomst, met inbegrip van maar niet beperkt tot de Europese gegevensbeschermingswetten en de CCPA, elk zoals gewijzigd vanaf tijd tot tijd.

(d) CCPA betekent de California Consumer Privacy Act van 2018 en alle regelgeving die daaronder wordt afgekondigd.

(e) Klantgegevens betekent informatie die aan Nitro wordt verstrekt of beschikbaar wordt gesteld voor verwerking namens de Klant om de Services uit te voeren.

(f) Documentatie betekent Gebruikershandleiding, release-opmerkingen, implementatiegidsen en alle andere technische documentatie met betrekking tot de Services of Professionele Services die door Nitro aan de Klant beschikbaar wordt gesteld.

(g) EER betekent de Europese Economische Ruimte.

(h) Europese gegevensbeschermingswetten betekent de AVG en andere gegevensbeschermingswetten en -regelgeving van de Europese Unie, haar lidstaten, Zwitserland, IJsland, Liechtenstein, Noorwegen en het Verenigd Koninkrijk, in elk geval, voor zover van toepassing op de Verwerking van Persoonsgegevens onder de Overeenkomst.

(i) AVG betekent Verordening (EU) 2016 / 679 van het Europees Parlement en de Raad van 27 april 2016 , zoals van tijd tot tijd gewijzigd.

(j) Informatiebeveiligingsincident betekent een bekende inbreuk op de beveiliging van Nitro die leidt tot de onopzettelijke of onwettige vernietiging, verlies, wijziging of ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens in het bezit, de bewaring of de controle van Nitro. Informatiebeveiligingsincidenten omvatten niet mislukte pogingen of activiteiten die de beveiliging van Persoonsgegevens niet in gevaar brengen, met inbegrip van maar niet beperkt tot mislukte inlogpogingen, pings, poortscans, denial of service-aanvallen of andere netwerkaanvallen op firewalls of genetwerkte systemen.

(k) Intellectuele-eigendomsrechten betekent alle intellectuele-eigendomsrechten over de hele wereld, waaronder: (i) octrooien, onthullingen van uitvindingen (al dan niet octrooieerbaar), octrooiaanvragen, heruitgaven, heronderzoeken, gebruiksmodelrechten en ontwerprechten (geregistreerd of anderszins) , en geregistreerde of andere industriële eigendomsrechten, (ii) handelsmerken, servicemerken, bedrijfsnamen, handelsnamen, internet-identificatoren, handelskleding en andere soortgelijke aanduidingen van bron of oorsprong samen met de goodwill gesymboliseerd door een van de voorgaande, (iii ) auteursrechten, morele rechten, ontwerprechten, databaserechten, gegevensverzamelingen en andere sui generis rechten, (iv) handelsgeheimen of andere eigendomsrechten op vertrouwelijke informatie of technische, regelgevende en andere informatie, ontwerpen, resultaten, technieken en andere kennis -hoe, en (v) aanvragen, registraties en verlengingen voor, en alle bijbehorende rechten met betrekking tot het voorgaande in elk deel van de wereld.

(l) Persoonlijke gegevens betekent klantgegevens die "persoonlijke gegevens", "persoonlijke informatie" of "persoonlijk identificeerbare informatie" vormen zoals gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming, of informatie van vergelijkbare aard die daardoor wordt gereguleerd, behalve dat persoonlijke gegevens dergelijke informatie met betrekking tot personeel of vertegenwoordigers van de Klant die zakelijke contacten van Nitro zijn in de normale gang van zakenrelaties, waarbij Nitro optreedt als verwerkingsverantwoordelijke van dergelijke informatie.

(m) Verwerking betekent elke bewerking of elk geheel van bewerkingen dat wordt uitgevoerd op Persoonsgegevens of op verzamelingen van Persoonsgegevens, al dan niet geautomatiseerd, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen , gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, afstemming of combinatie, beperking, uitwissing of vernietiging.

(n) Professionele services betekent alle services die door Nitro worden uitgevoerd met betrekking tot de services, zoals activering, training, configuratie, integratie, beoordeling en optimalisatie.

(o) Beveiligingsmaatregelen heeft de betekenis zoals gegeven in Sectie 5 (a) (Beveiligingsmaatregelen van de Aanbieder).

(p) Modelcontractbepalingen betekent de dwingende bepalingen van de modelcontractbepalingen voor de overdracht van persoonsgegevens aan verwerkers die zijn gevestigd in derde landen in de vorm die is uiteengezet in Besluit 2016 / 679 /EU en 2018 / van de Europese Commissie 914 /EU, en geïmplementeerd door het besluit van de Europese Commissie 2021 / 914 van 4 juni 2021 .

(q) Subverwerkers zijn derde partijen die Nitro inschakelt om Persoonsgegevens te Verwerken met betrekking tot de Diensten.

(r) Externe subverwerkers heeft de betekenis zoals gegeven in artikel 5 (Subverwerkers) van bijlage 1 .

(s) De termen verwerkingsverantwoordelijke , betrokkene , verwerker en toezichthoudende autoriteit zoals gebruikt in deze DPA hebben de betekenis zoals gegeven in de AVG.

2 . Duur en reikwijdte van de GVO

(a) Deze DPA blijft van kracht zolang Nitro Persoonsgegevens verwerkt, niettegenstaande het aflopen of beëindigen van de Overeenkomst.

(b) Bijlage 1 (EU-bijlage) bij deze DPA is uitsluitend van toepassing op Verwerking die onderworpen is aan de Europese wetgeving inzake gegevensbescherming.

(c) Bijlage 2 (Californische bijlage) bij deze DPA is uitsluitend van toepassing op Verwerking die onderhevig is aan de CCPA als de Klant een "bedrijf" of "serviceprovider" is (zoals gedefinieerd in de CCPA) met betrekking tot dergelijke Verwerking.

3 . Instructies van de klant

Nitro zal Persoonsgegevens alleen verwerken in overeenstemming met de instructies van de Klant aan Nitro. Deze DPA is een volledige weergave van dergelijke instructies en de aanvullende instructies van de Klant zijn alleen bindend voor Nitro na een wijziging van deze DPA die door beide partijen is ondertekend. Klant instrueert Nitro om Persoonsgegevens te verwerken om de Diensten te leveren zoals beoogd in de Overeenkomst.

4 . Analyse

De Klant erkent en stemt ermee in dat Nitro als onderdeel van de Services:

(a) elementen creëren en afleiden uit Verwerking met betrekking tot de Services die nodig zijn om de Services te leveren; en/of

(b) geanonimiseerde en/of geaggregeerde gegevens creëren en afleiden uit verwerking met betrekking tot de Diensten die de Klant of een natuurlijke persoon niet identificeren, en dergelijke geanonimiseerde en/of geaggregeerde gegevens gebruiken, publiceren of delen met derden om de producten en diensten van Nitro te verbeteren en/of voor zijn andere legitieme zakelijke doeleinden.

5. Veiligheid

(a) Beveiligingsmaatregelen van de aanbieder . Nitro zal technische en organisatorische maatregelen implementeren en handhaven die zijn ontworpen om Persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens (" Veiligheidsmaatregelen ") zoals beschreven in Bijlage 3 (Beveiligingsmaatregelen). Nitro kan de Beveiligingsmaatregelen van tijd tot tijd zonder voorafgaande kennisgeving bijwerken, zolang de bijgewerkte maatregelen de algehele bescherming van Persoonsgegevens niet wezenlijk verminderen.

(b) Informatiebeveiligingsincidenten. Nitro zal de Klant onverwijld op de hoogte stellen van elk Informatiebeveiligingsincident waarvan Nitro kennis krijgt. Dergelijke meldingen kunnen de beschikbare details van het Informatiebeveiligingsincident beschrijven, inclusief een samenvatting van de stappen die zijn genomen om de potentiële risico's te beperken en de stappen die Nitro de Klant aanbeveelt te nemen om het Informatiebeveiligingsincident aan te pakken. Nitro's melding van of reactie op een Informatiebeveiligingsincident zal niet worden opgevat als Nitro's erkenning van enige fout of aansprakelijkheid met betrekking tot het Informatiebeveiligingsincident.

(c) Beveiligingsverantwoordelijkheden en beoordeling van de klant.

(i) Beveiligingsverantwoordelijkheden van de klant . De Klant stemt ermee in dat, zonder beperking van de verplichtingen van Nitro onder Sectie 5 (Beveiliging), de Klant als enige verantwoordelijk is voor zijn gebruik van de Services, inclusief (a) het juiste gebruik van de Services om een beveiligingsniveau te waarborgen dat past bij het risico in respect voor de Persoonsgegevens; (b) het beveiligen van de accountauthenticatiereferenties, systemen en apparaten die de Klant gebruikt om toegang te krijgen tot de Services; (c) het beveiligen van de systemen en apparaten van de Klant die Nitro gebruikt om de Services te leveren; en (d) het maken van back-ups van Persoonsgegevens.

(ii) Beveiligingsbeoordeling van de klant . De Klant stemt ermee in dat de Diensten, de Beveiligingsmaatregelen en de toezeggingen van Nitro onder deze DPA adequaat zijn om te voldoen aan de behoeften van de Klant, inclusief met betrekking tot eventuele beveiligingsverplichtingen van de Klant onder de Toepasselijke Wetgeving inzake Gegevensbescherming, en een beveiligingsniveau bieden dat past bij het risico met betrekking tot de Persoonsgegevens.

6 . Rechten van betrokkenen

(a) Betrokkene van Nitro vraagt om assistentie . Nitro zal (rekening houdend met de aard van de Verwerking van Persoonsgegevens) de Klant de assistentie verlenen die de Klant redelijkerwijs nodig heeft om zijn verplichtingen onder de Toepasselijke Wetgeving inzake Gegevensbescherming na te komen, om te voldoen aan verzoeken van betrokkenen om hun rechten uit te oefenen onder de Toepasselijke Wetgeving inzake Gegevensbescherming (“ Verzoeken van Betrokkenen ”) met betrekking tot Persoonsgegevens die Nitro in bezit heeft of beheert. De klant zal Nitro voor dergelijke hulp vergoeden tegen de dan geldende tarieven voor professionele diensten van Nitro, die op verzoek aan de klant beschikbaar worden gesteld.

(b) Verantwoordelijkheid van de klant voor verzoeken . Als Nitro een verzoek van een betrokkene ontvangt, adviseert Nitro de betrokkene om het verzoek bij de klant in te dienen en is de klant verantwoordelijk voor het beantwoorden van het verzoek.

7 . Verantwoordelijkheden van de klant

(a) Klantnaleving . De Klant zal voldoen aan zijn verplichtingen onder de Toepasselijke Wetgeving inzake Gegevensbescherming. De Klant zal ervoor zorgen (en is er als enige verantwoordelijk voor) dat zijn instructies in Sectie 3 voldoen aan de Toepasselijke Wetgeving inzake Gegevensbescherming, en dat de Klant alle kennisgevingen heeft gedaan aan en alle toestemmingen heeft verkregen van personen op wie Persoonsgegevens betrekking hebben en alle andere partijen zoals vereist door de toepasselijke wetgeving inzake gegevensbescherming voor de klant om persoonlijke gegevens te verwerken zoals beoogd in de overeenkomst.

(b) Verboden gegevens . Klant verklaart en garandeert Nitro dat Klantgegevens zonder voorafgaande schriftelijke toestemming van Nitro geen burgerservicenummers of andere door de overheid uitgegeven identificatienummers bevatten en zullen bevatten; biometrische informatie; wachtwoorden voor online accounts; inloggegevens voor eventuele financiële rekeningen; belastingaangifte gegevens; kredietrapporten of consumentenrapporten; alle betaalkaartinformatie die onderhevig is aan de Payment Card Industry Data Security Standard; informatie onderworpen aan de Gramm-Leach-Bliley Act, Fair Credit Reporting Act of de regelgeving uitgevaardigd onder een van deze wetten; informatie die onderhevig is aan beperkingen onder de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot persoonlijke gegevens van kinderen, inclusief maar niet beperkt tot alle informatie over kinderen jonger dan 13 jaar; of enige informatie die binnen een speciale gegevenscategorie valt (zoals gedefinieerd in de AVG). Klant verklaart verder dat Klantgegevens geen beschermde gezondheidsinformatie bevatten en niet zullen bevatten die valt onder de Health Insurance Portability and Accountability Act (HIPAA) of gelijkaardige wetgeving in andere jurisdicties; andere informatie over iemands medische geschiedenis, mentale of fysieke toestand, of medische behandeling of diagnose door een beroepsbeoefenaar in de gezondheidszorg; of informatie over de ziektekostenverzekering, tenzij de Klant en Nitro afzonderlijk een HIPAA Business Associate-overeenkomst zijn aangegaan.

8 . Diversen

Behalve zoals uitdrukkelijk gewijzigd door de DPA, blijven de voorwaarden van de Overeenkomst volledig van kracht. In het geval van een conflict of inconsistentie tussen deze DPA en de voorwaarden van de Overeenkomst, zal deze DPA prevaleren. Niettegenstaande andersluidende bepalingen in de Overeenkomst of enig bestelformulier dat in verband daarmee is ingevoerd, erkennen en stemmen de Partijen ermee in dat de toegang van Nitro tot Persoonsgegevens geen deel uitmaakt van de tegenprestatie die door de Partijen wordt uitgewisseld met betrekking tot de Overeenkomst. Niettegenstaande enige andersluidende bepaling in de Overeenkomst, mogen alle kennisgevingen die Nitro aan de Klant moet of mag geven op grond van deze DPA worden gegeven (a) in overeenstemming met elke kennisgevingsclausule van de Overeenkomst; (b) aan de primaire contactpunten van Nitro bij de Klant; of (c) naar een e-mail die door de Klant is verstrekt om hem te voorzien van aan Services gerelateerde communicatie of waarschuwingen. De Klant is als enige verantwoordelijk om ervoor te zorgen dat dergelijke adressen voor kennisgevingen geldig zijn.

BIJLAGE 1 BIJ DPA EU BIJLAGE

1 . Verwerking van gegevens

(a) Onderwerp en verwerkingsdetails . De Partijen erkennen en komen overeen dat (i) het onderwerp van de Verwerking onder de Overeenkomst Nitro's levering van de Diensten is; (ii) de duur van de Verwerking is vanaf de ontvangst door Nitro van de Persoonsgegevens tot de verwijdering van alle Persoonsgegevens door Nitro in overeenstemming met de Overeenkomst; (iii) de aard en het doel van de Verwerking is het leveren van de Diensten; (iv) de betrokkenen op wie de Persoonsgegevens betrekking hebben, zijn de Klant (voor zover de Klant een individu is), gebruikers van de Diensten of de software van Nitro, en personen van wie de Persoonsgegevens zijn gegenereerd, gedeeld of geüpload door de Klant en/of gebruikers van de Diensten en/of de software van Nitro; en (v) de categorieën Persoonsgegevens zijn de persoonsgegevens die zijn gegenereerd, gedeeld, geüpload of opgevraagd door de Klant of gebruikers van de Diensten en/of de software van Nitro (waaronder mogelijk Persoonsgegevens die zijn opgenomen in documenten, afbeeldingen en andere media en gebruikers- gegenereerde inhoud zoals documenten, tekst, afbeeldingen en andere inhoud).

(b) Rollen en naleving van wet- en regelgeving; Autorisatie . De partijen erkennen en komen overeen dat (i) Nitro een verwerker is van persoonsgegevens onder de Europese wetgeving inzake gegevensbescherming; (ii) Klant is een verwerkingsverantwoordelijke (of een verwerker die handelt in opdracht van een verwerkingsverantwoordelijke) van Persoonsgegevens onder de Europese wetgeving inzake gegevensbescherming; en (iii) elke Partij zal voldoen aan de verplichtingen die op haar van toepassing zijn in die rol onder de Europese Gegevensbeschermingswetten met betrekking tot de Verwerking van Persoonsgegevens. Als de Klant een verwerker is, verklaart en garandeert de Klant aan Nitro dat de instructies en acties van de Klant met betrekking tot Persoonsgegevens, inclusief de aanstelling van Nitro als een andere verwerker, zijn geautoriseerd door de relevante verwerkingsverantwoordelijke.

(c) Naleving door Nitro van instructies . Nitro zal Persoonsgegevens alleen verwerken in overeenstemming met de instructies van de Klant zoals vermeld in deze DPA, tenzij toepasselijke Europese gegevensbeschermingswetten anders vereisen, in welk geval Nitro de Klant op de hoogte zal stellen (tenzij die wet Nitro verbiedt dit te doen).

(d) Gegevensverwijdering . Nitro zal alle Persoonsgegevens op de systemen van Nitro verwijderen op schriftelijk verzoek van de Klant en na het einde van de dienstverlening, en bestaande kopieën verwijderen, tenzij voortdurende opslag van de Persoonsgegevens vereist is door (i) toepasselijke wetgeving van de Europese Unie of haar Lidstaten, met betrekking tot Persoonsgegevens onderworpen aan Europese gegevensbeschermingswetten of (ii) Toepasselijke gegevensbeschermingswetten, met betrekking tot alle andere Persoonsgegevens. Nitro zal zo snel als redelijkerwijs mogelijk is aan dergelijke instructies voldoen en niet later dan 180 dagen na het verstrijken of beëindigen ervan, tenzij toepasselijke gegevensbeschermingswetten opslag vereisen. De Klant kan ervoor kiezen om tegen een extra vergoeding een kopie van dergelijke Persoonsgegevens aan te vragen bij Nitro door dit ten minste 30 dagen voor het verstrijken of beëindigen van de Overeenkomst schriftelijk aan te vragen. Als de partijen akkoord gaan met een dergelijke vergoeding op grond van een werkopdracht of een andere wijziging van de overeenkomst, zal Nitro een dergelijke kopie van dergelijke persoonlijke gegevens verstrekken voordat deze worden verwijderd in overeenstemming met deze clausule.

2 . Dataveiligheid

(a) Nitro-beveiligingsmaatregelen, controles en assistentie

(i) Nitro-beveiligingshulp . Op schriftelijk verzoek zal Nitro de Klant redelijke assistentie verlenen die de Klant nodig heeft om te voldoen aan zijn verplichtingen met betrekking tot Persoonsgegevens onder de Europese wetgeving inzake gegevensbescherming, met inbegrip van de artikelen 32 tot en met 34 van de AVG, door (a) het implementeren en onderhouden van de Beveiligingsmaatregelen; (b) voldoen aan de voorwaarden van sectie 5 (b) (Informatiebeveiligingsincidenten) van de DPA; en (c) het voldoen aan deze Bijlage 1 . De Klant erkent hierbij en stemt ermee in dat dergelijke maatregelen voldoende zijn om de Klant in staat te stellen aan deze verplichtingen te voldoen.

(ii) Beveiligingsnaleving door personeel van Nitro . Nitro zal ervoor zorgen dat zijn personeel dat bevoegd is om toegang te krijgen tot Persoonsgegevens, onderworpen is aan passende geheimhoudingsverplichtingen.

(b) Nalevingsbeoordelingen en controles van de klant De klant mag de naleving door Nitro van zijn verplichtingen onder deze DPA niet vaker dan één keer per kalenderjaar controleren en bij andere gelegenheden zoals vereist door de Europese gegevensbeschermingswetten, ook wanneer dit wordt opgelegd door de toezichthoudende autoriteit van de klant. Nitro helpt bij dergelijke audits door de klant of de toezichthoudende autoriteit van de klant de informatie en hulp te bieden die redelijkerwijs nodig is om de audit uit te voeren. Als een derde partij de audit moet uitvoeren, kan Nitro bezwaar maken tegen de auditor als de auditor, naar de redelijke mening van Nitro, niet onafhankelijk is, een concurrent van Nitro is of anderszins duidelijk ongeschikt is. Een dergelijk bezwaar van Nitro vereist dat de Klant een andere auditor aanwijst of de audit zelf uitvoert. Om een audit aan te vragen, moet de klant ten minste drie ( 3 ) weken voorafgaand aan de voorgestelde auditdatum een voorgesteld auditplan aan Nitro voorleggen en moet elke externe auditor een gebruikelijke geheimhoudingsovereenkomst ondertekenen die wederzijds aanvaardbaar is voor Nitro (dergelijke acceptatie niet op onredelijke gronden worden onthouden) die voorzien in de vertrouwelijke behandeling van alle informatie die wordt uitgewisseld in verband met de audit en eventuele rapporten over de resultaten of bevindingen daarvan. Het voorgestelde auditplan moet de voorgestelde reikwijdte, duur en startdatum van de audit beschrijven. Nitro zal het voorgestelde auditplan beoordelen en de Klant voorzien van zorgen of vragen (bijvoorbeeld elk verzoek om informatie dat de beveiliging, gegevensbescherming, privacy, werkgelegenheid of ander relevant beleid van Nitro in gevaar kan brengen). Nitro werkt samen met de klant om overeenstemming te bereiken over een definitief auditplan. Niets in dit artikel 2 (b) vereist van Nitro dat het enige geheimhoudingsplicht schendt. Als de controles of maatregelen die moeten worden beoordeeld in de aangevraagde audit worden behandeld in een SOC 2 Type 2 , ISO of vergelijkbaar auditrapport dat is uitgevoerd door een gekwalificeerde externe auditor en binnen twaalf ( 12 ) maanden na de audit van de Klant is voltooid verzoek en Nitro heeft bevestigd dat er geen materiële nadelige veranderingen zijn opgetreden in de gecontroleerde controles sinds de datum van een dergelijk rapport, stemt de Klant ermee in een dergelijk rapport te accepteren in plaats van een audit van dergelijke controles of maatregelen aan te vragen. De audit moet worden uitgevoerd tijdens de reguliere kantooruren van Nitro, met inachtneming van het overeengekomen definitieve auditplan en Nitro's veiligheids-, beveiligings- en/of ander relevant beleid, en mag de zakelijke activiteiten van Nitro niet op onredelijke wijze verstoren. De Klant zal Nitro onmiddellijk op de hoogte stellen van elke niet-naleving die tijdens een audit wordt ontdekt en zal Nitro alle auditrapporten verstrekken die zijn gegenereerd in verband met een audit onder dit artikel 2 (b), tenzij verboden door de Europese gegevensbeschermingswetten of anderszins geïnstrueerd door een toezichthoudende autoriteit. De Klant mag de auditrapporten alleen gebruiken om te voldoen aan de wettelijke auditvereisten van de Klant en/of om de naleving van de vereisten van deze DPA te bevestigen. Eventuele audits zijn uitsluitend voor rekening van de Klant. De klant vergoedt Nitro alle tijd die door Nitro en derden is besteed aan audits of inspecties onder dit artikel 2 (b) tegen de dan geldende professionele servicetarieven van Nitro, die op verzoek aan de klant beschikbaar worden gesteld. De Klant is verantwoordelijk voor alle kosten die in rekening worden gebracht door een auditor die door de Klant is aangesteld om een dergelijke audit uit te voeren.

3 . Effectbeoordelingen en raadplegingen

Nitro zal (rekening houdend met de aard van de Verwerking en de informatie waarover Nitro beschikt) de Klant redelijkerwijs helpen bij het nakomen van zijn verplichtingen op grond van Artikelen 35 en 36 van de AVG, door (a) documentatie beschikbaar te stellen die relevante aspecten van Het informatiebeveiligingsprogramma van Nitro en de beveiligingsmaatregelen die in verband daarmee worden toegepast en (b) het verstrekken van de overige informatie die is opgenomen in de Overeenkomst, inclusief deze DPA.

4 . Gegevensoverdrachten

(a) Gegevensverwerkingsfaciliteiten . Nitro mag, met inachtneming van sectie 4 (b) (Overdrachten buiten de EER), persoonlijke gegevens opslaan en verwerken in de Verenigde Staten of overal waar Nitro of zijn subverwerkers faciliteiten hebben.

(b) Overschrijvingen buiten de EER . Als de Klant Persoonsgegevens buiten de EER overdraagt aan Nitro in een land dat volgens de Europese Commissie niet geschikt is voor gegevensbescherming, zal een dergelijke overdracht worden geregeld door de Modelcontractbepalingen, waarvan de voorwaarden hierbij zijn opgenomen in deze DPA. Ter bevordering van het voorgaande komen de partijen overeen dat (i) de klant zal optreden als de gegevensexporteur en Nitro zal optreden als de gegevensimporteur onder de standaardcontractbepalingen; (ii) voor doeleinden van Bijlage 1 van de Modelcontractbepalingen, zullen de categorieën van betrokkenen, gegevens, speciale categorieën van gegevens (indien van toepassing) en de Verwerkingsactiviteiten zijn zoals uiteengezet in Sectie 1 (a) bij deze Bijlage 1 (Onderwerp en Details van Verwerking); (iii) voor de doeleinden van Bijlage 2 van de Standaardcontractbepalingen zijn de technische en organisatorische maatregelen de Beveiligingsmaatregelen; (iv) de gegevensimporteur verstrekt de kopieën van de subverwerkersovereenkomsten die door de gegevensimporteur naar de gegevensexporteur moeten worden verzonden op grond van clausule 5 (j) van de modelcontractbepalingen op verzoek van de gegevensexporteur, en die gegevensimporteur kan deze verwijderen of alle commerciële informatie of clausules die geen verband houden met de standaardcontractbepalingen of hun equivalent vooraf redigeren; (v) de audits beschreven in artikel 5 (f) en artikel 12 ( 2 ) van de standaardcontractbepalingen zullen worden uitgevoerd in overeenstemming met artikel 2 (b) van deze bijlage 1 (Beoordelingen en nalevingscontroles); (vi) De autorisaties van de Klant in Sectie 5 (Subverwerkers) van deze Bijlage 1 vormen de voorafgaande schriftelijke toestemming van de Klant voor de uitbesteding door Nitro van de Verwerking van Persoonsgegevens als een dergelijke toestemming vereist is onder Clausule 5 (h) van de Standaardcontractbepalingen; en (vii) certificering van verwijdering van Persoonsgegevens zoals beschreven in artikel 12 ( 1 ) van de modelcontractbepalingen zal worden verstrekt op schriftelijk verzoek van de gegevensimporteur.

Niettegenstaande het voorgaande zijn de modelcontractbepalingen (of dezelfde verplichtingen als die onder de modelcontractbepalingen) niet van toepassing voor zover een alternatieve erkende nalevingsnorm voor de doorgifte van persoonsgegevens buiten de EER in overeenstemming met de Europese gegevensbeschermingswetten van toepassing is op de overdracht. In geval van tegenstrijdigheid of inconsistentie tussen (a) deze Bijlage 1 en enige andere bepaling van deze GVO, is deze Bijlage 1 van toepassing, of (b) de Modelcontractbepalingen en enige andere bepaling van deze Overeenkomst, de Standaardcontractbepalingen zijn van toepassing.

5 . Subverwerkers

(a) Toestemming voor inschakeling van subverwerkers . De klant machtigt specifiek de inschakeling van aan Nitro gelieerde ondernemingen als subverwerkers en autoriseert in het algemeen de inschakeling van andere derde partijen als subverwerkers (“ derde subverwerkers ”).

(b) Informatie over Subverwerkers . Informatie over Subverwerkers, inclusief hun functies en locaties, is beschikbaar op: https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (zoals van tijd tot tijd door Nitro kan worden bijgewerkt) of een ander websiteadres dat Nitro van tijd tot tijd aan de Klant kan verstrekken (gezamenlijk " Subverwerkersite ").

(c) Vereisten voor het inschakelen van een subverwerker . Bij het inschakelen van een Subverwerker zal Nitro een schriftelijk contract aangaan met een dergelijke Subverwerker die verplichtingen inzake gegevensbescherming bevat die niet minder beschermend zijn dan die in deze DPA met betrekking tot Persoonsgegevens, voor zover van toepassing op de aard van de diensten die door een dergelijke Subverwerker worden geleverd. Nitro is aansprakelijk voor alle verplichtingen uit hoofde van de Overeenkomst die is uitbesteed aan de Subverwerker of diens handelen en nalaten in verband daarmee.

(d) Gelegenheid om bezwaar te maken tegen Subprocessor Wijzigingen . Wanneer Nitro een nieuwe externe subverwerker inschakelt na de ingangsdatum van de overeenkomst, zal Nitro de klant op de hoogte stellen van de opdracht (inclusief de naam en locatie van de relevante subverwerker en de activiteiten die deze zal uitvoeren) door de website van de subverwerker bij te werken of op andere schriftelijke wijze. . Als de klant binnen 15 dagen nadat hij op de hoogte is gesteld van de overeenkomst op redelijke gronden met betrekking tot de bescherming van persoonlijke gegevens schriftelijk bezwaar maakt tegen een dergelijke opdracht aan Nitro, zullen de klant en Nitro te goeder trouw samenwerken om een voor beide partijen aanvaardbare oplossing te vinden. op zo'n bezwaar ingaan. Als de partijen niet in staat zijn om binnen een redelijke termijn tot een wederzijds aanvaardbare oplossing te komen, kan de klant, als zijn enige en exclusieve rechtsmiddel, de overeenkomst beëindigen en de services annuleren door Nitro schriftelijk op de hoogte te stellen en Nitro te betalen voor alle bedragen die verschuldigd zijn onder de Overeenkomst vanaf de datum van een dergelijke beëindiging.

(e) Voldoende toestemming . De Klant erkent hierbij en stemt ermee in dat de voorgaande procedures voldoende zijn om de voorafgaande schriftelijke toestemming van de Klant te verkrijgen voor de subverwerking op grond van artikel 28 van de AVG, en voor zover vereist op grond van clausule 5 (h) van de modelcontractbepalingen.

BIJLAGE 2 BIJ DPA CALIFORNIË BIJLAGE

  1. Voor de toepassing van deze Bijlage 2 hebben de termen 'zakelijk', 'commercieel doel', 'verkopen' en 'serviceprovider' de respectievelijke betekenis die daaraan wordt gegeven in de CCPA, en betekent 'persoonlijke informatie' Persoonsgegevens waaruit persoonlijke informatie beheerst door de CCPA.
  2. Het is de bedoeling van de partijen dat met betrekking tot persoonlijke informatie Nitro een dienstverlener is. Nitro zal niet (a) persoonlijke informatie verkopen; (b) persoonlijke informatie bewaren, gebruiken of vrijgeven voor enig ander doel dan het specifieke doel van het leveren van de Services, inclusief het bewaren, gebruiken of openbaar maken van de persoonlijke informatie voor een ander commercieel doel dan het leveren van de Services; of (c) de persoonlijke informatie behouden, gebruiken of vrijgeven buiten de directe zakelijke relatie tussen Nitro en de Klant. Nitro verklaart hierbij dat het zijn verplichtingen onder dit artikel 2 begrijpt en hieraan zal voldoen.
  3. De partijen erkennen dat het bewaren, gebruiken en vrijgeven door Nitro van persoonlijke informatie die is geautoriseerd door de instructies van de klant die zijn gedocumenteerd in de DPA, een integraal onderdeel is van Nitro's levering van de diensten en de zakelijke relatie tussen de partijen.

BIJLAGE 3 BIJ BEVEILIGINGSMAATREGELEN VAN DE DPA

De bescherming van informatie is het belangrijkste doel van informatiebeveiliging, dat wordt bereikt door het implementeren van een geschikte set controles, waaronder organisatiestructuren, beleid en procedures, processen en technische IT-controles. Deze controles moeten worden ontworpen, geïmplementeerd, gecontroleerd, herzien en verbeterd om ervoor te zorgen dat de informatiemiddelen van Nitro en zijn gelieerde ondernemingen, zijn partners of klanten te allen tijde veilig zijn. Zie Technische organisatorische maatregelen