Nitro Sign Premium en Identiteits Hub EU GDPR Gegevensverwerkingsaddendum
DIT GEGEVENSVERWERKINGSADDENDUM IS VAN TOEPASSING ALS U ZICH HEBT AANGEMELD VOOR NITRO SIGN PREMIUM OF NITRO IDENTITEITS HUB VOLGENS DE NITRO GEBRUIKSVOORWAARDEN VOOR NITRO SIGN PREMIUM EN NITRO IDENTITEITS HUB EN DE EU GDPR VAN TOEPASSING IS OP DE VERWERKING VAN PERSOONSGEGEVENS IN DE CONTEXT VAN DE OVEREENKOMST.
1. TOEPASSINGSGEBIED; ROLLEN VAN DE PARTIJEN
Nitro zal Persoonsgegevens ontvangen en verwerken ten behoeve en namens de Klant bij het leveren van de Diensten, overeenkomstig de instructies en het doel gedefinieerd door de Klant in de Gegevensverwerkingsdetails. Met dit Gegevensverwerkingsaddendum wensen de Partijen hun specifieke overeenkomsten vast te leggen met betrekking tot de verwerking van Persoonsgegevens binnen het kader van de Overeenkomst.
Bij standaard handelt Nitro als Verwerker en de Klant als Beheerder met betrekking tot de door Nitro aan de Klant geleverde Diensten in overeenstemming met de Nitro Gebruiksvoorwaarden. Dit Gegevensverwerkingsaddendum vervangt en annuleert alle eerdere gemaakte overeenkomsten (indien van toepassing) met betrekking tot de verwerking van Persoonsgegevens en gegevensbescherming tussen de Partijen die verband houden met de door Nitro aangeboden Diensten.
Dit Gegevensverwerkingsaddendum is een aanvulling en maakt deel uit van de Gebruiksvoorwaarden, en samen vormen de Gebruiksvoorwaarden en dit Gegevensverwerkingsaddendum een enkele juridische overeenkomst tussen de Partijen. In geval van afwijkingen of tegenstrijdigheden tussen dit Gegevensverwerkingsaddendum en de Gebruiksvoorwaarden, prevaleert het Gegevensverwerkingsaddendum.
2. DEFINITIES
“Beheerder” verwijst naar de Klant zoals geïdentificeerd in de Gebruiksvoorwaarden en het toepasselijke Bestelformulier;
“Gegevensverwerkingsdetails” betekent de details van de gegevensverwerking zoals opgenomen in het Bestelformulier en die meer details bevatten over de instructies van de Klant met betrekking tot de verwerking van Persoonsgegevens, zoals het doel, object en de aard van de verwerking en het soort Persoonsgegevens dat wordt verwerkt;
“EU GDPR” betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en de vrije circulatie van dergelijke gegevens, en intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);
“Persoonsgegevens” betekent persoonsgegevens zoals gedefinieerd onder de EU GDPR die Nitro verwerkt ten behoeve en namens de Klant bij het leveren van de Diensten volgens de instructies en het doel gedefinieerd door de Klant in de Gegevensverwerkingsdetails;
“Verwerker” verwijst naar Nitro Software Belgium NV, leverancier van de Diensten aan de Klant en zoals geïdentificeerd in de Gebruiksvoorwaarden;
“Sub-verwerkerslijst” verwijst naar de lijst van Sub-verwerkers zoals beschikbaar gesteld door Nitro die de Sub-verwerkers omvat die door Nitro zijn ingeschakeld voor de levering van de Diensten en de vervulling van de verplichtingen van Nitro onder het Gegevensverwerkingsaddendum in het algemeen. Nitro kan de Sub-verwerkerslijst van tijd tot tijd bijwerken volgens het proces zoals uiteengezet in dit Gegevensverwerkingsaddendum;
“Sub-verwerker” betekent elke derde partij processor die door Nitro is ingeschakeld voor de verwerking van Persoonsgegevens met betrekking tot de levering van de Diensten aan de Klant;
Alle andere termen en definities die met hoofdletters zijn geschreven en die niet uitdrukkelijk in dit Gegevensverwerkingsaddendum zijn gedefinieerd, worden gedefinieerd zoals uiteengezet in de toepasselijke wetgeving inzake gegevensbescherming of de Gebruiksvoorwaarden van Nitro.
3. DOEL VAN DIT GEGEVENSVERWERKINGSADDENDUM
3.1 Dit Gegevensverwerkingsaddendum bepaalt de voorwaarden van de verwerking door Nitro van Persoonsgegevens die door of op initiatief van de Klant in het kader van de Overeenkomst zijn gecommuniceerd. De aard en het doel van de verwerking, een lijst en het soort Persoonsgegevens evenals de categorieën van de Betrokkenen zijn opgesomd in de Gegevensverwerkingsdetails.
3.2 De verwerking zal uitsluitend plaatsvinden ten behoeve van de Klant en voor het doel zoals gedefinieerd door de Klant in de Gegevensverwerkingsdetails. Nitro zal de Klant onmiddellijk informeren als, naar zijn mening, een instructie inbreuk maakt op de toepasselijke (gegevensbescherming) wetgeving. Nitro zal de Persoonsgegevens alleen verwerken volgens de gedocumenteerde instructies van de Klant en zal deze Persoonsgegevens niet voor eigen doeleinden gebruiken, tenzij dit expliciet is toegestaan in de Gebruiksvoorwaarden. Als Nitro wettelijk verplicht is om enige verwerking van Persoonsgegevens uit te voeren, zal Nitro, tenzij dit in strijd zou zijn met toepasselijke dwingende regels, de Klant informeren over deze verplichting.
4. DUUR
4.1 Dit Gegevensverwerkingsaddendum is van toepassing op alle verwerking van Persoonsgegevens die wordt uitgevoerd in het kader van de levering van de Diensten aan de Klant door Nitro en geldt zolang Nitro Persoonsgegevens namens de Klant verwerkt in het kader van de Overeenkomst. Dit Gegevensverwerkingsaddendum aanvult de Nitro Gebruiksvoorwaarden en is bedoeld om de naleving door de Partijen van de eisen opgelegd door de toepasselijke wetten en regels inzake gegevensbescherming voor het gebruik van de Diensten door de Klant te waarborgen.
4.2 Dit Gegevensverwerkingsaddendum eindigt automatisch bij beëindiging van de Overeenkomst (of op het moment dat de verwerking door Nitro wordt beëindigd). De bepalingen van dit Gegevensverwerkingsaddendum die uitdrukkelijk of impliciet (gezien hun aard) bedoeld zijn om effect te hebben na beëindiging van het Gegevensverwerkingsaddendum, blijven van kracht na het einde van de Overeenkomst met betrekking tot de Persoonsgegevens die door of op initiatief van de Klant in het kader van de Overeenkomst zijn gecommuniceerd.
5. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
5.1 Nitro biedt adequate garanties met betrekking tot de implementatie van passende technische en organisatorische maatregelen (“TOMs”) om een veilige verwerking van Persoonsgegevens te waarborgen en zo de bescherming van de rechten van de Betrokkene te garanderen. De TOMs die door Nitro zijn geïmplementeerd, zijn zoals uiteengezet in de Gegevensverwerkingsdetails. De TOMs kunnen door Nitro van tijd tot tijd worden bijgewerkt, echter zal Nitro ervoor zorgen dat de algehele veiligheid die op het moment van de uitvoering van het Gegevensverwerkingsaddendum is geïmplementeerd, niet wordt verlaagd. De Klant erkent dat de TOMs adequaat zijn voor het verwerken van zijn Persoonsgegevens op het moment van ondertekening of aanvaarding van dit Gegevensverwerkingsaddendum.
5.2 Nitro zal alle passende technische en organisatorische maatregelen nemen zoals bedoeld in artikel 32 van de EU GDPR om een adequaat niveau van beveiliging te waarborgen dat aangepast is aan het risico.
5.3 Als de Klant gevoelige Persoonsgegevens als bedoeld in artikelen 9 en 10 van de EU GDPR aan Nitro verstrekt in het kader van de Overeenkomst, zal de Klant dergelijke informatie opnemen in de Gegevensverwerkingsdetails.
5.4 In het geval dat de Klant specifieke technische en organisatorische maatregelen aanvraagt die door Nitro moeten worden geïmplementeerd (die Nitro standaard niet heeft geïmplementeerd), zal de Klant Nitro vergoeden voor de implementatie van dergelijke aanvullende maatregelen in overeenstemming met Sectie 14 “Kosten” van dit Gegevensverwerkingsaddendum.
5.5 De naleving door Nitro van een goedgekeurde gedragscode zoals bedoeld in artikel 40 van de EU GDPR, of een goedgekeurd certificeringsmechanisme zoals bedoeld in artikel 42 van de EU GDPR kan worden gebruikt als een bewijs element van voldoende garanties zoals bedoeld in de EU GDPR.
6. BEWARING
6.1 Nitro zal Persoonsgegevens niet langer bewaren dan noodzakelijk voor de verwerking van dergelijke Persoonsgegevens in het kader van de Overeenkomst. De Klant zal Nitro niet instrueren om enige Persoonsgegevens langer te bewaren dan nodig. De toepasselijke bewaartijd (zoals gedefinieerd door de Klant) is uiteengezet in de Gegevensverwerkingsdetails.
6.2 Op keuze van de Klant zal Nitro alle Persoonsgegevens na het einde van de levering van de Diensten verwijderen of retourneren en zal het bestaande kopieën verwijderen, tenzij Unie- of lidstaatwetgeving opslag van de Persoonsgegevens vereist. De Klant erkent dat de Diensten downloadfunctionaliteiten kunnen omvatten die ter beschikking staan van de Klant om de Klant in staat te stellen zijn gegevens te downloaden. Voor zover dergelijke functionaliteiten beschikbaar zijn, zal de Klant deze functionaliteiten gebruiken om zijn gegevens te extraheren of te verwijderen.
7. VERTRAULIJKHEID
7.1 Partijen hebben in de Dienstverleningsvoorwaarden een vertrouwelijkheidsclausule afgesproken die van toepassing is op de verwerking van Persoonsgegevens in het kader van de Overeenkomst.
7.2 Nitro erkent en stemt ermee in dat alleen die medewerkers, aannemers of agents van Nitro die betrokken zijn bij de verwerking van Persoonsgegevens, geïnformeerd mogen worden over de Persoonsgegevens en alleen voor zover dat redelijkerwijs nodig is voor de uitvoering van de Overeenkomst. Nitro zorgt ervoor dat personen die bevoegd zijn om de Persoonsgegevens te verwerken, zich contractueel of onder een geschikte wettelijke verplichting tot vertrouwelijkheid verbinden.
8. RECHTEN VAN DE BETROKKENEN
8.1 Met inachtneming van de aard van de verwerking, zal Nitro alle redelijke inspanningen leveren, door passende technische en organisatorische maatregelen te nemen, om de Klant te helpen bij het voldoen aan zijn verplichting om te reageren op verzoeken van Betrokkenen.
8.2 Voor alle ondersteuning die Nitro verleent in het kader van de behandeling van dergelijke verzoeken van Betrokkenen, zal de Klant Nitro vergoeden in overeenstemming met Sectie 14 “Kosten” van deze Bijlage inzake Gegevensverwerking. Een dergelijke vergoeding door de Klant is niet van toepassing (i) in het geval dat de Betrokkene zijn rechten inroept vanwege een bewezen Persoonsgegevensinbreuk die aan Nitro kan worden toegeschreven of (ii) in het geval dat dergelijke ondersteuning door Nitro niet meer dan vier (4) uur werk gedurende de looptijd van de Overeenkomst overstijgt.
9. MELDEVERPFLICHTING
9.1 Wanneer Nitro bekend wordt met een Persoonsgegevensinbreuk, zal Nitro de Klant hiervan zonder onnodige vertraging op de hoogte stellen door de contactpersoon in de Overeenkomst of het relevante Bestelformulier te benaderen (of alternatief via het E-mailadres van de Klant voor meldingen). De contactpersoon van Nitro voor alle zaken met betrekking tot gegevensbescherming kan per e-mail worden benaderd: privacy@gonitro.com.
9.2 Op verzoek van de Klant zal Nitro de Klant informeren over nieuwe ontwikkelingen met betrekking tot een Persoonsgegevensinbreuk en de genomen maatregelen om de gevolgen te beperken en om herhaling van een dergelijke Persoonsgegevensinbreuk te voorkomen. Het is de verantwoordelijkheid van de Klant om eventuele Persoonsgegevensinbreuken te melden bij de Toezichthoudende Autoriteit of de Betrokkene(n), zoals vereist.
10. SUBPROCESSING
10.1 De Klant machtigt Nitro expliciet om Subverwerkers in te schakelen voor de verwerking van Persoonsgegevens voor de uitvoering van de Overeenkomst en om de levering van de Diensten in het algemeen te faciliteren. In dit opzicht verleent de Klant Nitro een algemene schriftelijke machtiging om te beslissen met welke Subverwerker(s) Nitro samenwerkt voor de vervulling van zijn verplichtingen uit de Overeenkomst. Nitro publiceert een Subverwerkerslijst met verwijzing naar de door Nitro ingeschakelde Subverwerkers.
10.2 Nitro zal de Klant informeren over eventuele voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van Subverwerkers via de contactpersoon van de Klant die in de Overeenkomst of het betreffende Bestelformulier is aangegeven (of via het E-mailadres van de Klant voor meldingen). De Klant heeft het recht om bezwaar te maken tegen de toevoeging of vervanging door Nitro schriftelijk aan te spreken. Partijen zullen in dat geval in goed vertrouwen de toevoeging, vervanging of alternatieven bespreken en zo snel mogelijk na de schriftelijke kennisgeving van bezwaar van de Klant. Wanneer een Sub-verwerker niet in staat is zijn verplichtingen op het gebied van gegevensbescherming na te komen, blijft Nitro volledig aansprakelijk tegenover de Klant voor de uitvoering van deze verplichtingen van de Sub-verwerker.
11. INTERNATIONALE GEGEVENSOVERDRACHTEN
11.1 Klant autoriseert internationale overdrachten van Persoonlijke Gegevens voor de doeleinden van het verstrekken van de Diensten. Dergelijke internationale gegevensoverdrachten worden beschouwd als een instructie van de Klant. De Klant erkent dat Sub-verwerkers die zijn goedgekeurd onder Sectie 10 ook Persoonlijke Gegevens kunnen verwerken in derde landen. De Klant staat dergelijke overdrachten toe, op voorwaarde dat Nitro alle nodige stappen onderneemt om ervoor te zorgen dat deze overdrachten voldoen aan de bepalingen van Hoofdstuk V van de EU GDPR en andere toepasselijke wetten op het gebied van gegevensbescherming.
11.2 In het geval dat de overdracht van Persoonlijke Gegevens naar een derde land of een internationale organisatie verplicht is volgens de toepasselijke EU- of lidstaatwetgeving waaraan Nitro onderworpen is, mag Nitro deze overdracht uitvoeren en de Klant voor deze juridische vereiste informeren vóór een dergelijke verwerking, tenzij deze wet dit verbiedt om belangrijke redenen van publiek belang.
12. BEÏNVLOEDING VAN DE GEGEVENSBESCHERMING EN VOORKEURIGE CONSULTATIE
12.1 Als de Klant een Beoordeling van de Gegevensbescherming Impact Assessment (“DPIA”) (artikel 35 EU GDPR) of een voorafgaande consultatie (artikel 36 EU GDPR) uitvoert die verband houdt met de verwerking van Persoonlijke Gegevens in het kader van de uitvoering van de Overeenkomst, zal Nitro de Klant redelijk bijstaan door assistentie te bieden op schriftelijk verzoek van de Klant. De Klant zal Nitro vergoeden voor de verleende assistentie volgens Sectie 14 "Kosten" van deze Overeenkomst voor Gegevensverwerking. Deze kostenvergoeding is niet van toepassing in het geval (i) de gevraagde assistentie van Nitro minder dan vier (4) werkuren bedraagt tijdens de looptijd van de Overeenkomst, of (ii) de DPIA of voorafgaande consultatie wordt veroorzaakt door een schending van Persoonlijke Gegevens die aantoonbaar aan Nitro kan worden toegeschreven.
13. AUDITRECHT
13.1 De Klant heeft het recht om audits uit te voeren met betrekking tot de naleving door Nitro van zijn verplichtingen onder deze Overeenkomst voor Gegevensverwerking en de toepasselijke wetgeving inzake gegevensbescherming. Nitro zal zijn redelijke inspanningen leveren om samen te werken met dergelijke audits en alle informatie beschikbaar te stellen die nodig is om zijn naleving van zijn verplichtingen aan te tonen. De Klant moet Nitro van een dergelijke audit ten minste een (1) maand voorafgaand aan de datum waarop de audit zal worden uitgevoerd, schriftelijk op de hoogte stellen via privacy@gonitro.com.
13.2 Indien een audit wordt uitgevoerd, moeten alle betrokken partijen eerst een specifieke geheimhoudingsverklaring ondertekenen die door Nitro is opgesteld met betrekking tot deze audit en de auditresultaten voordat de audit begint. Bij de uitvoering van een dergelijke audit moeten de vertrouwelijkheidsverplichtingen van de Partijen ten aanzien van derden in acht worden genomen. Zowel de Partijen als hun auditors moeten de informatie die in verband met een audit is verzameld geheimhouden en deze uitsluitend gebruiken om hun naleving van deze Overeenkomst voor Gegevensverwerking en de toepasselijke wetten en regels met betrekking tot gegevensbescherming te verifiëren. De Klant heeft de optie om de audit zelf uit te voeren of een onafhankelijke auditor aan te stellen; echter, deze onafhankelijke auditor moet de geheimhoudingsverklaring die in deze Sectie wordt vermeld, ondertekenen.
13.3 Beide Partijen en indien van toepassing hun vertegenwoordigers, zullen redelijk samenwerken, op verzoek, met de Toezichthoudende Autoriteit bij de uitvoering van haar taken.
13.4 De Klant zal Nitro vergoeden voor de assistentie die door Nitro is verleend in verband met audit(s) in overeenstemming met Sectie 14 "Kosten" van deze Overeenkomst voor Gegevensverwerking. Het is begrepen dat deze vergoeding niet zal gelden in het geval dat (i) de audit het resultaat is van een schending van Persoonlijke Gegevens die aantoonbaar aan Nitro kan worden toegeschreven, of (ii) in het geval dat de assistentie van Nitro niet meer dan vier (4) werkuren bedraagt gedurende de looptijd van de Overeenkomst.
14. KOSTEN
14.1 De assistentie die onder deze Overeenkomst voor Gegevensverwerking zal worden verleend waarvoor Nitro de Klant kan aanrekenen, zal worden aangerekend op basis van de gewerkte uren en de toepasselijke standaard uurtarieven van Nitro (195 EUR/uur exclusief belastingen). Nitro zal deze bedragen maandelijks factureren, maar heeft ook het recht om een vooruitbetaling te vragen.
14.2 De betaling door de Klant aan Nitro voor de ondersteuning en professionele diensten die door Nitro onder dit Gegevensverwerkingsaddendum worden geleverd, zal plaatsvinden in overeenstemming met de bepalingen in de Gebruiksvoorwaarden.
15. AANSPRAKELIJKHEID
15.1 Voor zover toegestaan onder toepasselijk recht, zijn de bepalingen van de Gebruiksvoorwaarden met betrekking tot aansprakelijkheidsbeperking ook van toepassing op dit Gegevensverwerkingsaddendum en de daaruit voortvloeiende schade.
16. DIVERSEN
16.1 De bepalingen van de Gebruiksvoorwaarden met betrekking tot wijzigingen, de volledige overeenkomst, splitsbaarheid, toepasselijk recht en bevoegde rechtbanken zijn van toepassing op dit Gegevensverwerkingsaddendum.
