KennisbankNieuwsOndersteuning
DreamHost
Terug naar het juridische overzicht

Deze vertalingen zijn als service geleverd, maar de Engelse versies van de Servicevoorwaarden alle juridische zaken regelen.

Addendum Klantgegevensverwerking

Laatst bijgewerkt:

17 september 2024

Dit Addendum Gegevensverwerking ("DPA"), gedateerd op 27 december 2022 (de "Ingangsdatum"), is opgesteld als onderdeel van het algemene contract en de relatie onder de Servicevoorwaarden (en alle andere overeenkomsten die onze Diensten regelen), zoals van tijd tot tijd gewijzigd en aangevuld (de "Overeenkomst"), tussen u ("Klant") en DreamHost ("Bedrijf"). Alle hoofdlettertermen die niet in dit DPA zijn gedefinieerd, hebben de betekenis zoals vastgelegd in de Overeenkomst.

Definities

  • "Affiliate" betekent een entiteit die direct of indirect Controleert, wordt Gecontroleerd door of onder gemeenschappelijke Controle staat met een entiteit.
  • "Overeenkomst" heeft de betekenis zoals omschreven in de inleidende sectie.
  • "Controle" betekent een eigendoms-, stem- of vergelijkbaar belang dat vijftig procent (50%) of meer vertegenwoordigt van de totale uitstaande belangen van de betreffende entiteit. De term "Gecontroleerd" wordt dienovereenkomstig geïnterpreteerd.
  • "Controller" betekent een entiteit die de doeleinden en middelen bepaalt voor de Verwerking van Persoonsgegevens.
  • "Klantgegevens" betekent alle Persoonsgegevens die het Bedrijf namens de Klant verwerkt in het kader van het leveren van Diensten.
  • "Toepasselijke privacywetgeving" betekent alle van toepassing zijnde privacy- en gegevensbeschermingswetten die van toepassing zijn op de Verwerking van Persoonsgegevens onder de Overeenkomst, inclusief maar niet beperkt tot, waar van toepassing, de AVG, de Britse privacywetgeving en de CCPA.
  • "EER" betekent, voor de doeleinden van dit DPA, de Europese Economische Ruimte en Zwitserland.
  • "AVG" betekent Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming), en alle toepasselijke nationale implementaties daarvan.
  • "Modelclausules" betekent de standaard contractuele clausulesmodule voor Verwerkers naar Controllers goedgekeurd door de Europese Commissie, zoals opgenomen in Bijlage D, aangevuld met de Internationale Gegevensoverdracht Addendum van de Britse Information Commissioner's Office.
  • "CCPA" betekent de California Consumer Privacy Act van 2018 [California Civil Code Sections 1798.100 - 1798.199], zoals gewijzigd (inclusief door de California Privacy Rights Act van 2020), en de bijbehorende uitvoeringsregels.
  • "Persoonsgegevens" betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon; een identificeerbare natuurlijke persoon is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, online identificator of een of meer specifieke factoren voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.
  • "Databreach" betekent een inbreuk op de beveiliging die leidt tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van, of toegang tot Persoonsgegevens die worden overgedragen, opgeslagen of anderszins verwerkt.
  • "Verwerking" betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonsgegevens of sets van Persoonsgegevens, al dan niet geautomatiseerd, zoals verzamelen, opnemen, organiseren, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door verzending, verspreiding of anderszins ter beschikking stellen, koppelen of combineren, beperken, wissen of vernietigen. "Verwerken", "Verwerkt" en "Verwerker" worden dienovereenkomstig geïnterpreteerd.
  • "Verwerker" betekent een entiteit die Persoonsgegevens verwerkt namens een Controller.
  • "Diensten" betekent elk product of dienst die het Bedrijf levert aan de Klant overeenkomstig de Overeenkomst.
  • "Subverwerker" betekent een derde partij die door het Bedrijf is ingeschakeld om te helpen bij het nakomen van haar verplichtingen met betrekking tot het leveren van de Diensten overeenkomstig de Overeenkomst of dit DPA.
  • "Britse privacywetgeving" betekent: (i) de United Kingdom General Data Protection Regulation; en (ii) de Data Protection Act 2018.

1. Toepassingsgebied van dit DPA

Dit DPA is van toepassing en alleen voor zover het Bedrijf Klantgegevens verwerkt die onder de Toepasselijke privacywetgeving vallen, namens de Klant in het kader van het leveren van Diensten aan de Klant overeenkomstig de Overeenkomst.

2. Rollen en reikwijdte van verwerking

Rol van de Partijen. Tussen het Bedrijf en de Klant is de Klant de Verwerkingsverantwoordelijke van de Klantgegevens, en zal het Bedrijf Klantgegevens alleen verwerken als Verwerker namens de Klant. Voor zover de CCPA van toepassing is op de verwerking van Klantgegevens onder de Overeenkomst, komen partijen overeen dat de Klant een "business" is en het Bedrijf een "service provider", zoals deze termen zijn gedefinieerd in de CCPA.

Verwerking van Klantgegevens door Klant. De Klant stemt ermee in dat (i) hij zal voldoen aan zijn respectieve verplichtingen onder de Toepasselijke privacywetgeving met betrekking tot zijn verwerking van Klantgegevens en alle verwerkingsinstructies die hij aan het Bedrijf geeft; en (ii) hij kennisgeving heeft gedaan en alle benodigde toestemmingen en rechten heeft verkregen (of zal verkrijgen) onder de Toepasselijke privacywetgeving voor het Bedrijf om Klantgegevens te verwerken overeenkomstig de Overeenkomst en dit DPA.

Verwerking van Klantgegevens door Bedrijf. Het Bedrijf zal Klantgegevens alleen verwerken voor de in dit DPA beschreven doeleinden en uitsluitend volgens de gedocumenteerde wettelijke instructies van de Klant. Partijen komen overeen dat dit DPA en de Overeenkomst de volledige en definitieve instructies van de Klant aan het Bedrijf met betrekking tot de verwerking van Klantgegevens vastleggen, en dat verwerking buiten deze instructies (indien van toepassing) voorafgaande schriftelijke toestemming van de Klant en het Bedrijf vereist.

Details van de verwerking. De details van de verwerking onder de Overeenkomst zijn opgenomen in Bijlage A.

Uitzonderingen. Niettegenstaande enig andersluidend artikel in de Overeenkomst (inclusief dit DPA), erkent de Klant dat het Bedrijf het recht heeft om gegevens met betrekking tot de werking, ondersteuning en/of het gebruik van de Diensten te gebruiken en openbaar te maken voor legitieme bedrijfsdoeleinden zoals facturering, accountbeheer, technische ondersteuning, productontwikkeling en verbetering, en verkoop en marketing. Voor zover dergelijke gegevens die uitsluitend voor bedrijfsdoeleinden van het Bedrijf worden gebruikt, als Persoonsgegevens worden beschouwd onder de Toepasselijke privacywetgeving, is het Bedrijf de Verwerkingsverantwoordelijke van deze gegevens en garandeert het dat deze gegevens worden verwerkt in overeenstemming met het Privacybeleid van het Bedrijf en de privacywetgeving.

3. Subverwerking

Bevoegde Subverwerkers. De Klant stemt ermee in dat het Bedrijf Subverwerkers kan inschakelen om Klantgegevens namens de Klant te verwerken. De momenteel door het Bedrijf ingeschakelde en door de Klant goedgekeurde Subverwerkers zijn te vinden onder het tabblad "Profiel & Privacy" van het DreamHost Controlepaneel (de "Subverwerkerlijst").

Verplichtingen van Subverwerkers. Het Bedrijf zal: (i) een schriftelijke overeenkomst aangaan met de Subverwerker waarin bepalingen worden opgenomen die de Subverwerker verplichten om de Klantgegevens te beschermen conform de normen van de Toepasselijke privacywetgeving; en (ii) verantwoordelijk blijven voor de naleving van de verplichtingen uit dit DPA en voor handelingen of nalatigheden van de Subverwerker die het Bedrijf in gebreke stellen.

Wijzigingen in Subverwerkers. Het Bedrijf zal de Klant op de hoogte stellen van wijzigingen in zijn Subverwerkers door de Subverwerkerlijst bij te werken met een termijn van vijf (5) dagen voorafgaand aan het gebruik van een nieuwe Subverwerker voor het leveren van de Diensten. De Subverwerkerlijst toont altijd de datum van de laatste update. De Klant kan e-mailmeldingen ontvangen over wijzigingen in de Subverwerkerlijst. Indien de Klant een nieuwe Subverwerker niet goedkeurt na ontvangst van de kennisgeving, en binnen de vijf (5) dagen voorafgaand aan het gebruik van de nieuwe Subverwerker schriftelijk aan het Bedrijf verklaart waarom hij niet akkoord is, mag de Klant de getroffen Diensten beëindigen via schriftelijke kennisgeving aan het Bedrijf.

4. Beveiliging

Updates van beveiligingsmaatregelen. De Klant is verantwoordelijk voor het beoordelen van de door het Bedrijf beschikbaar gestelde informatie over gegevensbeveiliging en het zelfstandig bepalen of de Diensten voldoen aan de eisen en wettelijke verplichtingen van de Klant onder de Toepasselijke privacywetgeving. De minimale technische en organisatorische maatregelen van het Bedrijf ter bescherming van Klantgegevens staan beschreven in Bijlage B (de "Informatiebeveiligingsmaatregelen"). De Klant erkent dat de Informatiebeveiligingsmaatregelen onderhevig zijn aan technische vooruitgang en ontwikkelingen en dat het Bedrijf deze maatregelen periodiek kan bijwerken of wijzigen, mits deze updates en wijzigingen niet leiden tot een verslechtering van de algehele beveiliging van de door de Klant afgenomen Diensten.

Personeel. Het Bedrijf zorgt ervoor dat elke persoon die door het Bedrijf is gemachtigd om Klantgegevens te verwerken (inclusief personeel, agenten en geautoriseerde Subverwerkers) een passende geheimhoudingsplicht heeft (contractueel of wettelijk). Bovendien zal het Bedrijf maatregelen nemen om te waarborgen dat personen die toegang hebben tot Klantgegevens deze niet verwerken zonder instructies van de Klant, tenzij de verwerking vereist is op grond van Toepasselijke privacywetgeving.

Verantwoordelijkheden van de Klant Niettegenstaande het voorgaande is de Klant verantwoordelijk voor het veilige gebruik van de Diensten, behalve voor zover anders bepaald in dit DPA.

Reactie op datalekken. Zodra het Bedrijf kennis krijgt van een Persoonsgegevensinbreuk, zal het de Klant zonder onnodige vertraging informeren en tijdig informatie verstrekken over de datalek zoals deze bekend wordt of redelijkerwijs door de Klant wordt gevraagd. Het Bedrijf zal redelijke stappen ondernemen om de gevolgen van een datalek te beperken en waar mogelijk te herstellen.

5. Auditrapporten

De Klant erkent dat het Bedrijf regelmatig wordt geaudit op naleving van dit DPA en de beveiligingsnormen van het Bedrijf. Op redelijke schriftelijke aanvraag, verzonden naar het adres van het Bedrijf zoals vermeld in het Privacybeleid, zal het Bedrijf een samenvattend auditrapport ("Rapport") aan de Klant verstrekken, waarbij het Rapport onderhevig is aan de geheimhoudingsbepalingen van elke geheimhoudingsovereenkomst die door het Bedrijf aan de Klant wordt voorgelegd in verband met het Rapport. Het Bedrijf zal ook redelijkerwijs beargumenteerde schriftelijke auditvragen van de Klant beantwoorden, mits de Klant dit recht niet vaker dan eenmaal per twaalf (12) maanden uitoefent.

6. Internationale overdrachten

Locaties van datacenters. Het Bedrijf mag Klantgegevens overdragen en verwerken waar ook ter wereld waar het Bedrijf, haar Gelieerde ondernemingen of haar Subverwerkers verwerkingsactiviteiten uitvoeren. Het Bedrijf zal te allen tijde een adequaat beschermingsniveau bieden voor de verwerkte Klantgegevens, in overeenstemming met de eisen van de Toepasselijke privacywetgeving.

Modelclausules. Voor zover het Bedrijf Klantgegevens verwerkt die onder de AVG of de Britse privacywetgeving vallen overeenkomstig de Overeenkomst en/of die afkomstig zijn uit de EER of het Verenigd Koninkrijk, in een land dat niet door de Europese Commissie, de Zwitserse Federale privacytoezichthouder of de Britse Information Commissioner's Office (waar van toepassing) als een adequaat beschermingsniveau biedend land is aangewezen, erkennen partijen dat het Bedrijf als adequaat beschermingsniveau wordt beschouwd (binnen de betekenis van de Toepasselijke privacywetgeving) door naleving van de Modelclausules. Het Bedrijf stemt ermee in dat het een "gegevensimporteur" is en de Klant de "gegevensexporteur" onder de Modelclausules (ongeacht dat de Klant een entiteit buiten de EER is). Bijlage III van de Modelclausules is alleen van toepassing op de overdracht van Klantgegevens die onder de Britse privacywetgeving vallen overeenkomstig de Overeenkomst en/of afkomstig zijn uit het Verenigd Koninkrijk.

7. Teruggave of verwijdering van gegevens

Bij beëindiging of afloop van de Overeenkomst zal het Bedrijf, op verzoek van de Klant en na authenticatie, alle Klantgegevens die het in bezit of onder controle heeft teruggeven of, voor zover technisch mogelijk, verwijderen. Niettegenstaande het voorgaande mag het Bedrijf Klantgegevens bewaren of archiveren op zijn back-ups wanneer het Bedrijf hiertoe wettelijk, contractueel of regulatorisch verplicht is, of wanneer het Bedrijf legitieme zakelijke belangen heeft die de bewaring van sommige of alle Klantgegevens vereisen. Het Bedrijf zal deze Klantgegevens veilig isoleren en beschermen tegen verdere verwerking, behalve voor zover vereist door toepasselijke wet- of regelgeving.

8. Samenwerking

De Diensten kunnen de Klant diverse controlemogelijkheden bieden om Klantgegevens op te halen, corrigeren, verwijderen of beperken, die de Klant kan gebruiken om te voldoen aan zijn verplichtingen onder de Toepasselijke privacywetgeving, inclusief het reageren op verzoeken van betrokkenen of privacytoezichthouders. Voor zover de Klant niet zelfstandig toegang kan krijgen tot relevante Klantgegevens binnen de Diensten, zal het Bedrijf (op kosten van de Klant) redelijke medewerking verlenen om de Klant te helpen bij het beantwoorden van verzoeken van personen of toezichthouders met betrekking tot de verwerking van persoonsgegevens onder de Overeenkomst. Indien een dergelijk verzoek direct aan het Bedrijf wordt gericht, zal het Bedrijf niet rechtstreeks reageren zonder voorafgaande toestemming van de Klant, tenzij wettelijk verplicht. Indien het Bedrijf toch moet reageren, zal het de Klant onmiddellijk informeren en een kopie van het verzoek verstrekken, tenzij wettelijk verboden.

Het Bedrijf zal geen Klantgegevens aan een overheid of derde partij verstrekken, behalve wanneer dit noodzakelijk is op grond van een geldig en bindend bevel van een wetshandhavingsinstantie. Indien het Bedrijf verplicht wordt Klantgegevens te verstrekken aan een wetshandhavingsinstantie, zal het de Klant redelijk vooraf informeren over de eis, zodat de Klant een beschermingsmaatregel of ander passend middel kan zoeken, tenzij het Bedrijf wettelijk verhinderd is dit te doen.

Voor zover het Bedrijf hiertoe verplicht is onder de Toepasselijke privacywetgeving, zal het Bedrijf (op kosten van de Klant) redelijke informatie verstrekken over de Diensten om de Klant in staat te stellen gegevensbeschermingseffectbeoordelingen of voorafgaande raadplegingen met privacytoezichthouders uit te voeren zoals wettelijk vereist.

9. CCPA-clausules

Voor zover de CCPA van toepassing is op de verwerking van Klantgegevens onder de Overeenkomst, zullen partijen voldoen aan Bijlage C.

10. Algemeen

Eventuele claims die voortvloeien uit of verband houden met dit DPA zijn onderworpen aan de algemene voorwaarden van het Bedrijf (inclusief de Servicevoorwaarden), zoals bijgewerkt op de Juridische webpagina, inclusief maar niet beperkt tot de uitsluitingen en beperkingen opgenomen in de Overeenkomst. Claims tegen het Bedrijf of haar Gelieerde ondernemingen onder dit DPA kunnen uitsluitend worden ingediend tegen de entiteit die partij is bij de Overeenkomst. In geen geval mag een partij haar aansprakelijkheid beperken met betrekking tot de gegevensbeschermingsrechten van een individu onder dit DPA of anderszins. De Klant stemt ermee in dat eventuele bestuurlijke boetes die het Bedrijf oploopt met betrekking tot Klantgegevens, als gevolg van of in verband met het niet naleven door de Klant van zijn verplichtingen onder dit DPA of enige Toepasselijke privacywetgeving, worden meegeteld en de aansprakelijkheid van het Bedrijf onder de Overeenkomst verminderen alsof het een aansprakelijkheid jegens de Klant betreft.

Behalve partijen bij dit DPA, hun rechtsopvolgers en toegestane rechtverkrijgenden, heeft niemand het recht om enige bepaling ervan af te dwingen. Dit DPA wordt beheerst door en geïnterpreteerd in overeenstemming met het toepasselijke recht en de jurisdictie zoals bepaald in de Overeenkomst, tenzij anders vereist door Toepasselijke privacywetgeving.

Partijen komen overeen dat dit DPA elke bestaande DPA (inclusief de Modelclausules, indien van toepassing) vervangt die partijen eerder in verband met de Diensten zijn aangegaan.

Dit DPA en de Modelclausules eindigen gelijktijdig en automatisch bij beëindiging of afloop van de Overeenkomst; met dien verstande dat bepalingen die veilige vernietiging van Persoonsgegevens en bewaring van Persoonsgegevens vereisen ter voldoening aan wettelijke, contractuele of regelgevende vereisten, na beëindiging of afloop van het DPA blijven gelden voor de minimale periode die nodig is om aan deze verplichtingen te voldoen.

Behalve de door dit DPA aangebrachte wijzigingen blijft de Overeenkomst ongewijzigd en volledig van kracht. Bij tegenstrijdigheden tussen dit DPA en de Overeenkomst, prevaleert dit DPA voor zover de tegenstrijdigheid strekt.

De bijlagen bij dit DPA zijn door verwijzing opgenomen in dit DPA. Bij tegenstrijdigheden tussen dit DPA en enige bijlagen, prevaleert dit DPA voor zover de tegenstrijdigheid strekt. Niettegenstaande het voorgaande, bij tegenstrijdigheden tussen dit DPA en de Modelclausules, prevaleren de Modelclausules voor zover de tegenstrijdigheid strekt.

De bepalingen van dit DPA zijn scheidbaar. Indien enige zin, clausule of bepaling geheel of gedeeltelijk ongeldig of onafdwingbaar is, heeft dit alleen invloed op die zin, clausule of bepaling, en blijft de rest van dit DPA volledig van kracht.

Bijlage A

Details van de verwerking

  1. Onderwerp: Het onderwerp van de verwerking onder dit DPA zijn de Klantgegevens.
  2. Duur: Tussen het Bedrijf en de Klant is de duur van de verwerking onder dit DPA vastgesteld in Sectie 7 van dit DPA.
  3. Doel en aard: Het doel en de aard van de verwerking onder dit DPA is het leveren van de Diensten aan de Klant en het nakomen van de verplichtingen van het Bedrijf onder de Overeenkomst (inclusief dit DPA) of zoals anders overeengekomen door partijen.
  4. Categorieën van betrokkenen: De Klant kan persoonsgegevens uploaden tijdens het gebruik van de Diensten, de omvang daarvan kan worden bepaald en gecontroleerd door de Klant. Dit kan, maar is niet beperkt tot:
    1. Prospects, klanten, zakenpartners, leveranciers of derden van de Klant (die natuurlijke personen zijn);
    2. Werknemers, agenten, adviseurs, derden en freelancers van de Klant;
    3. Werknemers of aanverwante personen van (1) hierboven;
    4. Geautoriseerde gebruikers van de Diensten door de Klant.
  5. Soorten persoonsgegevens: De Klant kan persoonsgegevens uploaden tijdens het gebruik van de Diensten, de omvang daarvan kan worden bepaald en gecontroleerd door de Klant. Dit kan, maar is niet beperkt tot, de volgende categorieën: naam, adres, telefoonnummer, geboortedatum, e-mail en andere Klantgegevens.

Bijlage B

Maatregelen voor informatiebeveiliging

De volgende punten worden beschouwd als de minimale beveiligingseisen die het Bedrijf heeft ingesteld om Klantgegevens te beschermen:

  • Aanstelling van één of meerdere functionarissen die verantwoordelijk zijn voor de coördinatie en monitoring van de regels en procedures voor informatie technologie.
  • Gedocumenteerd beleid en procedures die het gebruik van het informatiesysteem door werknemers en leveranciers reguleren.
  • Proces om vermoedelijke of bekende beveiligingsincidenten te identificeren en erop te reageren.
  • Intern worden gegevens in rust beveiligd door rollen of groepsrechten en periodiek gecontroleerd om ervoor te zorgen dat mensen alleen toegang hebben tot gegevens die zij nodig hebben voor hun werk en dat accounts van beëindigde gebruikers zijn uitgeschakeld.
  • Servers worden tijdig gepatcht om te garanderen dat de nieuwste beveiligingsupdates worden toegepast.
  • Transport Layer Security (TLS) wordt waar van toepassing gebruikt voor zowel web- als e-mailverkeer. E-mail wordt ook meerdere keren gefilterd en gescand bij binnenkomst.
  • Virtual Private Networks (VPN's) worden gebruikt om het verkeer tussen al onze locaties te versleutelen.
  • Externe gebruikers gebruiken ook versleutelde VPN-connectiviteit om toegang te krijgen tot interne bronnen, en dit wordt op gebruikersniveau verleend.
  • Alle opgeslagen wachtwoorden zijn versleuteld.
  • Gegevens worden dagelijks gesynchroniseerd tussen de primaire en back-uplocatie.
  • Derdepartij-auditors voeren jaarlijks IT-audits uit en beoordelen beleid en procedures.

Bijlage C

CCPA-clausules

Deze Bijlage is alleen van toepassing op het DPA voor zover de CCPA van toepassing is op de verwerking van Klantgegevens onder de Overeenkomst. Zoals gebruikt in deze Bijlage, hebben de termen "Persoonlijke Informatie", "Verkopen", "Delen", "Zakelijk Doel" en "Commercieel Doel" de betekenissen zoals gegeven in de CCPA.

Voor zover Klantgegevens Persoonlijke Informatie zijn onder de Overeenkomst:

  • Het Bedrijf zal geen Klantgegevens verkopen of delen.
  • Het Bedrijf zal Klantgegevens niet bewaren, gebruiken of openbaar maken voor andere doeleinden dan de Zakelijke Doeleinden zoals gespecificeerd in de Overeenkomst, namelijk het aanbieden van domeinnamen, webhosting en ontwerp, clouddiensten, e-maildiensten, inclusief voor geen Commercieel Doel anders dan de Zakelijke Doeleinden zoals gespecificeerd in de Overeenkomst.
  • Het Bedrijf zal Klantgegevens niet bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen Klant en Bedrijf.
  • Het Bedrijf zal dergelijke Klantgegevens ontvangen van, of namens, de Klant niet combineren met Klantgegevens ontvangen van, of namens, een derde partij, behalve om een Zakelijk Doel uit te voeren dat is toegestaan door de CCPA.
  • Het Bedrijf zal voldoen aan toepasselijke verplichtingen onder de CCPA en hetzelfde beschermingsniveau bieden voor Klantgegevens als vereist door de CCPA, inclusief het assisteren van de Klant bij het voldoen aan verzoeken van consumenten onder de CCPA.
  • De Klant heeft het recht redelijke en passende maatregelen te nemen om ervoor te zorgen dat het Bedrijf Klantgegevens gebruikt op een wijze die consistent is met de verplichtingen van de Klant onder de CCPA.
  • Het Bedrijf zal de Klant op de hoogte stellen als het vaststelt dat het niet langer aan zijn verplichtingen onder de CCPA kan voldoen. Indien het Bedrijf de Klant op de hoogte stelt van ongeoorloofd gebruik van Klantgegevens, inclusief op grond van de voorgaande zin, heeft het Bedrijf het recht redelijke en passende maatregelen te nemen om dit ongeoorloofde gebruik te stoppen en te verhelpen.

Bijlage D

Modelclausules

SECTIE 1

Clausule 1

Doel en reikwijdte

(a) Het doel van deze standaardcontractbepalingen is om te zorgen voor naleving van de vereisten van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming)¹ voor de overdracht van persoonsgegevens aan een derde land.

(b) De partijen:

  • (i) de natuurlijke of rechtspersoon(en), openbare instantie(n), agentschap(s) of ander(e) orgaan/orgaanen (hierna "entiteit(en)") die de persoonsgegevens overdragen, zoals vermeld in Bijlage I.A. (hierna elk "gegevensexporteur"), en
  • (ii) de entiteit(en) in een derde land die de persoonsgegevens van de gegevensexporteur ontvangen, direct of indirect via een andere entiteit die ook partij is bij deze clausules, zoals vermeld in Bijlage I.A. (hierna elk "gegevensimporteur") zijn akkoord gegaan met deze standaardcontractbepalingen (hierna: "Clausules").

(c) Deze Clausules zijn van toepassing met betrekking tot de overdracht van persoonsgegevens zoals gespecificeerd in Bijlage I.B.

(d) De bijlage bij deze Clausules, die de daarin genoemde Bijlagen bevat, vormt een integraal onderdeel van deze Clausules.

Clausule 2

Effect en onveranderlijkheid van de Clausules

(a) Deze Clausules stellen passende waarborgen vast, waaronder afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen, overeenkomstig artikel 46, lid 1, en artikel 46, lid 2, onder c), van Verordening (EU) 2016/679 en, met betrekking tot gegevensoverdrachten van verwerkingsverantwoordelijken aan verwerkers en/of van verwerkers aan verwerkers, standaardcontractbepalingen overeenkomstig artikel 28, lid 7, van Verordening (EU) 2016/679, mits zij niet worden gewijzigd, behalve om de juiste module(s) te selecteren of om informatie in de bijlage toe te voegen of bij te werken. Dit verhindert niet dat de partijen de standaardcontractbepalingen zoals vastgelegd in deze Clausules opnemen in een bredere overeenkomst en/of andere clausules of aanvullende waarborgen toevoegen, mits deze niet direct of indirect in strijd zijn met deze Clausules of de fundamentele rechten of vrijheden van betrokkenen schaden.

(b) Deze Clausules doen geen afbreuk aan verplichtingen waaraan de gegevensexporteur is onderworpen krachtens Verordening (EU) 2016/679.

Clausule 3

Derdenbegunstigden

(a) Betrokkenen kunnen deze Clausules inroepen en afdwingen als derdenbegunstigden tegen de gegevensexporteur en/of gegevensimporteur, met de volgende uitzonderingen:

  • (i) Clausule 1, Clausule 2, Clausule 3, Clausule 6, Clausule 7;
  • (ii) Clausule 8.1(b), 8.9(a), (c), (d) en (e);
  • (iii) Clausule 9(a), (c), (d) en (e);
  • (iv) Clausule 12(a), (d) en (f);
  • (v) Clausule 13;
  • (vi) Clausule 15.1(c), (d) en (e);
  • (vii) Clausule 16(e);
  • (viii) Clausule 18(a) en (b).

(b) Paragraaf (a) doet geen afbreuk aan de rechten van betrokkenen krachtens Verordening (EU) 2016/679.

Clausule 4

Uitleg

(a) Waar deze Clausules termen gebruiken die zijn gedefinieerd in Verordening (EU) 2016/679, hebben die termen dezelfde betekenis als in die Verordening.

(b) Deze Clausules worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.

(c) Deze Clausules mogen niet zodanig worden geïnterpreteerd dat zij in strijd zijn met de rechten en verplichtingen zoals voorzien in Verordening (EU) 2016/679.

Clausule 5

Hiërarchie

In het geval van een tegenstrijdigheid tussen deze Clausules en de bepalingen van gerelateerde overeenkomsten tussen de partijen, die bestaan op het moment dat deze Clausules worden overeengekomen of daarna worden aangegaan, prevaleren deze Clausules.

Clausule 6

Beschrijving van de overdracht(en)

De details van de overdracht(en), en in het bijzonder de categorieën persoonsgegevens die worden overgedragen en het doel/de doelen waarvoor zij worden overgedragen, zijn gespecificeerd in Bijlage I.B.

Clausule 7

Aansluitingsclausule

Niet van toepassing.

SECTIE II - VERPLICHTINGEN VAN DE PARTIJEN

Clausule 8

Waarborgen voor gegevensbescherming

De gegevensexporteur garandeert dat hij redelijke inspanningen heeft geleverd om vast te stellen dat de gegevensimporteur in staat is, door het implementeren van passende technische en organisatorische maatregelen, te voldoen aan zijn verplichtingen onder deze Clausules.

8.1 Instructies

(a) De gegevensimporteur zal de persoonsgegevens alleen verwerken op gedocumenteerde instructies van de gegevensexporteur. De gegevensexporteur kan gedurende de gehele duur van het contract dergelijke instructies geven.

(b) De gegevensimporteur zal de gegevensexporteur onmiddellijk informeren indien hij niet in staat is deze instructies op te volgen.

8.2 Doelbeperking

De gegevensimporteur zal de persoonsgegevens alleen verwerken voor het specifieke doel of de specifieke doeleinden van de overdracht, zoals omschreven in Bijlage I.B, tenzij op verdere instructies van de gegevensexporteur.

8.3 Transparantie

Op verzoek zal de gegevensexporteur een kopie van deze Clausules, inclusief de door de partijen ingevulde Bijlage, kosteloos ter beschikking stellen aan de betrokkene. Voor zover nodig om bedrijfsgeheimen of andere vertrouwelijke informatie, inclusief de maatregelen beschreven in Bijlage II, en persoonsgegevens te beschermen, mag de gegevensexporteur een deel van de tekst van de Bijlage bij deze Clausules redigeren voordat een kopie wordt gedeeld, maar zal hij een zinvolle samenvatting geven wanneer de betrokkene anders niet in staat zou zijn de inhoud te begrijpen of zijn/haar rechten uit te oefenen. Op verzoek zullen de partijen de betrokkene de redenen voor de redactie geven, voor zover mogelijk zonder de geredigeerde informatie te onthullen. Deze Clausule doet geen afbreuk aan de verplichtingen van de gegevensexporteur onder de artikelen 13 en 14 van Verordening (EU) 2016/679.

8.4 Nauwkeurigheid

Als de gegevensimporteur merkt dat de ontvangen persoonsgegevens onjuist zijn of verouderd zijn, zal hij de gegevensexporteur onverwijld informeren. In dat geval zal de gegevensimporteur met de gegevensexporteur samenwerken om de gegevens te wissen of te corrigeren.

8.5 Duur van de verwerking en wissen of retourneren van gegevens

De verwerking door de gegevensimporteur zal alleen plaatsvinden voor de in Bijlage I.B gespecificeerde duur. Na het einde van de levering van de verwerkingsdiensten zal de gegevensimporteur, naar keuze van de gegevensexporteur, alle persoonsgegevens die namens de gegevensexporteur zijn verwerkt verwijderen en dit aan de gegevensexporteur bevestigen, of alle persoonsgegevens die namens de gegevensexporteur zijn verwerkt teruggeven en bestaande kopieën verwijderen. Totdat de gegevens zijn verwijderd of teruggegeven, zal de gegevensimporteur de naleving van deze Clausules blijven waarborgen. In geval van lokale wetten die van toepassing zijn op de gegevensimporteur en die het retourneren of verwijderen van de persoonsgegevens verbieden, garandeert de gegevensimporteur dat hij blijft voldoen aan deze Clausules en de gegevens alleen verwerkt voor zover en zolang vereist volgens die lokale wet. Dit doet geen afbreuk aan Clausule 14, in het bijzonder de verplichting van de gegevensimporteur onder Clausule 14(e) om de gegevensexporteur gedurende de looptijd van het contract te informeren als hij redenen heeft te vermoeden dat hij onderworpen is aan wetten of praktijken die niet in overeenstemming zijn met de eisen van Clausule 14(a).

8.6 Beveiliging van de verwerking

(a) De gegevensimporteur en, tijdens de overdracht, ook de gegevensexporteur zullen passende technische en organisatorische maatregelen implementeren om de veiligheid van de gegevens te waarborgen, inclusief bescherming tegen een beveiligingsincident dat leidt tot accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking of toegang tot die gegevens ('inbreuk in verband met persoonsgegevens'). Bij het beoordelen van het passende beveiligingsniveau houden de partijen rekening met de stand van de techniek, de kosten van implementatie, de aard, omvang, context en doeleinden van de verwerking en de risico's voor de betrokkenen. De partijen zullen met name overwegen gebruik te maken van versleuteling of pseudonimisering, ook tijdens de overdracht, indien het doel van de verwerking op die wijze kan worden gerealiseerd. Bij pseudonimisering zal de aanvullende informatie om de persoonsgegevens aan een specifieke betrokkene toe te wijzen, indien mogelijk, onder exclusieve controle van de gegevensexporteur blijven. Bij het naleven van zijn verplichtingen onder deze paragraaf zal de gegevensimporteur ten minste de technische en organisatorische maatregelen uitvoeren zoals gespecificeerd in Bijlage II. De gegevensimporteur zal regelmatige controles uitvoeren om te waarborgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.

(b) De gegevensimporteur zal alleen aan personeelsleden toegang geven tot de persoonsgegevens voor zover strikt noodzakelijk voor de uitvoering, het beheer en de controle van het contract. Hij zal ervoor zorgen dat personen die bevoegd zijn om de persoonsgegevens te verwerken, zich hebben verbonden tot vertrouwelijkheid of onder een passende wettelijke geheimhoudingsplicht vallen.

(c) In geval van een inbreuk in verband met persoonsgegevens die door de gegevensimporteur zijn verwerkt onder deze Clausules, zal de gegevensimporteur passende maatregelen nemen om de inbreuk te verhelpen, inclusief maatregelen om nadelige gevolgen te beperken. De gegevensimporteur zal de gegevensexporteur onverwijld na kennisname van de inbreuk informeren. Deze melding bevat de contactgegevens voor meer informatie, een beschrijving van de aard van de inbreuk (inclusief, indien mogelijk, categorieën en geschat aantal betrokkenen en persoonsgegevens), de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen om de inbreuk aan te pakken, inclusief maatregelen om mogelijke nadelige gevolgen te beperken. Indien het niet mogelijk is om alle informatie tegelijkertijd te verstrekken, bevat de eerste melding de toen beschikbare informatie en worden verdere gegevens onverwijld verstrekt zodra deze beschikbaar komen.

(d) De gegevensimporteur zal samenwerken met en de gegevensexporteur bijstaan om de gegevensexporteur in staat te stellen te voldoen aan zijn verplichtingen onder Verordening (EU) 2016/679, in het bijzonder om de bevoegde toezichthoudende autoriteit en de betrokkenen op de hoogte te stellen, rekening houdend met de aard van de verwerking en de informatie die de gegevensimporteur beschikbaar heeft.

8.7 Gevoelige gegevens

Indien de overdracht persoonsgegevens betreft die ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, lidmaatschap van een vakbond, genetische gegevens of biometrische gegevens voor de unieke identificatie van een natuurlijke persoon, gegevens betreffende gezondheid of het seksueel leven of de seksuele geaardheid van een persoon, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (hierna 'gevoelige gegevens') onthullen, zal de gegevensimporteur de specifieke beperkingen en/of aanvullende waarborgen toepassen zoals beschreven in Bijlage I.B.

8.8 Verdere doorgiften

De gegevensimporteur zal de persoonsgegevens alleen aan een derde verstrekken op gedocumenteerde instructies van de gegevensexporteur. Daarnaast mogen de gegevens alleen worden verstrekt aan een derde partij buiten de Europese Unie² (in hetzelfde land als de gegevensimporteur of in een ander derde land, hierna 'verdere doorgifte') indien die derde partij gebonden is of ermee instemt gebonden te zijn aan deze Clausules, onder de juiste module, of indien:

  1. de verdere doorgifte plaatsvindt naar een land dat beschikt over een adequaatheidsbesluit krachtens artikel 45 van Verordening (EU) 2016/679 dat de verdere doorgifte dekt;
  2. de derde partij anderszins passende waarborgen biedt overeenkomstig artikelen 46 of 47 van Verordening (EU) 2016/679 met betrekking tot de betreffende verwerking;
  3. de verdere doorgifte noodzakelijk is voor het instellen, uitoefenen of verdedigen van rechtsvorderingen in het kader van specifieke administratieve, regelgevende of gerechtelijke procedures; of
  4. de verdere doorgifte noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon.

Elke verdere doorgifte is onderworpen aan naleving door de gegevensimporteur van alle andere waarborgen onder deze Clausules, met name de doelbeperking.

8.9 Documentatie en naleving

(a) De gegevensimporteur zal verzoeken van de gegevensexporteur die betrekking hebben op de verwerking onder deze Clausules tijdig en adequaat behandelen.

(b) De partijen moeten kunnen aantonen dat zij voldoen aan deze Clausules. In het bijzonder zal de gegevensimporteur passende documentatie bijhouden over de verwerkingsactiviteiten die namens de gegevensexporteur worden uitgevoerd.

(c) De gegevensimporteur zal de gegevensexporteur alle informatie verstrekken die nodig is om de naleving van de verplichtingen uit deze Clausules aan te tonen en op verzoek van de gegevensexporteur medewerking verlenen aan en bijdragen aan audits van de verwerkingsactiviteiten die onder deze Clausules vallen, met redelijke tussenpozen of indien er aanwijzingen zijn voor niet-naleving. Bij het besluiten over een controle of audit kan de gegevensexporteur rekening houden met relevante certificeringen van de gegevensimporteur.

(d) De gegevensexporteur kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke auditor aan te stellen. Audits kunnen inspecties omvatten op de locaties of fysieke faciliteiten van de gegevensimporteur en zullen, waar van toepassing, met redelijke kennisgeving worden uitgevoerd.

(e) De partijen zullen de informatie bedoeld in de paragrafen (b) en (c), inclusief de resultaten van audits, op verzoek beschikbaar stellen aan de bevoegde toezichthoudende autoriteit.

Clause 9

Gebruik van subverwerkers

(a) ALGEMENE SCHRIFTELIJKE TOESTEMMING De gegevensimporteur heeft de algemene toestemming van de gegevensexporteur voor het inschakelen van subverwerker(s) uit een overeengekomen lijst. De gegevensimporteur zal de gegevensexporteur schriftelijk specifiek informeren over elke voorgenomen wijziging van die lijst door toevoeging of vervanging van subverwerkers, minimaal vijf (5) dagen van tevoren, zodat de gegevensexporteur voldoende tijd heeft om bezwaar te maken tegen die wijzigingen voordat de subverwerker(s) worden ingeschakeld. De gegevensimporteur verstrekt de gegevensexporteur de informatie die nodig is om het recht tot bezwaar uit te oefenen.

(b) Wanneer de gegevensimporteur een subverwerker inschakelt om specifieke verwerkingsactiviteiten uit te voeren (namens de gegevensexporteur), geschiedt dit via een schriftelijk contract dat in wezen dezelfde verplichtingen op het gebied van gegevensbescherming bevat als die welke de gegevensimporteur binden onder deze Clausules, inclusief ten aanzien van de rechten van derden begunstigden voor betrokkenen3. De partijen komen overeen dat door naleving van deze Clausule de gegevensimporteur zijn verplichtingen onder Clausule 8.8 nakomt. De gegevensimporteur zorgt ervoor dat de subverwerker voldoet aan de verplichtingen waaraan de gegevensimporteur is onderworpen volgens deze Clausules.

(c) De gegevensimporteur verstrekt op verzoek van de gegevensexporteur een kopie van een dergelijk subverwerkerscontract en eventuele daaropvolgende wijzigingen aan de gegevensexporteur. Voor zover noodzakelijk ter bescherming van bedrijfsgeheimen of andere vertrouwelijke informatie, inclusief persoonsgegevens, mag de gegevensimporteur de tekst van het contract redigeren voordat een kopie wordt gedeeld.

(d) De gegevensimporteur blijft volledig verantwoordelijk tegenover de gegevensexporteur voor de nakoming van de verplichtingen van de subverwerker op grond van het contract met de gegevensimporteur. De gegevensimporteur zal de gegevensexporteur informeren over elke tekortkoming van de subverwerker bij het nakomen van zijn verplichtingen uit dat contract.

(e) De gegevensimporteur zal een derde-begunstigingsclausule overeenkomen met de subverwerker waarbij - ingeval de gegevensimporteur feitelijk is verdwenen, juridisch niet meer bestaat of insolvent is geworden - de gegevensexporteur het recht heeft het subverwerkerscontract te beëindigen en de subverwerker te instrueren de persoonsgegevens te wissen of terug te geven.

Clause 10

Rechten van betrokkenen

(a) De gegevensimporteur zal de gegevensexporteur onmiddellijk informeren over elk verzoek dat hij van een betrokkene ontvangt. Hij zal niet zelf op dat verzoek reageren tenzij hij daartoe door de gegevensexporteur is gemachtigd.

(b) De gegevensimporteur zal de gegevensexporteur helpen bij het nakomen van diens verplichtingen om verzoeken van betrokkenen om uitoefening van hun rechten op grond van Verordening (EU) 2016/679 te beantwoorden. De partijen zullen in Bijlage II de passende technische en organisatorische maatregelen vastleggen, rekening houdend met de aard van de verwerking, waarmee de hulp zal worden geboden, alsmede de omvang en de mate van de vereiste hulp.

(c) Bij het nakomen van zijn verplichtingen onder de paragrafen (a) en (b) zal de gegevensimporteur de instructies van de gegevensexporteur opvolgen.

Clause 11

Herstel

(a) De gegevensimporteur zal betrokkenen op een transparante en gemakkelijk toegankelijke manier informeren, via een individuele kennisgeving of op zijn website, over een contactpunt dat klachten behandelt. Hij zal klachten van betrokkenen snel afhandelen.

(b) Bij een geschil tussen een betrokkene en een van de partijen over de naleving van deze Clausules zal die partij zich inspannen om het geschil tijdig en in goed overleg op te lossen. De partijen zullen elkaar op de hoogte houden van dergelijke geschillen en waar nodig samenwerken aan een oplossing.

(c) Wanneer de betrokkene een derde-begunstigingsrecht inroept op grond van Clausule 3, zal de gegevensimporteur de beslissing van de betrokkene accepteren om:

  1. een klacht in te dienen bij de toezichthoudende autoriteit in de lidstaat van zijn/haar gewone verblijfplaats of werkplek, of bij de bevoegde toezichthoudende autoriteit volgens Clausule 13;
  2. het geschil voor te leggen aan de bevoegde rechtbanken in de zin van Clausule 18.

(d) De partijen accepteren dat de betrokkene zich kan laten vertegenwoordigen door een non-profitorganisatie, vereniging of organisatie onder de voorwaarden zoals beschreven in artikel 80, lid 1, van Verordening (EU) 2016/679.

(e) De gegevensimporteur zal zich houden aan een bindende beslissing krachtens het toepasselijke EU- of lidstaatsrecht.

(f) De gegevensimporteur stemt ermee in dat de keuze van de betrokkene zijn/haar materiële en procedurele rechten om rechtsmiddelen te zoeken volgens de toepasselijke wetgeving niet schaadt.

Clause 12

Aansprakelijkheid

(a) Elke partij is aansprakelijk tegenover de andere partij(en) voor schade die zij veroorzaakt door een schending van deze Clausules.

(b) De gegevensimporteur is aansprakelijk tegenover de betrokkene en de betrokkene heeft recht op schadevergoeding voor materiële of immateriële schade die de gegevensimporteur of zijn subverwerker veroorzaakt door schending van de derde-begunstigingsrechten onder deze Clausules.

(c) Niettegenstaande paragraaf (b) is de gegevensexporteur aansprakelijk tegenover de betrokkene en heeft de betrokkene recht op schadevergoeding voor materiële of immateriële schade die de gegevensexporteur of de gegevensimporteur (of zijn subverwerker) veroorzaakt door schending van de derde-begunstigingsrechten onder deze Clausules. Dit is onverminderd de aansprakelijkheid van de gegevensexporteur en, wanneer de gegevensexporteur een verwerker is die optreedt namens een verwerkingsverantwoordelijke, de aansprakelijkheid van de verwerkingsverantwoordelijke onder Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, indien van toepassing.

(d) De partijen komen overeen dat indien de gegevensexporteur op grond van paragraaf (c) aansprakelijk wordt gesteld voor schade veroorzaakt door de gegevensimporteur (of zijn subverwerker), hij het recht heeft die schadevergoeding terug te vorderen van de gegevensimporteur voor het deel dat overeenkomt met diens verantwoordelijkheid.

(e) Wanneer meer dan één partij aansprakelijk is voor schade aan de betrokkene als gevolg van een schending van deze Clausules, zijn alle aansprakelijke partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht om tegen elk van deze partijen een rechtszaak aan te spannen.

(f) De partijen komen overeen dat indien een partij op grond van paragraaf (e) aansprakelijk wordt gesteld, hij het recht heeft om van de andere partij(en) dat deel van de schadevergoeding terug te vorderen dat overeenkomt met hun verantwoordelijkheid.

(g) De gegevensimporteur mag het gedrag van een subverwerker niet aanvoeren om zijn eigen aansprakelijkheid te vermijden.

Clause 13

Toezicht

(a) [Waar de gegevensexporteur is gevestigd in een lidstaat van de EU:] De toezichthoudende autoriteit die verantwoordelijk is voor het waarborgen van de naleving door de gegevensexporteur van Verordening (EU) 2016/679 met betrekking tot de gegevensoverdracht, zoals aangegeven in Bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit.

[Waar de gegevensexporteur niet is gevestigd in een lidstaat van de EU, maar valt binnen de territoriale werkingssfeer van Verordening (EU) 2016/679 overeenkomstig artikel 3, lid 2, en een vertegenwoordiger heeft aangewezen overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679:] De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in Bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit.

[Waar de gegevensexporteur niet is gevestigd in een lidstaat van de EU, maar valt binnen de territoriale werkingssfeer van Verordening (EU) 2016/679 overeenkomstig artikel 3, lid 2, zonder echter een vertegenwoordiger te hoeven aanstellen overeenkomstig artikel 27, lid 2, van Verordening (EU) 2016/679:] De toezichthoudende autoriteit van een van de lidstaten waarin de betrokkenen van wie de persoonsgegevens onder deze Clausules worden overgedragen in verband met het aanbieden van goederen of diensten aan hen, of van wie het gedrag wordt gevolgd, zijn gevestigd, zoals aangegeven in Bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit.

(b) De gegevensontvanger stemt ermee in zich te onderwerpen aan de jurisdictie van en samen te werken met de bevoegde toezichthoudende autoriteit in procedures die gericht zijn op het waarborgen van de naleving van deze Clausules. In het bijzonder stemt de gegevensontvanger ermee in te reageren op verzoeken, zich te onderwerpen aan audits en te voldoen aan de door de toezichthoudende autoriteit genomen maatregelen, inclusief herstel- en compensatiemaatregelen. Hij verstrekt de toezichthoudende autoriteit een schriftelijke bevestiging dat de noodzakelijke acties zijn ondernomen.

SECTION III - LOKALE WETGEVING EN VERPLICHTINGEN BIJ TOEGANG DOOR OVERHEIDSinstanties

Clause 14

Lokale wetten en praktijken die naleving van de Clausules beïnvloeden

(a) De partijen verklaren dat zij geen reden hebben te geloven dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van persoonsgegevens door de gegevensontvanger, inclusief eisen tot verstrekking van persoonsgegevens of maatregelen die toegang door overheidsinstanties toestaan, de gegevensontvanger beletten zijn verplichtingen uit hoofde van deze Clausules na te komen. Dit is gebaseerd op het begrip dat wetten en praktijken die de essentie van de fundamentele rechten en vrijheden respecteren en niet verder gaan dan wat noodzakelijk en proportioneel is in een democratische samenleving om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in strijd zijn met deze Clausules.

(b) De partijen verklaren dat zij bij het verstrekken van de garantie in lid (a) met name rekening hebben gehouden met de volgende elementen:

  • (i) de specifieke omstandigheden van de overdracht, inclusief de lengte van de verwerkingsketen, het aantal betrokken actoren en de gebruikte transmissiekanalen; beoogde verdere overdrachten; het type ontvanger; het doel van de verwerking; de categorieën en het formaat van de overgedragen persoonsgegevens; de economische sector waarin de overdracht plaatsvindt; de opslaglocatie van de overgedragen gegevens;
  • (ii) de wetten en praktijken van het derde land van bestemming — inclusief die welke de verstrekking van gegevens aan overheidsinstanties vereisen of toegang door dergelijke instanties toestaan — relevant gezien de specifieke omstandigheden van de overdracht, en de toepasselijke beperkingen en waarborgen4;
  • (iii) eventuele relevante contractuele, technische of organisatorische waarborgen die zijn genomen ter aanvulling van de waarborgen onder deze Clausules, inclusief maatregelen toegepast tijdens de overdracht en voor de verwerking van persoonsgegevens in het bestemmingsland.

(c) De gegevensontvanger garandeert dat hij bij het uitvoeren van de beoordeling in lid (b) zijn uiterste best heeft gedaan om de gegevensexporteur te voorzien van relevante informatie en stemt ermee in dat hij zal blijven samenwerken met de gegevensexporteur om naleving van deze Clausules te waarborgen.

(d) De partijen komen overeen de beoordeling in lid (b) te documenteren en op verzoek beschikbaar te stellen aan de bevoegde toezichthoudende autoriteit.

(e) De gegevensontvanger stemt ermee in de gegevensexporteur onmiddellijk op de hoogte te stellen indien hij, na overeenstemming met deze Clausules en gedurende de duur van het contract, reden heeft te geloven dat hij onderhevig is aan of is geworden aan wetten of praktijken die niet in overeenstemming zijn met de eisen in lid (a), waaronder na een wijziging in de wetten van het derde land of een maatregel (zoals een verzoek tot verstrekking) die wijst op een toepassing van dergelijke wetten in de praktijk die niet in overeenstemming is met de eisen in lid (a).

(f) Na een kennisgeving overeenkomstig lid (e), of indien de gegevensexporteur anderszins reden heeft te geloven dat de gegevensontvanger zijn verplichtingen onder deze Clausules niet langer kan nakomen, zal de gegevensexporteur onmiddellijk passende maatregelen identificeren (bijv. technische of organisatorische maatregelen om veiligheid en vertrouwelijkheid te waarborgen) die door de gegevensexporteur en/of gegevensontvanger moeten worden genomen om de situatie aan te pakken. De gegevensexporteur zal de gegevensoverdracht opschorten indien hij van mening is dat geen passende waarborgen voor een dergelijke overdracht kunnen worden gewaarborgd, of indien hij daartoe door de bevoegde toezichthoudende autoriteit wordt geïnstrueerd. In dat geval heeft de gegevensexporteur het recht het contract te beëindigen, voor zover dit betrekking heeft op de verwerking van persoonsgegevens onder deze Clausules. Indien het contract meer dan twee partijen betreft, kan de gegevensexporteur dit beëindigingsrecht alleen uitoefenen ten aanzien van de betreffende partij, tenzij de partijen anders zijn overeengekomen. Indien het contract wordt beëindigd overeenkomstig deze Clausule, zijn Clausule 16(d) en (e) van toepassing.

Clause 15

Verplichtingen van de gegevensontvanger bij toegang door overheidsinstanties

15.1 Kennisgeving

(a) De gegevensontvanger stemt ermee in de gegevensexporteur en, indien mogelijk, de betrokkene onverwijld op de hoogte te stellen (indien nodig met hulp van de gegevensexporteur) indien hij:

  • (i) een juridisch bindend verzoek ontvangt van een overheidsinstantie, waaronder rechterlijke instanties, krachtens de wetten van het bestemmingsland tot verstrekking van persoonsgegevens die overeenkomstig deze Clausules zijn overgedragen; een dergelijke kennisgeving bevat informatie over de gevraagde persoonsgegevens, de verzoekende instantie, de wettelijke grondslag voor het verzoek en de gegeven reactie; of
  • (ii) kennis krijgt van directe toegang door overheidsinstanties tot persoonsgegevens die overeenkomstig deze Clausules zijn overgedragen in overeenstemming met de wetten van het bestemmingsland; een dergelijke kennisgeving bevat alle beschikbare informatie voor de ontvanger.

(b) Indien de gegevensontvanger door de wetten van het bestemmingsland wordt verboden de gegevensexporteur en/of de betrokkene op de hoogte te stellen, zal de gegevensontvanger zijn uiterste best doen om vrijstelling van dat verbod te verkrijgen, met het oog op het zo spoedig mogelijk communiceren van zoveel mogelijk informatie. De gegevensontvanger zal zijn inspanningen documenteren om deze op verzoek van de gegevensexporteur te kunnen aantonen.

(c) Waar toegestaan onder de wetten van het bestemmingsland, stemt de gegevensontvanger ermee in de gegevensexporteur gedurende de looptijd van het contract op regelmatige basis te voorzien van zoveel mogelijk relevante informatie over de ontvangen verzoeken (met name aantal verzoeken, type gevraagde gegevens, verzoekende instantie(s), of verzoeken zijn aangevochten en de uitkomst daarvan, enz.).

(d) De gegevensontvanger stemt ermee in de informatie overeenkomstig de leden (a) tot (c) gedurende de looptijd van het contract te bewaren en op verzoek beschikbaar te stellen aan de bevoegde toezichthoudende autoriteit.

(e) De leden (a) tot (c) doen geen afbreuk aan de verplichting van de gegevensontvanger overeenkomstig Clausule 14(e) en Clausule 16 om de gegevensexporteur onverwijld te informeren indien hij niet in staat is deze Clausules na te komen.

15.2 Beoordeling van rechtmatigheid en gegevensminimalisatie

(a) De gegevensontvanger stemt ermee in de rechtmatigheid van het verzoek tot verstrekking te beoordelen, met name of het binnen de bevoegdheden van de verzoekende overheidsinstantie valt, en het verzoek aan te vechten indien hij na zorgvuldige beoordeling van mening is dat er redelijke gronden zijn om aan te nemen dat het verzoek onwettig is onder de wetten van het bestemmingsland, toepasselijke verplichtingen onder het internationale recht en principes van internationale comity. De gegevensontvanger zal onder dezelfde voorwaarden beroepmogelijkheden nastreven. Bij het aanvechten van een verzoek zal de gegevensontvanger voorlopige voorzieningen zoeken met het oog op het opschorten van de effecten van het verzoek totdat de bevoegde rechterlijke instantie over de zaak heeft beslist. Hij zal de gevraagde persoonsgegevens niet verstrekken totdat hij daartoe verplicht is op grond van de toepasselijke procedurele regels. Deze vereisten doen geen afbreuk aan de verplichtingen van de gegevensontvanger onder Clausule 14(e).

(b) De gegevensontvanger stemt ermee in zijn juridische beoordeling en eventuele bezwaren tegen het verzoek tot verstrekking te documenteren en, voor zover toegestaan onder de wetten van het bestemmingsland, deze documentatie beschikbaar te stellen aan de gegevensexporteur. Hij zal deze ook op verzoek beschikbaar stellen aan de bevoegde toezichthoudende autoriteit.

(c) De gegevensontvanger stemt ermee in bij het beantwoorden van een verzoek tot verstrekking de minimaal toegestane hoeveelheid informatie te verstrekken, gebaseerd op een redelijke interpretatie van het verzoek.

SECTION IV - SLOTBEPALINGEN

Clause 16

Niet-naleving van de Clausules en beëindiging

(a) De gegevensimporteur zal de gegevensexporteur onverwijld informeren indien hij om welke reden dan ook niet aan deze Clausules kan voldoen.

(b) In het geval dat de gegevensimporteur deze Clausules overtreedt of niet kan naleven, zal de gegevensexporteur de overdracht van persoonsgegevens aan de gegevensimporteur opschorten totdat de naleving weer is verzekerd of het contract is beëindigd. Dit is onverminderd Clausule 14(f).

(c) De gegevensexporteur heeft het recht het contract te beëindigen, voor zover het de verwerking van persoonsgegevens onder deze Clausules betreft, indien:

  • (i) de gegevensexporteur de overdracht van persoonsgegevens aan de gegevensimporteur heeft opgeschort overeenkomstig lid (b) en de naleving van deze Clausules niet binnen een redelijke termijn en in ieder geval binnen één maand na opschorting is hersteld;
  • (ii) de gegevensimporteur in wezenlijke of aanhoudende mate deze Clausules overtreedt; of
  • (iii) de gegevensimporteur niet voldoet aan een bindende beslissing van een bevoegde rechtbank of toezichthoudende autoriteit met betrekking tot zijn verplichtingen onder deze Clausules.

In deze gevallen zal hij de bevoegde toezichthoudende autoriteit informeren over deze niet-naleving. Indien het contract meer dan twee partijen betreft, kan de gegevensexporteur dit recht tot beëindiging slechts uitoefenen met betrekking tot de relevante partij, tenzij de partijen anders zijn overeengekomen.

(d) Persoonsgegevens die zijn overgedragen vóór de beëindiging van het contract overeenkomstig lid (c) worden naar keuze van de gegevensexporteur onmiddellijk teruggegeven aan de gegevensexporteur of volledig verwijderd. Hetzelfde geldt voor eventuele kopieën van de gegevens. De gegevensimporteur zal de verwijdering van de gegevens aan de gegevensexporteur bevestigen. Totdat de gegevens zijn verwijderd of teruggegeven, zal de gegevensimporteur de naleving van deze Clausules blijven waarborgen. In het geval van lokale wetten die van toepassing zijn op de gegevensimporteur en die de terugzending of verwijdering van de overgedragen persoonsgegevens verbieden, garandeert de gegevensimporteur dat hij de naleving van deze Clausules blijft waarborgen en de gegevens slechts zal verwerken voor zover en zolang dit vereist is krachtens die lokale wet.

(e) Elke partij kan haar toestemming om aan deze Clausules gebonden te zijn herroepen indien (i) de Europese Commissie een besluit aanneemt krachtens artikel 45, lid 3, van Verordening (EU) 2016/679 dat betrekking heeft op de overdracht van persoonsgegevens waarop deze Clausules van toepassing zijn; of (ii) Verordening (EU) 2016/679 deel uitmaakt van het rechtskader van het land waar de persoonsgegevens naartoe worden overgedragen. Dit is onverminderd andere verplichtingen die van toepassing zijn op de verwerking in kwestie krachtens Verordening (EU) 2016/679.

Clause 17

Toepasselijk recht

Deze Clausules worden beheerst door het recht van een van de EU-lidstaten, mits dat recht derden begunstigde rechten toelaat. De partijen komen overeen dat dit het recht van de Republiek Ierland zal zijn.

Clause 18

Keuze van forum en jurisdictie

(a) Elk geschil voortvloeiende uit deze Clausules zal worden beslecht door de rechtbanken van een EU-lidstaat.

(b) De partijen komen overeen dat dit de rechtbanken van de Republiek Ierland zullen zijn.

(c) Een betrokkene kan ook gerechtelijke procedures starten tegen de gegevensexporteur en/of gegevensimporteur voor de rechtbanken van de lidstaat waar hij/zij zijn/haar gewone verblijfplaats heeft.

(d) De partijen komen overeen zich te onderwerpen aan de jurisdictie van dergelijke rechtbanken.

Voetnoten

1 Wanneer de gegevensexporteur een verwerker is die onder Regulation (EU) 2016/679 valt en namens een instelling of orgaan van de Unie optreedt als verwerkingsverantwoordelijke, zorgt het vertrouwen op deze Clausules bij het inschakelen van een andere verwerker (subverwerking) die niet onder Regulation (EU) 2016/679 valt ook voor naleving van artikel 29(4) van Regulation (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens door de instellingen, organen, kantoren en agentschappen van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Regulation (EC) nr. 45/2001 en Besluit nr. 1247/2002/EC (PB L 295, 21.11.2018, p. 39), voor zover deze Clausules en de gegevensbeschermingsverplichtingen zoals vastgelegd in het contract of andere juridische handeling tussen de verwerkingsverantwoordelijke en de verwerker overeenkomstig artikel 29(3) van Regulation (EU) 2018/1725 op één lijn liggen. Dit zal met name het geval zijn wanneer de verwerkingsverantwoordelijke en de verwerker vertrouwen op de standaardcontractbepalingen zoals opgenomen in Besluit 2021/915.

2 De Overeenkomst betreffende de Europese Economische Ruimte (EER-overeenkomst) voorziet in de uitbreiding van de interne markt van de Europese Unie naar de drie EER-landen IJsland, Liechtenstein en Noorwegen. De gegevensbeschermingswetgeving van de Unie, inclusief Regulation (EU) 2016/679, valt onder de EER-overeenkomst en is daarin opgenomen in Bijlage XI. Daarom kwalificeert elke verstrekking door de gegevensimporteur aan een derde partij gevestigd in de EER niet als een doorgezonden overdracht in de zin van deze Clausules.

3 Aan deze eis kan worden voldaan door dat de subverwerker toetreedt tot deze Clausules onder het toepasselijke Module, in overeenstemming met Clausule 7.

4 Wat betreft de impact van dergelijke wetten en praktijken op de naleving van deze Clausules, kunnen verschillende elementen worden beschouwd als onderdeel van een algehele beoordeling. Dergelijke elementen kunnen onder meer relevante en gedocumenteerde praktijkervaring bevatten met eerdere verzoeken om openbaarmaking van overheidsinstanties, of het ontbreken van dergelijke verzoeken, die een voldoende representatieve tijdsperiode beslaan. Dit betreft met name interne dossiers of andere documentatie, opgesteld op een doorlopende basis in overeenstemming met de nodige zorgvuldigheid en gecertificeerd op hoger managementniveau, mits deze informatie wettelijk gedeeld mag worden met derden. Wanneer op deze praktijkervaring wordt vertrouwd om te concluderen dat de gegevensimporteur niet gehinderd zal worden in de naleving van deze Clausules, moet dit worden ondersteund door andere relevante, objectieve elementen, en is het aan de Partijen om zorgvuldig te overwegen of deze elementen gezamenlijk voldoende gewicht in de schaal leggen, wat betreft betrouwbaarheid en representativiteit, om deze conclusie te ondersteunen. Met name moeten de Partijen rekening houden met de vraag of hun praktijkervaring wordt bevestigd en niet wordt tegengesproken door publiek beschikbare of anderszins toegankelijke, betrouwbare informatie over het bestaan of ontbreken van verzoeken binnen dezelfde sector en/of de toepassing van de wet in de praktijk, zoals jurisprudentie en rapporten van onafhankelijke toezichthoudende instanties.

BIJLAGE

BIJLAGE I

A. LIJST VAN PARTIJEN

Gegevensexporteur(s): [Identiteit en contactgegevens van de gegevensexporteur(s) en, indien van toepassing, van diens/ hun functionaris gegevensbescherming en/of vertegenwoordiger in de Europese Unie]

Naam: [Klantnaam zoals opgeslagen in DreamHost account]

Adres: [Klantadres zoals opgeslagen in DreamHost account]

Naam contactpersoon, functie en contactgegevens: [Klant zoals hierboven omschreven]

Activiteiten relevant voor de onder deze Clausules overgedragen gegevens: Zoals beschreven in deze Bijlage, de DPA en de Overeenkomst.

Handtekening en datum: [Zoals digitaal geregistreerd bij het aanmaken van het account en gebonden aan de Terms of Service]

Rol (verwerkingsverantwoordelijke/verwerker): Verwerkingsverantwoordelijke.

Gegevensimporteur(s): [Identiteit en contactgegevens van de gegevensimporteur(s), inclusief contactpersoon met verantwoordelijkheid voor gegevensbescherming]

Naam: DreamHost

Adres: PMB #327, 417 Associated Rd., Brea, CA 92821-5802

Naam contactpersoon, functie en contactgegevens:

T.a.v.: Data Privacy Officer

Email: privacypolicy@dreamhost.com

Activiteiten relevant voor de onder deze Clausules overgedragen gegevens: Zoals beschreven in deze Bijlage, de DPA en de Overeenkomst.

Handtekening en datum: [Zoals digitaal geregistreerd bij het aanmaken van het account en gebonden aan de Terms of Service]

Rol (verwerkingsverantwoordelijke/verwerker): Verwerker.

B. OMSCHRIJVING VAN DE OVERDRACHT

Categorieën van betrokkenen van wie persoonsgegevens worden overgedragen

Zoals vastgesteld in Bijlage A bij deze DPA.

Categorieën van overgedragen persoonsgegevens

Zoals vastgesteld in Bijlage A bij deze DPA.

Gevoelige gegevens die worden overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de betrokken risico’s, zoals bijvoorbeeld strikte doelbindingsbeperkingen, toegangsbeperkingen (inclusief toegang alleen voor personeel dat gespecialiseerde training heeft gevolgd), het bijhouden van een toegangsregistratie tot de gegevens, beperkingen voor doorgegeven overdrachten of aanvullende beveiligingsmaatregelen. Zoals vastgesteld in Bijlage A bij deze DPA.

De frequentie van de overdracht (bijv. of de gegevens eenmalig of continu worden overgedragen).

Continu, indien nodig om de Diensten te kunnen leveren.

Aard van de verwerking

Zoals vastgesteld in Bijlage A bij deze DPA.

Doeleinden van de gegevensoverdracht en verdere verwerking

Zoals vastgesteld in Bijlage A bij deze DPA.

De periode waarvoor de persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen

Zoals vastgesteld in Sectie 7 van deze DPA.

Voor overdrachten aan (sub)verwerkers, specificeer ook onderwerp, aard en duur van de verwerking Zoals vastgesteld in de Overeenkomst, om de Diensten te leveren, voor de looptijd van de Overeenkomst.

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

Identificeer de bevoegde toezichthoudende autoriteit(en) overeenkomstig Clausule 13

[In te vullen op basis van de activiteiten van de gegevensexporteur]

BIJLAGE II

TECHNISCHE EN ORGANISATORISCHE MAATREGELEN INCLUSIEF TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM DE VEILIGHEID VAN DE GEGEVENS TE GARANDEREN

Beschrijving van de technische en organisatorische maatregelen die door de gegevensimporteur(s) zijn geïmplementeerd (inclusief eventuele relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, reikwijdte, context en doeleinden van de verwerking, en de risico’s voor de rechten en vrijheden van natuurlijke personen.

Zoals vastgesteld in Bijlage B bij deze DPA.

Voor overdrachten aan (sub)verwerkers, beschrijf ook de specifieke technische en organisatorische maatregelen die door de (sub)verwerker moeten worden genomen om de verwerkingsverantwoordelijke te kunnen ondersteunen en, voor overdrachten van een verwerker aan een subverwerker, aan de gegevensexporteur

Zoals vastgesteld in Bijlage B bij deze DPA.

BIJLAGE III

VERENIGD KONINKRIJK TOEVOEGING

Deze toevoeging is uitgegeven door de Information Commissioner voor Partijen die Beperkte Overdrachten uitvoeren. De Information Commissioner beschouwt dat deze Passende Waarborgen biedt voor Beperkte Overdrachten wanneer deze wordt afgesloten als een juridisch bindend contract.

Deel 1: Tabellen

Tabel 1: Partijen

Begindatum

de Ingangsdatum.

De Partijen

Exporteur (degene die de Beperkte Overdracht verzendt)

Importeur (degene die de Beperkte Overdracht ontvangt)

Gegevens van de partijenZoals vermeld in Bijlage I hierboven.Zoals vermeld in Bijlage I hierboven.
Belangrijk contactZoals vermeld in Bijlage I hierboven.Zoals vermeld in Bijlage I hierboven.

Tabel 2: Geselecteerde SCC’s, Modules en Geselecteerde Clausules

Addendum EU SCC’s

☒ De versie van de Goedgekeurde EU SCC’s waaraan dit Addendum is toegevoegd, hieronder gedetailleerd, inclusief de Appendix Informatie:


Datum: de Ingangsdatum.


Referentie (indien aanwezig): N.v.t.


Andere identificatie (indien aanwezig): N.v.t.


Of


☐ de Goedgekeurde EU SCC’s, inclusief de Appendix Informatie en alleen met de volgende modules, clausules of optionele bepalingen van de Goedgekeurde EU SCC’s van kracht gebracht voor de doeleinden van dit Addendum:

ModuleModule in werkingClausule 7 (Aansluitingsclausule)Clausule 11 (Optie)Clausule 9a (Voorafgaande toestemming of Algemene toestemming)Clausule 9a (Tijdsduur)

Worden persoonsgegevens die van de Importeur zijn ontvangen gecombineerd met persoonsgegevens die door de Exporteur zijn verzameld?

1
2XNiet geselecteerd.Niet geselecteerd.Algemene toestemming.Vijf (5) dagen.
3
4

Tabel 3: Appendix Informatie

"Appendix Informatie" betekent de informatie die moet worden verstrekt voor de geselecteerde modules zoals uiteengezet in de Appendix van de Goedgekeurde EU SCC’s (anders dan de Partijen), en die voor dit Addendum is opgenomen in:

Bijlage 1A: Lijst van Partijen: Zoals vermeld in Bijlage I hierboven.
Bijlage 1B: Beschrijving van de Overdracht: Zoals vermeld in Bijlage I hierboven.

Bijlage II: Technische en organisatorische maatregelen, inclusief technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen: Zoals vermeld in Bijlage II hierboven.

Bijlage III: Lijst van Subprocessors (alleen Modules 2 en 3): N.v.t.

Tabel 4: Beëindiging van dit Addendum bij wijziging van het Goedgekeurde Addendum

Beëindiging van dit Addendum bij wijziging van het Goedgekeurde Addendum

Welke Partijen dit Addendum kunnen beëindigen zoals uiteengezet in Sectie:
☐ Importeur
☐ Exporteur
☒ geen van beide Partijen

Deel 2: Verplichte Clausules

Verplichte Clausules

Deel 2: Verplichte Clausules van het Goedgekeurde Addendum, zijnde het sjabloon Addendum B.1.0 uitgegeven door de ICO en voorgelegd aan het Parlement conform s119A van de Data Protection Act 2018 op 2 februari 2022, zoals aangepast onder Sectie 18 van deze Verplichte Clausules.