Voorwaarden en Beleid

Ingangsdatum: 18 september 2025

VOOR ONAFHANKELIJKE SOFTWARELEVERANCIERS (“ISV” of “Verwerker”)

 DIT GEGEVENSVERWERKERSADDENDUM IS VAN TOEPASSING ALS U ZICH HEEFT AANGEMELD VOOR HET LEVEREN VAN NITRO DIENSTEN ALS EEN ISV ONDER EEN OVEREENKOMST VOOR ONAFHANKELIJKE SOFTWARELEVERANCIERS (EN ZOALS GEDIEND IN AFDELING 2 HIERONDER) EN DE EU GDPR VAN TOEPASSING IS OP DE VERWERKING VAN PERSOONSGEGEVENS IN HET KADER VAN DE OVEREENKOMST.

1. SCOPE; ROLLEN VAN DE PARTIJEN

Nitro zal Persoonlijke Gegevens ontvangen en verwerken namens de ISV bij het verlenen van de Diensten, volgens de instructies en doelstellingen zoals gedefinieerd in de Gegevensverwerkingsdetails. Middels dit Gegevensverwerkingsaddendum willen de Partijen hun specifieke afspraken vastleggen met betrekking tot de verwerking van Persoonsgegevens binnen het kader van de Overeenkomst.

Bij standaard handelt Nitro als Subverwerker en de ISV als Verwerker met betrekking tot de Diensten die door Nitro aan de ISV worden geleverd. Nitro erkent dat de ISV handelt namens de Controller voor de verwerking van Persoonlijke Gegevens. Deze Gegevensverwerkingsaddendum vervangt alle eerdere overeenkomsten (indien aanwezig) met betrekking tot de verwerking van Persoonlijke Gegevens en gegevensbescherming tussen de Partijen met betrekking tot de Diensten aangeboden door Nitro onder de Overeenkomst.

Deze Gegevensverwerkingsaddendum aanvult en vormt een onderdeel van de Overeenkomst, en gezamenlijk vormen de Overeenkomst en deze Gegevensverwerkingsaddendum een enkele juridische overeenkomst tussen de Partijen. In geval van discrepanties of tegenstrijdigheden tussen dit Gegevensverwerkersaddendum en de Overeenkomst, zal het Gegevensverwerkersaddendum voorrang krijgen.

2. DE DEFINITIES

“Overeenkomst” betekent de Overeenkomst voor Onafhankelijke Softwareleverancier, elke bijlage die daarbij is gevoegd, de Nitro ISV-bestelformulieren en elke informatie die hier door verwijzing in de Nitro Partner Portal is opgenomen (indien van toepassing);

“Bijlage” betekent elke bijlage bij het huidige Gegevensverwerkersaddendum;

“Verantwoordelijke” betekent de klant van de Verwerker (die als de Eindklant wordt beschouwd in relatie tot de Overeenkomst) aan wie de Verwerker (d.w.z. de ISV) de Geïntegreerde Oplossing biedt (die diensten omvat die door Nitro aan de Verwerker worden geleverd);

“Gegevensverwerkingsdetails” betekent Bijlage 1 bij het huidige Gegevensverwerkersaddendum, dat meer details bevat over de instructies van de Verantwoordelijke voor de verwerking van Persoonsgegevens, zoals overgebracht door de Verwerker aan Nitro, zoals het doel, de aard en de kenmerken van de verwerking en de soort Persoonsgegevens die worden verwerkt;

“EU GDPR” betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en inzake het vrije verkeer van dergelijke gegevens, en het intrekken van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

“EU Standaardcontractbepalingen” of “SCCs” betekent de standaardcontractbepalingen voor de overdracht van persoonsgegevens aan derde landen, aangenomen door de Europese Commissie onder de Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021, inclusief de Processor naar Processor SCCs en tekst uit Module 3 van dergelijke standaardcontractbepalingen en niet enig andere module en niet inclusief enige clausules die als optioneel zijn gemarkeerd in de clausules, zoals van tijd tot tijd gewijzigd of vervangen door een bevoegde autoriteit krachtens de relevante gegevensbeschermingswetten. Wanneer het Europees Parlement en de Raad een bijgewerkte set EU-standaardcontractbepalingen aannemen, zal “EU Standaardcontractbepalingen” worden verstaan als de meest recente aanpassing;

“Nitro sub-verwerkerlijst” verwijst naar de lijst van Nitro sub-verwerkers die door Nitro online beschikbaar is gesteld en de Nitro sub-verwerkers omvat die door Nitro zijn ingezet voor het verlenen van de Diensten en het vervullen van Nitro’s verplichtingen onder de Overeenkomst in het algemeen. Nitro kan de Nitro sub-verwerkerlijst van tijd tot tijd bijwerken volgens het proces zoals uiteengezet in dit Gegevensverwerkersaddendum;

“Nitro sub-verwerker” betekent elke derde partij verwerker die door Nitro is ingeschakeld voor de verwerking van Persoonsgegevens in verband met het verlenen van de Diensten aan de Verwerker;

“Persoonsgegevens” betekent persoonsgegevens zoals gedefinieerd onder de EU GDPR die Nitro verwerkt namens de Verwerker bij het verlenen van de Diensten volgens de instructies en het doel zoals gedefinieerd in de Gegevensverwerkingsdetails;

“Processor naar Processor SCCs” betekent Module 3 van de EU Standaardcontractbepalingen;

“Verwerker” verwijst naar de ISV zoals geïdentificeerd in de Overeenkomst en/of het bijbehorende Nitro ISV-bestelformulier;

“Sub-verwerker” verwijst naar Nitro Software Inc., leverancier van de Diensten aan de Verwerker.

Alle andere termen en definities die met hoofdletters zijn geschreven en die niet uitdrukkelijk in dit Gegevensverwerkersaddendum zijn gedefinieerd, worden gedefinieerd zoals uiteengezet in de toepasselijke gegevensbeschermingswetgeving of de Overeenkomst.

3. OBJECT VAN DIT GEGEVENSVERWERKERSADDENDUM

3.1  Dit Gegevensverwerkersaddendum bepaalt de voorwaarden voor de verwerking door Nitro van Persoonsgegevens namens de Verwerker in het kader van de Overeenkomst. De aard en het doel van de verwerking, een lijst en de soort Persoonsgegevens alsook de categorieën van de Betrokkenen zijn vermeld in de Gegevensverwerkingsdetails (Bijlage 1).

3.2  De verwerking zal plaatsvinden namens de Verwerker die handelt namens de Verantwoordelijke en voor de doeleinden gedefinieerd in de Gegevensverwerkingsdetails. Nitro zal de Verwerker onmiddellijk informeren als, naar zijn mening, een instructie inbreuk maakt op de toepasselijke (gegevensbeschermings)wetgeving. Nitro zal de Persoonsgegevens alleen verwerken volgens de gedocumenteerde instructies van de Verantwoordelijke, overgebracht aan Nitro door de Verwerker, zoals uiteengezet in dit Gegevensverwerkersaddendum en zal deze Persoonsgegevens niet voor zijn eigen doeleinden gebruiken, tenzij dit expliciet is toegestaan in de Voorwaarden. Indien Nitro wettelijk verplicht is om enige verwerking van Persoonsgegevens uit te voeren, zal Nitro, tenzij dit in strijd zou zijn met toepasselijke dwingende regels, de Verwerker informeren over deze verplichting. De Verwerker kan dergelijke informatie aan de Verantwoordelijke doorgeven.

3.3  De Verwerker garandeert dat dit Gegevensverwerkersaddendum de afspraken weerspiegelt tussen de Verwerker en de Verantwoordelijke en de Verwerker garandeert ook voortdurend dat de Verantwoordelijke de Verwerker heeft gemachtigd om Nitro in te schakelen als Sub-verwerker en Nitro's inschakeling van Nitro sub-verwerkers zoals beschreven in Sectie 10.

4. DUUR

5. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

5.1  Nitro biedt adequate garanties met betrekking tot de implementatie van passende technische en organisatorische maatregelen (“TOMs”) om een veilige verwerking van Persoonsgegevens te waarborgen, zodat de bescherming van de rechten van de Betrokkenen is gegarandeerd. De TOMs die door Nitro zijn geïmplementeerd zijn opgenomen in de Gegevensverwerkingsdetails. De TOMs kunnen door Nitro van tijd tot tijd worden bijgewerkt, maar Nitro zal ervoor zorgen dat de algehele veiligheid die op het moment van de uitvoering van het Gegevensverwerkersaddendum is geïmplementeerd, niet wordt verlaagd. De Verwerker erkent dat de TOMs een adequaat niveau van veiligheid bieden dat passend is voor het risico voor de verwerking van Persoonsgegevens namens de Verwerker op het moment van ondertekening of aanvaarding van dit Gegevensverwerkersaddendum.

5.2  Nitro zal alle geschikte technische en organisatorische maatregelen nemen zoals vermeld in artikel 32 EU GDPR om een adequaat niveau van veiligheid te waarborgen dat passend is voor het risico.

5.3  Indien Nitro verplicht zou zijn om gevoelige Persoonsgegevens te verwerken, zoals bedoeld in artikelen 9 en 10 EU GDPR in het kader van de Overeenkomst, zal de Verwerker Nitro schriftelijk hiervan op de hoogte stellen via privacy@gonitro.com.

5.4  In geval de Verwerker (of de Verantwoordelijke) specifieke technische en organisatorische maatregelen van Nitro verzoekt (die Nitro niet standaard heeft geïmplementeerd), zal de Verwerker Nitro vergoeden voor de implementatie van dergelijke aanvullende maatregelen overeenkomstig Sectie 14 “Kosten” van dit Gegevensverwerkersaddendum.

5.5  Nakoming door Nitro van een goedgekeurde gedragscode zoals bedoeld in artikel 40 EU GDPR, of een goedgekeurd certificeringsmechanisme zoals bedoeld in artikel 42 EU GDPR kan worden gebruikt als bewijs van voldoende garanties zoals bedoeld in de EU GDPR.

6. BEWARING

6.1  Nitro zal Persoonsgegevens niet langer bewaren dan nodig is voor de verwerking van dergelijke Persoonsgegevens in het kader van de Overeenkomst. De Verwerker zal Nitro niet instrueren om Persoonsgegevens langer te bewaren dan nodig is. De geldende bewaartermijn is vastgesteld in de Gegevensverwerkingsdetails.

6.2  Op verzoek van de Verwerker zal Nitro alle Persoonsgegevens aan de Verwerker teruggeven of verwijderen na het einde van de levering van Diensten en zal bestaande kopieën verwijderen, tenzij Unie- of lidstaatwetgeving opslag van de Persoonsgegevens vereist, welke dan door de Verwerker aan de Verantwoordelijke kan worden doorgegeven. De Verwerker erkent dat de Diensten mogelijk downloadfunctionaliteiten voor de Verantwoordelijke bevatten om de Verantwoordelijke in staat te stellen zijn gegevens te downloaden. Voor zover dergelijke functionaliteiten beschikbaar zijn, zal de Verwerker ervoor zorgen dat de Verantwoordelijke deze functionaliteiten gebruikt om zijn gegevens te extraheren of te verwijderen.

7. VERTRAULIJKHEID

7.1  Partijen hebben in de Overeenkomst een vertrouwelijkheidsclausule afgesproken die van toepassing is op de verwerking van Persoonsgegevens in het kader van de Overeenkomst.

7.2  Nitro erkent en stemt ermee in dat alleen die werknemers, contractanten of agenten van Nitro die betrokken zijn bij de verwerking van Persoonsgegevens geïnformeerd mogen worden over de Persoonsgegevens en alleen voor zover redelijkerwijs noodzakelijk voor de uitvoering van de Overeenkomst. Nitro zorgt ervoor dat personen die bevoegd zijn om de Persoonsgegevens te verwerken, op vertrouwelijkheid zijn verplicht door middel van contract of onder een passende wettelijke verplichting tot geheimhouding.

8. RECHTEN VAN BETROKKENEN

8.1. Gelet op de aard van de verwerking, zal Nitro alle redelijke inspanningen leveren door passende technische en organisatorische maatregelen te nemen, om de Verantwoordelijke, op verzoek van de Verwerker, te helpen bij de vervulling van de verplichting van de Verantwoordelijke om te reageren op verzoeken van Betrokkenen.

8.2  Voor alle hulp die door Nitro wordt verleend in het kader van de behandeling van dergelijke verzoeken van Betrokkenen, zal de Verwerker Nitro vergoeden overeenkomstig Sectie 14 “Kosten” van dit Gegevensverwerkersaddendum. Een dergelijke vergoeding door de Verwerker is niet van toepassing (i) in geval de Betrokkene zijn rechten uitoefent vanwege een aan Nitro toe te rekenen Persoonsgegevensinbreuk of (ii) in geval van een dergelijke hulp door Nitro niet meer dan vier (4) uur werk tijdens de looptijd van de Overeenkomst overschrijdt.

9. PLICHT TOT MELDEN

9.1  Bij het ontdekken van een Persoonsgegevensinbreuk, zal Nitro de Verwerker hiervan zonder onredelijke vertraging op de hoogte stellen door contact op te nemen met de contactpersoon die in de Overeenkomst is aangegeven (of via het e-mailadres van de Verwerker dat is gedeeld in de Nitro Partner Portal). De contactpersoon van Nitro voor gegevensbeschermingskwesties kan per e-mail worden benaderd: privacy@gonitro.com.

9.2  Op verzoek van de Verwerker zal Nitro de Verwerker informeren over nieuwe ontwikkelingen met betrekking tot elke Persoonsgegevensinbreuk en over de genomen maatregelen om de gevolgen te beperken en om herhaling van een dergelijke Persoonsgegevensinbreuk te voorkomen. Het is de verantwoordelijkheid van de Verwerker om de informatie die van Nitro ontvangen is, aan de Verantwoordelijke door te geven om de Verantwoordelijke in staat te stellen te voldoen aan de verplichting om enige Persoonsgegevensinbreuk aan de Toezichthoudende Autoriteit of de Betrokkenen te rapporteren, indien vereist.

10. SUB-VERWERKING

10.1  De Verwerker garandeert dat Nitro uitdrukkelijk door de Verantwoordelijke is gemachtigd om Nitro sub-verwerkers in te schakelen voor de verwerking van Persoonsgegevens voor de uitvoering van de Overeenkomst en om de levering van de Diensten in het algemeen te vergemakkelijken. In dit verband verleent de Verwerker een algemene schriftelijke machtiging aan Nitro om te beslissen met welke Nitro sub-verwerker(s) Nitro samenwerkt voor het nakomen van zijn verplichtingen onder de Overeenkomst. Nitro publiceert een Nitro sub-verwerkerlijst verwijzend naar de Nitro sub-verwerkers.

10.2  Nitro zal de Verwerker informeren over elke voorgenomen wijziging betreffende de toevoeging of vervanging van Nitro sub-verwerkers via de contactpersoon van de Verwerker die in de Overeenkomst is aangegeven (of via het e-mailadres van de Verwerker dat is gedeeld in de Nitro Partner Portal). De Verwerker heeft het recht om bezwaar te maken tegen de toevoeging of vervanging door Nitro schriftelijk aan te spreken, indien de Verantwoordelijke bezwaar zou maken tegen een dergelijke toevoeging of vervanging. Partijen zullen in dat geval te goeder trouw de toevoeging, vervanging of alternatieven bespreken zo snel redelijkerwijs mogelijk na de schriftelijke bezwaarschrift van de Verwerker.

10.3  Wanneer Nitro een Nitro sub-verwerker inschakelt voor specifieke verwerkingsactiviteiten, zullen dezelfde of soortgelijke gegevensbeschermingsverplichtingen zoals uiteengezet in dit Gegevensverwerkersaddendum aan die Nitro sub-verwerker worden opgelegd door middel van een schriftelijke overeenkomst, die in het bijzonder voldoende garanties biedt voor het implementeren van passende technische en organisatorische maatregelen (en voldoen aan de relevante technische en organisatorische maatregelen). Indien een Nitro sub-verwerker niet aan zijn verplichtingen omtrent gegevensbescherming voldoet, blijft Nitro volledig aansprakelijk tegenover de Verwerker voor de uitvoering van dergelijke verplichtingen van de Nitro sub-verwerker.

11. INTERNATIONALE GEGEVENSOVERDRACHTEN

11.1  De Verwerker erkent dat Nitro is gevestigd in de Verenigde Staten van Amerika en autoriseert internationale overdrachten van persoonsgegevens voor de doeleinden van het verlenen van de Diensten. Dergelijke internationale gegevensoverdracht wordt beschouwd als een instructie van de Verantwoordelijke, overgebracht aan Nitro door de Verwerker.

11.2  Indien Nitro op enig moment gedurende de looptijd van dit Gegevensverwerkersaddendum is gecertificeerd onder het EU-VS. Gegevensprivacy kader (het “Kader”) voor de Diensten, erkennen de Partijen dat er geen geschikte waarborgen nodig zijn met betrekking tot overdrachten tussen de Verwerker en Nitro.

11.3  Waar de voorwaarden uiteengezet in Sectie 2 niet van toepassing zijn, gaan de Verwerker (als "gegevensexporteur") en Nitro (als "gegevensimporteur") met ingang van de start van de relevante overdracht de Processor naar Processor SCCs in. Bijlage 1 bij de Processor naar Processor SCCs wordt beschouwd als vooraf ingevuld met de relevante secties van Bijlage 1 bij dit Gegevensverwerkersaddendum. Bijlage 2 bij de Processor naar Processor SCCs wordt beschouwd als vooraf ingevuld met de informatie die in Sectie 5 van dit Gegevensverwerkersaddendum is vermeld, en:

• in Clausule 7, de optionele koppelclausule zal niet van toepassing zijn;
• in Clausule 9, optie 2 zal van toepassing zijn, en de termijn zal 30 dagen zijn;
• in Clausule 11, de optionele schadeloosstellingsclausule zal niet van toepassing zijn;
• in Clausule 13(a) zal het volgende worden toegevoegd: Waar de gegevensexporteur is gevestigd in een EU-lidstaat: De toezichthoudende autoriteit die verantwoordelijk is voor het waarborgen van de naleving door de gegevensexporteur van Verordening (EU) 2016/679 met betrekking tot de gegevensoverdracht, zoals aangegeven in Bijlage I.C van dit Gegevensverwerkersaddendum, zal optreden als competente toezichthoudende autoriteit.
  Waar de gegevensexporteur niet is gevestigd in een EU-lidstaat, maar valt onder de territoriale reikwijdte van toepassing van Verordening (EU) 2016/679 in overeenstemming met artikel 3, lid 2, en een vertegenwoordiger heeft aangesteld overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679:] De toezichthoudende autoriteit van de lidstaat waarin de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in Bijlage I.C, zal optreden als competente toezichthoudende autoriteit.
  Waar de gegevensexporteur niet is gevestigd in een EU-lidstaat, maar valt onder de territoriale reikwijdte van toepassing van Verordening (EU) 2016/679 in overeenstemming met artikel 3, lid 2, zonder dat hiervoor een vertegenwoordiger hoeft te worden aangesteld krachtens artikel 27, lid 2 van Verordening (EU) 2016/679: De toezichthoudende autoriteit van een van de lidstaten waarin de betrokkenen wiens persoonsgegevens onder deze Clausules worden overgedragen met betrekking tot de aanbieding van goederen of diensten aan hen, of waarvan gedrag wordt gecontroleerd, zich bevinden, zoals aangegeven in Bijlage I.C, zal optreden als competente toezichthoudende autoriteit.
• in Clausule 17, Optie 1 zal van toepassing zijn, en de EU Standaardcontractbepalingen zullen worden beheerst door de wetten van de gegevensexporteur; en 
• in Clausule 18(b), geschillen zullen worden opgelost voor de rechtbanken van de gegevensexporteur. 

11.4  De Verwerker erkent dat Nitro sub-verwerkers die zijn goedgekeurd onder clausule 9 ook Persoonsgegevens in derde landen kunnen verwerken. Nitro kan dergelijke overdrachten uitvoeren, onder voorbehoud dat Nitro alle noodzakelijke stappen neemt om ervoor te zorgen dat dergelijke overdrachten voldoen aan de bepalingen van Hoofdstuk V van de EU GDPR en andere toepasselijke gegevensbeschermingswetten.

11.5  In geval de overdracht van Persoonsgegevens naar een derde land of een internationale organisatie verplicht is onder de toepasselijke EU- of lidstaatwetten waaraan Nitro is onderworpen, mag Nitro dergelijke overdracht uitvoeren en zal de Verwerker over die wettelijke vereiste informeren voordat dergelijke verwerking plaatsvindt, tenzij die wet deze informatie om belangrijke redenen van openbaar belang verbiedt. De Verwerker kan dergelijke informatie aan de Verantwoordelijke doorgeven.

12. GEVEN VAN EEN IMPACTBEHAVING EN VOORAFGAANDE RAADPLEGING

12.1  Indien de Verantwoordelijke een Gegevensbeschermingseffectbeoordeling (“DPIA”) (artikel 35 EU GDPR) of een voorafgaande raadpleging (artikel 36 EU GDPR) uitvoert die verband houdt met de verwerking van Persoonsgegevens in het kader van de uitvoering van de Overeenkomst, zal Nitro, op schriftelijk verzoek van de Verwerker, de Verantwoordelijke redelijkerwijs helpen. De Verwerker zal Nitro vergoeden voor de verleende hulp overeenkomstig Sectie 14 “Kosten” van dit Gegevensverwerkersaddendum. Een dergelijke vergoeding van kosten is niet van toepassing in geval (i) de hulp die van Nitro is gevraagd minder dan vier (4) werkuren bedraagt gedurende de looptijd van de Overeenkomst, of (ii) de DPIA of voorafgaande raadpleging wordt getriggerd door een Persoonsgegevensinbreuk die bewezen aan Nitro is toe te rekenen. 

13. AUDITRECHT

13.1  Op verzoek van de Verwerker doet Nitro audit door de Verwerker toestaan die de naleving door Nitro van zijn verplichtingen onder dit Gegevensverwerkersaddendum en de toepasselijke gegevensbeschermingswetgeving betreft. Nitro zal zijn redelijke inspanningen verrichten om mee te werken aan dergelijke audits en alle informatie beschikbaar stellen die nodig is om zijn naleving van zijn verplichtingen te bewijzen. De Verwerker zal Nitro ten minste één (1) maand voorafgaand aan de datum waarop de audit zal worden uitgevoerd, informeren over deze audit door middel van een schriftelijke aankondiging aan Nitro via privacy@gonitro.com.

13.2  In geval er een audit wordt uitgevoerd, moeten alle betrokken partijen eerst een specifieke geheimhoudingsovereenkomst ondertekenen die door Nitro is opgesteld met betrekking tot deze audit en de auditresultaten voordat de audit begint. Bij de uitvoering van een dergelijke audit moeten de vertrouwelijkheidsverplichtingen van de Partijen met betrekking tot derden in acht worden genomen. Zowel de Partijen als hun auditors moeten de informatie die in verband met een audit is verzameld, geheim houden en deze uitsluitend gebruiken om hun naleving van dit Gegevensverwerkersaddendum en de toepasselijke wetten en regels met betrekking tot gegevensbescherming te verifiëren. De Verwerker heeft de optie om de audit zelf uit te voeren of een onafhankelijke auditor aan te stellen, echter moet dergelijke onafhankelijke auditor de geheimhoudingsovereenkomst ondertekenen waarnaar in deze Sectie wordt verwezen. De Verantwoordelijke heeft dezelfde auditrechten als de Verwerker onder deze Clausule.

13.3  Beide Partijen, en indien van toepassing hun vertegenwoordigers, zullen op verzoek redelijkerwijs meewerken met de Toezichthoudende Autoriteit bij de uitvoering van zijn taken.

13.4  De Verwerker zal Nitro vergoeden voor de hulp die door Nitro wordt verleend met betrekking tot audit(s) overeenkomstig Sectie 14 “Kosten” van dit Gegevensverwerkersaddendum. Het is begrepen dat een dergelijke vergoeding niet van toepassing is in geval (i) de audit het gevolg is van een Persoonsgegevensinbreuk die bewezen aan Nitro is toe te rekenen of (ii) in geval de hulp van Nitro niet meer dan vier (4) werkuren bedraagt gedurende de looptijd van de Overeenkomst.

14. KOSTEN

14.1  De hulp die onder dit Gegevensverwerkersaddendum zal worden verleend waarvoor Nitro de Verwerker kan factureren, zal worden gefactureerd op basis van de gewerkte uren en de geldende standaard uurtarieven van Nitro (USD 295/uur, exclusief belastingen). Nitro zal deze bedragen maandelijks factureren, maar heeft ook het recht om een voorschot rekening te vragen.

14.2. De betaling door de Verwerker aan Nitro voor de hulp en professionele diensten die door Nitro onder dit Gegevensverwerkersaddendum zijn verleend, vindt plaats in overeenstemming met de bepalingen in de Overeenkomst.

15. AANSPRAKELIJKHEID

16. OVERIGE

BIJLAGE 1 – GEGEVENSVERWERKINGSDETAILS

A. LIJST VAN PARTIJEN

1. Gegevensexporteur(s):

Naam: ISV, zoals geïdentificeerd in de Overeenkomst (en/of relevant Nitro ISV-bestelformulier).

Adres: Het adres van de gegevensexporteur is opgenomen in de Overeenkomst (en/of relevant Nitro ISV-bestelformulier).

Naam, functie en contactgegevens van contactpersoon: De contactgegevens van de contactpersoon voor de gegevensexporteur zijn opgenomen in de Overeenkomst, (en/of het relevante Nitro ISV-bestelformulier) of in de Nitro Partner Portal.

Activiteiten relevant voor de overgedragen gegevens: De activiteiten die relevant zijn voor de gegevens die onder deze EU Standaardcontractbepalingen zijn overgedragen, worden hieronder beschreven in Sectie B “Beschrijving van verwerking/overdracht”.

Handtekening en datum: Door de Overeenkomst te ondertekenen of te aanvaarden, wordt de gegevensexporteur geacht deze Bijlage I te hebben ondertekend.

Rol (verantwoordelijke/verwerker): Verwerker

2. Gegevensimporteur(s):

Naam: Nitro Software Inc.

Adres: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.

Naam, functie en contactgegevens van contactpersoon: privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.

Activiteiten relevant voor de overgedragen gegevens: De activiteiten die relevant zijn voor de gegevens die onder deze EU Standaardcontractbepalingen zijn overgedragen, worden hieronder beschreven in Sectie B “Beschrijving van verwerking/overdracht”.

Handtekening en datum: Door de Overeenkomst te ondertekenen of te aanvaarden, wordt de gegevensexporteur geacht deze Bijlage I te hebben ondertekend.

Rol (verantwoordelijke/verwerker): Verwerker

B. BESCHRIJVING VAN VERWERKING/OVERDRACHT

Het onderwerp wordt bepaald door de Verwerker zoals uiteengezet in de Overeenkomst (en/of relevant Nitro ISV-bestelformulier).

De aard en doeleinden van de verwerking worden bepaald door de Verwerker zoals uiteengezet in de Overeenkomst (en/of relevant Nitro ISV-bestelformulier).

Bij standaard heeft een dergelijke verwerking als doel om de Diensten, inclusief alle functies en mogelijkheden, beschikbaar te stellen aan de Verwerker (die deze aan de Verantwoordelijke zal beschikbaar stellen) en in het algemeen om Nitro in staat te stellen zijn contractuele verplichtingen uit hoofde van de Overeenkomst na te komen. Dit doel kan het beschikbaar stellen van de Cloud-diensten via (API) integraties (bijvoorbeeld maar zonder beperking het beschikbaar maken van de elektronische ondertekeningsdiensten, of bepaalde PDF-workflows etc.) evenals het verlenen van ondersteuning omvatten.

De aard van de verwerking omvat, naast andere instructies gegeven door de Verwerker in de Overeenkomst (en/of relevant Nitro ISV-bestelformulier), de verwerking, verzameling, opslag, communicatie en overdracht van Persoonsgegevens.

Afhankelijk van de functionaliteiten die binnen de Diensten worden gebruikt (bijv. elektronische ondertekeningsdiensten, PDF-workflows etc.) en de inhoud van de Eindklantgegevens die kwalificeren als Persoonsgegevens, geüpload door de Verwerker of de Verantwoordelijke in de Diensten, verwerkt Nitro verschillende soorten Persoonsgegevens. In het algemeen omvatten de Persoonsgegevens die door Nitro worden verwerkt zonder beperkingen:

• Identificatiedetails (bijvoorbeeld met betrekking tot Betrokkenen die gebruik maken van de Diensten - en gebruiksgegevens) 
• Documentgegevens (bijvoorbeeld Persoonsgegevens opgenomen in PDF-documenten die worden verwerkt)

Een gedetailleerd overzicht van de soorten Persoonsgegevens die worden verwerkt bij het gebruik van de Diensten is beschikbaar via Nitro’s Trust Center: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

De dataset kan gevoelige Persoonsgegevens omvatten in de Persoonsgegevens in overeenstemming met Sectie 5.3 van dit Gegevensverwerkersaddendum. Gevoelige gegevens worden (indien van toepassing) overgedragen en toegepaste beperkingen of waarborgen waarbij volledig rekening wordt gehouden met de aard van de gegevens en de risico's die daarbij komen kijken, zoals bijvoorbeeld strikte doelbeperkingen, toegangsbeperkingen (inclusief toegang alleen voor medewerkers die gespecialiseerde training hebben gevolgd), een registratie bijhouden van toegang tot de gegevens, beperkingen voor doorsturen of aanvullende beveiligingsmaatregelen: verwezen wordt naar de TOMs zoals vermeld of vermeld in de Gegevensverwerkingsdetails hieronder.

De volgende categorieën Betrokkenen zijn standaard binnen het bereik:

• Alle Betrokkenen die toegang hebben tot de Diensten (waaronder beheerders, algemene gebruikers of uitgenodigde gebruikers zoals ondertekenaars).
• Voeg Betrokkenen toe in de Eindklantgegevens die kwalificeren als Persoonsgegevens die zijn geüpload in de Diensten door de Verwerker of de Verantwoordelijke. 

De Verwerker bevestigt dat deze Betrokkenen standaard zullen worden beschouwd als een van de volgende categorieën:

• Gebruikers van de Diensten 
• Klanten van de Verwerker 
  
  

Nitro schakelt Nitro sub-verwerkers in om ervoor te zorgen dat alle functionaliteiten binnen de Diensten beschikbaar zijn. Welke Nitro sub-verwerkers van toepassing zijn, hangt af van de Diensten die worden gebruikt en de functionaliteiten en configuratie die door de Verwerker of de Verantwoordelijke zijn aangevraagd. Een gedetailleerde lijst van de Nitro sub-verwerkers (inclusief de procedure die we toepassen bij het inschakelen van nieuwe Nitro sub-verwerkers) is beschikbaar via ons Trust Center: https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

Nitro implementeert passende technische en organisatorische maatregelen om een adequate beveiliging te waarborgen bij het gebruik van de Diensten. We zijn voortdurend bezig met het updaten van dergelijke maatregelen. Een gedetailleerd overzicht van de genomen maatregelen is beschikbaar via ons Trust Center in onze sectie over Veiligheid: https://www.gonitro.com/security-compliance/security en in ons Beleid voor Informatiebeveiliging. Ons Trust Center vermeldt ook de certificeringen die Nitro heeft in de sectie Naleving: https://www.gonitro.com/security-compliance/compliance

Nitro zal Persoonsgegevens niet langer bewaren dan nodig is voor de levering van de Diensten. Afhankelijk van de Diensten en de functionaliteiten die de Verwerker of de Verantwoordelijke gebruikt, kunnen de geldende bewaartermijnen verschillen. De Verwerker, die handelt namens de Verantwoordelijke, kan Nitro verzoeken om specifieke bewaartermijnen in hun omgeving te configureren (voor zover dit technisch haalbaar is).

Wanneer er geen specifieke bewaartermijnen zijn geconfigureerd, zullen Persoonsgegevens standaard door Nitro worden bewaard totdat deze door de Verwerker of de Verantwoordelijke worden verwijderd, of totdat de Overeenkomst tussen Nitro en de Verwerker beëindigd is (plus maximaal 30 dagen), welke ook het eerst komt. Een gedetailleerd overzicht van de bewaartermijnen is beschikbaar via ons Trust Center: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data.

Voortdurend, indien nodig om de Diensten aan de Verwerker te verlenen.

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

Identificeer de bevoegde toezichthoudende autoriteit/autoriteiten overeenkomstig Clausule 13 van de EU Standaardcontractbepalingen: De bevoegde toezichthoudende autoriteit is de toezichthoudende autoriteit die van toepassing is op de Verwerker (of, waar relevant, op de vertegenwoordiger van de Verwerker).