Voorwaarden en Beleid

1. SCOPE; ROLLEN VAN DE PARTIJEN

Nitro zal Persoonlijke Gegevens ontvangen en verwerken namens de ISV bij het verlenen van de Diensten, volgens de instructies en doelstellingen zoals gedefinieerd in de Gegevensverwerkingsdetails. Deze Gegevensverwerkingsaddendum legt de specifieke overeenkomsten van de Partijen vast met betrekking tot de verwerking van Persoonlijke Gegevens binnen het raamwerk van deze Gegevensverwerkingsaddendum en de Overeenkomst.

Bij default zal Nitro optreden als Sub-Verwerker en zal de ISV optreden als Verwerker met betrekking tot de door Nitro aan de ISV geleverde Diensten. Nitro erkent dat de ISV handelt namens de Controller voor de verwerking van Persoonlijke Gegevens. Deze Gegevensverwerkingsaddendum vervangt alle eerdere overeenkomsten (indien aanwezig) met betrekking tot de verwerking van Persoonlijke Gegevens en gegevensbescherming tussen de Partijen met betrekking tot de Diensten aangeboden door Nitro onder de Overeenkomst.

Deze Gegevensverwerkingsaddendum aanvult en vormt een onderdeel van de Overeenkomst, en gezamenlijk vormen de Overeenkomst en deze Gegevensverwerkingsaddendum een enkele juridische overeenkomst tussen de Partijen. In geval van discrepanties of tegenstrijdigheden tussen deze Gegevensverwerkingsaddendum en de Overeenkomst, heeft de Gegevensverwerkingsaddendum voorrang.

2. DEFINITIES

“Overeenkomst” betekent de Onafhankelijke Softwareleveranciersovereenkomst, eventuele bijlagen die daarbij zijn gevoegd, de Nitro ISV Bestelformulier(en) en alle informatie opgenomen door verwijzing hier in de Nitro Partnerportaal (indien van toepassing);

“Bijlage” betekent elke bijlage bij deze Gegevensverwerkingsaddendum;

“Controller” verwijst naar de klant van de Verwerker (die wordt beschouwd als de Eindklant in relatie tot de Overeenkomst) aan wie de Verwerker (d.w.z. de ISV) de Geïntegreerde Oplossing verleent (waarbij Diensten verstrekt door Nitro aan de Verwerker zijn inbegrepen);

“Gegevensverwerkingsdetails” betekent Bijlage 1 bij deze Gegevensverwerkingsaddendum die de instructies van de Controller over de verwerking van Persoonlijke Gegevens beschrijft, verstrekt door de Verwerker aan Nitro, zoals het doel, object en de aard van de verwerking, en de soort Persoonlijke Gegevens die worden verwerkt;

“Gegevenssubject” of elke equivalente term (zoals “persoon”) heeft de betekenis zoals uiteengezet in de toepasselijke gegevensbeschermingswetgeving, of waar geen dergelijke wetgeving van toepassing is, betekent het een geïdentificeerde of identificeerbare natuurlijke persoon die verband houdt met de Controller;

“Gegevensinbreuk” of een equivalente term (zoals “inbreuk op persoonsgegevens”, “beveiligingsincident”) heeft de betekenis zoals uiteengezet in de toepasselijke gegevensbeschermingswetgeving, of waar geen zulk recht van toepassing is, betekent het (i) ongeautoriseerde toegang tot, of gebruik, openbaarmaking of andere verwerking van ISV-Persoonlijke Gegevens in het bezit van Nitro, (ii) diefstal of ongeautoriseerde verwerving van dergelijke Persoonlijke Gegevens, (iii) incident dat de veiligheid van dergelijke Persoonlijke Gegevens compromitteert;

“EU GDPR” betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en inzake het vrije verkeer van dergelijke gegevens, en herziening van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

“Bijlage” betekent elke bijlage bij deze Gegevensverwerkingsaddendum;

“FADP” betekent de Zwitserse federale wet inzake gegevensbescherming (zoals gewijzigd);

“Nitro sub-verwerkerslijst” verwijst naar de lijst van Nitro sub-verwerkers die online beschikbaar wordt gesteld door Nitro en die de Nitro sub-verwerkers omvat die door Nitro zijn ingeschakeld voor de verstrekking van de Diensten en de vervulling van de verplichtingen van Nitro onder de Overeenkomst in het algemeen. Nitro kan van tijd tot tijd de Nitro sub-verwerkerslijst bijwerken volgens het proces zoals uiteengezet in deze Gegevensverwerkingsaddendum;

“Nitro sub-verwerker” betekent elke derde partijverwerker die door Nitro is ingeschakeld voor de verwerking van Persoonlijke Gegevens met betrekking tot de levering van de Diensten aan de Verwerker;

“Persoonlijke Gegevens” betekent persoonsgegevens of een equivalente term (zoals Persoonlijke Informatie) heeft de betekenis zoals uiteengezet in de toepasselijke gegevensbeschermingswetgeving, betekent elke informatie die op zichzelf of in combinatie met andere informatie (bijv. zoals telefoonnummer of e-mailadres) kan worden gebruikt door Nitro om een specifieke natuurlijke persoon te identificeren die Nitro verwerkt namens de Verwerker bij het verlenen van de Diensten volgens de instructies en het doel zoals gedefinieerd in de Gegevensverwerkingsdetails;

“Verwerker” verwijst naar de ISV zoals gedefinieerd in de Overeenkomst en/of het bijbehorende Nitro ISV Bestelformulier (of iedere equivalente term heeft de betekenis zoals uiteengezet in de toepasselijke gegevensbeschermingswetgeving of waar geen dergelijke wetgeving van toepassing is, betekent de entiteit die Persoonlijke Gegevens verwerkt namens de Controller);

“Sub-Verwerker” verwijst naar Nitro Software Inc., leverancier van de Diensten aan de Verwerker;

“UK GDPR” betekent de EU GDPR die is omgezet in het Britse nationale recht krachtens sectie 3 van de Europese Unie Intrekkingswet 2018 en zoals gewijzigd door de Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (zoals gewijzigd).

Alle andere termen en definities geschreven met hoofdletters en die niet expliciet in deze Gegevensverwerkingsaddendum gedefinieerd zijn, worden gedefinieerd zoals uiteengezet in de toepasselijke gegevensbeschermingswetgeving of de Overeenkomst.

3. DOEL VAN DEZE GEGEVENSVERWERKINGSOVEREENKOMST

3.1  Deze Gegevensverwerkingsaddendum bepaalt de voorwaarden van de verwerking door Nitro van Persoonlijke Gegevens namens de Verwerker in het kader van de Overeenkomst. De aard en het doel van de verwerking, een lijst en de soort Persoonlijke Gegevens, evenals de categorieën van de Gegevenssubjecten zijn opgesomd in de Gegevensverwerkingsdetails (Bijlage 1).

4. LOOPTIJD

4.1  Deze Gegevensverwerkingsaddendum is van toepassing op alle verwerking van Persoonlijke Gegevens en is van toepassing zolang Nitro Persoonlijke Gegevens verwerkt namens de Verwerker in het kader van de Overeenkomst. Deze Gegevensverwerkingsaddendum vult de Overeenkomst aan. en is bedoeld om ervoor te zorgen dat de Partijen voldoen aan de vereisten opgelegd door de toepasselijke gegevensbeschermingswetten en -regelgeving.

4.2  Deze Gegevensverwerkingsaddendum eindigt automatisch bij beëindiging van de Overeenkomst (of op het moment dat de verwerking door Nitro wordt beëindigd). De bepalingen van deze Gegevensverwerkingsaddendum die uitdrukkelijk of impliciet (gezien hun aard) bedoeld zijn om effect te hebben na beëindiging van de Gegevensverwerkingsaddendum, blijven van kracht na het einde van de Overeenkomst met betrekking tot de Persoonlijke Gegevens die zijn verwerkt namens de Verwerker in het kader van de Overeenkomst.

5. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

5.1  Nitro heeft passende technische en organisatorische maatregelen geïmplementeerd (“TOMs”) gericht op het beveiligen van de verwerking van Persoonlijke Gegevens. De TOMs geïmplementeerd door Nitro zijn uiteengezet in de Gegevensverwerkingsdetails en kunnen door Nitro van tijd tot tijd worden bijgewerkt, echter zal Nitro ervoor zorgen dat de algehele beveiliging die is geïmplementeerd op het moment van uitvoering van de Gegevensverwerkingsaddendum niet wordt verlaagd. De Verwerker erkent dat de TOMs een adequaat beveiligingsniveau bieden dat passend is bij het risico voor de verwerking van zijn Persoonlijke Gegevens namens de Verwerker op het moment van ondertekenen of accepteren van deze Gegevensverwerkingsaddendum.

5.2  In het geval de Verwerker (of de Controller) specifieke technische en organisatorische maatregelen vraagt om te worden geïmplementeerd door Nitro (die Nitro niet standaard heeft geïmplementeerd), zal de Verwerker Nitro vergoeden voor het implementeren van dergelijke extra maatregelen volgens Sectie 11 “Kosten” van deze Gegevensverwerkingsaddendum.

6. BEWAARTERMIJN

6.1 Nitro zal Persoonlijke Gegevens niet langer bewaren dan nodig is voor de verwerking van dergelijke Persoonlijke Gegevens in het kader van de Overeenkomst. De Verwerker zal Nitro niet instrueren om enige Persoonlijke Gegevens langer te bewaren dan noodzakelijk. De toepasselijke bewaarperiode is uiteengezet in de Gegevensverwerkingsdetails.

6.2  Nitro zal alle Persoonlijke Gegevens verwijderen of teruggeven aan de Verwerker na het einde van de verstrekking van Diensten en zal bestaande kopieën verwijderen tenzij relevante wetgeving opslag van de Persoonlijke Gegevens vereist. De Verwerker erkent dat de Diensten downloadfunctionaliteiten kunnen omvatten tot het gemak van de Verwerker om de Verwerker in staat te stellen zijn gegevens te downloaden. Voor zover dergelijke functionaliteiten beschikbaar zijn, zal de Verwerker ervoor zorgen dat de Controller gebruik maakt van dergelijke functionaliteiten om zijn gegevens te extraheren of te verwijderen.

7. VERTROUWELIJKHEID

7.1  De Partijen hebben een vertrouwelijkheidsclausule in de Overeenkomst overeengekomen die toepasbaar is op de verwerking van Persoonlijke Gegevens in het kader van de Overeenkomst.

7.2  Nitro erkent en stemt ermee in dat alleen die werknemers, aannemers of agenten van Nitro die betrokken zijn bij de verwerking van Persoonlijke Gegevens geïnformeerd mogen worden over de Persoonlijke Gegevens en alleen voor zover dat redelijkerwijs noodzakelijk is voor de uitvoering van de Overeenkomst. Nitro zorgt ervoor dat personen die geautoriseerd zijn om de Persoonlijke Gegevens te verwerken, zich aan de vertrouwelijkheid moeten houden door een contract of onder een passende wettelijke verplichting tot vertrouwelijkheid.

8. MELDINGSPLICHT

8.1   Zodra Nitro zich bewust wordt van een Gegevensinbreuk, zal Nitro, voor zover vereist door toepasselijke wetgeving of een Bijlage bij deze Gegevensverwerkingsaddendum, de Verwerker daarvan onverwijld op de hoogte stellen door contact op te nemen met de contactpersoon die is aangegeven in de Overeenkomst of het relevante Bestelformulier (of anderszins via het e-mailadres van de Verwerker of (indien van toepassing) elk ander e-mailadres dat de Verwerker heeft gedeeld in het adminportaal als privacycontact). De contactpersoon van Nitro voor gegevensbeschermingsgerelateerde zaken kan per e-mail worden bereikt: privacy@gonitro.com.

9. SUB-VERWERKING

9.1  De Verwerker garandeert dat Nitro uitdrukkelijk is gemachtigd om Nitro sub-verwerkers in te schakelen voor de verwerking van Persoonlijke Gegevens voor de uitvoering van de Overeenkomst en om de levering van de Diensten in het algemeen te vergemakkelijken. In dit opzicht verleent de Verwerker een algemene schriftelijke machtiging aan Nitro om te beslissen met welke Nitro sub-verwerker(s) Nitro samenwerkt voor het voldoen aan zijn verplichtingen onder de Overeenkomst. Nitro publiceert een lijst van Nitro sub-verwerkers die verwijst naar de Nitro sub-verwerkers.

10. AUDITRECHT

10.1  Op verzoek van de Verwerker zal Nitro voldoen aan audits door de Verwerker met betrekking tot de naleving door Nitro van zijn verplichtingen onder deze Gegevensverwerkingsaddendum en de toepasselijke gegevensbeschermingswetgeving. Nitro zal redelijke inspanningen leveren om samen te werken met dergelijke audits en alle informatie beschikbaar te stellen die nodig is om te bewijzen dat zij voldoet aan haar verplichtingen. De Verwerker zal Nitro ten minste één (1) maand voorafgaand aan de datum waarop de audit zal worden uitgevoerd, in kennis stellen, door schriftelijke kennisgeving aan Nitro via privacy@gonitro.com.

10.2  In geval van een audit, moeten alle betrokken partijen eerst een specifieke geheimhoudingsovereenkomst ondertekenen die door Nitro is opgesteld met betrekking tot de audit en de auditresultaten voordat de audit begint. Bij de uitvoering van een dergelijke audit moeten de geheimhoudingverplichtingen van de Partijen met betrekking tot derden in acht worden genomen. Zowel de Partijen als hun auditors moeten de informatie die in verband met een audit is verzameld geheim houden en deze uitsluitend gebruiken om de naleving van deze Gegevensverwerkersovereenkomst en de toepasselijke wetten en regelgevingen met betrekking tot gegevensbescherming te verifiëren. De Verwerker heeft de optie om de audit zelf uit te voeren of om een onafhankelijke auditor aan te stellen, echter moet die onafhankelijke auditor de geheimhoudingsovereenkomst ondertekenen die in deze sectie wordt vermeld. De Controller heeft dezelfde auditrechten als de Verwerker onder deze Clausule.

10.3  Beide Partijen en, waar van toepassing, hun vertegenwoordigers, zullen redelijkerwijs samenwerken, op verzoek, met enige bevoegde toezichthouder in verband met de audit.

10.4  De Verwerker zal Nitro vergoeden voor de hulp die door Nitro wordt geboden in verband met audit(s) volgens sectie 11 “Kosten” van deze Gegevensverwerkingsaddendum. Het is begrepen dat een dergelijke vergoeding niet van toepassing is indien (i) de audit een resultaat is van een Gegevensinbreuk waarvan is aangetoond dat deze is toe te schrijven aan Nitro of, (ii) indien Nitro’s hulp niet meer dan vier (4) werkuren tijdens de looptijd van de Overeenkomst bedraagt.

11. KOSTEN

11.1  De hulp die moet worden verleend onder deze Gegevensverwerkingsaddendum waarvoor Nitro de Verwerker kan rekenen, zal worden gerekend op basis van het gewerkte aantal uren en de geldende standaard uurtarieven van Nitro (USD 295/uur, exclusief belastingen). Nitro factureert deze bedragen maandelijks, maar heeft ook het recht om een vooruitbetaling te vragen. De betaling door de Verwerker aan Nitro voor hulp en professionele diensten verleend door Nitro onder deze Gegevensverwerkingsaddendum zal plaatsvinden in overeenstemming met de bepalingen in de Overeenkomst. AANSPRAKELIJKHEID

12.1  Voor zover in de toepasselijke wetgeving toegestaan, zijn de bepalingen van de Overeenkomst betreffende beperking van aansprakelijkheid ook van toepassing op deze Gegevensverwerkingsaddendum en de daaruit voortvloeiende schade.

13. DIV ONDERWERP VAN DE VERWERKING VAN PERSOONLIJKE INFORMATIE

Het onderwerp wordt bepaald door de Verwerker zoals uiteengezet in de Overeenkomst (en/of relevante Nitro ISV Bestelformulier).

2. DE AARD EN DOELEN VAN DE VERWERKING VAN PERSOONLIJKE INFORMATIE

De aard en doelen van de verwerking worden bepaald door de Verwerker zoals uiteengezet in de Overeenkomst (en/of relevante Nitro ISV Bestelformulier).

Bij default heeft deze verwerking als doel om de Diensten, inclusief alle functies en functionaliteiten, beschikbaar te stellen aan de Verwerker (die deze aan de Verantwoordelijke zal beschikbaar stellen) en meer in het algemeen om Nitro in staat te stellen zijn contractuele verplichtingen onder de Overeenkomst na te komen. Een van de doelen kan het beschikbaar stellen van de Cloud Diensten zijn (bijvoorbeeld maar niet beperkt tot het beschikbaar stellen van het klantcloudportaal, elektronische handtekeningdiensten, analysetools enzovoorts) evenals het leveren van Ondersteuning.

De aard van de verwerking omvat, naast andere instructies gegeven door de Verwerker in de Overeenkomst (en/of relevante Nitro ISV Bestelformulier), de verwerking, verzameling, opslag, communicatie en overdracht van Persoonsgegevens.

3. PERSOONLIJKE INFORMATIE DIE WORDT VERWERKT

Afhankelijk van de functionaliteiten die binnen de Diensten worden gebruikt (bijv. klantportaal, elektronische handtekeningdiensten, analysetools enzovoorts) en de inhoud van de Eindklantgegevens die gekwalificeerd wordt als Persoonsgegevens en door de Verwerker of de Verantwoordelijke in de Diensten wordt geüpload, verwerkt Nitro verschillende soorten Persoonsgegevens. In het algemeen omvat de Persoonsgegevens die door Nitro worden verwerkt zonder beperking:

• Identificatiegegevens (bijvoorbeeld met betrekking tot Gegevenssubjecten die gebruik maken van de Diensten - en gebruiksdetails)
• Documentgegevens (bijvoorbeeld Persoonsgegevens opgenomen in PDF-documenten die worden verwerkt)

Een gedetailleerd overzicht van de soorten Persoonsgegevens die worden verwerkt bij het gebruik van de Diensten is beschikbaar via Nitro’s Vertrouwenscentrum: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

4. CATEGORIE VAN GEGEVENS SUBJECTEN

De volgende categorieën van Gegevenssubjecten vallen standaard binnen de scope:

• Alle Gegevenssubjecten die toegang hebben tot de Diensten (inclusief admin-gebruikers, algemene gebruikers of genodigde gebruikers zoals ondertekenaars).
• Alle Gegevenssubjecten die zijn opgenomen in de Eindklantgegevens die gekwalificeerd worden als Persoonsgegevens en die in de Diensten door de Verwerker of de Verantwoordelijke zijn geüpload.

De Verwerker bevestigt dat deze gegevenssubjecten standaard worden beschouwd als een van de volgende categorieën:

• Gebruikers van de Diensten
• Klanten van de Verwerker
  
  

5.  SUB-VERWERKERS

Nitro schakelt Nitro sub-verwerkers in om ervoor te zorgen dat alle functionaliteiten binnen de Diensten beschikbaar zijn. Welke Nitro sub-verwerkers van toepassing zijn, hangt af van de Diensten die worden gebruikt en de functionaliteiten en instellingen die door de Verwerker of de Verantwoordelijke zijn aangevraagd. Een gedetailleerde lijst van de Nitro sub-bewerkers die door Nitro zijn ingeschakeld (inclusief de procedure die we toepassen bij het inschakelen van nieuwe Nitro sub-bewerkers) is beschikbaar via ons Trust Center: https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

6. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN (TOM's)

Nitro implementeert passende technische en organisatorische maatregelen om een adequate beveiliging te waarborgen bij het gebruik van de diensten. Wij actualiseren deze maatregelen continu. Een gedetailleerd overzicht van de genomen maatregelen is beschikbaar via ons Trust Center in onze beveiligingssectie: https://www.gonitro.com/security-compliance/security en in ons Informatiebeveiligingsbeleid. Ons Trust Center bevat ook de certificeringen die Nitro heeft in de sectie Compliance: https://www.gonitro.com/security-compliance/compliance

7. BEWARINGSPERIODE

Nitro zal Persoonsgegevens niet langer opslaan dan nodig is voor de levering van de diensten. Afhankelijk van de diensten en de functionaliteiten die de Verwerker of de Verantwoordelijke gebruikt, kunnen de toepasselijke bewaartermijnen verschillen. De Verwerker, die optreedt namens de Verantwoordelijke, kan Nitro verzoeken om specifieke bewaartermijnen op hun omgeving te configureren (voor zover dit technisch haalbaar is).

Indien er geen specifieke bewaartermijnen zijn geconfigureerd, zullen Persoonsgegevens standaard door Nitro worden opgeslagen tot verwijdering door de Verwerker of de Verantwoordelijke of tot beëindiging van de Overeenkomst tussen Nitro en de Verwerker (plus maximaal 30 dagen), afhankelijk van welke van beide situaties zich het eerst voordoet. Een gedetailleerd overzicht van de bewaartermijnen is beschikbaar via ons Trust Center: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data.

8. CONTACTGEGEVENS NITRO PRIVACY TEAM

privacy@gonitro.com
Nitro Software Inc.
447 Sutter St, STE 405 #1015, San Francisco, CA 94108
Verenigde Staten

BIJLAGE 1 – SPECIFIEKE LEVENSVOORWAARDEN VOOR CCPA

1. Voor zover Nitro Persoonsgegevens ontvangt van of namens de ISV en die informatie valt onder de CCPA, zijn de volgende bepalingen van toepassing. Voor zover er een conflict bestaat tussen deze Bijlage 1 en de Gegevensverwerkingsovereenkomst, heeft de laatstgenoemde voorrang.

1.1  CCPA. Voor zover (a) Nitro (als Dienstverlener of Aannemer) Persoonsgegevens ontvangt van of namens de ISV (als Dienstverlener of Aannemer) om deze te verwerken namens de Verantwoordelijke (als een Bedrijf) om de Diensten te verlenen, en (b) die Persoonsgegevens onder de CCPA vallen (“ISV PI”), zal Nitro (i) voldoen aan alle verplichtingen die op Nitro van toepassing zijn volgens de CCPA en zal hetzelfde niveau van privacy- en beveiligingsbescherming bieden als vereist door de CCPA; (ii) geen ISV PI Verkopen of Delen; (iii) de ISV PI niet langer behouden, gebruiken of openbaar maken (a) voor enig doel anders dan de Zakelijke Doeleinden die zijn gespecificeerd in deze Gegevensverwerkingsovereenkomst of de Overeenkomst (inclusief het behouden, gebruiken of openbaar maken van de ISV PI voor een Commercieel Doel anders dan het Zakelijke Doel dat is gespecificeerd in deze Gegevensverwerkingsovereenkomst of de Overeenkomst) of zoals anderszins toegestaan door de CCPA, of (b) buiten de directe zakelijke relatie tussen de ISV en Nitro; (iv) voor zover de ISV Gedematerialiseerde Gegevens aan Nitro openbaar maakt of anderszins beschikbaar stelt, zal Nitro (a) redelijke maatregelen nemen om ervoor te zorgen dat de Gedematerialiseerde Gegevens niet aan een individu of huishouden kunnen worden gekoppeld, (b) zich publiekelijk verplichten om de informatie in gedematerialiseerde vorm te behouden en te gebruiken en niet te proberen de informatie opnieuw te identificeren, en (c) contractueel elke verder ontvanger verplichten om te voldoen aan alle bepalingen van deze subparagraaf (iv); (v) de ISV PI betreffende een individu die Nitro ontvangt van, of namens, de ISV niet combineren met Persoonsgegevens die het ontvangt van, of namens, een andere persoon, of verzamelt uit Nitro’s eigen interactie met het individu, mits Nitro de ISV PI mag combineren om enige Zakelijke Doel te vervullen zoals gedefinieerd in relevante regelgeving die is aangenomen overeenkomstig de CCPA; (vi) de ISV op de hoogte stellen als het enige subcontractant inschakelt om de ISV PI te verwerken, en de ISV PI aan dergelijke subcontractanten openbaar maken op basis van een schriftelijk contract dat voorwaarden bevat die hetzelfde niveau van bescherming van genoemde PI biedt als die vereist door de CCPA; (vii) passende organisatorische en technische maatregelen implementeren die passend zijn voor de aard van de ISV PI om de beveiliging van de ISV PI en systemen te beschermen tegen ongeautoriseerde toegang, vernietiging, gebruik, wijziging of openbaarmaking; (viii) de ISV op de hoogte stellen als Nitro vaststelt dat het niet langer aan zijn verplichtingen onder de CCPA kan voldoen; (ix) redelijke assistentie bieden aan de ISV bij het waarborgen van de naleving van de verplichting van de ISV om gegevensbeschermingsbeoordelingen, cybersecurity-audits en risico evaluaties uit te voeren, rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor Nitro. Nitro zal de ISV ook helpen om te voldoen aan de eisen van de Verantwoordelijke met betrekking tot geautomatiseerde besluitvormingstechnologie, indien van toepassing; (x) de ISV op de hoogte stellen als Nitro een verzoek ontvangt om privacyrechten uit te oefenen van een individu met betrekking tot de persoonlijke gegevens van die individu die onder de ISV PI vallen (een “Verzoek”). Nitro zal verder niet met een individu communiceren over zijn of haar Verzoek, tenzij de ISV Nitro instrueert dit te doen of Nitro verplicht is om met een individu te communiceren op grond van de toepasselijke wetgeving. Nitro zal, op een manier die consistent is met de aard en functionaliteit van de diensten die onder deze Gegevensverwerkingsovereenkomst worden geleverd en de rol van Nitro als Dienstverlener, redelijke ondersteuning bieden aan de ISV om de ISV in staat te stellen te reageren op, en te voldoen aan, een Verzoek onder de CCPA; en niet meer dan eenmaal per jaar, het aanbod doen aan de ISV op verzoek van informatie die redelijkerwijs nodig is om de naleving van deze Sectie 1 aan te tonen, waaronder het verstrekken van samenvattingen van toepasselijke privacy- en beveiligingsbeleid voor beoordelings- en auditdoeleinden.

1.2  Ondersteuning. De ISV zal Nitro vergoeden voor de ondersteuning die door Nitro wordt verleend krachtens Clausule 1.1.(ix) van deze Bijlage 1, in overeenstemming met Sectie 11 “Kosten” van deze Gegevensverwerkingsovereenkomst.

1.3  Certificering. Voor zover Nitro een Aannemer is, certificeert Nitro dat het de beperkingen begrijpt en zich zal houden aan de voorwaarden die zijn vastgesteld in Subsectie 1.1.