/Card-Page%20Previews-AI.png?width=1200&height=800&name=Card-Page%20Previews-AI.png)
Ingangsdatum: 1 april 2025
DEZE GEGEVENSVERWERKINGOVEREENKOMST IS VAN TOEPASSING ALS U ZICH HEBT AANGEMELD VOOR NITRO-DIENSTEN ALS EEN ZAKELIJKE KLANT OP BASIS VAN DE NITRO GEBRUIKSVOORWAARDEN EN DE VK GDPR IS VAN TOEPASSING OP DE VERWERKING VAN PERSOONSGEGEVENS IN DE CONTEXT VAN DE OVEREENKOMST. ALS U ZICH ALS INDIVIDU HEBT AANGEMELD, BEZOEK DAN DE GEGEVENSBESCHERMINGSMAATREGELEN VAN NITRO VOOR MEER INFORMATIE OVER HOE NITRO UW PERSOONSGEGEVENS VERWERKT.
1. OMVANG; ROL VAN DE PARTIJEN
Nitro zal Persoonsgegevens ontvangen en verwerken ten behoeve van en namens de Klant bij het verlenen van de Dienst, volgens de instructies en het doel zoals gedefinieerd door de Klant in de Gegevensverwerkingsdetails. Door middel van dit Gegevensverwerkingsaddendum willen de Partijen hun specifieke afspraken vastleggen met betrekking tot de verwerking van Persoonlijke Gegevens binnen het kader van de Overeenkomst.
Bij default zal Nitro optreden als Verwerker en de Klant als Beheerder met betrekking tot de Diensten die door Nitro aan de Klant worden verstrekt overeenkomstig de Nitro Gebruiksvoorwaarden. Dit Gegevensverwerkingsaddendum vervangt en vervangt alle eerdere overeenkomsten die zijn gemaakt (indien van toepassing) met betrekking tot de verwerking van Persoonlijke Gegevens en gegevensbescherming tussen de Partijen die verband houden met de Diensten die door Nitro worden aangeboden.
Dit Gegevensverwerkingsaddendum aanvult en vormt een onderdeel van de Gebruiksvoorwaarden, en samen vormen de Gebruiksvoorwaarden en dit Gegevensverwerkingsaddendum een enkele juridische overeenkomst tussen de Partijen. In geval van afwijkingen of tegenstrijdigheden tussen dit Gegevensverwerkingsaddendum en de Gebruiksvoorwaarden, heeft het Gegevensverwerkingsaddendum voorrang.
2. DEFINITIES
“Bijlage” betekent elke bijlage bij de huidige Gegevensverwerkingsovereenkomst;
“Verantwoordelijke” verwijst naar de Klant zoals geïdentificeerd in de Gebruiksvoorwaarden en het toepasselijke Bestelformulier;
“Gegevensverwerkingsdetails” betekent Bijlage 1 bij de huidige Gegevensverwerkingsovereenkomst, welke meer details bevat over de instructies van de Klant voor de verwerking van Persoonsgegevens zoals het doel, object en aard van de verwerking en het soort Persoonsgegevens dat wordt verwerkt;
“EU GDPR” betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende de vrije verkeer van dergelijke gegevens, en houdende intrekking richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);
“Persoonsgegevens” betekent persoonsgegevens zoals gedefinieerd onder de VK GDPR die Nitro verwerkt ten behoeve van en namens de Klant bij het verlenen van de Diensten volgens de instructies en het doel zoals gedefinieerd door de Klant in de Gegevensverwerkingsdetails;
“Verwerker” verwijst naar Nitro Software Inc., leverancier van de Diensten aan de Klant en zoals geïdentificeerd in de Gebruiksvoorwaarden;
“Subverwerkerlijst” verwijst naar de lijst van Subverwerkers die online door Nitro beschikbaar is gesteld en die de Subverwerkers omvat die door Nitro zijn ingeschakeld voor het verlenen van de Diensten en de uitvoering van Nitro's verplichtingen onder de Overeenkomst in het algemeen. Nitro kan de Subverwerkerlijst af en toe bijwerken volgens het proces dat in deze Gegevensverwerkingsovereenkomst is uiteengezet;
“Subverwerker” betekent elke derde partijverwerker die door Nitro is ingeschakeld voor de verwerking van Persoonsgegevens gerelateerd aan het verlenen van de Diensten aan de Klant;
“VK GDPR” betekent de EU GDPR zoals omgezet in de Britse interne wetgeving krachtens sectie 3 van de Wet uittreding uit de Europese Unie 2018 en zoals gewijzigd door de Gegevensbescherming, Privacy en Elektronische Communicatiewet (Wijzigingen etc.) (EU-Uittreding) Reglementen 2019 (zoals gewijzigd);
“VK Persoonsgegevens” betekent Persoonsgegevens waarop de VK GDPR van toepassing is;
“VK Standaard Contractuele Clausules” betekent de Internationale Gegevensoverdracht Bijlage bij de EU Commissie Standaard Contractuele Clausules uitgegeven door de Informatiecommissaris onder Sectie 119A(1) van de Gegevensbeschermingswet 2018, in de vorm en wijze zoals uiteengezet in Bijlage 2 bij deze Gegevensverwerkingsovereenkomst.
Alle andere termen en definities geschreven met hoofdletters en die niet uitdrukkelijk in deze Gegevensverwerkingsovereenkomst zijn gedefinieerd, worden gedefinieerd zoals uiteengezet in de toepasselijke gegevensbeschermingswetgeving of Nitro's Gebruiksvoorwaarden
3. OBJECT VAN DEZE GEGEVENSVERWERKING AANVULLING
3.1 Deze Gegevensverwerkingsaanvulling bepaalt de voorwaarden voor de verwerking door Nitro van Persoonsgegevens die door of op initiatief van de Klant in het kader van de Overeenkomst zijn gecommuniceerd. De aard en het doel van de verwerking, een lijst en de soort Persoonsgegevens, evenals de categorieën van de Betrokkenen zijn opgenomen in de Gegevensverwerkingsdetails (Bijlage 1).
3.2 De verwerking zal uitsluitend plaatsvinden ten behoeve van de Klant en voor het doel zoals gedefinieerd door de Klant in de Gegevensverwerkingsdetails. Nitro zal de Klant onmiddellijk informeren als, naar zijn mening, een instructie inbreuk maakt op de toepasselijke wetgeving inzake gegevensbescherming. Nitro will only process the Personal Data according to the documented instructions of the Customer and will not use these Personal Data for its own purpose, unless as explicitly permitted in the Terms of Service. If Nitro is legally obliged to proceed with any processing of Personal Data, Nitro will, unless this would violate applicable mandatory rules, inform the Customer of such obligation.
4. TERMIJN
4.1 Deze Gegevensverwerkingsaanvulling is van toepassing op alle verwerking van Persoonsgegevens die wordt uitgevoerd in het kader van de levering van de Diensten aan de Klant door Nitro en is van toepassing zolang Nitro Persoonsgegevens verwerkt namens de Klant in het kader van de Overeenkomst. Deze Gegevensverwerkingsovereenkomst supplementeert de Nitro Gebruiksvoorwaarden en is bedoeld om de naleving van de vereisten opgelegd door de toepasselijke gegevensbeschermingswet- en regelgeving voor het gebruik van de Diensten door de Klant te waarborgen.
4.2 Deze Gegevensverwerkingsovereenkomst eindigt automatisch bij beëindiging van de Overeenkomst (of op het moment dat de verwerking door Nitro wordt beëindigd). The provisions of this Data Processing Addendum that are either expressly or implicitly (given their nature) intended to have effect after termination of the Data Processing Addendum shall survive the end of the Agreement with regard to the Personal Data communicated by or at the initiative of the Customer in the context of the Agreement.
5. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
5.1 Nitro biedt adequate garanties met betrekking tot de implementatie van passende technische en organisatorische maatregelen (“TOM's”) om een veilige verwerking van Persoonsgegevens te waarborgen, zodat de bescherming van de rechten van de Betrokkene is gegarandeerd. De TOMs die door Nitro zijn geïmplementeerd, zijn zoals uiteengezet in de Gegevensverwerkingsdetails. The TOMs may be updated by Nitro from time to time, however Nitro will ensure not to downgrade the overall security it has implemented at the moment of the Data Processing Addendum’s execution. De Klant erkent de TOM's als adequaat voor de verwerking van zijn Persoonsgegevens op het moment van ondertekening of acceptatie van deze Gegevensverwerkingsovereenkomst.
5.2 Nitro zal alle passende technische en organisatorische maatregelen nemen zoals vermeld in artikel 32 VK GDPR om een adequaat niveau van beveiliging te waarborgen, passend bij het risico.
5.3 Als de Klant gevoelige Persoonsgegevens zoals bedoeld in artikelen 9 en 10 VK GDPR aan Nitro verstrekt in de context van de Overeenkomst, zal de Klant Nitro hiervan schriftelijk op de hoogte stellen via privacy@gonitro.com.
5.4 In geval de Klant specifieke technische en organisatorische maatregelen aanvraagt die door Nitro (die Nitro standaard niet heeft geïmplementeerd), zal de Klant Nitro vergoeden voor het implementeren van dergelijke aanvullende maatregelen conform Sectie 14 “Kosten” van deze Gegevensverwerkingsovereenkomst.
5.5 De naleving door Nitro van een goedgekeurd gedragscode zoals bedoeld in artikel 40 VK GDPR, of een goedgekeurd certificeringsmechanisme zoals bedoeld in artikel 42 VK GDPR kan worden gebruikt als een element van bewijs van voldoende garanties zoals bedoeld in VK GDPR. BEWAARTERMIJN
6.1 Nitro zal Persoonsgegevens niet langer bewaren dan nodig is voor de verwerking van dergelijke Persoonsgegevens in de context van de Overeenkomst. The Customer will not instruct Nitro to store any Personal Data longer than necessary. De toepasselijke bewaartermijn (zoals gedefinieerd door de Klant) is uiteengezet in de Gegevensverwerkingsdetails.
6.2 Op keuze van de Klant zal Nitro alle Persoonsgegevens aan de Klant teruggeven of verwijderen na het einde van de verlening van Diensten en zal bestaande kopieën verwijderen tenzij de toepasselijke wetgeving opslag van de Persoonsgegevens vereist. De Klant erkent dat de Diensten downloadfunctionaliteiten kunnen bevatten tot beschikking van de Klant om de Klant in staat te stellen zijn gegevens te downloaden. To the extent such functionalities are available, the Customer shall use such functionalities to extract or delete its data.
7. VERTRAULIJKHEID
7.1 De partijen zijn overeengekomen over een vertrouwelijkheidclausule in de Gebruiksvoorwaarden die van toepassing is op de verwerking van Persoonsgegevens in de context van de Overeenkomst.
7.2 Nitro erkent en stemt ermee in dat alleen die werknemers, aannemers of agenten van Nitro die betrokken zijn bij de verwerking van Persoonsgegevens op de hoogte mogen zijn van de Persoonsgegevens, en alleen voor zover dat redelijkerwijs nodig is voor de uitvoering van de Overeenkomst. Nitro zorgt ervoor dat personen die bevoegd zijn om de Persoonsgegevens te verwerken, zich bij contract of door middel van een passende wettelijke verplichting tot vertrouwelijkheid verplichten.
8. RECHTEN VAN DE BETROKKENE
8.1 Gelet op de aard van de verwerking, zal Nitro alle redelijke inspanningen leveren, door het nemen van passende technische en organisatorische maatregelen, om de Klant te helpen bij de vervulling van zijn verplichting om te reageren op verzoeken van Betrokkenen.
8.2 Voor alle assistentie die door Nitro wordt verleend in het kader van de behandeling van dergelijke verzoeken van Betrokkenen, zal de Klant Nitro vergoeden in overeenstemming met Sectie 14 “Kosten” van deze Gegevensverwerkingsovereenkomst. Een dergelijke vergoeding door de Klant is niet van toepassing (i) in het geval dat de Betrokkene zijn rechten inroept vanwege een bewezen Persoonsgegevensinbreuk die aan Nitro kan worden toegeschreven, of (ii) in het geval dat een dergelijke assistentie door Nitro niet meer dan vier (4) uur werk gedurende de looptijd van de Overeenkomst overschrijdt.
9. PFLICHT OM TE MELDEN
9.1 Wanneer Nitro zich bewust wordt van een Inbreuk op Persoonsgegevens, dient Nitro de Klant daarvan zonder onnodige vertraging op de hoogte te stellen door contact op te nemen met de contactpersoon die in de Overeenkomst of het relevante Bestelformulier is aangegeven (of alternatieve via het e-mailadres van de Klant voor meldingen of (indien van toepassing) een ander e-mailadres dat de Klant heeft gedeeld in het adminportaal als privacycontact). De contactpersoon van Nitro voor kwesties met betrekking tot gegevensbescherming kan per e-mail worden bereikt: privacy@gonitro.com.
9.2 Op verzoek van de Klant zal Nitro de Klant informeren over eventuele nieuwe ontwikkelingen met betrekking tot een Persoonlijke Gegevensinbreuk en de maatregelen die zijn genomen om de gevolgen ervan te beperken en om herhaling van een dergelijke Persoonlijke Gegevensinbreuk te voorkomen. Het is de verantwoordelijkheid van de Klant om elke Persoonsgegevensinbreuk te melden aan de Toezichthoudende Autoriteit of de Betrokken Persoon(men), indien vereist.
10. SUB-VERWERKING
10.1 De Klant macht uitdrukkelijk toestemming aan Nitro om Sub-verwerkers in te schakelen voor de verwerking van Persoonsgegevens voor de uitvoering van de Overeenkomst en om de verlening van de Diensten in het algemeen te faciliteren. In dit opzicht verleent de Klant een algemene schriftelijke machtiging aan Nitro om te beslissen met welke Sub-verwerker(s) Nitro samenwerkt voor de uitvoering van zijn verplichtingen onder de Overeenkomst. Nitro publiceert een Lijst van Subverwerkers die verwijst naar de door Nitro ingeschakelde Subverwerkers.
10.2 Nitro zal de Klant informeren over eventuele voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van Subverwerkers door de contactpersoon die in de Overeenkomst of het relevante Bestelformulier is aangegeven (of via het E-mailadres van de Klant voor notificatie of (indien van toepassing) elk ander e-mailadres dat de Klant heeft gedeeld in het adminportaal als privacycontact). De Klant heeft het recht om zich tegen de toevoeging of vervanging te verzetten door Nitro schriftelijk te benaderen. De partijen zullen in dat geval in goed vertrouwen de toevoeging, vervanging of alternatief bespreken en dat zo snel als redelijkerwijs mogelijk is na de schriftelijke kennisgeving van bezwaar van de Klant.
10.3 Wanneer Nitro een Sub-verwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten, zullen dezelfde of soortgelijke gegevensbeschermingsverplichtingen zoals uiteengezet in deze Gegevensverwerkingsovereenkomst op die Sub-verwerker worden opgelegd door middel van een schriftelijke overeenkomst, in het bijzonder het bieden van voldoende garanties om passende technische en organisatorische maatregelen te implementeren (en voldoen aan de relevante technische en organisatorische maatregelen). Waar een Sub-verwerker zijn gegevensbeschermingsverplichtingen niet nakomt, blijft Nitro volledig aansprakelijk naar de Klant voor de uitvoering van de verplichtingen van die Sub-verwerker.
11. INTERNATIONALE GEGEVENSOVERDRACHTEN
11.1 De Klant erkent dat Nitro is gevestigd in de Verenigde Staten van Amerika en autoriseert daardoor internationale overdragingen van Persoonsgegevens ten behoeve van het verlenen van de Diensten. Een dergelijke internationale gegevensoverdracht wordt beschouwd als een instructie van de Klant.
11.2 Als, op enig moment tijdens de looptijd van deze Gegevensverwerkingsaanvulling, (i) Nitro gecertificeerd is onder de UK-aanvulling op de EU-VS. Gegevensprivacyraamwerk (ook bekend als de UK-U.S. ‘gegevensbrug’) (“Raamwerk”); en (ii) dat Raamwerk een geldige adequaatheidsovereenkomst vormt voor de doeleinden van artikel 45 van de UK GDPR, erkennen de Partijen dat er geen passende waarborgen vereist zijn met betrekking tot overdrachten tussen Klant en Nitro.
11.3 Waar de voorwaarden zoals uiteengezet in Sectie 11.2 niet van toepassing zijn, komen de Partijen de UK Standard Contractual Clauses aan in de vorm en manier zoals uiteengezet in Bijlage 2 bij deze Gegevensverwerkingsovereenkomst, waarbij deze UK Standard Contractual Clauses worden opgenomen in en een onderdeel vormen van deze Gegevensverwerkingsovereenkomst.
11.4 De Klant erkent dat Sub-bewerkers die zijn geautoriseerd onder clausule 10 ook Persoonsgegevens in derde landen kunnen verwerken. De Klant staat dergelijke overdrachten toe, op voorwaarde dat Nitro alle noodzakelijke stappen neemt om ervoor te zorgen dat dergelijke overdrachten voldoen aan de bepalingen van Hoofdstuk V van de VK GDPR en andere toepasselijke gegevensbeschermingswetten.
11.5 In geval de transfer van Persoonsgegevens naar een derde land of een internationale organisatie verplicht is op basis van de toepasselijke wetgeving waaraan Nitro zich moet houden, heeft Nitro toestemming om deze overdracht uit te voeren en zal de Klant voorafgaand aan deze verwerking worden geïnformeerd over deze wettelijke vereiste, tenzij die wet dergelijke informatie om belangrijke redenen van publiek belang verbiedt.
12. GEGEVENSBESCHERMINGSINVLOED EVALUATIE EN VOORAFGAANDE RAADPLEGING
12.1 Als de Klant een Gegevensbeschermingsimpactbeoordeling (“DPIA”) (artikel 35 VK GDPR) of voorafgaande consultatie (artikel 36 VK GDPR) uitvoert die verband houdt met de verwerking van Persoonsgegevens in de context van de uitvoering van de Overeenkomst, zal Nitro de Klant redelijkerwijs assisteren door assistentie te verlenen op schriftelijk verzoek van de Klant. De klant vergoedt Nitro voor de verleende bijstand in overeenstemming met Sectie 14 "Kosten" van deze Gegevensverwerkingsovereenkomst. Een dergelijke kostenvergoeding is niet van toepassing in het geval (i) de hulp die van Nitro wordt gevraagd minder dan vier (4) werkuren bedraagt gedurende de looptijd van de Overeenkomst, of (ii) de DPIA of voorafgaande consultatie wordt uitgelokt door een bewezen verwijtbare schending van Persoonsgegevens die aan Nitro kan worden toegerekend.
13. AUDITRECHT
13.1 De Klant heeft het recht om audits uit te voeren met betrekking tot de naleving door Nitro van zijn verplichtingen onder deze Gegevensverwerkingsaanvulling en de toepasselijke wetgeving inzake gegevensbescherming. Nitro zal redelijke inspanningen leveren om samen te werken met dergelijke audits en alle informatie beschikbaar te stellen die nodig is om te bewijzen dat zij voldoet aan haar verplichtingen. De Klant dient Nitro ten minste één (1) maand voorafgaand aan de datum waarop de audit zal worden uitgevoerd, schriftelijk op de hoogte te stellen, door een schriftelijke kennisgeving aan Nitro via privacy@gonitro.com.
13.2 In het geval dat een audit wordt uitgevoerd, dienen alle betrokken partijen eerst een specifieke geheimhoudingsverklaring te ondertekenen die door Nitro is uitgegeven met betrekking tot die audit en de auditresultaten voordat de audit begint. Bij de uitvoering van een dergelijke audit moeten de geheimhoudingverplichtingen van de Partijen met betrekking tot derden in acht worden genomen. Zowel de Partijen als hun auditors moeten de informatie die in verband met een audit is verzameld geheim houden en deze uitsluitend gebruiken om de naleving van deze Gegevensverwerkersovereenkomst en de toepasselijke wetten en regelgevingen met betrekking tot gegevensbescherming te verifiëren. De Klant heeft de optie om de audit zelf uit te voeren of een onafhankelijke auditor aan te wijzen, echter dient deze onafhankelijke auditor de geheimhoudingsverklaring, zoals in deze Sectie genoemd, te ondertekenen.
13.3 Beide Partijen en waar van toepassing hun vertegenwoordigers, zullen redelijk meewerken, op verzoek, met de Toezichthoudende Autoriteit bij het uitvoeren van zijn taken.
13.4 De Klant zal Nitro vergoeden voor de door Nitro verleende hulp in verband met audit(s) in overeenstemming met Sectie 14 “Kosten” van deze Gegevensverwerkingsaanvulling. Het is begrepen dat een dergelijke kostenvergoeding niet van toepassing is in het geval (i) de audit het resultaat is van een bewezen Persoonsgegevensinbreuk die aan Nitro kan worden toegeschreven of, (ii) als de hulp van Nitro niet meer dan vier (4) werkuren tijdens de looptijd van de Overeenkomst bedraagt.
14. KOSTEN
14.1 De ondersteuning die onder deze Gegevensverwerkingsaanvulling door Nitro kan worden gefactureerd aan de Klant, zal worden gefactureerd op basis van het aantal gewerkte uren en de geldende standaard uurtarieven van Nitro (USD 295/uur, exclusief belastingen). Nitro zal deze bedragen maandelijks factureren, maar heeft ook het recht om een vooruitbetaling te vragen.
14.2 De betaling door de Klant aan Nitro voor de ondersteuning en professionele diensten die door Nitro onder deze Gegevensverwerkingsaanvulling worden verleend, zal plaatsvinden in overeenstemming met de bepalingen in de Gebruiksvoorwaarden. AANSPRAKELIJKHEID
15.1 Voor zover toegestaan onder de toepasselijke wetgeving, zijn de bepalingen van de Gebruiksvoorwaarden met betrekking tot aansprakelijkheidsbeperkingen ook van toepassing op deze Gegevensverwerkingsaanvulling en de schade die daaruit voortvloeit. DIVERSE
16.1 De bepalingen van de Gebruiksvoorwaarden betreffende wijzigingen, de gehele overeenkomst, scheidbaarheid, toepasselijke wetgeving en competente rechtbanken zijn van toepassing op deze Gegevensverwerkingsaanvulling. In geval van discrepanties of tegenstellingen tussen deze Gegevensverwerkingsaanvulling en de UK Standaard Contractuele Clausules, indien van toepassing, prevaleren de UK Standaard Contractuele Clausules.
BIJLAGE 1 – GEGEVENSVERWERKING DETAILS
A. LIJST VAN PARTIJEN
1. Gegevensexporteur(en):
Naam: Klant, zoals geïdentificeerd in de Overeenkomst en het relevante Bestelformulier.
Adres: Het adres van de gegevensexporteur is vermeld in de Overeenkomst en het relevante Bestelformulier.
Naam van de contactpersoon, functie en contactgegevens: De contactgegevens van de contactpersoon voor de gegevensexporteur zijn vermeld. in de Overeenkomst, het relevante Bestelformulier (en indien van toepassing het adminportaal van de Klant).
Activiteiten relevant voor de overgedragen gegevens: De activiteiten die relevant zijn voor de overgedragen gegevens onder deze UK Standaard Contractuele Clausules zijn hieronder beschreven in Sectie B “Beschrijving van verwerking/overdracht”.
Handtekening en datum: Door het ondertekenen of accepteren van het relevante Bestelformulier, wordt de gegevensexporteur geacht deze Bijlage I te hebben ondertekend.
Rol (verantwoordelijke/verwerker): Verantwoordelijke
2. Gegevensimporteur(s):
Naam: Nitro Software Inc.
Adres: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.
Naam van contactpersoon, functie en contactgegevens: privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.
Activiteiten relevant voor de overgedragen gegevens: De activiteiten die relevant zijn voor de gegevens die onder deze UK Standard Contractual Clauses worden overgedragen, worden hieronder beschreven in Sectie B “Beschrijving van verwerking/overdracht”.
Handtekening en datum: Door het ondertekenen of accepteren van het relevante Bestelformulier, wordt de gegevensimporteur geacht deze Bijlage I te hebben ondertekend.
Rol (verantwoordelijke/verwerker): Verwerker
B. BESCHRIJVING VAN VERWERKING/OVERDRACHT
1. ONDERWERP VAN DE VERWERKING VAN DE PERSOONSGEGEVENS
Het onderwerp wordt bepaald door de Klant zoals uiteengezet in de Overeenkomst en het relevante Bestelformulier.
2. DE AARD EN HET DOEL VAN DE VERWERKING VAN PERSOONSGEGEVENS
De aard en het doel van de verwerking worden bepaald door de Klant zoals uiteengezet in de Overeenkomst en het relevante Bestelformulier.
Bij default, heeft dergelijke verwerking als doel de Diensten inclusief al zijn kenmerken en functionaliteiten beschikbaar te stellen aan de Klant en zijn Gebruikers en meer in het algemeen om Nitro in staat te stellen zijn contractuele verplichtingen onder de Overeenkomst na te komen. Het doel kan zijn het beschikbaar stellen van de Cloud Diensten (bijvoorbeeld maar niet beperkt tot het beschikbaar stellen van het klantenportaal, elektronische handtekenservices, analyseservices etc.) alsook het verlenen van Ondersteuning.
De aard van de verwerking zal, onder andere instructies gegeven door de Klant in de Overeenkomst en het relevante Bestelformulier, de verwerking, verzameling, opslag, communicatie en overdracht van Persoonsgegevens omvatten.
3. PERSOONSGEGEVENS DIE WORDEN VERWERKT
Afhankelijk van de functionaliteiten die binnen de Diensten worden gebruikt (bijv. admin portaal, elektronische handtekenservices, analyseservices etc.) en de inhoud van de Klantgegevens geüpload door de Klant en zijn Gebruikers in de Diensten, verwerkt Nitro verschillende soorten Persoonsgegevens.
In het algemeen zijn de Persoonsgegevens die door Nitro worden verwerkt zonder beperking:
- Identificatiedetails (bijvoorbeeld gebruikergegevens en gebruiksgegevens)
- Documentgegevens (bijvoorbeeld Persoonsgegevens opgenomen in PDF-documenten die worden verwerkt)
Een gedetailleerd overzicht van de soorten Persoonsgegevens die worden verwerkt bij gebruik van de Diensten is beschikbaar via Nitro’s Trust Center: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data
4. GEVOELIGE GEGEVENS
De gegevensexporteur kan gevoelige Persoonsgegevens opnemen in de Persoonsgegevens in overeenstemming met Sectie 5.3 van deze Gegevensverwerkingsaanvulling. Gevoelige gegevens die worden overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de betrokken risico's, zoals bijvoorbeeld strikte doelbeperkingen, toegang beperkingen (inclusief toegang alleen voor personeel dat gespecialiseerd is opgeleid), het bijhouden van een registratiesysteem voor toegang tot de gegevens, beperkingen voor doorgifte of aanvullende beveiligingsmaatregelen: er wordt verwezen naar de TOM's zoals vermeld of genoemd in de Gegevensverwerkingsdetails hieronder.
5. CATEGORIEËN VAN BETROKKENEN
De volgende categorieën Betrokkenen zijn standaard van toepassing:
- Alle Gebruikers die toegang hebben tot de Diensten (dit omvat admingebruikers, algemene gebruikers of uitgenodigde gebruikers zoals ondertekenaars).
- Alle Betrokkenen opgenomen in de Klantgegevens die door de Klant of zijn Gebruikers in de Diensten zijn geüpload.
De Klant bevestigt dat deze Betrokkenen standaard zullen worden beschouwd als een van de volgende categorieën:
- Personeel van de Klant
- Klanten van de Klant
- Prospecten van de Klant
- Leveranciers van de Klant
6. SUB-VERWERKERS
Nitro schakelt Sub-verwerkers in om ervoor te zorgen dat alle functionaliteiten binnen de Diensten beschikbaar zijn. Welke Sub-aannemers van toepassing zijn hangt af van het gebruik van de Diensten en de functionaliteiten en opzet die door de Klant zijn aangevraagd. Een gedetailleerde lijst van de Sub-verwerkers die door Nitro zijn ingeschakeld (inclusief de procedure die we hanteren bij het inschakelen van nieuwe Sub-verwerkers) is beschikbaar via ons Trust Center: https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors
7. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN (TOMs)
Nitro voert passende technische en organisatorische maatregelen uit om een adequate beveiliging te waarborgen bij het gebruik van de Diensten. Wij actualiseren deze maatregelen continu. Een gedetailleerd overzicht van de genomen maatregelen is beschikbaar via ons Vertrouwenscentrum in onze sectie Beveiliging: https://www.gonitro.com/security-compliance/security en in ons Informatiebeveiligingsbeleid. Ons Trust Center vermeldt ook de certificeringen die Nitro in de compliance-sectie heeft: https://www.gonitro.com/security-compliance/compliance.
8. BEWAARTIJD
Nitro zal Persoonsgegevens niet langer opslaan dan nodig is voor de levering van de Diensten.
Een gedetailleerd overzicht van de bewaartijden is beschikbaar via ons Trust Center: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data
9. Afhankelijk van de Diensten en de functionaliteiten die u als Klant gebruikt, kunnen de toepasselijke bewaartermijnen verschillen. Elke Klant kan Nitro verzoeken om specifieke bewaarperiodes in hun omgeving te configureren (voor zover dit technisch haalbaar is).
Als er geen specifieke bewaarperiodes zijn geconfigureerd, zullen Persoonsgegevens standaard door Nitro worden opgeslagen tot verwijdering door de Klant of tot beëindiging van de Overeenkomst tussen Nitro en de Klant (plus maximaal 30 dagen), afhankelijk van welke situatie zich het eerst voordoet. Een gedetailleerd overzicht van de bewaartermijnen is beschikbaar via ons Trust Center: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data
9. FREQUENTIE VAN INTERNATIONALE OVERDRACHTEN
Doorlopend, indien nodig om de Diensten aan de Klant te verlenen.
BIJLAGE 2 – UK STANDAARD CONTRACTUELE CLAUSULES
Internationale Gegevensoverdracht Aanvulling op de EU Commissie Standaard Contractuele Clausules
VERSIE B1.0, van kracht op 21 maart 2022
Deze Aanvulling is uitgegeven door de Informatiecommissaris voor Partijen die Beperkte Overdrachten maken. De Informatiecommissaris acht het gepast dat er voldoende waarborgen worden geboden voor Beperkte Overdrachten wanneer dit wordt aangegaan als een juridisch bindend contract.
Deel 1: Tabellen
Tabel 1: Partijen
|
Startdatum |
De datum van de Gegevensverwerkingsbijlage |
|
|
De Partijen |
Exporteur (die de Beperkte Overdracht verstuurt) Klant |
Importeur (die de Beperkte Overdracht ontvangt) Nitro |
|
Gegevens van de Partijen |
Volledige juridische naam: Klant, zoals geïdentificeerd in de Overeenkomst en de relevante Bestelformulier. Handelsnaam (indien anders): Hoofdadres (indien een geregistreerd bedrijfsadres): Het adres van de gegevensexporteur is uiteengezet in de Overeenkomst en het relevante Bestelformulier. Officieel registratienummer (indien van toepassing) (bedrijfsnummer of soortgelijke identificator): Zoals geïdentificeerd in de Overeenkomst en het relevante Bestelformulier, of anders NVT |
Volledige juridische naam: Nitro Software Inc. Handelsnaam (indien anders): Hoofdadres (indien een geregistreerd bedrijfsadres): 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten. Officieel registratienummer (indien van toepassing) (bedrijfsnummer of soortgelijke identificator): NVT |
|
Belangrijk Contact |
Volledige naam (optioneel): De volledige naam van de contactpersoon voor de gegevensexporteur is uiteengezet in de Overeenkomst en het relevante Bestelformulier. Functietitel: De functietitel van de contactpersoon voor de gegevensexporteur is uiteengezet in de Overeenkomst en het relevante Bestelformulier. Contactgegevens inclusief e-mail: De contactgegevens van de contactpersoon voor de gegevensexporteur zijn uiteengezet in de Overeenkomst en het relevante Bestelformulier. |
privacy@gonitro.com |
|
Handtekening (indien vereist voor de doeleinden van Sectie 2) |
Niet vereist – deze Bijlage 2 maakt deel uit van en is opgenomen in de Gegevensverwerkingsbijlage |
Niet vereist – deze Bijlage 2 maakt deel uit van en is opgenomen in de Gegevensverwerkingsbijlage |
Tabel 2: Geselecteerde SCC's, Modules en Geselecteerde Clausules
|
Addendum EU SCC's |
De versie van de Goedgekeurde EU SCC's waaraan dit Addendum is gehecht, hieronder, inclusief de Appendix-informatie: Datum: Referentie (indien van toepassing): Andere identificator (indien van toepassing): Of de Goedgekeurde EU SCC's, inclusief de Appendix-informatie en alleen met de volgende modules, clausules of optionele bepalingen van de Goedgekeurde EU SCC's in werking voor de doeleinden van dit Addendum: |
|
Module |
Module in werking |
Clausule 7 (Docking Clausule) |
Clausule 11 |
Clausule 9a (Vroegere Autorisatie of Algemene Autorisatie) |
Clausule 9a (Tijdperiode) |
Wordt persoonlijke data van de Importeur gecombineerd met persoonlijke data verzameld door de Exporteur? |
|
1 |
|
|
|
|
|
|
|
2 |
X |
NVT |
NVT |
Algemene Autorisatie |
30 dagen |
Nee |
|
3 |
|
|
|
|
|
|
|
4 |
|
|
|
|
|
|
Tabel 3: Appendix-informatie
“Appendix-informatie” betekent de informatie die moet worden verstrekt voor de geselecteerde modules zoals uiteengezet in de Appendix van de Goedgekeurde EU SCC's (anders dan de Partijen), en die voor dit Addendum is uiteengezet in:
|
Bijlage 1A: Lijst van Partijen: Zie Tabel 1 hierboven. |
|
Bijlage 1B: Beschrijving van Overdracht: Zie Bijlage 1 bij deze Gegevensverwerkingsbijlage. |
|
Bijlage II: Technische en organisatorische maatregelen inclusief technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen: Zie clausule 5 bij deze Gegevensverwerkingsbijlage. |
|
Bijlage III: Lijst van Subverwerkers (Modules 2 en 3 alleen): Zie clausule 10.1 bij deze Gegevensverwerkingsbijlage. |
Tabel 4: Beëindigen van dit Addendum wanneer de Goedgekeurde Addendum verandert
|
Beëindigen van dit Addendum wanneer de Goedgekeurde Addendum verandert |
Welke Partijen dit Addendum kunnen beëindigen zoals uiteengezet in Sectie 19: Importeur Exporteur geen van beide Partijen |
Deel 1: Verplichte Clausules
Instappen in dit Addendum
- Elke Partij stemt ermee in om gebonden te zijn aan de voorwaarden en condities die zijn uiteengezet in dit Addendum, in ruil voor het feit dat de andere Partij ook instemt gebonden te zijn aan dit Addendum.
- Hoewel Bijlage 1A en Clausule 7 van de Goedgekeurde EU SCC's handtekening door de Partijen vereisen, kunnen de Partijen voor de doeleinden van het maken van Beperkte Overdrachten dit Addendum op elke manier aangaan die hen juridisch bindend maakt voor de Partijen en waarmee betrokkenen hun rechten kunnen afdwingen zoals uiteengezet in dit Addendum. Ingang van deze Aanvulling heeft hetzelfde effect als het ondertekenen van de Goedkeurde EU SCC's en elk deel van de Goedkeurde EU SCC's.
Interpretatie van deze Aanvulling
- Waar deze Aanvulling termen gebruikt die gedefinieerd zijn in de Goedkeurde EU SCC's, hebben die termen dezelfde betekenis als in de Goedkeurde EU SCC's. Bovendien hebben de volgende termen de volgende betekenissen:
|
Addendum |
Dit Internationaal Gegevensoverdracht Addendum dat bestaat uit dit Addendum inclusief de Addendum EU SCC's. |
|
Addendum EU SCC's |
De versie(n) van de Goedkeurden EU SCC's waarvan dit Addendum is bijgevoegd, zoals uiteengezet in Tabel 2, inclusief de Bijlage Informatie. |
|
Bijlage Informatie |
Zoals uiteengezet in Tabel 3. |
|
Passende Waarborgen |
De standaard van bescherming van de persoonlijke gegevens en van de rechten van betrokkenen, die vereist is door de Britse Gegevensbeschermingswetten wanneer u een Beperkte Overdracht verricht die vertrouwt op standaard gegevensbeschermingsclausules onder Artikel 46(2)(d) van de Britse AVG. |
|
Aanvaard Addendum |
Het sjabloon Addendum dat door de ICO is uitgegeven en voor het Parlement is gelegd in overeenstemming met s119A van de Wet op de Gegevensbescherming 2018 op 2 februari 2022, zoals herzien onder Sectie 18. |
|
Goedkeurden EU SCC's |
De Standaard Contractuele Clausules opgenomen in de Bijlage van de Uitvoeringsbesluit van de Commissie (EU) 2021/914 van 4 juni 2021. |
|
ICO |
De Informatiecommissaris. |
|
Beperkte Overdracht |
Een overdracht die onder hoofdstuk V van de Britse AVG valt. |
|
VK |
Het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland. |
|
Britse Gegevensbeschermingswetten |
Alle wetten inzake gegevensbescherming, de verwerking van persoonlijke gegevens, privacy en/of elektronische communicatie die van tijd tot tijd van kracht zijn in het VK, inclusief de Britse AVG en de Wet op de Gegevensbescherming 2018. |
|
Britse AVG |
Zoals gedefinieerd in sectie 3 van de Wet op de Gegevensbescherming 2018. |
- Dit Addendum moet altijd op een wijze worden geïnterpreteerd die consistent is met de Britse Gegevensbeschermingswetten en zodat het de verplichting van de Partijen vervult om de Passende Waarborgen te bieden.
- Als de bepalingen die zijn opgenomen in de Addendum EU SCC's de Goedkeurden SCC's op enige wijze wijzigen die niet is toegestaan onder de Goedkeurden EU SCC's of de Aanvaardbare Addendum, zullen dergelijke wijziging(en) niet in dit Addendum worden opgenomen en zal de equivalente bepaling van de Goedkeurden SCC's hun plaats innemen.
- Als er enig onderscheid of conflict is tussen de Britse Gegevensbeschermingswetten en dit Addendum, zijn de Britse Gegevensbeschermingswetten van kracht.
- Als de betekenis van dit Addendum onduidelijk is of er meer dan één betekenis is, geldt de betekenis die het dichtst aansluit bij de Britse Gegevensbeschermingswetten.
- Verwijzingen naar wetgeving (of specifieke bepalingen van wetgeving) betekenen die wetgeving (of specifieke bepaling) zoals deze in de loop van de tijd kan veranderen. Dit omvat waar die wetgeving (of specifieke bepaling) is samengevoegd, opnieuw aangenomen en/of vervangen nadat deze Aanvulling is aangegaan.
Hiërarchie
- Hoewel Clausule 5 van de Goedkeurde EU SCC's uiteenzet dat de Goedkeurde EU SCC's voorrang hebben boven alle gerelateerde overeenkomsten tussen de Partijen, komen de Partijen overeen dat, voor Beperkte Overdrachten, de hiërarchie in Sectie 10 voorrang zal hebben.
- Waar enige inconsistente of conflicterende situatie is tussen de Goedgekeurde Aanvulling en de Aanvulling EU SCC's (indien van toepassing), zal de Goedgekeurde Aanvulling de Aanvulling EU SCC's overschrijven, behalve waar (en voor zover) de inconsistente of conflicterende voorwaarden van de Aanvulling EU SCC's grotere bescherming voor gegevenssubjekten bieden, in welk geval die voorwaarden de Goedgekeurde Aanvulling zullen overschrijven.
- Waar deze Aanvulling de Aanvulling EU SCC's bevat die zijn aangegaan om overdrachten te beschermen die onder de Algemene Gegevensbeschermingsverordening (EU) 2016/679 vallen, erkennen de Partijen dat niets in deze Aanvulling invloed heeft op die Aanvulling EU SCC's.
Incorporatie van en wijzigingen aan de EU SCC's
- Deze Aanvulling omvat de Aanvulling EU SCC's die zijn gewijzigd voor zover nodig zodat:
- samen ze functioneren voor gegevensoverdrachten van de gegevensexporteur naar de gegevensimporteur, voor zover de Britse Gegevensbeschermingswetten van toepassing zijn op de verwerking van de gegevensexporteur bij het maken van die gegevensoverdracht, en ze Geschikte Beschermingsmaatregelen bieden voor die gegevensoverdrachten;
- Secties 9 tot 11 hebben voorrang boven Clausule 5 (Hiërarchie) van de Aanvulling EU SCC's; en
- deze Aanvulling (inclusief de Aanvulling EU SCC's die erin zijn opgenomen) is (1) onderworpen aan de wetten van Engeland en Wales en (2) elk geschil dat daaruit voortvloeit, wordt opgelost door de rechtbanken van Engeland en Wales, in elk geval tenzij de wetten en/of rechtbanken van Schotland of Noord-Ierland uitdrukkelijk door de Partijen zijn geselecteerd.
- Tenzij de Partijen alternatieve wijzigingen zijn overeengekomen die voldoen aan de vereisten van Sectie 12, zijn de bepalingen van Sectie 15 van toepassing.
- Er mogen geen wijzigingen aan de Goedkeurde EU SCC's worden aangebracht, behalve om te voldoen aan de vereisten van Sectie 12.
- De volgende wijzigingen aan de Aanvulling EU SCC's (ten behoeve van Sectie 12) worden aangebracht:
- Verwijzingen naar de “Clausules” betekenen deze Aanvulling, die de Aanvulling EU SCC's omvat;
- In Clausule 2, verwijder de woorden:
“en, met betrekking tot gegevensoverdrachten van verwerkingsverantwoordelijken naar verwerkers en/of verwerkers naar verwerkers, standaard contractuele clausules krachtens artikel 28(7) van Verordening (EU) 2016/679”; - Clausule 6 (Beschrijving van de overdracht(en)) wordt vervangen door:
“De details van de overdracht(en) en in het bijzonder de categorieën persoonsgegevens die worden overgedragen en de doel(en) waarvoor ze worden overgedragen zijn die in Bijlage I.B gespecificeerd voor zover de Britse Gegevensbeschermingswetten van toepassing zijn op de verwerking van de gegevensexporteur bij het maken van die overdracht.”; - Clausule 8.7(i) van Module 1 wordt vervangen door:
“het is naar een land dat profiteert van adequaatheidsregelingen krachtens Sectie 17A van de Britse GDPR die de verdere overdracht dekt”; - Clausule 8.8(i) van Modules 2 en 3 wordt vervangen door:
“de verdere overdracht is naar een land dat profiteert van adequaatheidsregelingen krachtens Sectie 17A van de Britse GDPR die de verdere overdracht dekt;” - Verwijzingen naar “Verordening (EU) 2016/679”, “Verordening (EU) 2016/679 van het Europees Parlement en van de Raad van 27 april 2016 ter bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (Algemene Gegevensbeschermingsverordening)” en “die Verordening” worden allemaal vervangen door “Britse Gegevensbeschermingswetten”. Verwijzingen naar specifieke Artikel(en) van “Verordening (EU) 2016/679” worden vervangen door het gelijkwaardige Artikel of Sectie van de Britse Gegevensbeschermingswetten;
- Verwijzingen naar Verordening (EU) 2018/1725 worden verwijderd;
- Verwijzingen naar de “Europese Unie”, “Unie”, “EU”, “EU-lidstaat”, “Lidstaat” en “EU of Lidstaat” worden allemaal vervangen door de “VK”;
- De verwijzing naar “Clausule 12(c)(i)” in Clausule 10(b)(i) van Module één, wordt vervangen door “Clausule 11(c)(i)”;
- Clausule 13(a) en Deel C van Bijlage I worden niet gebruikt;
- De “bevoegde toezichthoudende autoriteit” en “toezichthoudende autoriteit” worden beide vervangen door de “Informatiecommissaris”;
- In Clausule 16(e) wordt subsectie (i) vervangen door:
“de Secretaris van Staat maakt regels krachtens Sectie 17A van de Gegevensbeschermingswet 2018 die de overdracht van persoonsgegevens dekken waaraan deze clausules van toepassing zijn;”; - Clausule 17 wordt vervangen door:
“Deze Clausules worden beheerst door de wetten van Engeland en Wales.”; - Clausule 18 wordt vervangen door:
“Elk geschil dat voortvloeit uit deze Clausules wordt opgelost door de rechtbanken van Engeland en Wales. Een betrokkene kan ook juridische stappen ondernemen tegen de gegevensexporteur en/of de gegevensimporteur bij de rechtbanken van elk land in het VK. De Partijen komen overeen zich te onderwerpen aan de jurisdictie van die rechtbanken.”; en - De voetnoten bij de Goedgekeurde EU SCC's maken geen deel uit van de Aanvulling, behalve voor voetnoten 8, 9, 10 en 11.
Wijzigingen aan deze Aanvulling
- De Partijen kunnen overeenkomen om de Clausules 17 en/of 18 van de Aanvulling EU SCC's te wijzigen om te verwijzen naar de wetten en/of rechtbanken van Schotland of Noord-Ierland.
- Als de Partijen de opmaak van de informatie in Deel 1: Tabellen van de Goedgekeurde Aanvulling willen wijzigen, kunnen ze dat doen door schriftelijk akkoord te gaan met de wijziging, op voorwaarde dat de wijziging de Geschikte Beschermingsmaatregelen niet vermindert.
- Van tijd tot tijd kan de ICO een herziene Goedgekeurde Aanvulling uitgeven die:
- redelijke en evenredige wijzigingen aanbrengt in de Goedgekeurde Aanvulling, inclusief het corrigeren van fouten in de Goedgekeurde Aanvulling; en/of
- wijzigingen in de Britse Gegevensbeschermingswetten weergeeft;
de herziene Goedgekeurde Aanvulling geeft de ingangsdatum aan van de veranderingen aan de Goedgekeurde Aanvulling en of de Partijen deze Aanvulling inclusief de Bijlage Informatie moeten herzien. Deze Bijlage wordt automatisch gewijzigd zoals uiteengezet in de herziene Goedgekeurde Bijlage vanaf de startdatum zoals gespecificeerd.
- Als de ICO een herziene Goedgekeurde Bijlage uitgeeft onder Sectie 18, als een van de Partijen die is geselecteerd in Tabel 4 “Beëindigen van de Bijlage wanneer de Goedgekeurde Bijlage wijzigt”, als gevolg van de veranderingen in de Goedgekeurde Bijlage een aanzienlijke, onevenredige en aantoonbare stijging in: zijn
- directe kosten van het uitvoeren van zijn verplichtingen uit hoofde van de Bijlage; en/of
- zijn risico onder de Bijlage,
en in beide gevallen heeft deze Partij eerst redelijke stappen ondernomen om deze kosten of risico's te verlagen zodat ze niet aanzienlijk en onevenredig zijn, dan kan die Partij deze Bijlage aan het einde van een redelijke opzegtermijn beëindigen door schriftelijke kennisgeving voor die termijn aan de andere Partij te geven vóór de startdatum van de herziene Goedgekeurde Bijlage.
- De Partijen hebben geen toestemming van een derde partij nodig om wijzigingen aan te brengen in deze Bijlage, maar wijzigingen moeten worden aangebracht in overeenstemming met de voorwaarden ervan.
