ADDENDUM GEGEVENSVERWERKING

Van kracht: 28 oktober 2022

Dit Addendum voor gegevensverwerking (“DPA”) maakt deel uit van de Nitro Business Servicevoorwaarden of Nitro Servicevoorwaarden, zoals van toepassing, die van toepassing zijn op het gebruik van Nitro's services (“Overeenkomst”) die zijn aangegaan door en tussen u of de Licentiehouder (elk zoals gedefinieerd in de relevante Overeenkomst; en voor de doeleinden van deze DPA worden U en Licentienemer hierin aangeduid als “Klant”) en Nitro Software, Inc. (“Nitro”) om de overeenkomst van de partijen weer te geven met betrekking tot de Verwerking van Persoonsgegevens door Nitro uitsluitend namens de Klant op grond van de Overeenkomst. Beide Partijen zullen worden aangeduid als de "Partijen" en elk een "Partij".

1. Definitions

Voor de doeleinden van deze DPA hebben de onderstaande termen de hieronder uiteengezette betekenis. Termen met een hoofdletter die in deze DPA worden gebruikt maar niet gedefinieerd, hebben de betekenis die in de Overeenkomst wordt gegeven.

(a) Gelieerde onderneming betekent elke entiteit die direct of indirect zeggenschap heeft over, wordt bestuurd door of onder gemeenschappelijke zeggenschap staat met de te onderwerpen entiteit, waarbij "controle" verwijst naar de bevoegdheid om de te onderwerpen entiteit te sturen of de leiding te geven, ongeacht of (i) door eigendom van stemrechtverlenende effecten, of (ii) door de mogelijkheid om de managementbeslissingen van een dergelijke entiteit feitelijk te controleren, contractueel of anderszins.

(b) API betekent elke applicatieprogrammeerinterface die door Nitro aan de Klant beschikbaar wordt gesteld in verband met de Overeenkomst.

(c) Toepasselijke gegevensbeschermingswetten betekent de privacy-, gegevensbeschermings- en gegevensbeveiligingswetten en -regelgeving van elk rechtsgebied dat van toepassing is op de verwerking van persoonsgegevens onder de Overeenkomst, met inbegrip van, maar niet beperkt tot, de Europese gegevensbeschermingswetten en de CCPA, elk zoals gewijzigd vanaf tijd tot tijd.

(d) CCPA betekent de California Consumer Privacy Act van 2018 en alle regelgeving die daaronder wordt uitgevaardigd.

(e) Klantgegevens betekent informatie die aan Nitro is verstrekt of beschikbaar is gesteld voor verwerking namens de Klant om de Services uit te voeren.

(f) Documentatie betekent Gebruikershandleiding, release-opmerkingen, implementatiehandleidingen en alle andere technische documentatie met betrekking tot de Services of Professionele Services die door Nitro aan de Klant beschikbaar wordt gesteld.

(g) EER betekent de Europese Economische Ruimte.

(h) Europese gegevensbeschermingswetten betekent de AVG en andere gegevensbeschermingswetten en -regelgeving van de Europese Unie, haar lidstaten, Zwitserland, IJsland, Liechtenstein, Noorwegen en het Verenigd Koninkrijk, in elk geval, voor zover van toepassing op de Verwerking van Persoonsgegevens onder de Overeenkomst.

(i) AVG betekent Verordening (EU) 2016 / 679 van het Europees Parlement en de Raad van 27 april 2016 , zoals van tijd tot tijd gewijzigd.

(j) Informatiebeveiligingsincident betekent een bekende inbreuk op de beveiliging van Nitro die leidt tot de onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens in bezit, bewaring of controle van Nitro. Informatiebeveiligingsincidenten omvatten geen mislukte pogingen of activiteiten die de veiligheid van Persoonsgegevens niet in gevaar brengen, inclusief, maar niet beperkt tot, mislukte inlogpogingen, pings, poortscans, denial-of-service-aanvallen of andere netwerkaanvallen op firewalls of genetwerkte systemen.

(k) Intellectuele eigendomsrechten betekent alle intellectuele eigendomsrechten over de hele wereld, waaronder: (i) octrooien, bekendmakingen van uitvindingen (al dan niet octrooieerbaar), octrooiaanvragen, heruitgaven, heronderzoeken, gebruiksmodelrechten en modelrechten (geregistreerd of anderszins) , en geregistreerde of andere industriële eigendomsrechten, (ii) handelsmerken, dienstmerken, bedrijfsnamen, handelsnamen, internetidentificaties, trade dress en andere soortgelijke aanduidingen van bron of oorsprong samen met de goodwill die wordt gesymboliseerd door een van de voorgaande, (iii ) auteursrechten, morele rechten, ontwerprechten, databaserechten, gegevensverzamelingen en andere sui generis-rechten, (iv) handelsgeheimen of andere eigendomsrechten op vertrouwelijke informatie of technische, regelgevende en andere informatie, ontwerpen, resultaten, technieken en andere bekende -hoe, en (v) aanvragen, registraties en verlengingen voor, en alle bijbehorende rechten met betrekking tot, een van de voorgaande in enig deel van de wereld.

(l) Persoonlijke gegevens betekent klantgegevens die "persoonlijke gegevens", "persoonlijke informatie" of "persoonlijk identificeerbare informatie" vormen zoals gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming, of informatie van een soortgelijk karakter die daardoor wordt gereguleerd, behalve dat persoonlijke gegevens dergelijke informatie met betrekking tot het personeel of de vertegenwoordigers van de klant die zakelijke contacten zijn van Nitro in de normale gang van zaken in de zakelijke relatie, waarbij Nitro optreedt als beheerder van dergelijke informatie.

(m) Verwerking : elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonsgegevens of op sets Persoonsgegevens, al dan niet met geautomatiseerde middelen, zoals verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen , gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, uitlijnen of combineren, beperken, wissen of vernietigen.

(n) Professionele services betekent alle services die door Nitro worden uitgevoerd met betrekking tot de services, zoals activering, training, configuratie, integratie, beoordeling en optimalisatie.

(o) Beveiligingsmaatregelen heeft de betekenis die wordt gegeven in sectie 5 (a) (Veiligheidsmaatregelen van de aanbieder).

(p) Modelcontractbepalingen betekent de dwingende bepalingen van de modelcontractbepalingen voor de overdracht van persoonsgegevens aan verwerkers die in derde landen zijn gevestigd in de vorm zoals uiteengezet in Besluit 2016 / 679 /EU en 2018 / van de Europese Commissie 914 /EU, en geïmplementeerd door het besluit van de Europese Commissie 2021 / 914 , gedateerd 4 juni 2021 .

(q) Subverwerkers betekent derde partijen die Nitro inschakelt voor het Verwerken van Persoonsgegevens met betrekking tot de Diensten.

(r) Externe subverwerkers heeft de betekenis die wordt gegeven in Sectie 5 (Subverwerkers) van Bijlage 1 .

(s) De termen verwerkingsverantwoordelijke , betrokkene , verwerker en toezichthoudende autoriteit zoals gebruikt in deze DPA hebben de betekenis die wordt gegeven in de AVG.

2. Duration and Scope of DPA

(a) Deze DPA blijft van kracht zolang Nitro Persoonsgegevens verwerkt, niettegenstaande het verstrijken of beëindigen van de Overeenkomst.

(b) Bijlage 1 (EU-bijlage) bij deze DPA is uitsluitend van toepassing op Verwerking die onderworpen is aan de Europese wetgeving inzake gegevensbescherming.

(c) Bijlage 2 (Californische Bijlage) bij deze DPA is uitsluitend van toepassing op Verwerking die onderworpen is aan de CCPA als de Klant een "bedrijf" of "serviceprovider" is (zoals gedefinieerd in CCPA) met betrekking tot dergelijke Verwerking.

3. Customer Instructions

Nitro zal Persoonsgegevens alleen verwerken in overeenstemming met de instructies van de Klant aan Nitro. Deze DPA is een volledige weergave van dergelijke instructies en de aanvullende instructies van de Klant zijn alleen bindend voor Nitro op grond van een door beide partijen ondertekende wijziging van deze DPA. De klant geeft Nitro de opdracht om Persoonsgegevens te verwerken om de Services te leveren zoals bedoeld in de Overeenkomst.

4. Analytics

De klant erkent en gaat ermee akkoord dat Nitro als onderdeel van de Services:

(a) elementen van de Verwerking met betrekking tot de Diensten die nodig zijn om de Diensten te leveren, creëren en daaruit voortkomen; en/of

(b) geanonimiseerde en/of geaggregeerde gegevens die de Klant of een natuurlijke persoon niet identificeren, creëren en daaruit voortkomen uit verwerking met betrekking tot de Services, en dergelijke geanonimiseerde en/of geaggregeerde gegevens gebruiken, publiceren of delen met derden om de producten en services van Nitro te verbeteren en/of voor andere legitieme zakelijke doeleinden.

5. <>Security

(a) Beveiligingsmaatregelen van de aanbieder . Nitro zal technische en organisatorische maatregelen implementeren en handhaven die zijn ontworpen om Persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens (" Beveiligingsmaatregelen ") zoals beschreven in Bijlage 3 (Beveiligingsmaatregelen). Nitro kan de Beveiligingsmaatregelen van tijd tot tijd bijwerken zonder voorafgaande kennisgeving, zolang de bijgewerkte maatregelen de algehele bescherming van Persoonsgegevens niet wezenlijk verminderen.

(b) Informatiebeveiligingsincidenten . Nitro zal de Klant onverwijld op de hoogte stellen van elk Informatiebeveiligingsincident waarvan de Klant kennis krijgt. Dergelijke meldingen kunnen beschikbare details van het Informatiebeveiligingsincident beschrijven, inclusief een samenvatting van de stappen die zijn genomen om de potentiële risico's te beperken en de stappen die Nitro de Klant aanraadt te nemen om het Informatiebeveiligingsincident aan te pakken. Nitro's melding van of reactie op een Informatiebeveiligingsincident zal niet worden opgevat als de erkenning door Nitro van enige fout of aansprakelijkheid met betrekking tot het Informatiebeveiligingsincident.

(c) Beveiligingsverantwoordelijkheden en beoordeling van de Klant.

(i) Beveiligingsverantwoordelijkheden van de Klant . De Klant gaat ermee akkoord dat, zonder beperking van Nitro's verplichtingen onder Sectie 5 (Beveiliging), de Klant als enige verantwoordelijk is voor het gebruik van de Services, inclusief (a) het op de juiste manier gebruiken van de Services om een beveiligingsniveau te garanderen dat geschikt is voor het risico in respect voor de Persoonsgegevens; (b) het beveiligen van de accountverificatiegegevens, systemen en apparaten die de Klant gebruikt om toegang te krijgen tot de Services; (c) het beveiligen van de systemen en apparaten van de Klant die Nitro gebruikt om de Services te leveren; en (d) het maken van een back-up van Persoonsgegevens.

(ii) Beveiligingsbeoordeling van de klant . De klant stemt ermee in dat de services, de beveiligingsmaatregelen en de verplichtingen van Nitro onder deze DPA voldoende zijn om te voldoen aan de behoeften van de klant, inclusief met betrekking tot eventuele beveiligingsverplichtingen van de klant onder de toepasselijke wetgeving inzake gegevensbescherming, en een beveiligingsniveau bieden dat geschikt is voor het risico met betrekking tot de Persoonsgegevens.

6. Data Subject Rights

(a) Nitro's Betrokkene Verzoek om assistentie . Nitro zal (rekening houdend met de aard van de verwerking van persoonsgegevens) de klant de hulp bieden die redelijkerwijs nodig is voor de klant om zijn verplichtingen onder de toepasselijke gegevensbeschermingswetten na te komen om te voldoen aan verzoeken van betrokkenen om hun rechten uit te oefenen onder de toepasselijke gegevensbeschermingswetten (“ gegevensbeschermingswetten” Verzoeken van het onderwerp ") met betrekking tot persoonlijke gegevens in het bezit of beheer van Nitro. De klant vergoedt Nitro voor dergelijke assistentie tegen de dan geldende tarieven voor professionele diensten van Nitro, die op verzoek aan de klant beschikbaar zullen worden gesteld.

(b) De verantwoordelijkheid van de klant voor verzoeken . Als Nitro een Verzoek van een Betrokkene ontvangt, zal Nitro de Betrokkene adviseren om het verzoek in te dienen bij de Klant en is de Klant verantwoordelijk voor het reageren op het verzoek.

7. Customer Responsibilities

(a) Naleving van de klant . De Klant zal zijn verplichtingen onder de Toepasselijke Wetten inzake Gegevensbescherming nakomen. De Klant zorgt ervoor (en is als enige verantwoordelijk om ervoor te zorgen) dat zijn instructies in Sectie 3 voldoen aan de Toepasselijke Wetten inzake gegevensbescherming, en dat de Klant alle kennisgevingen heeft gedaan aan, en alle toestemmingen heeft verkregen van, personen op wie Persoonsgegevens betrekking hebben en alle andere partijen zoals vereist door de Toepasselijke wetgeving inzake gegevensbescherming voor de Klant om persoonlijke gegevens te verwerken zoals bedoeld in de Overeenkomst.

(b) Verboden gegevens . Klant verklaart en garandeert Nitro dat Klantgegevens zonder voorafgaande schriftelijke toestemming van Nitro geen burgerservicenummers of andere door de overheid uitgegeven identificatienummers zullen bevatten; biometrische informatie; wachtwoorden voor online accounts; inloggegevens voor financiële rekeningen; gegevens belastingaangifte; kredietrapporten of consumentenrapporten; alle betaalkaartinformatie die onderworpen is aan de Payment Card Industry Data Security Standard; informatie onderworpen aan de Gramm-Leach-Bliley Act, Fair Credit Reporting Act of de voorschriften uitgevaardigd onder een van beide wetten; informatie onderworpen aan beperkingen volgens de Toepasselijke wetten inzake gegevensbescherming die van toepassing zijn op persoonsgegevens van kinderen, met inbegrip van, maar niet beperkt tot, alle informatie over kinderen jonger dan 13 jaar; of enige informatie die binnen een speciale gegevenscategorie valt (zoals gedefinieerd in de AVG). Klant verklaart verder dat Klantgegevens geen beschermde gezondheidsinformatie bevatten en zullen bevatten die onderworpen is aan de Health Insurance Portability and Accountability Act (HIPAA) of gelijkaardige wetgeving in een ander rechtsgebied; andere informatie met betrekking tot iemands medische geschiedenis, mentale of fysieke toestand, of medische behandeling of diagnose door een beroepsbeoefenaar in de gezondheidszorg; of ziektekostenverzekeringsinformatie, tenzij de Klant en Nitro afzonderlijk een HIPAA Business Associate-overeenkomst zijn aangegaan.

8. Miscellaneous

Behalve zoals uitdrukkelijk gewijzigd door de DPA, blijven de voorwaarden van de Overeenkomst volledig van kracht. In het geval van een conflict of inconsistentie tussen deze DPA en de voorwaarden van de Overeenkomst, is deze DPA leidend. Niettegenstaande iets in de Overeenkomst of enig bestelformulier dat in verband daarmee is ingevoerd, erkennen en komen de Partijen overeen dat de toegang van Nitro tot Persoonsgegevens geen deel uitmaakt van de overweging die door de Partijen wordt uitgewisseld met betrekking tot de Overeenkomst. Niettegenstaande enige andersluidende bepaling in de Overeenkomst, kunnen alle kennisgevingen die door Nitro aan de Klant moeten of mogen worden gegeven onder deze DPA, worden gedaan (a) in overeenstemming met een kennisgevingsclausule van de Overeenkomst; (b) naar de primaire contactpunten van Nitro bij de Klant; of (c) naar een e-mail die door de Klant is verstrekt om hem te voorzien van Services-gerelateerde communicatie of waarschuwingen. De Klant is als enige verantwoordelijk om ervoor te zorgen dat dergelijke adressen voor meldingen geldig zijn.

ANNEX 1 TO DPA EU ANNEX

8

1. Processing of Data

(a) Onderwerp en details van de verwerking . De Partijen erkennen en komen overeen dat (i) het onderwerp van de Verwerking onder de Overeenkomst Nitro's levering van de Diensten is; (ii) de duur van de Verwerking is vanaf de ontvangst van Persoonsgegevens door Nitro tot het wissen van alle Persoonsgegevens door Nitro in overeenstemming met de Overeenkomst; (iii) de aard en het doel van de Verwerking is het leveren van de Diensten; (iv) de betrokkenen op wie de Persoonsgegevens betrekking hebben zijn de Klant (voor zover de Klant een persoon is), gebruikers van de Services of Nitro's software, en personen van wie de Persoonsgegevens zijn gegenereerd, gedeeld of geüpload door de Klant en/of gebruikers van de Diensten en/of Nitro's software; en (v) de categorieën Persoonsgegevens zijn de persoonsgegevens die zijn gegenereerd, gedeeld, geüpload of aangevraagd door de Klant of gebruikers van de Diensten en/of Nitro's software (waaronder mogelijk Persoonsgegevens in documenten, afbeeldingen en andere media en gebruikers- gegenereerde inhoud zoals documenten, tekst, afbeeldingen en andere inhoud).

(b) Rollen en naleving van de regelgeving; Autorisatie . De partijen erkennen en komen overeen dat (i) Nitro een verwerker van persoonsgegevens is onder de Europese wetgeving inzake gegevensbescherming; (ii) de Klant is een verwerkingsverantwoordelijke (of een verwerker die handelt in opdracht van een verwerkingsverantwoordelijke) van Persoonsgegevens onder de Europese wetgeving inzake gegevensbescherming; en (iii) elke partij zal voldoen aan de verplichtingen die op haar van toepassing zijn in een dergelijke rol onder de Europese gegevensbeschermingswetten met betrekking tot de verwerking van persoonsgegevens. Als de klant een verwerker is, verklaart en garandeert de klant aan Nitro dat de instructies en acties van de klant met betrekking tot persoonsgegevens, inclusief de aanstelling van Nitro als een andere verwerker, zijn geautoriseerd door de relevante controller.

(c) Nitro's naleving van instructies . Nitro zal persoonlijke gegevens alleen verwerken in overeenstemming met de instructies van de klant zoals vermeld in deze DPA, tenzij de toepasselijke Europese gegevensbeschermingswetten anders vereisen, in welk geval Nitro de klant op de hoogte zal stellen (tenzij die wet Nitro verbiedt om dit te doen).

(d) Gegevensverwijdering . Nitro zal alle Persoonsgegevens op Nitro's systemen verwijderen op schriftelijk verzoek van de Klant en na het einde van de levering van Diensten, en zal bestaande kopieën verwijderen, tenzij verdere opslag van de Persoonsgegevens vereist is door (i) toepasselijke wetgeving van de Europese Unie of haar Lidstaten, met betrekking tot persoonsgegevens die onderworpen zijn aan Europese gegevensbeschermingswetten of (ii) toepasselijke gegevensbeschermingswetten, met betrekking tot alle andere persoonsgegevens. Nitro zal aan dergelijke instructies voldoen zo snel als redelijkerwijs mogelijk is en niet later dan 180 dagen na een dergelijke vervaldatum of beëindiging, tenzij de toepasselijke wetgeving inzake gegevensbescherming opslag vereist. De klant kan ervoor kiezen om een kopie van dergelijke persoonlijke gegevens bij Nitro aan te vragen tegen een extra vergoeding door dit schriftelijk aan te vragen ten minste 30 dagen voorafgaand aan het verstrijken of beëindigen van de overeenkomst. Na instemming van de partijen om dergelijke kosten in rekening te brengen op grond van een werkorder of andere wijziging van de overeenkomst, zal Nitro een dergelijke kopie van dergelijke persoonlijke gegevens verstrekken voordat deze worden verwijderd in overeenstemming met deze clausule.

2. Data Security

(a) Nitro-beveiligingsmaatregelen, controles en assistentie

(i) Nitro-beveiligingshulp . Op schriftelijk verzoek zal Nitro de Klant redelijke hulp bieden die nodig is om de Klant te laten voldoen aan zijn verplichtingen met betrekking tot Persoonsgegevens onder de Europese wetgeving inzake gegevensbescherming, inclusief de artikelen 32 tot en met 34 (inclusief) van de AVG, door (a) het implementeren en onderhouden van de Beveiligingsmaatregelen; (b) voldoen aan de voorwaarden van Sectie 5 (b) (Informatiebeveiligingsincidenten) van de DPA; en (c) het voldoen aan deze bijlage 1 . De Klant erkent en stemt ermee in dat dergelijke maatregelen voldoende zijn om de Klant in staat te stellen aan deze verplichtingen te voldoen.

(ii) Beveiligingsnaleving door Nitro-personeel . Nitro zal ervoor zorgen dat zijn personeel dat geautoriseerd is om toegang te krijgen tot Persoonsgegevens onderworpen is aan gepaste vertrouwelijkheidsverplichtingen.

(b) Beoordelingen en audits van naleving De klant mag de naleving door Nitro van zijn verplichtingen onder deze DPA niet meer dan één keer per kalenderjaar en bij andere gelegenheden die vereist zijn door de Europese gegevensbeschermingswetten, inclusief indien vereist door de toezichthoudende autoriteit van de klant, controleren. Nitro helpt bij dergelijke audits door de klant of de toezichthoudende autoriteit van de klant de informatie en assistentie te verstrekken die redelijkerwijs nodig is om de audit uit te voeren. Als een derde partij de audit moet uitvoeren, kan Nitro bezwaar maken tegen de auditor als de auditor, naar het redelijke oordeel van Nitro, niet onafhankelijk, een concurrent van Nitro of anderszins duidelijk ongeschikt is. Een dergelijk bezwaar door Nitro vereist dat de Klant een andere auditor aanwijst of de audit zelf uitvoert. Om een audit aan te vragen, moet de klant een voorgesteld auditplan indienen bij Nitro ten minste drie ( 3 ) weken voor de voorgestelde auditdatum en elke externe auditor moet een gebruikelijke geheimhoudingsovereenkomst ondertekenen die voor Nitro wederzijds aanvaardbaar is (een dergelijke aanvaarding niet op onredelijke gronden achter te houden) het zorgen voor de vertrouwelijke behandeling van alle informatie die in het kader van de audit wordt uitgewisseld en eventuele rapportages over de resultaten of bevindingen daarvan. Het voorgestelde auditplan moet de voorgestelde reikwijdte, duur en startdatum van de audit beschrijven. Nitro zal het voorgestelde auditplan beoordelen en de Klant voorzien van eventuele zorgen of vragen (bijvoorbeeld elk verzoek om informatie dat de beveiliging, gegevensbescherming, privacy, werkgelegenheid of ander relevant beleid van Nitro in gevaar zou kunnen brengen). Nitro zal samenwerken met de klant om overeenstemming te bereiken over een definitief auditplan. Niets in deze Sectie 2 (b) zal Nitro ertoe verplichten enige geheimhoudingsplicht te schenden. Als de controles of maatregelen die in de gevraagde audit moeten worden beoordeeld, worden behandeld in een SOC 2 Type 2 , ISO of vergelijkbaar auditrapport dat is uitgevoerd door een gekwalificeerde externe auditor en is voltooid binnen twaalf ( 12 ) maanden na de audit van de klant verzoek en Nitro heeft bevestigd dat er geen materiële nadelige wijzigingen zijn opgetreden in de gecontroleerde controles sinds de datum van een dergelijk rapport, stemt de klant ermee in om een dergelijk rapport te accepteren in plaats van een audit van dergelijke controles of maatregelen te vragen. De audit moet worden uitgevoerd tijdens de reguliere kantooruren van Nitro, met inachtneming van het overeengekomen definitieve auditplan en het veiligheids-, beveiligings- en/of ander relevant beleid van Nitro, en mag de zakelijke activiteiten van Nitro niet op onredelijke wijze verstoren. De klant zal Nitro onmiddellijk op de hoogte stellen van elke niet-naleving die tijdens een audit wordt ontdekt en Nitro alle auditrapporten verstrekken die zijn gegenereerd in verband met een audit op grond van dit artikel 2 (b), tenzij verboden door de Europese gegevensbeschermingswetten of anderszins geïnstrueerd door een toezichthoudende autoriteit. De Klant mag de auditrapporten alleen gebruiken om te voldoen aan de wettelijke auditvereisten van de Klant en/of om de naleving van de vereisten van deze DPA te bevestigen. Eventuele audits zijn voor eigen rekening van de Klant. De klant vergoedt Nitro voor alle tijd die Nitro en eventuele derden hebben besteed aan audits of inspecties op grond van dit artikel 2 (b) tegen de dan geldende tarieven voor professionele services van Nitro, die op verzoek aan de klant beschikbaar worden gesteld. De Klant is verantwoordelijk voor alle vergoedingen die in rekening worden gebracht door een auditor die door de Klant is aangesteld om een dergelijke audit uit te voeren.

3. Impact Assessments and Consultations

Nitro zal (rekening houdend met de aard van de Verwerking en de informatie waarover Nitro beschikt) de Klant redelijkerwijs helpen bij het voldoen aan zijn verplichtingen onder Artikelen 35 en 36 van de AVG, door (a) documentatie beschikbaar te stellen die relevante aspecten van Nitro's informatiebeveiligingsprogramma en de daarbij toegepaste beveiligingsmaatregelen en (b) het verstrekken van de overige informatie in de Overeenkomst, inclusief deze DPA.

4. Data Transfers

(a) Gegevensverwerkingsfaciliteiten . Nitro mag, behoudens Sectie 4 (b) (Overdrachten buiten de EER), Persoonsgegevens opslaan en verwerken in de Verenigde Staten of overal waar Nitro of zijn Subverwerkers faciliteiten hebben.

(b) Overdrachten buiten de EER . Als de klant persoonsgegevens vanuit de EER overdraagt aan Nitro in een land dat door de Europese Commissie niet wordt geacht voldoende gegevensbescherming te hebben, is een dergelijke overdracht onderworpen aan de modelcontractbepalingen, waarvan de voorwaarden hierbij in deze DPA zijn opgenomen. Ter bevordering van het voorgaande komen de partijen overeen dat (i) de klant zal optreden als de gegevensexporteur en Nitro zal optreden als de gegevensimporteur onder de modelcontractbepalingen; (ii) voor de doeleinden van Bijlage 1 bij de Modelcontractbepalingen, zijn de categorieën van betrokkenen, gegevens, speciale categorieën van gegevens (indien van toepassing) en de Verwerkingsactiviteiten zoals uiteengezet in Sectie 1 (a) bij deze Bijlage 1 (Onderwerp en details van de verwerking); (iii) voor de toepassing van Bijlage 2 bij de Modelcontractbepalingen, zijn de technische en organisatorische maatregelen de Beveiligingsmaatregelen; (iv) de gegevensimporteur zal op verzoek van de gegevensexporteur de kopieën verstrekken van de subverwerkersovereenkomsten die door de gegevensimporteur aan de gegevensexporteur moeten worden verzonden in overeenstemming met clausule 5 (j) van de standaardcontractbepalingen, en die gegevensimporteur kan of alle commerciële informatie of clausules die geen verband houden met de modelcontractbepalingen of hun equivalent vooraf te redigeren; (v) de audits beschreven in Clausule 5 (f) en Clausule 12 ( 2 ) van de Modelcontractbepalingen worden uitgevoerd in overeenstemming met Sectie 2 (b) van deze Bijlage 1 (Beoordelingen en nalevingscontroles); (vi) De autorisaties van de Klant in Sectie 5 (Subverwerkers) van deze Bijlage 1 vormen de voorafgaande schriftelijke toestemming van de Klant voor het uitbesteden door Nitro van de Verwerking van Persoonsgegevens als dergelijke toestemming vereist is onder Clausule 5 (h) van de modelcontractbepalingen; en (vii) certificering van verwijdering van Persoonsgegevens zoals beschreven in Clausule 12 ( 1 ) van de Modelcontractbepalingen zal worden verstrekt op schriftelijk verzoek van de gegevensimporteur.

Niettegenstaande het voorgaande zijn de modelcontractbepalingen (of verplichtingen die dezelfde zijn als die onder de modelcontractbepalingen) niet van toepassing voor zover een alternatieve erkende nalevingsnorm voor de doorgifte van persoonsgegevens buiten de EER in overeenstemming met de Europese gegevensbeschermingswetten van toepassing is op de overdracht. In het geval van een conflict of inconsistentie tussen (a) deze Bijlage 1 en enige andere bepaling van deze DPA, zal deze Bijlage 1 van toepassing zijn, of (b) de Modelcontractbepalingen en enige andere bepaling van deze Overeenkomst, de Standaardcontractbepalingen zijn van toepassing.

5. Subprocessors

(a) Toestemming voor het inschakelen van een subverwerker . De klant geeft specifiek toestemming voor het inschakelen van aan Nitro gelieerde ondernemingen als subverwerkers en geeft in het algemeen toestemming voor het inschakelen van andere derde partijen als subverwerkers (“ Derde partij subverwerkers ”).

(b) Informatie over Subverwerkers . Informatie over Subprocessors, inclusief hun functies en locaties, is beschikbaar op: https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (zoals van tijd tot tijd kan worden bijgewerkt door Nitro) of dergelijk ander website-adres dat Nitro van tijd tot tijd aan de Klant kan verstrekken (gezamenlijk " Subprocessor-site ").

(c) Vereisten voor het inschakelen van een subverwerker . Bij het inschakelen van een Subverwerker zal Nitro een schriftelijk contract aangaan met een dergelijke Subverwerker met gegevensbeschermingsverplichtingen die niet minder beschermend zijn dan die in deze DPA met betrekking tot Persoonsgegevens voor zover van toepassing op de aard van de diensten die door een dergelijke Subverwerker worden geleverd. Nitro is aansprakelijk voor alle verplichtingen uit hoofde van de Overeenkomst die zijn uitbesteed aan de Subverwerker of zijn handelingen en nalatigheden die daarmee verband houden.

(d) Mogelijkheid om bezwaar te maken tegen wijzigingen in de subverwerker . Wanneer Nitro een nieuwe Derde Subverwerker inschakelt na de ingangsdatum van de Overeenkomst, zal Nitro de Klant op de hoogte stellen van de opdracht (inclusief de naam en locatie van de relevante Subverwerker en de activiteiten die deze zal uitvoeren) door de Subverwerker-site bij te werken of door andere schriftelijke middelen . Als de Klant binnen 15 dagen nadat hij op redelijke gronden met betrekking tot de bescherming van Persoonsgegevens op de hoogte is gesteld van de opdracht door middel van een schriftelijke kennisgeving aan Nitro bezwaar maakt tegen een dergelijke verbintenis, zullen de Klant en Nitro te goeder trouw samenwerken om een wederzijds aanvaardbare oplossing te vinden voor een dergelijk bezwaar aan te pakken. Als de partijen er niet in slagen om binnen een redelijke termijn tot een wederzijds aanvaardbare oplossing te komen, kan de klant, als zijn enige en exclusieve rechtsmiddel, de overeenkomst beëindigen en de services annuleren door Nitro schriftelijk op de hoogte te stellen en Nitro te betalen voor alle verschuldigde en verschuldigde bedragen onder de Overeenkomst per de datum van een dergelijke beëindiging.

(e) Voldoende toestemming . De klant erkent en stemt ermee in dat de voorgaande procedures voldoende zijn om de voorafgaande schriftelijke toestemming van de klant te verkrijgen voor de subverwerking op grond van artikel 28 van de AVG, en voor zover vereist onder clausule 5 (h) van de modelcontractbepalingen.

ANNEX 2 TO DPA CALIFORNIA ANNEX

  1. Voor de doeleinden van deze Bijlage 2 hebben de termen "zakelijk", "commercieel doel", "verkopen" en "serviceprovider" de respectieve betekenis die daaraan wordt gegeven in de CCPA, en "persoonlijke informatie" betekent Persoonsgegevens die persoonlijke informatie die onder de CCPA valt.
  2. Het is de bedoeling van de partijen dat Nitro met betrekking tot persoonlijke informatie een dienstverlener is. Nitro zal (a) geen persoonlijke informatie verkopen; (b) persoonlijke informatie bewaren, gebruiken of openbaar maken voor enig ander doel dan het specifieke doel van het leveren van de Services, inclusief het bewaren, gebruiken of openbaar maken van de persoonlijke informatie voor een ander commercieel doel dan het leveren van de Services; of (c) de persoonlijke informatie bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen Nitro en de klant. Nitro verklaart hierbij dat het zijn verplichtingen onder deze Sectie 2 begrijpt en deze zal naleven.
  3. De partijen erkennen dat de bewaring, het gebruik en de openbaarmaking door Nitro van persoonlijke informatie die is geautoriseerd door de instructies van de klant die zijn gedocumenteerd in de DPA, een integraal onderdeel zijn van de levering van de diensten door Nitro en de zakelijke relatie tussen de partijen.

ANNEX 3 TO DPA SECURITY MEASURES

De bescherming van informatie is het belangrijkste doel van informatiebeveiliging, dat wordt bereikt door het implementeren van een geschikte set controles, inclusief organisatiestructuren, beleid en procedures, processen en technische IT-controles. Deze controles moeten worden ontworpen, geïmplementeerd, gecontroleerd, beoordeeld en verbeterd om ervoor te zorgen dat de informatiemiddelen van Nitro en zijn gelieerde ondernemingen, zijn partners of klanten te allen tijde veilig zijn. Zie Technische Organisatorische Maatregelen