Voorwaarden en beleid

VK AVG-addendum voor gegevensverwerking

DIT ADDENDUM VOOR GEGEVENSVERWERKING IS VAN TOEPASSING ALS U ZICH ALS ZAKELIJKE KLANT HEBT AANGEMELD VOOR NITRO SERVICES ONDER DE SERVICEVOORWAARDEN VAN NITRO EN DE Britse AVG IS VAN TOEPASSING OP DE VERWERKING VAN PERSOONLIJKE GEGEVENS IN DE CONTEXT VAN DE OVEREENKOMST. ALS U U ALS INDIVIDU HEBT AANGEMELD, GA DAN NAAR HET PRIVACYBELEID VAN NITRO VOOR MEER INFORMATIE OVER HOE NITRO UW PERSOONLIJKE GEGEVENS VERWERKT.

1. Domein; Rollen van de partijen

Nitro zal Persoonsgegevens ontvangen en verwerken ten behoeve van en namens de Klant bij het verlenen van de Service, volgens de instructies en het doel dat door de Klant is gedefinieerd in de Gegevensverwerkingsdetails. Met dit Addendum Gegevensverwerking willen Partijen hun specifieke afspraken vastleggen met betrekking tot de verwerking van Persoonsgegevens in het kader van de Overeenkomst.

Standaard treedt Nitro op als Verwerker en treedt de Klant op als Verwerkingsverantwoordelijke met betrekking tot de Diensten die door Nitro aan de Klant worden geleverd in overeenstemming met de Servicevoorwaarden van Nitro. Dit Addendum Gegevensverwerking vervangt en vervangt alle eerdere overeenkomsten die (indien van toepassing) zijn gemaakt met betrekking tot de verwerking van Persoonsgegevens en gegevensbescherming tussen de Partijen met betrekking tot de Diensten die door Nitro worden aangeboden.

Dit Addendum voor Gegevensverwerking vormt een aanvulling op en maakt deel uit van de Servicevoorwaarden, en samen vormen de Servicevoorwaarden en dit Addendum voor Gegevensverwerking één enkele juridische overeenkomst tussen de Partijen. In geval van discrepanties of tegenstrijdigheden tussen dit Addendum voor gegevensverwerking en de Servicevoorwaarden, prevaleert het Addendum voor gegevensverwerking.

2 . Definities

“Bijlage” betekent elke bijlage bij dit Addendum Gegevensverwerking;

“Verwerkingsverantwoordelijke” verwijst naar de Klant zoals geïdentificeerd in de Servicevoorwaarden en het toepasselijke Bestelformulier;

“Gegevensverwerkingsdetails” betekent Bijlage 1 bij dit Addendum Gegevensverwerking, die meer details bevat over de instructies van de Klant over de verwerking van Persoonsgegevens, zoals het doel, het voorwerp en de aard van de verwerking en het soort Persoonsgegevens dat wordt verwerkt;

“EU AVG” betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende de vrije verplaatsing van dergelijke gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

“Persoonlijke gegevens” betekent persoonlijke gegevens zoals gedefinieerd onder de Britse AVG die Nitro verwerkt ten behoeve en namens de Klant bij het leveren van de Services volgens de instructies en het doel dat door de Klant is gedefinieerd in de Gegevensverwerkingsdetails;

“Verwerker” verwijst naar Nitro Software Inc., leverancier van de Services aan de Klant en zoals geïdentificeerd in de Servicevoorwaarden;

“Lijst van subverwerkers” verwijst naar de lijst van subverwerkers zoals online beschikbaar gesteld door Nitro, met inbegrip van de subverwerkers die door Nitro zijn ingeschakeld voor het leveren van de Diensten en het nakomen van Nitro's verplichtingen onder de Overeenkomst in het algemeen. Nitro kan de Lijst van subverwerkers van tijd tot tijd bijwerken volgens het proces dat is uiteengezet in dit Addendum voor gegevensverwerking;

“Subverwerker” betekent elke externe verwerker die door Nitro is ingeschakeld voor de verwerking van Persoonsgegevens met betrekking tot de levering van de Diensten aan de Klant;

'Britse AVG' betekent de EU-AVG zoals omgezet in de nationale wetgeving van Groot-Brittannië op grond van artikel 3 van de Europese Terugtrekkingswet 2018 en zoals gewijzigd door de Gegevensbescherming, Privacy en Elektronische Communicatie (Wijzigingen enz.) (EU-exit ) Voorschriften 2019 (zoals gewijzigd);

“Britse Persoonsgegevens” betekent Persoonsgegevens waarop de Britse AVG van toepassing is;

'Britse standaardcontractbepalingen' betekent het Addendum voor internationale gegevensoverdracht bij de standaardcontractbepalingen van de Europese Commissie, uitgegeven door de Information Commissioner onder Sectie 119A(1) van de Data Protection Act 2018, in de vorm en op de manier die is vastgelegd in bijlage 2 bij dit Addendum voor gegevensverwerking.

Alle andere termen en definities die met hoofdletters zijn geschreven en die niet uitdrukkelijk in dit Addendum voor gegevensverwerking zijn gedefinieerd, worden gedefinieerd zoals uiteengezet in de toepasselijke wetgeving inzake gegevensbescherming of de Servicevoorwaarden van Nitro.

3. Voorwerp van dit Addendum voor gegevensverwerking

3.1 Dit Addendum Gegevensverwerking bepaalt de voorwaarden voor de verwerking door Nitro van Persoonsgegevens die door of op initiatief van de Klant worden gecommuniceerd in het kader van de Overeenkomst. De aard en het doel van de verwerking, een lijst en het soort Persoonsgegevens, evenals de categorieën van de Betrokkenen, zijn vermeld in de Gegevensverwerkingsdetails (Bijlage 1).  

3.2 De verwerking vindt uitsluitend plaats ten behoeve van de Klant en voor het doel zoals gedefinieerd door de Klant in de Gegevensverwerkingsdetails. Nitro zal de Klant onmiddellijk op de hoogte stellen als een instructie naar zijn mening in strijd is met de toepasselijke wetgeving inzake gegevensbescherming. Nitro zal de Persoonsgegevens alleen verwerken volgens de gedocumenteerde instructies van de Klant en zal deze Persoonsgegevens niet voor eigen doeleinden gebruiken, tenzij uitdrukkelijk toegestaan in de Servicevoorwaarden. Indien Nitro wettelijk verplicht is om door te gaan met de verwerking van Persoonsgegevens, zal Nitro, tenzij dit in strijd zou zijn met toepasselijke dwingende regels, de Klant op de hoogte stellen van een dergelijke verplichting.  

4. Termijn

4.1 Dit Addendum voor gegevensverwerking is van toepassing op alle verwerkingen van Persoonsgegevens die worden uitgevoerd in de context van het leveren van de Services aan de Klant door Nitro en is van toepassing zolang Nitro Persoonsgegevens namens de Klant verwerkt in de context van de Overeenkomst. . Dit Addendum voor Gegevensverwerking vormt een aanvulling op de Servicevoorwaarden van Nitro en is bedoeld om ervoor te zorgen dat de Partijen voldoen aan de vereisten die worden opgelegd door de toepasselijke wet- en regelgeving inzake gegevensbescherming voor het gebruik van de Services door de Klant. 

4.2 Dit Addendum voor gegevensverwerking eindigt automatisch bij beëindiging van de Overeenkomst (of op het moment dat de verwerking door Nitro wordt beëindigd). De bepalingen van dit Addendum Gegevensverwerking die expliciet of impliciet (gezien hun aard) bedoeld zijn om van kracht te worden na beëindiging van het Addendum Gegevensverwerking blijven van kracht na het einde van de Overeenkomst met betrekking tot de Persoonsgegevens die zijn meegedeeld door of op initiatief van de Klant in het kader van de Overeenkomst.  

5. Technische en organisatorische maatregelen

5.1 Nitro biedt adequate garanties met betrekking tot de implementatie van passende technische en organisatorische maatregelen (“TOM's”) om een veilige verwerking van Persoonsgegevens te garanderen en zo de bescherming van de rechten van de Betrokkene te garanderen. De door Nitro geïmplementeerde TOM's zijn zoals uiteengezet in de Gegevensverwerkingsdetails. De TOM's kunnen van tijd tot tijd door Nitro worden bijgewerkt, maar Nitro zal ervoor zorgen dat de algehele beveiliging die het heeft geïmplementeerd op het moment dat het Addendum voor gegevensverwerking wordt uitgevoerd, niet wordt verlaagd. De Klant erkent dat de TOM’s geschikt zijn voor de verwerking van zijn Persoonsgegevens op het moment van ondertekening of aanvaarding van dit Addendum Gegevensverwerking.   

5.2 Nitro zal alle passende technische en organisatorische maatregelen nemen zoals bedoeld in artikel 32 Britse AVG om een passend beveiligingsniveau te garanderen dat past bij het risico. 

5.3 Indien de Klant gevoelige Persoonsgegevens zoals bedoeld in de artikelen 9 en 10 Britse AVG aan Nitro verstrekt in de context van de Overeenkomst, zal de Klant Nitro hiervan schriftelijk op de hoogte stellen via privacy@gonitro.com

5.4 In het geval dat de Klant vraagt om specifieke technische en organisatorische maatregelen die door Nitro moeten worden geïmplementeerd (die Nitro niet standaard heeft geïmplementeerd), zal de Klant Nitro vergoeden voor het implementeren van dergelijke aanvullende maatregelen in overeenstemming met Paragraaf 14 'Kosten' van dit document. Addendum voor gegevensverwerking. 

5.5 Naleving door Nitro van een goedgekeurde gedragscode zoals bedoeld in artikel 40 Britse AVG, of een goedgekeurd certificeringsmechanisme zoals bedoeld in artikel 42 Britse AVG, kan worden gebruikt als bewijs van voldoende garanties waarnaar wordt verwezen in de Britse AVG. 

6. Behoud

6.1 Nitro bewaart Persoonsgegevens niet langer dan nodig is voor de verwerking van dergelijke Persoonsgegevens in het kader van de Overeenkomst. De Klant zal Nitro geen opdracht geven om Persoonsgegevens langer te bewaren dan noodzakelijk. De toepasselijke bewaartermijn (zoals gedefinieerd door de Klant) wordt uiteengezet in de Gegevensverwerkingsdetails. 

6.2 Naar keuze van de Klant zal Nitro alle Persoonsgegevens verwijderen of teruggeven aan de Klant na het einde van de dienstverlening en bestaande kopieën verwijderen, tenzij de toepasselijke wetgeving opslag van de Persoonsgegevens vereist. De Klant erkent dat de Diensten mogelijk downloadfunctionaliteiten bevatten waarover de Klant beschikt, zodat de Klant zijn gegevens kan downloaden. Voor zover dergelijke functionaliteiten beschikbaar zijn, zal de Klant deze functionaliteiten gebruiken om zijn gegevens op te halen of te verwijderen. 

7. Vertrouwelijkheid

7.1 Partijen zijn in de Servicevoorwaarden een vertrouwelijkheidsclausule overeengekomen die van toepassing is op de verwerking van Persoonsgegevens in het kader van de Overeenkomst.  

7.2 Nitro erkent en stemt ermee in dat alleen de werknemers, contractanten of agenten van Nitro die betrokken zijn bij de verwerking van Persoonsgegevens over de Persoonsgegevens kunnen worden geïnformeerd, en alleen voor zover dit redelijkerwijs noodzakelijk is voor de uitvoering van de Overeenkomst. Nitro zorgt ervoor dat personen die bevoegd zijn om de Persoonsgegevens te verwerken, contractueel gebonden zijn aan vertrouwelijkheid of een passende wettelijke geheimhoudingsplicht hebben. 

8 . Rechten van betrokkenen

8.1 Rekening houdend met de aard van de verwerking zal Nitro alle redelijke inspanningen leveren, door passende technische en organisatorische maatregelen te nemen, om de Klant te helpen bij het nakomen van zijn verplichting om te reageren op verzoeken van Betrokkenen. 

8.2 Voor alle hulp die door Nitro wordt verleend in de context van de behandeling van dergelijke verzoeken van Betrokkenen, zal de Klant Nitro vergoeden in overeenstemming met Paragraaf 14 'Kosten' van dit Addendum Gegevensverwerking. Een dergelijke terugbetaling door de Klant is niet van toepassing (i) in het geval dat de Betrokkene een beroep doet op zijn rechten vanwege een Inbreuk in verband met Persoonsgegevens waarvan bewezen is dat deze toe te schrijven is aan Nitro of (ii) in het geval dat dergelijke assistentie door Nitro niet langer duurt dan vier (4) uur. van werkzaamheden gedurende de looptijd van de Overeenkomst. 

9. Meldingsplicht

9.1 Wanneer Nitro zich bewust wordt van een Inbreuk in verband met Persoonsgegevens, zal Nitro de Klant hiervan zonder onnodige vertraging op de hoogte stellen door contact op te nemen met de contactpersoon die is vermeld in de Overeenkomst of het relevante Bestelformulier (of via het e-mailadres voor kennisgeving van de Klant of (indien van toepassing) een ander e-mailadres dat de Klant in het beheerportaal heeft gedeeld als privacycontact). Nitro's contactpersoon voor alle gegevensbeschermingsgerelateerde zaken kunt u per e-mail bereiken: privacy@gonitro.com

9.2 Op verzoek van de Klant zal Nitro de Klant informeren over eventuele nieuwe ontwikkelingen met betrekking tot een Inbreuk in verband met Persoonsgegevens en over de maatregelen die zijn genomen om de gevolgen ervan te beperken en herhaling van een dergelijke Inbreuk in verband met Persoonsgegevens te voorkomen. Het is de verantwoordelijkheid van de Klant om, indien nodig, een Inbreuk in verband met Persoonsgegevens te melden aan de Toezichthoudende Autoriteit of de Betrokkene(n).  

10. Subverwerking

10.1 De Klant geeft Nitro uitdrukkelijk toestemming om Subverwerkers in te schakelen voor de verwerking van Persoonsgegevens voor de uitvoering van de Overeenkomst en om de levering van de Services in het algemeen te vergemakkelijken. In zoverre verleent de Klant een algemene schriftelijke toestemming aan Nitro om te beslissen met welke Subverwerker(s) Nitro samenwerkt voor de nakoming van zijn verplichtingen onder de Overeenkomst. Nitro publiceert een Lijst met Subverwerkers waarin wordt verwezen naar de Subverwerkers die door Nitro zijn ingeschakeld.  

10.2 Nitro zal de Klant op de hoogte stellen van eventuele voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van Subverwerkers door contact op te nemen met de contactpersoon die is vermeld in de Overeenkomst of het relevante Bestelformulier (of via het e-mailadres voor kennisgeving van de Klant of (indien van toepassing) een ander e-mailadres dat de Klant heeft gedeeld in het admin-portaal als privacycontact). De Klant heeft het recht bezwaar te maken tegen de toevoeging of vervanging door zich schriftelijk tot Nitro te wenden. Partijen zullen in dat geval de aanvulling, vervanging of het alternatief te goeder trouw en zo snel als redelijkerwijs mogelijk na het schriftelijke bezwaarschrift van de Klant bespreken. 

10.3 Wanneer Nitro een subverwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten, worden dezelfde of vergelijkbare gegevensbeschermingsverplichtingen zoals uiteengezet in dit Addendum voor gegevensverwerking aan die subverwerker opgelegd door middel van een schriftelijke overeenkomst, met name door te voorzien voldoende garanties om passende technische en organisatorische maatregelen te treffen (en te voldoen aan de relevante technische en organisatorische maatregelen). Wanneer een subverwerker zijn verplichtingen op het gebied van gegevensbescherming niet nakomt, blijft Nitro volledig aansprakelijk jegens de Klant voor de nakoming van de verplichtingen van die subverwerker.  

11. Internationale gegevensoverdrachten

11.1 De Klant erkent dat Nitro is gevestigd in de Verenigde Staten van Amerika en geeft daarmee toestemming voor internationale overdracht van persoonlijke gegevens met het oog op het leveren van de Services. Een dergelijke internationale gegevensoverdracht wordt beschouwd als een instructie van de Klant. 

11.2 Indien, op enig moment tijdens de looptijd van dit Addendum voor gegevensverwerking, (i) Nitro is gecertificeerd onder de Britse uitbreiding van het EU-VS Data Privacy Framework (ook bekend als de Brits-Amerikaanse ‘databrug’) (“ Kader"); en (ii) dat het Raamwerk een geldig adequaatheidsbesluit vormt voor de doeleinden van artikel 45 Britse AVG, erkennen de Partijen dat er geen passende waarborgen vereist zijn met betrekking tot overdrachten tussen de Klant en Nitro.  

11.3 Waar de voorwaarden uiteengezet in artikel 11.2 niet van toepassing zijn, gaan de partijen de Britse standaardcontractbepalingen aan in de vorm en op de wijze zoals uiteengezet in bijlage 2 bij dit Addendum voor gegevensverwerking, waarbij dergelijke Britse standaardcontractbepalingen zijn opgenomen in en deel uitmaken van dit Addendum voor gegevensverwerking. .   

11.4 De Klant erkent dat Subverwerkers die geautoriseerd zijn op grond van clausule 10 ook Persoonsgegevens in derde landen mogen verwerken. De Klant staat dergelijke overdrachten toe, op voorwaarde dat Nitro alle stappen onderneemt die nodig zijn om ervoor te zorgen dat dergelijke overdrachten voldoen aan de bepalingen van Hoofdstuk V van de Britse AVG en andere toepasselijke wetgeving inzake gegevensbescherming.  

11.5 Indien de overdracht van Persoonsgegevens naar een derde land of een internationale organisatie verplicht is op grond van de toepasselijke wetgeving waaraan Nitro onderworpen is, mag Nitro een dergelijke overdracht uitvoeren en zal Nitro de Klant vóór een dergelijke Verwerking op de hoogte stellen van die wettelijke vereiste, tenzij die wet dergelijke informatie verbiedt om belangrijke redenen van openbaar belang. 

12. Gegevensbeschermingseffectbeoordeling en voorafgaand overleg

12.1 Als de Klant een Data Protection Impact Assessment ('DPIA') (artikel 35 Britse AVG) of voorafgaand overleg (artikel 36 Britse AVG) uitvoert in verband met de verwerking van Persoonsgegevens in de context van de uitvoering van de Overeenkomst, zal Nitro de Klant redelijkerwijs assisteren door assistentie te verlenen op schriftelijk verzoek van de Klant. De Klant vergoedt Nitro voor de verleende hulp overeenkomstig Paragraaf 14 “Kosten” van dit Addendum Gegevensverwerking. Een dergelijke vergoeding van kosten is niet van toepassing in het geval (i) de hulp die van Nitro wordt gevraagd minder dan vier (4) werkuren bedraagt tijdens de looptijd van de Overeenkomst, of (ii) de DPIA of voorafgaand overleg wordt geactiveerd door een Persoonsgegevensprobleem. De inbreuk is bewezen toe te schrijven aan Nitro. 

13. Auditrecht

13.1 De Klant heeft het recht om audits uit te voeren met betrekking tot de naleving door Nitro van zijn verplichtingen onder dit Addendum voor Gegevensverwerking en de toepasselijke wetgeving inzake gegevensbescherming. Nitro zal redelijke inspanningen leveren om mee te werken aan dergelijke audits en om alle informatie beschikbaar te stellen die nodig is om aan te tonen dat hij aan zijn verplichtingen voldoet. De Klant zal Nitro ten minste één (1) maand vóór de datum waarop de audit zal worden uitgevoerd, op de hoogte stellen van een dergelijke audit, door Nitro hiervan schriftelijk op de hoogte te stellen via privacy@gonitro.com.  

13.2 Als er een audit wordt uitgevoerd, moeten alle betrokken partijen eerst een specifieke geheimhoudingsovereenkomst ondertekenen, uitgegeven door Nitro, met betrekking tot een dergelijke audit en de auditresultaten vóór aanvang van de audit. Bij de uitvoering van een dergelijke audit moet rekening worden gehouden met de vertrouwelijkheidsverplichtingen van de Partijen ten opzichte van derden. Zowel de Partijen als hun auditors moeten de informatie die wordt verzameld in verband met een audit geheim houden en deze uitsluitend gebruiken om de naleving van dit Addendum Gegevensverwerking en de toepasselijke wet- en regelgeving met betrekking tot gegevensbescherming te verifiëren. De Klant heeft de mogelijkheid om de audit zelf uit te voeren of om een onafhankelijke auditor aan te wijzen, maar deze onafhankelijke auditor moet de geheimhoudingsovereenkomst waarnaar in dit artikel wordt verwezen, naar behoren ondertekenen. 

13.3 Beide Partijen en, indien van toepassing, hun vertegenwoordigers, zullen op verzoek redelijkerwijs samenwerken met de Toezichthoudende Autoriteit bij de uitvoering van haar taken.  

13.4 De Klant zal Nitro vergoeden voor de hulp die Nitro biedt met betrekking tot audit(s) in overeenstemming met Sectie 14 'Kosten' van dit Addendum voor gegevensverwerking. Met dien verstande dat een dergelijke vergoeding niet van toepassing is in het geval (i) de audit het resultaat is van een Inbreuk in verband met Persoonsgegevens waarvan bewezen is dat deze aan Nitro kan worden toegeschreven of (ii) in het geval dat de hulp van Nitro niet langer duurt dan vier (4) werkuren tijdens de looptijd van de Overeenkomst. 

14. Kosten

14.1 De op grond van dit Addendum voor gegevensverwerking uit te voeren assistentie waarvoor Nitro de Klant kosten in rekening kan brengen, wordt in rekening gebracht op basis van de gewerkte uren en de toepasselijke standaarduurtarieven van Nitro (exclusief USD 295/uurbelasting). Nitro factureert deze bedragen maandelijks, maar heeft tevens het recht om vooraf een voorschot te vragen.  

14.2 De betaling door de Klant aan Nitro voor de hulp en professionele diensten die door Nitro worden geleverd onder dit Addendum voor gegevensverwerking vindt plaats in overeenstemming met de bepalingen in de Servicevoorwaarden.  

15. Betrouwbaarheid

15.1 Behoudens voor zover toegestaan onder de toepasselijke wetgeving, zijn de bepalingen van de Servicevoorwaarden met betrekking tot de beperking van aansprakelijkheid ook van toepassing op dit Addendum voor gegevensverwerking en de daaruit voortvloeiende schade. 

16 . Diversen

16.1 De bepalingen van de Servicevoorwaarden met betrekking tot wijzigingen, volledige overeenkomst, scheidbaarheid, toepasselijk recht en bevoegde rechtbanken zijn van toepassing op dit Addendum voor gegevensverwerking. In geval van discrepanties of tegenstrijdigheden tussen dit Addendum voor gegevensverwerking en de Britse standaardcontractbepalingen, indien van toepassing, prevaleren de Britse standaardcontractbepalingen. 

Bijlage 1 - Details gegevensverwerking

A. LIJST VAN PARTIJEN

  1. Gegevensexporteur(s): 

Naam: Klant, zoals geïdentificeerd in de Overeenkomst en het relevante Bestelformulier.
Adres: Het adres van de gegevensexporteur staat vermeld in de Overeenkomst en het relevante Bestelformulier.

Naam, functie en contactgegevens contactpersoon: De contactgegevens van de contactpersoon voor de gegevensexporteur zijn ingesteld. in de Overeenkomst, het relevante Bestelformulier (en, indien van toepassing, het beheerportaal van de Klant).

Activiteiten die relevant zijn voor de overgedragen gegevens: De activiteiten die relevant zijn voor de gegevens die worden overgedragen onder deze Britse standaardcontractbepalingen worden hieronder beschreven in Deel B “Beschrijving van verwerking/overdracht”.

Handtekening en datum: Door het relevante Bestelformulier te ondertekenen of te accepteren, wordt de gegevensexporteur geacht deze Bijlage I te hebben ondertekend.

Rol (verwerkingsverantwoordelijke/verwerker): Verwerkingsverantwoordelijke

1. Gegevensimporteur(s): 
Naam: Nitro Software Inc.

Adres: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.

Naam, functie en contactgegevens van de contactpersoon: privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.

Activiteiten die relevant zijn voor de overgedragen gegevens: De activiteiten die relevant zijn voor de gegevens die worden overgedragen onder deze Britse standaardcontractbepalingen worden hieronder beschreven in Deel B “Beschrijving van verwerking/overdracht”.

Handtekening en datum: Door het relevante Bestelformulier te ondertekenen of te accepteren, wordt de gegevensimporteur geacht deze Bijlage I te hebben ondertekend.

Rol (verwerkingsverantwoordelijke/verwerker): Verwerker

B. BESCHRIJVING VAN VERWERKING/OVERDRACHT

  1. ONDERWERP VAN DE VERWERKING VAN DE PERSOONLIJKE GEGEVENS 

Het onderwerp wordt door de Klant bepaald zoals uiteengezet in de Overeenkomst en het relevante Bestelformulier.

  1. DE AARD EN DOEL VAN DE VERWERKING VAN PERSOONSGEGEVENS  

De aard en het doel van de verwerking worden door de Klant bepaald zoals uiteengezet in de Overeenkomst en het relevante Bestelformulier.
Standaard heeft een dergelijke verwerking tot doel de Diensten, inclusief al zijn kenmerken en functionaliteiten, beschikbaar te stellen aan de Klant en zijn Gebruikers en meer in het algemeen om Nitro in staat te stellen zijn contractuele verplichtingen onder de Overeenkomst na te komen. Een dergelijk doel kan het beschikbaar stellen van de Cloud Services zijn (bijvoorbeeld maar niet beperkt tot het beschikbaar stellen van het cloudportaal voor klanten, diensten voor elektronische ondertekening, analysediensten etc.) en het verlenen van Ondersteuning.

De aard van de verwerking omvat, naast andere instructies die door de Klant in de Overeenkomst en het relevante Bestelformulier worden gegeven, de verwerking, verzameling, opslag, communicatie en overdracht van Persoonsgegevens.

  1. PERSOONLIJKE GEGEVENS VERWERKT 

Afhankelijk van de functionaliteiten die binnen de Diensten worden gebruikt (bijvoorbeeld beheerdersportaal, diensten voor elektronische ondertekening, analysediensten enz.) en de inhoud van de Klantgegevens die door de Klant en zijn Gebruikers naar de Diensten zijn geüpload, verwerkt Nitro verschillende soorten Persoonsgegevens.

Over het algemeen omvatten de door Nitro verwerkte Persoonsgegevens, zonder beperking:

  • Identificatiegegevens (bijvoorbeeld Gebruiker- en gebruiksgegevens) 
  • Documentgegevens (bijvoorbeeld Persoonsgegevens opgenomen in verwerkte PDF-documenten) 

Een gedetailleerd overzicht van het soort Persoonsgegevens dat wordt verwerkt bij het gebruik van de Diensten is beschikbaar via Nitro's Trust Center: Verwerking van Persoonsgegevens

  1. GEVOELIGE DATA 

De gegevensexporteur kan gevoelige Persoonsgegevens opnemen in de persoonsgegevens in overeenstemming met Sectie 5.3 van dit Addendum voor gegevensverwerking. Overgedragen gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de daaraan verbonden risico’s, zoals bijvoorbeeld strikte doelbinding, toegangsbeperkingen (inclusief toegang alleen voor personeel dat een gespecialiseerde opleiding heeft gevolgd), het bewaren een registratie van toegang tot de gegevens, beperkingen voor verdere overdracht of aanvullende beveiligingsmaatregelen: er wordt verwezen naar de TOM's zoals vermeld of waarnaar wordt verwezen in de Gegevensverwerkingsdetails hieronder.

  1. CATEGORIE VAN BETROKKENEN 

De volgende categorieën Betrokkenen vallen standaard onder het bereik:

  • Alle Gebruikers die toegang hebben tot de Diensten (inclusief beheerders, algemene gebruikers of uitgenodigde gebruikers zoals ondertekenaars). 
  • Alle Betrokkenen die zijn opgenomen in de Klantgegevens die door de Klant of zijn Gebruikers naar de Diensten zijn geüpload.  

De Klant bevestigt dat deze Betrokkenen standaard in een van de volgende categorieën worden beschouwd:

  • Het personeel van de klant 
  • Klanten van de klant  
  • De vooruitzichten van de klant 
  • Leveranciers van de klant 

SUB-VERWERKERS 

Nitro schakelt Subverwerkers in om ervoor te zorgen dat alle functionaliteiten binnen de Diensten beschikbaar zijn. Welke Subverwerkers van toepassing zijn, hangt af van het gebruik van de Diensten en de door Klant gevraagde functionaliteiten en inrichting. Een gedetailleerd overzicht van de door Nitro ingeschakelde subverwerkers (inclusief de procedure die wij hanteren bij het inschakelen van nieuwe subverwerkers) is beschikbaar via ons Vertrouwenscentrum: Subverwerkers en Onderaannemers

  1. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN (TOM’s) 

Nitro implementeert passende technische en organisatorische maatregelen om een adequate beveiliging te garanderen bij het gebruik van de Diensten. Wij actualiseren deze maatregelen voortdurend. Een gedetailleerd overzicht van de genomen maatregelen is beschikbaar via ons Vertrouwenscentrum op onze sectie Beveiliging: Informatiebeveiliging en in ons Informatiebeveiligingsbeleid. Ons Trust Center vermeldt ook de certificeringen die Nitro bezit in de sectie Compliance: Compliance.

  1. BEWAARTERMIJN 

Nitro bewaart Persoonsgegevens niet langer dan nodig is voor het verlenen van de Diensten. Afhankelijk van de Diensten en de functionaliteiten waar u als Klant gebruik van maakt, kunnen de toepasselijke bewaartermijn(en) verschillen. Elke klant kan Nitro verzoeken om specifieke bewaartermijnen op zijn omgeving te configureren (voor zover dit technisch haalbaar is).

Indien er geen specifieke bewaartermijnen zijn geconfigureerd, worden Persoonsgegevens standaard door Nitro bewaard tot verwijdering door de Klant of tot beëindiging van de Overeenkomst tussen Nitro en de Klant (plus maximaal 30 dagen), afhankelijk van welke van beide situaties zich het eerst voordoet. Een gedetailleerd overzicht van de bewaartermijnen is beschikbaar via ons Vertrouwenscentrum: Verwerking van Persoonsgegevens

  1. FREQUENTIE VAN INTERNATIONALE OVERDRACHTEN 

Op doorlopende basis, indien nodig om de Diensten aan de Klant te leveren.

Bijlage 2 - Britse standaardcontractbepalingen

Addendum voor internationale gegevensoverdracht bij de standaardcontractbepalingen van de Europese Commissie

VERSIE B1.0, van kracht 21 maart 2022

Dit Addendum is uitgegeven door de Information Commissioner voor partijen die beperkte overdrachten uitvoeren. De Information Commissioner is van mening dat hij passende waarborgen biedt voor beperkte overdrachten wanneer deze wordt aangegaan als een juridisch bindend contract.

Deel 1: Tabellen

Tabel 1: Partijen

Begin datum 

De datum van het Addendum Gegevensverwerking 

De feestjes 

Exporteur (die de beperkte overdracht verzendt) 

Klant 

Importeur (die de beperkte overdracht ontvangt) 

Nitro 

Gegevens van partijen 

Volledige wettelijke naam: Klant, zoals geïdentificeerd in de Overeenkomst en het relevante Bestelformulier.  

Handelsnaam (indien verschillend):       

Hoofdadres (indien een bedrijfsregistratieadres): Het adres van de gegevensexporteur staat vermeld in de Overeenkomst en het relevante Bestelformulier.  

Officieel registratienummer (indien van toepassing) (bedrijfsnummer of soortgelijke identificatie): Zoals vermeld in de Overeenkomst en het relevante Bestelformulier, of anderszins N.v.t.  

Volledige wettelijke naam: Nitro Software Inc. 

Handelsnaam (indien verschillend):       

Hoofdadres (indien een geregistreerd bedrijfsadres): 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten. 

Officieel registratienummer (indien aanwezig) (bedrijfsnummer of soortgelijke identificatie): n.v.t 

Sleutel contact 

Volledige naam (optioneel): De volledige naam van de contactpersoon voor de gegevensexporteur staat vermeld in de Overeenkomst en het relevante Bestelformulier.  

Functie: De functie van de contactpersoon voor de gegevensexporteur staat vermeld in de Overeenkomst en het relevante Bestelformulier.  

Contactgegevens inclusief e-mail: De contactgegevens van de contactpersoon van de gegevensexporteur staan vermeld in de Overeenkomst en het relevante Bestelformulier. 

privacy@gonitro.com   
Nitro Software Inc.  
447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten. 


Handtekening (indien vereist voor de doeleinden van Sectie2) 

Niet vereist – deze bijlage 2 maakt deel uit van en is opgenomen in het Addendum voor gegevensverwerking 

Niet vereist – deze bijlage 2 maakt deel uit van en is opgenomen in het Addendum voor gegevensverwerking 

Tabel 2: Geselecteerde SCC's, modules en geselecteerde clausules

Addendum EU-SCC's 

De versie van de goedgekeurde EU SCC's waaraan dit addendum is toegevoegd, hieronder gedetailleerd, inclusief de bijlage-informatie: 

Datum:        

Referentie (indien aanwezig):        

Andere identificatie (indien van toepassing):        

Of 

de Goedgekeurde EU-VCA's, inclusief de Bijlage-informatie en waarbij alleen de volgende modules, clausules of optionele bepalingen van de Goedgekeurde EU-VCA's van kracht zijn geworden voor de doeleinden van dit Addendum:  

Module 

Module in bedrijf 

Clausule 7 (dockingclausule) 

Clausule 11  
(Keuze) 

Clausule 9a (Vorige autorisatie of algemene autorisatie) 

Clausule 9a (Termijn) 

Worden de van de importeur ontvangen persoonsgegevens gecombineerd met door de exporteur verzamelde persoonsgegevens? 

1 .

 

 

2 .

Niet toepasbaar 

Niet toepasbaar 

Algemene machtiging 

30 dagen 

Nee 

3 .

4 .

Tabel 3: Bijlage-informatie

“Bijlage-informatie” betekent de informatie die moet worden verstrekt voor de geselecteerde modules zoals uiteengezet in de Bijlage van de Goedgekeurde EU SCC’s (anders dan de Partijen), en die voor dit Addendum is uiteengezet in:


Bijlage 1A: Lijst van partijen: Zie tabel 1 hierboven. 

Bijlage 1B: Beschrijving van de overdracht: Zie bijlage 1 bij dit Addendum voor gegevensverwerking. 

Bijlage II: Technische en organisatorische maatregelen, inclusief technische en organisatorische maatregelen om de veiligheid van de gegevens te garanderen: Zie clausule 5 bij dit Addendum voor gegevensverwerking. 

Bijlage III: Lijst van subverwerkers (alleen modules 2 en 3 ): Zie clausule 10.1 bij dit Addendum voor gegevensverwerking. 

Tabel 4: Dit addendum wordt beëindigd wanneer het goedgekeurde addendum verandert

Dit addendum beëindigen wanneer het goedgekeurde addendum verandert 

Welke partijen kunnen dit Addendum beëindigen zoals uiteengezet in Artikel 19: 

Importeur 

Exporteur 

Geen een van de partijen 

Deel 2: Verplichte clausules

Het aangaan van dit Addendum

  1. Elke Partij stemt ermee in gebonden te zijn aan de voorwaarden uiteengezet in dit Addendum, in ruil voor het feit dat de andere Partij er eveneens mee instemt gebonden te zijn aan dit Addendum. 
  2. Hoewel Bijlage 1A en Clausule 7 van de Goedgekeurde EU SCC's ondertekening door de Partijen vereisen, kunnen de Partijen, met het oog op het uitvoeren van Beperkte Overdrachten, dit Addendum aangaan op elke manier die ze juridisch bindend maakt voor de Partijen en het mogelijk maakt betrokkenen om hun rechten zoals uiteengezet in dit Addendum af te dwingen. Het aangaan van dit Addendum zal hetzelfde effect hebben als het ondertekenen van de Goedgekeurde EU-VCA’s en enig deel van de Goedgekeurde EU-VCA’s. 

Interpretatie van dit addendum

  1. Waar in dit Addendum termen worden gebruikt die zijn gedefinieerd in de Goedgekeurde EU-VCA's, zullen deze termen dezelfde betekenis hebben als in de Goedgekeurde EU-VCA's. Daarnaast hebben de volgende termen de volgende betekenis: 

Addendum  

Dit Addendum voor Internationale Gegevensoverdracht, dat bestaat uit dit Addendum en waarin de EU SCC's van het Addendum zijn opgenomen. 

Addendum EU-SCC's 

De versie(s) van de goedgekeurde EU-SCC's waaraan dit Addendum is toegevoegd, zoals uiteengezet in Tabel 2, inclusief de Bijlage-informatie. 

Bijlage Informatie 

Zoals uiteengezet in tabel3. 

Passende waarborgen 

De standaard voor de bescherming van de persoonlijke gegevens en de rechten van de betrokkenen, die vereist is door de Britse wetgeving inzake gegevensbescherming wanneer u een beperkte overdracht uitvoert, waarbij u vertrouwt op de standaardclausules inzake gegevensbescherming onder artikel 46(2)(d) VK AVG. 

Goedgekeurd addendum 

Het sjabloonaddendum uitgegeven door de ICO en ingediend bij het parlement in overeenstemming met artikel119A van de Data Protection Act 2018 op 2 februari 2022, zoals herzien onder artikel 18. 

Goedgekeurde EU SCC's  

De standaardcontractbepalingen uiteengezet in de bijlage bij Uitvoeringsbesluit (EU) van de Commissie 2021/914 van 4 juni 2021. 

ICO 

De informatiecommissaris. 

Beperkte overdracht 

Een overdracht die valt onder Hoofdstuk V van de Britse AVG. 

Groot-Brittannië  

Het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland. 

Britse wetgeving inzake gegevensbescherming  

Alle wetten met betrekking tot gegevensbescherming, de verwerking van persoonlijke gegevens, privacy en/of elektronische communicatie die van tijd tot tijd in Groot-Brittannië van kracht zijn, inclusief de Britse AVG en de Data Protection Act 2018. 

Britse AVG  

Zoals gedefinieerd in sectie 3 van de Data Protection Act 2018. 

  1. Dit Addendum moet altijd worden geïnterpreteerd op een manier die consistent is met de Britse wetgeving inzake gegevensbescherming en zodat het voldoet aan de verplichting van de Partijen om de Passende Waarborgen te bieden.  
  2. Als de bepalingen in de Addendum EU SCC's de Goedgekeurde SCC's wijzigen op een manier die niet is toegestaan onder de Goedgekeurde EU SCC's of het Goedgekeurde Addendum, zullen dergelijke wijzigingen niet worden opgenomen in dit Addendum en de gelijkwaardige bepaling van de Goedgekeurde EU SCC's. SCC's zullen hun plaats innemen. 
  3. Als er sprake is van inconsistentie of conflict tussen de Britse gegevensbeschermingswetten en dit Addendum, zijn de Britse gegevensbeschermingswetten van toepassing. 
  4. Als de betekenis van dit Addendum onduidelijk is of als er meer dan één betekenis is, is de betekenis die het meest aansluit bij de Britse wetgeving inzake gegevensbescherming van toepassing.  
  5. Elke verwijzing naar wetgeving (of specifieke bepalingen van wetgeving) betekent dat wetgeving (of specifieke bepaling) in de loop van de tijd kan veranderen. Dit geldt ook voor gevallen waarin die wetgeving (of specifieke bepaling) is geconsolideerd, opnieuw van kracht geworden en/of vervangen nadat dit Addendum is aangegaan.  

Hiërarchie

  1. Hoewel artikel 5 van de Goedgekeurde EU-VCA's bepaalt dat de Goedgekeurde EU-VCA's prevaleren boven alle gerelateerde overeenkomsten tussen de Partijen, komen de Partijen overeen dat, voor Beperkte Overdrachten, de hiërarchie in Artikel 10 prevaleert. 
  2. Wanneer er enige inconsistentie of conflict bestaat tussen het Goedgekeurde Addendum en de Addendum EU-VCA's (waar van toepassing), heeft het Goedgekeurde Addendum voorrang op de Addendum EU-VCA's, behalve waar (en voor zover) de inconsistente of tegenstrijdige voorwaarden van de Addendum EU-VCA's bepalen betere bescherming voor betrokkenen, in welk geval deze voorwaarden voorrang krijgen boven het goedgekeurde addendum. 
  3. Wanneer dit Addendum EU-VCA's bevat die zijn aangegaan om overdrachten te beschermen die vallen onder de Algemene Verordening Gegevensbescherming (EU) 2016/679 , erkennen de Partijen dat niets in dit Addendum van invloed is op deze EU-VCA's. 

Opname van en wijzigingen in de EU SCC's

  1. In dit Addendum zijn de EU SCC's van het Addendum opgenomen, die voor zover nodig zijn gewijzigd, zodat: 
    1. samen zijn zij actief voor gegevensoverdrachten door de gegevensexporteur naar de gegevensimporteur, voor zover de Britse wetgeving inzake gegevensbescherming van toepassing is op de verwerking door de gegevensexporteur bij het uitvoeren van die gegevensoverdracht, en zij bieden passende waarborgen voor die gegevensoverdrachten;  
    2. Secties 9 tot en met 11 overschrijven clausule 5 (Hiërarchie) van het Addendum EU SCC's; En 
    3. dit Addendum (inclusief de daarin opgenomen EU-MCC's van het Addendum) valt (1) onder de wetten van Engeland en Wales en (2) elk geschil dat hieruit voortvloeit, wordt in elk geval beslecht door de rechtbanken van Engeland en Wales tenzij de wetten en/of rechtbanken van Schotland of Noord-Ierland uitdrukkelijk door de partijen zijn gekozen. 
  2. Tenzij de Partijen alternatieve wijzigingen zijn overeengekomen die voldoen aan de vereisten van Artikel 12, zijn de bepalingen van Artikel 15 van toepassing. 
  3. Er mogen geen wijzigingen worden aangebracht in de Goedgekeurde EU-VCA's, behalve om te voldoen aan de vereisten van Sectie 12 . 
  4. De volgende wijzigingen in het Addendum EU SCC's (ten behoeve van Sectie 12) zijn aangebracht:  
    1. Verwijzingen naar de “clausules” betekenen dit Addendum, waarin de EU SCC’s van het Addendum zijn opgenomen; 
    2. Verwijder in clausule 2 de woorden: 
      1. “en, met betrekking tot gegevensoverdrachten van verwerkingsverantwoordelijken naar verwerkers en/of verwerkers naar verwerkers, standaardcontractbepalingen overeenkomstig artikel 28(7) van Verordening (EU) 2016/679”;
    3. Clausule 6 (Beschrijving van de overdracht(en)) wordt vervangen door: 
      1. “De details van de overdracht(en) en in het bijzonder de categorieën van persoonsgegevens die worden overgedragen en het/de doel(en) waarvoor ze worden overgedragen, zijn gespecificeerd in Bijlage IB, waar de Britse wetgeving inzake gegevensbescherming van toepassing is op de verwerking van de gegevensexporteur wanneer het uitvoeren van die overdracht.”;
    4. Clausule 8.7(i) van Module 1 wordt vervangen door: 
      1. “het is naar een land dat profiteert van adequaatheidsregelgeving overeenkomstig Sectie 17A van de Britse AVG die de verdere overdracht dekt”;
    5. Clausule 8.8(i) van Modules 2 en 3 wordt vervangen door: 
      1. “de verdere overdracht vindt plaats naar een land dat profiteert van adequaatheidsregels overeenkomstig Sectie 17A van de Britse AVG die de verdere overdracht dekt;”
    6. Verwijzingen naar "Verordening (EU) 2016/679 ", "Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens (Algemene Verordening Gegevensbescherming)” en “die Verordening” worden allemaal vervangen door “Britse wetten inzake gegevensbescherming”. Verwijzingen naar specifieke artikelen van “Verordening (EU) 2016/679” worden vervangen door het gelijkwaardige artikel of onderdeel van de Britse wetgeving inzake gegevensbescherming; 
    7. Verwijzingen naar Verordening (EU) 2018/1725 zijn verwijderd; 
    8. Verwijzingen naar de “Europese Unie”, “Unie”, “EU”, “EU-lidstaat”, “Lidstaat” en “EU of lidstaat” worden allemaal vervangen door “VK”; 
    9. De verwijzing naar “Clausule 12(c)(i)” in Clausule 10(b)(i) van Module één wordt vervangen door “Clausule 11(c)(i)”; 
    10. Clausule 13(a) en deel C van bijlage I worden niet gebruikt;  
    11. De “bevoegde toezichthoudende autoriteit” en de “toezichthoudende autoriteit” worden beide vervangen door de “Informatiecommissaris”; 
    12. In artikel 16(e) wordt subsectie (i) vervangen door: 
      1. “de minister van Buitenlandse Zaken stelt regels op overeenkomstig sectie 17A van de Data Protection Act 2018 die betrekking hebben op de overdracht van persoonlijke gegevens waarop deze clausules van toepassing zijn;”;
    13. Clausule 17 wordt vervangen door: 
      1. “Deze clausules worden beheerst door de wetten van Engeland en Wales.”;
    14. Clausule 18 wordt vervangen door: 
      1. “Elk geschil dat voortvloeit uit deze clausules zal worden beslecht door de rechtbanken van Engeland en Wales. Een betrokkene kan ook een gerechtelijke procedure tegen de gegevensexporteur en/of gegevensimporteur aanspannen bij de rechtbanken van welk land dan ook in Groot-Brittannië. De partijen komen overeen zich te onderwerpen aan de jurisdictie van dergelijke rechtbanken.”; En
    15. De voetnoten bij de goedgekeurde EU SCC's maken geen deel uit van het Addendum, met uitzondering van de voetnoten 8, 9, 10 en 11.  

Wijzigingen in dit addendum

  1. De partijen kunnen overeenkomen om clausules 17 en/of 18 van het Addendum EU SCC's te wijzigen om te verwijzen naar de wetten en/of rechtbanken van Schotland of Noord-Ierland. 
  2. Als de Partijen het formaat willen wijzigen van de informatie opgenomen in Deel 1: Tabellen van het Goedgekeurde Addendum, kunnen zij dit doen door schriftelijk akkoord te gaan met de wijziging, op voorwaarde dat de wijziging de Passende Waarborgen niet vermindert. 
  3. Van tijd tot tijd kan de ICO een herzien goedgekeurd addendum uitgeven dat:  
    1. redelijke en proportionele wijzigingen aanbrengt in het Goedgekeurde Addendum, inclusief het corrigeren van fouten in het Goedgekeurde Addendum; en/of 
    2. weerspiegelt wijzigingen in de Britse wetgeving inzake gegevensbescherming; 
  4. In het herziene Goedgekeurde Addendum wordt de startdatum gespecificeerd vanaf welke de wijzigingen in het Goedgekeurde Addendum van kracht worden en of de Partijen dit Addendum, inclusief de Bijlage-informatie, moeten herzien. Dit Addendum wordt vanaf de aangegeven startdatum automatisch gewijzigd zoals uiteengezet in het herziene Goedgekeurde Addendum.
  5. Als de ICO een herzien Goedgekeurd Addendum uitgeeft onder Sectie 18, zal een Partij die is geselecteerd in Tabel 4 “Het Addendum beëindigen wanneer het Goedgekeurde Addendum verandert”, als direct gevolg van de wijzigingen in het Goedgekeurde Addendum een substantiële, onevenredige en aantoonbare toename van:  
    1. zijn directe kosten voor het nakomen van zijn verplichtingen uit hoofde van het Addendum; en/of  
    2. het risico ervan onder het Addendum,  

en in beide gevallen heeft zij eerst redelijke stappen ondernomen om die kosten of risico’s te beperken, zodat deze niet substantieel en onevenredig zijn, dan kan die Partij dit Addendum beëindigen na een redelijke opzegtermijn, door voor die periode een schriftelijke kennisgeving te sturen naar de andere Partij vóór de ingangsdatum van het herziene Goedgekeurde Addendum.

  1. De partijen hebben geen toestemming van derden nodig om wijzigingen in dit Addendum aan te brengen, maar eventuele wijzigingen moeten worden aangebracht in overeenstemming met de voorwaarden ervan.