Productinformatie
Alles wat u moet weten over de producten van Nitro - van productupdates en downloads tot gebruikershandleidingen en versieopmerkingen.

ADDENDUM GEGEVENSVERWERKING

Dit Addendum voor gegevensverwerking (“DPA”) maakt deel uit van de Nitro Business-servicevoorwaarden en Nitro-servicevoorwaarden die het gebruik van de services van Nitro regelen. (“Overeenkomst”) aangegaan door en tussen u, de Klant (gezamenlijk, “Individu”, “Entiteit”, “Licentienemer”) en Nitro Software Inc. (“Nitro”) om de overeenkomst van de partijen weer te geven met betrekking tot de Verwerking van Persoonsgegevens door Nitro uitsluitend namens de Klant. Beide Partijen zullen worden aangeduid als de "Partijen" en elk een "Partij".

1 . definities

Voor de doeleinden van deze DPA hebben de onderstaande termen de hieronder uiteengezette betekenis. Termen met een hoofdletter die in deze DPA worden gebruikt maar niet gedefinieerd, hebben de betekenis die in de Overeenkomst wordt gegeven.

(a) Gelieerde onderneming betekent elke entiteit die direct of indirect zeggenschap heeft over, wordt bestuurd door of onder gemeenschappelijke zeggenschap staat met de te onderzoeken entiteit, waarbij "controle" verwijst naar de bevoegdheid om de te onderwerpen entiteit te leiden of te leiden, hetzij door eigendom van stemrechtverlenende effecten, contractueel of anderszins.

(b) Toepasselijke gegevensbeschermingswetten betekent de privacy-, gegevensbeschermings- en gegevensbeveiligingswetten en -regelgeving van elk rechtsgebied dat van toepassing is op de verwerking van persoonsgegevens onder de Overeenkomst, met inbegrip van, maar niet beperkt tot, de Europese gegevensbeschermingswetten en de CCPA.

(c) CCPA betekent de California Consumer Privacy Act van 2018 en alle regelgeving die daaronder wordt uitgevaardigd.

(d) Klantgegevens betekent informatie die aan Nitro is verstrekt of beschikbaar is gesteld voor verwerking namens de Klant om de Services uit te voeren.

(e) EER betekent de Europese Economische Ruimte.

(f) Europese gegevensbeschermingswetten betekent de AVG en andere gegevensbeschermingswetten en -regelgeving van de Europese Unie, haar lidstaten, Zwitserland, IJsland, Liechtenstein, Noorwegen en het Verenigd Koninkrijk, in elk geval, voor zover van toepassing op de Verwerking van Persoonsgegevens onder de Overeenkomst.

(g) AVG betekent Verordening (EU) 2016 / 679 van het Europees Parlement en de Raad van 27 april 2016 , zoals van tijd tot tijd gewijzigd.

(h) Informatiebeveiligingsincident betekent een inbreuk op de beveiliging van Nitro die leidt tot de onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens in het bezit, de bewaring of de controle van Nitro. Informatiebeveiligingsincidenten omvatten geen mislukte pogingen of activiteiten die de veiligheid van Persoonsgegevens niet in gevaar brengen, inclusief mislukte inlogpogingen, pings, poortscans, denial-of-service-aanvallen of andere netwerkaanvallen op firewalls of netwerksystemen.

(i) Persoonlijke gegevens betekent klantgegevens die "persoonlijke gegevens", "persoonlijke informatie" of "persoonlijk identificeerbare informatie" vormen zoals gedefinieerd in de toepasselijke gegevensbeschermingswetgeving, of informatie van een soortgelijk karakter die daardoor wordt gereguleerd, behalve dat persoonlijke gegevens dergelijke informatie met betrekking tot het personeel of vertegenwoordigers van de klant die zakelijke contacten zijn van Nitro, waarbij Nitro optreedt als beheerder van dergelijke informatie.

(j) Verwerking : elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonsgegevens of op sets Persoonsgegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, vastlegging, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging , gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, afstemming of combinatie, beperking, uitwissing of vernietiging.

(k) Beveiligingsmaatregelen heeft de betekenis die wordt gegeven in sectie 5 (a) (Veiligheidsmaatregelen van de aanbieder).

(l) Modelcontractbepalingen betekent de dwingende bepalingen van de modelcontractbepalingen voor de overdracht van persoonsgegevens aan verwerkers die in derde landen zijn gevestigd in de vorm die is vastgelegd in Besluit 2010 / 87 /EU van de Europese Commissie.

(m) Subverwerkers betekent derde partijen die Nitro inschakelt voor het Verwerken van Persoonsgegevens met betrekking tot de Diensten.

(n) Externe subverwerkers heeft de betekenis die wordt gegeven in Sectie 5 (Subverwerkers) van Bijlage 1 .

(o) De termen verwerkingsverantwoordelijke, betrokkene, verwerker en toezichthoudende autoriteit zoals gebruikt in deze DPA hebben de betekenis die daaraan wordt gegeven in de AVG.

2 . Duur en reikwijdte van DPA

(a) Deze DPA blijft van kracht zolang Nitro Persoonsgegevens verwerkt, niettegenstaande het verstrijken of beëindigen van de Overeenkomst.

(b) Bijlage 1 (EU-bijlage) bij deze DPA is uitsluitend van toepassing op Verwerking die onderhevig is aan Europese gegevensbeschermingswetten. Bijlage 2 (bijlage van Californië) bij deze DPA is uitsluitend van toepassing op Verwerking onderworpen aan de CCPA als de Klant een "bedrijf" of "serviceprovider" is (zoals gedefinieerd in CCPA) met betrekking tot dergelijke Verwerking.

3 . Klant instructies:

Nitro zal persoonlijke gegevens alleen verwerken in overeenstemming met de instructies van de klant aan Nitro. Deze DPA is een volledige weergave van dergelijke instructies en de aanvullende instructies van de Klant zijn alleen bindend voor Nitro op grond van een door beide partijen ondertekende wijziging van deze DPA. De klant geeft Nitro de opdracht om persoonlijke gegevens te verwerken om de services te leveren zoals bedoeld in deze overeenkomst.

4 . Analytics

De klant erkent en stemt ermee in dat Nitro, als onderdeel van de Services, geanonimiseerde en/of geaggregeerde gegevens kan creëren en ontlenen aan de Verwerking met betrekking tot de Services die de Klant of een natuurlijke persoon niet identificeren, en deze mag gebruiken, publiceren of delen met derden. gegevens om de producten en diensten van Nitro te verbeteren en voor andere legitieme zakelijke doeleinden.

5 . Veiligheid

(a) Beveiligingsmaatregelen van de aanbieder . Nitro zal technische en organisatorische maatregelen implementeren en handhaven die zijn ontworpen om persoonlijke gegevens te beschermen tegen onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens (de " beveiligingsmaatregelen ") zoals beschreven in bijlage 3 (beveiligingsmaatregelen) . Nitro kan de Beveiligingsmaatregelen van tijd tot tijd bijwerken, zolang de bijgewerkte maatregelen de algehele bescherming van Persoonsgegevens niet verminderen.

(b) Informatiebeveiligingsincidenten . Nitro zal de Klant onverwijld op de hoogte stellen van elk Informatiebeveiligingsincident waarvan de Klant kennis krijgt. Dergelijke meldingen zullen de beschikbare details van het Informatiebeveiligingsincident beschrijven, inclusief de stappen die zijn genomen om de potentiële risico's te beperken en de stappen die Nitro de Klant aanbeveelt om het Informatiebeveiligingsincident aan te pakken. Nitro's melding van of reactie op een Informatiebeveiligingsincident zal niet worden opgevat als de erkenning door Nitro van enige fout of aansprakelijkheid met betrekking tot het Informatiebeveiligingsincident.

(c) Beveiligingsverantwoordelijkheden en beoordeling van de klant (i) Beveiligingsverantwoordelijkheden van de klant . De Klant stemt ermee in dat, zonder beperking van Nitro's verplichtingen onder Sectie 5 (Beveiliging), de Klant als enige verantwoordelijk is voor het gebruik van de Services, inclusief (a) het op de juiste manier gebruiken van de Services om een beveiligingsniveau te garanderen dat geschikt is voor het risico in respect voor de Persoonsgegevens; (b) het beveiligen van de accountverificatiegegevens, systemen en apparaten die de Klant gebruikt om toegang te krijgen tot de Services; (c) het beveiligen van de systemen en apparaten van de Klant die Nitro gebruikt om de Services te leveren; en (d) het maken van een back-up van Persoonsgegevens. (ii) Beveiligingsbeoordeling van de Klant . De klant stemt ermee in dat de services, de beveiligingsmaatregelen en de verplichtingen van Nitro onder deze DPA voldoende zijn om te voldoen aan de behoeften van de klant, inclusief met betrekking tot eventuele beveiligingsverplichtingen van de klant onder de toepasselijke wetgeving inzake gegevensbescherming, en een beveiligingsniveau bieden dat geschikt is voor het risico met betrekking tot de Persoonsgegevens.

6 . Rechten van betrokkenen

(a) Nitro's Betrokkene Verzoek om assistentie . Nitro zal (rekening houdend met de aard van de verwerking van persoonsgegevens) de klant de hulp bieden die redelijkerwijs nodig is voor de klant om zijn verplichtingen onder de toepasselijke gegevensbeschermingswetten na te komen om te voldoen aan verzoeken van betrokkenen om hun rechten uit te oefenen onder de toepasselijke gegevensbeschermingswetten (“ gegevensbeschermingswetten” Verzoeken van het onderwerp ") met betrekking tot persoonlijke gegevens in het bezit of beheer van Nitro. De klant vergoedt Nitro voor dergelijke assistentie tegen de dan geldende tarieven voor professionele diensten van Nitro, die op verzoek aan de klant beschikbaar zullen worden gesteld.

(b) De verantwoordelijkheid van de klant voor verzoeken . Als Nitro een Verzoek van een Betrokkene ontvangt, zal Nitro de Betrokkene adviseren om het verzoek in te dienen bij de Klant en is de Klant verantwoordelijk voor het reageren op het verzoek.

7 . Verantwoordelijkheden van de klant

(a) Naleving van de klant . De Klant zal zijn verplichtingen onder de Toepasselijke Wetten inzake Gegevensbescherming nakomen. De Klant zorgt ervoor (en is als enige verantwoordelijk om ervoor te zorgen) dat zijn instructies in Sectie 3 voldoen aan de Toepasselijke Wetten inzake gegevensbescherming, en dat de Klant alle kennisgevingen heeft gedaan aan, en al dergelijke kennisgevingen heeft ontvangen van, personen op wie Persoonsgegevens betrekking hebben en alle andere partijen zoals vereist door toepasselijke wet- of regelgeving voor Klant om Persoonsgegevens te Verwerken zoals bedoeld in de Overeenkomst.

(b) Verboden gegevens . Klant verklaart en garandeert Nitro dat Klantgegevens zonder voorafgaande schriftelijke toestemming van Nitro geen burgerservicenummers of andere door de overheid uitgegeven identificatienummers zullen bevatten; biometrische informatie; wachtwoorden voor online accounts; inloggegevens voor financiële rekeningen; gegevens belastingaangifte; kredietrapporten of consumentenrapporten; alle betaalkaartinformatie die onderworpen is aan de Payment Card Industry Data Security Standard; informatie onderworpen aan de Gramm-Leach-Bliley Act, Fair Credit Reporting Act of de voorschriften uitgevaardigd onder een van beide wetten; informatie onderworpen aan beperkingen volgens de Toepasselijke wetten inzake gegevensbescherming die van toepassing zijn op persoonsgegevens van kinderen, met inbegrip van, maar niet beperkt tot, alle informatie over kinderen jonger dan 13 jaar; of enige informatie die binnen een speciale gegevenscategorie valt (zoals gedefinieerd in de AVG). Klant verklaart verder dat Klantgegevens geen beschermde gezondheidsinformatie bevatten en zullen bevatten die onderworpen is aan de Health Insurance Portability and Accountability Act (HIPAA) of gelijkaardige wetgeving in een ander rechtsgebied; andere informatie met betrekking tot iemands medische geschiedenis, mentale of fysieke toestand, of medische behandeling of diagnose door een beroepsbeoefenaar in de gezondheidszorg; of ziektekostenverzekeringsinformatie, tenzij de Klant en Nitro afzonderlijk een HIPAA Business Associate-overeenkomst zijn aangegaan.

8 . Diversen

Behalve zoals uitdrukkelijk gewijzigd door de DPA, blijven de voorwaarden van de Overeenkomst volledig van kracht. In het geval van een conflict of inconsistentie tussen deze DPA en de andere voorwaarden van de Overeenkomst, is deze DPA leidend. Niettegenstaande iets in de Overeenkomst of enig bestelformulier dat in verband daarmee is ingevoerd, erkennen en stemmen de partijen ermee in dat de toegang van Nitro tot Persoonsgegevens geen deel uitmaakt van de overweging die door de partijen wordt uitgewisseld met betrekking tot de Overeenkomst. Niettegenstaande enige andersluidende bepaling in de Overeenkomst, kunnen alle kennisgevingen die door Nitro aan de Klant worden gedaan of toegestaan onder deze DPA, worden gedaan (a) in overeenstemming met een kennisgevingsclausule van de Overeenkomst; (b) naar de primaire contactpunten van Nitro met de Klant; of (c) naar een e-mail die door de Klant is verstrekt om hem te voorzien van Services-gerelateerde communicatie of waarschuwingen. De Klant is als enige verantwoordelijk om ervoor te zorgen dat dergelijke e-mailadressen geldig zijn.

BIJLAGE 1 BIJ DPA
EU BIJLAGE

1 . Verwerking van gegevens

(a) Onderwerp en details van de verwerking . De partijen erkennen en komen overeen dat (i) het onderwerp van de Verwerking onder de Overeenkomst Nitro's levering van de Diensten is; (ii) de duur van de Verwerking is vanaf de ontvangst van Persoonsgegevens door Nitro tot het wissen van alle Persoonsgegevens door Nitro in overeenstemming met de Overeenkomst; (iii) de aard en het doel van de Verwerking is het leveren van de Diensten; (iv) de betrokkenen op wie de Persoonsgegevens betrekking hebben zijn de Klant (voor zover de Klant een persoon is), gebruikers van de Diensten of Nitro's software, en de betrokkenen, waarvan de persoonsgegevens zijn gegenereerd, gedeeld of geüpload door Klant en/of gebruikers van de Diensten en/of software van Nitro; en (v) de categorieën persoonsgegevens zijn de persoonsgegevens die zijn gegenereerd, gedeeld, geüpload of aangevraagd door de Klant of gebruikers van de Diensten en/of Nitro's software (waaronder mogelijk persoonsgegevens in documenten, afbeeldingen en andere media en gebruikers- gegenereerde inhoud zoals documenten, tekst, afbeeldingen en andere inhoud).

(b) Rollen en naleving van de regelgeving; autorisatie . De partijen erkennen en komen overeen dat (i) Nitro een verwerker is van die persoonsgegevens onder de Europese wetgeving inzake gegevensbescherming; (ii) de Klant is een verwerkingsverantwoordelijke (of een verwerker die handelt in opdracht van een verwerkingsverantwoordelijke) van die Persoonsgegevens krachtens de Europese wetgeving inzake gegevensbescherming; en (iii) elke partij zal voldoen aan de verplichtingen die op haar van toepassing zijn in die rol onder de Europese gegevensbeschermingswetten met betrekking tot de verwerking van die persoonsgegevens. Als de klant een verwerker is, verklaart en garandeert de klant aan Nitro dat de instructies en acties van de klant met betrekking tot persoonlijke gegevens, inclusief de aanstelling van Nitro als een andere verwerker, zijn geautoriseerd door de relevante controller.

(c) Nitro's naleving van instructies . Nitro zal persoonlijke gegevens alleen verwerken in overeenstemming met de instructies van de klant zoals vermeld in deze DPA, tenzij de toepasselijke Europese gegevensbeschermingswetten anders vereisen, in welk geval Nitro de klant op de hoogte zal stellen (tenzij die wet Nitro verbiedt dit te doen op belangrijke gronden van algemeen belang).

(d) Gegevensverwijdering . Nitro zal alle Persoonsgegevens op Nitro's systemen verwijderen op verzoek van de Klant en na het einde van de levering van Diensten, en zal bestaande kopieën verwijderen, tenzij verdere opslag van de Persoonsgegevens vereist is door (i) toepasselijke wetgeving van de Europese Unie of haar Lidstaten Staten, met betrekking tot Persoonsgegevens die onderworpen zijn aan Europese Wetten inzake Gegevensbescherming of (ii) Toepasselijke Wetten inzake Gegevensbescherming, met betrekking tot alle andere Persoonsgegevens. Nitro zal aan dergelijke instructies voldoen zo snel als redelijkerwijs mogelijk is en niet later dan 180 dagen na het verstrijken of beëindigen ervan, tenzij de toepasselijke gegevensbeschermingswetten opslag vereisen. De Klant kan ervoor kiezen om een kopie van dergelijke Persoonsgegevens bij Nitro aan te vragen tegen een extra vergoeding door dit schriftelijk aan te vragen ten minste 30 dagen voorafgaand aan het verstrijken of beëindigen van de Overeenkomst. Na akkoord van de partijen om dergelijke kosten in rekening te brengen op grond van een werkorder of andere wijziging van de Overeenkomst, zal Nitro een dergelijke kopie van dergelijke Persoonsgegevens verstrekken voordat deze wordt verwijderd in overeenstemming met deze clausule.

2 . Dataveiligheid

(a) Nitro-beveiligingsmaatregelen, controles en assistentie (i) Nitro-beveiligingsassistentie . beschikbaar voor Nitro) de Klant redelijke assistentie verlenen die nodig is om de Klant te laten voldoen aan zijn verplichtingen met betrekking tot Persoonsgegevens onder de Europese gegevensbeschermingswetten, inclusief de artikelen 32 tot 34 (inclusief) van de AVG, door (a) het implementeren en het handhaven van de Beveiligingsmaatregelen; (b) voldoen aan de voorwaarden van Sectie 5 (b) (Informatiebeveiligingsincidenten) van de DPA; en (c) het voldoen aan deze bijlage 1 . De klant erkent en stemt ermee in dat dergelijke maatregelen voldoende zijn om de klant in staat te stellen aan deze verplichtingen te voldoen. (ii) Beveiligingsnaleving door Nitro-personeel . Nitro zal ervoor zorgen dat zijn personeel dat geautoriseerd is om toegang te krijgen tot Persoonsgegevens onderworpen is aan gepaste vertrouwelijkheidsverplichtingen.

(b) Beoordelingen en controles van naleving
De klant kan de naleving door Nitro van zijn verplichtingen onder deze DPA tot één keer per jaar controleren en bij andere gelegenheden zoals vereist door de Europese gegevensbeschermingswetten, inclusief indien vereist door de toezichthoudende autoriteit van de klant. Nitro zal aan dergelijke audits bijdragen door de klant of de toezichthoudende autoriteit van de klant de informatie en assistentie te verstrekken die redelijkerwijs nodig is om de audit uit te voeren. Als een derde partij de audit moet uitvoeren, kan Nitro bezwaar maken tegen de auditor als de auditor, naar het redelijke oordeel van Nitro, niet onafhankelijk, een concurrent van Nitro of anderszins duidelijk ongeschikt is. Een dergelijk bezwaar door Nitro vereist dat de Klant een andere auditor aanwijst of de audit zelf uitvoert. Om een audit aan te vragen, moet de klant ten minste twee weken voor de voorgestelde auditdatum een voorgesteld auditplan bij Nitro indienen en elke externe auditor moet een gebruikelijke geheimhoudingsovereenkomst ondertekenen die voor beide partijen aanvaardbaar is (een dergelijke aanvaarding mag niet onredelijk zijn ingehouden) te zorgen voor de vertrouwelijke behandeling van alle informatie die in het kader van de audit wordt uitgewisseld en eventuele rapportages over de resultaten of bevindingen daarvan. Het voorgestelde auditplan moet de voorgestelde reikwijdte, duur en startdatum van de audit beschrijven. Nitro zal het voorgestelde auditplan beoordelen en de Klant voorzien van eventuele zorgen of vragen (bijvoorbeeld elk verzoek om informatie dat de veiligheid, privacy, werkgelegenheid of ander relevant beleid van Nitro in gevaar zou kunnen brengen). Nitro zal samenwerken met de klant om overeenstemming te bereiken over een definitief auditplan. Niets in deze Sectie 2 (b) zal Nitro ertoe verplichten enige geheimhoudingsplicht te schenden. Als de controles of maatregelen die moeten worden beoordeeld in de gevraagde audit worden behandeld in een SOC 2 Type 2 , ISO, NIST of vergelijkbaar auditrapport dat wordt uitgevoerd door een gekwalificeerde externe auditor binnen twaalf ( 12 ) maanden na de audit van de klant verzoek en Nitro heeft bevestigd dat er geen materiële wijzigingen zijn geweest in de gecontroleerde controles sinds de datum van een dergelijk rapport, stemt de klant ermee in om een dergelijk rapport te accepteren in plaats van te verzoeken om een audit van dergelijke controles of maatregelen. De audit moet worden uitgevoerd tijdens normale kantooruren, met inachtneming van het overeengekomen definitieve auditplan en het veiligheids-, beveiligings- of ander relevant beleid van Nitro, en mag de zakelijke activiteiten van Nitro niet op onredelijke wijze verstoren. De klant zal Nitro onmiddellijk op de hoogte stellen van elke niet-naleving die tijdens een audit wordt ontdekt en Nitro alle auditrapporten verstrekken die zijn gegenereerd in verband met een audit op grond van dit artikel 2 (b), tenzij verboden door de Europese gegevensbeschermingswetten of anderszins geïnstrueerd door een toezichthoudende autoriteit. De Klant mag de auditrapporten alleen gebruiken om te voldoen aan de wettelijke auditvereisten van de Klant en/of om de naleving van de vereisten van deze DPA te bevestigen. Eventuele audits zijn voor eigen rekening van de Klant. De klant vergoedt Nitro voor alle tijd die Nitro en eventuele derden hebben besteed aan audits of inspecties op grond van dit artikel 2 (b) tegen de dan geldende tarieven voor professionele services van Nitro, die op verzoek aan de klant beschikbaar worden gesteld. De Klant is verantwoordelijk voor alle vergoedingen die in rekening worden gebracht door een auditor die door de Klant is aangesteld om een dergelijke audit uit te voeren.

3 . Effectbeoordelingen en raadplegingen

Nitro zal (rekening houdend met de aard van de Verwerking en de informatie waarover Nitro beschikt) de Klant redelijkerwijs helpen bij het voldoen aan zijn verplichtingen onder Artikelen 35 en 36 van de AVG, door (a) documentatie beschikbaar te stellen die relevante aspecten van Nitro's informatiebeveiligingsprogramma en de daarbij toegepaste beveiligingsmaatregelen en (b) het verstrekken van de overige informatie in de Overeenkomst, inclusief deze DPA.

4 . Gegevensoverdracht

(a) Gegevensverwerkingsfaciliteiten . De Provider mag, behoudens Sectie 4 (b) (Overdrachten buiten de EER), persoonlijke gegevens opslaan en verwerken in de Verenigde Staten of overal waar de Provider of zijn Subverwerkers faciliteiten hebben.

(b) Overdrachten buiten de EER . Als de klant persoonsgegevens vanuit de EER overdraagt aan Nitro in een land dat door de Europese Commissie niet wordt geacht voldoende gegevensbescherming te hebben, zal een dergelijke overdracht worden beheerst door de modelcontractbepalingen, waarvan de voorwaarden hierbij in deze DPA zijn opgenomen. Ter bevordering van het voorgaande komen de partijen overeen dat (i) de Klant zal optreden als de gegevensexporteur en Nitro zal optreden als de gegevensimporteur onder de modelcontractbepalingen; (ii) voor de doeleinden van Bijlage 1 bij de modelcontractbepalingen, de categorieën van betrokkenen, gegevens, speciale categorieën gegevens (indien van toepassing) en de verwerkingsactiviteiten zijn zoals uiteengezet in sectie 1 (a) van deze bijlage 1 (onderwerp en details van verwerking);( iii) voor de toepassing van bijlage 2 bij de modelcontractbepalingen zijn de technische en organisatorische maatregelen de beveiligingsmaatregelen; (iv) de gegevensimporteur zal de kopieën verstrekken van de subverwerkersovereenkomsten die door de gegevensimporteur naar de gegevens moeten worden verzonden exporteur overeenkomstig Clausule 5 (j) van de modelcontractbepalingen op verzoek van de gegevensexporteur, en die gegevensimporteur mag alle commerciële informatie of clausules die geen verband houden met de modelcontractbepalingen of hun equivalent vooraf verwijderen of redigeren; (v) de au Dits beschreven in Clausule 5 (f) en Clausule 12 ( 2 ) van de Modelcontractbepalingen zal worden uitgevoerd in overeenstemming met Sectie 2 (b) van deze Bijlage 1 (Beoordelingen en audits van naleving );(vi) De autorisaties van de Klant in Sectie 5 (Subverwerkers) van deze Bijlage 1 vormen de voorafgaande schriftelijke toestemming van de Klant voor het uitbesteden door Nitro van de Verwerking van Persoonsgegevens als dergelijke toestemming vereist is onder Clausule 5 (h ) van de modelcontractbepalingen; en (vii) certificering van verwijdering van Persoonsgegevens zoals beschreven in Clausule 12 ( 1 ) van de Modelcontractbepalingen zal worden verstrekt op verzoek van de gegevensimporteur.

Niettegenstaande het voorgaande zijn de modelcontractbepalingen (of verplichtingen die dezelfde zijn als die onder de modelcontractbepalingen) niet van toepassing voor zover een alternatieve erkende nalevingsnorm voor de doorgifte van persoonsgegevens buiten de EER in overeenstemming met de Europese gegevensbeschermingswetten van toepassing is op de overdracht. In het geval van een conflict of inconsistentie tussen (a) deze Bijlage 1 en enige andere bepaling van deze DPA, zal deze Bijlage 1 van toepassing zijn op of (b) de Modelcontractbepalingen en enige andere bepaling van deze Overeenkomst, de Standaard Contractuele clausules zijn leidend.

5 . Subverwerkers

(a) Toestemming voor het inschakelen van een subverwerker . De klant geeft specifiek toestemming voor het inschakelen van aan Nitro gelieerde ondernemingen als subverwerkers en geeft in het algemeen toestemming voor het inschakelen van andere derde partijen als subverwerkers (“ Derde partij subverwerkers ”).

(b) Informatie over Subverwerkers . Informatie over subverwerkers, inclusief hun functies en locaties, is beschikbaar op: www.gonitro.com/legal/subprocessors, zoals van tijd tot tijd kan worden bijgewerkt door Nitro) of een ander website-adres dat Nitro van tijd tot tijd aan de Klant kan verstrekken ( de " Subverwerker Site ").

(c) Vereisten voor het inschakelen van een subverwerker . Bij het inschakelen van een Subverwerker zal Nitro een schriftelijk contract aangaan met een dergelijke Subverwerker met gegevensbeschermingsverplichtingen die niet minder beschermend zijn dan die in deze DPA met betrekking tot Persoonsgegevens voor zover van toepassing op de aard van de diensten die door een dergelijke Subverwerker worden geleverd. Nitro is aansprakelijk voor alle verplichtingen uit hoofde van de Overeenkomst die zijn uitbesteed aan de Subverwerker of zijn handelingen en nalatigheden die daarmee verband houden.

(d) Mogelijkheid om bezwaar te maken tegen wijzigingen in de subverwerker . Wanneer Nitro een nieuwe Derde Subverwerker inschakelt na de ingangsdatum van de Overeenkomst, zal Nitro de Klant op de hoogte stellen van de opdracht (inclusief de naam en locatie van de relevante Subverwerker en de activiteiten die deze zal uitvoeren) door de Subverwerker-site bij te werken of door andere schriftelijke middelen . Als de Klant bezwaar maakt tegen een dergelijke verbintenis door middel van een schriftelijke kennisgeving aan Nitro binnen 15 dagen nadat hij op redelijke gronden met betrekking tot de bescherming van Persoonsgegevens op de hoogte is gesteld van de verbintenis, zullen de Klant en Nitro te goeder trouw samenwerken om een wederzijds aanvaardbare oplossing te vinden voor een dergelijk bezwaar aan te pakken. Indien de partijen niet in staat zijn om binnen een redelijke termijn tot een wederzijds aanvaardbare oplossing te komen, kan de Klant, als enige en exclusieve rechtsmiddel, de Overeenkomst beëindigen en de Diensten annuleren door Nitro schriftelijk op de hoogte te stellen en Nitro te betalen voor alle verschuldigde en verschuldigde bedragen onder de Overeenkomst per de datum van een dergelijke beëindiging.

(e) Voldoende toestemming . De klant erkent en stemt ermee in dat de voorgaande procedures voldoende zijn om de voorafgaande schriftelijke toestemming van de klant te verkrijgen voor de subverwerking op grond van artikel 28 van de AVG, en voor zover vereist onder clausule 5 (h) van de modelcontractbepalingen.

BIJLAGE 2 BIJ DPA
CALIFORNI BIJLAGE

  1. Voor de doeleinden van deze Bijlage 2 hebben de termen "zakelijk", "commercieel doel", "verkopen" en "serviceprovider" de respectieve betekenis die daaraan wordt gegeven in de CCPA, en "persoonlijke informatie" betekent Persoonsgegevens die persoonlijke informatie die onder de CCPA valt.
  2. Het is de bedoeling van de partijen dat Nitro met betrekking tot persoonlijke informatie een dienstverlener is. Nitro zal (a) geen persoonlijke informatie verkopen; (b) persoonlijke informatie bewaren, gebruiken of openbaar maken voor enig ander doel dan het specifieke doel van het leveren van de Services, inclusief het bewaren, gebruiken of openbaar maken van de persoonlijke informatie voor een ander commercieel doel dan het leveren van de Services; of (c) de persoonlijke informatie bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen Nitro en de klant. Nitro verklaart hierbij dat het zijn verplichtingen onder deze Sectie 2 begrijpt en deze zal naleven.
  3. De partijen erkennen dat de bewaring, het gebruik en de openbaarmaking door Nitro van persoonlijke informatie, geautoriseerd door de instructies van de klant, gedocumenteerd in de DPA, een integraal onderdeel zijn van de levering van de Services door Nitro en de zakelijke relatie tussen de partijen.

BIJLAGE 3 BIJ DPA
VEILIGHEIDS MAATREGELEN

Technisch en veiligheid
Overzicht van Nitro Sign

Applicatiebeveiliging, compliance, gebruikersauthenticatie,
documentintegriteit en noodherstel

Managementsamenvatting
Nitro's softwareoplossingen zijn ontworpen om de productiviteit te verbeteren en het papierverbruik voor elke kenniswerker te verminderen. Door end-to-end digitale documentworkflows mogelijk te maken, helpt Nitro organisaties documentbeveiliging en bedrijfsduurzaamheidsinitiatieven te bevorderen - essentiële factoren bij het leggen van de basis voor een succesvolle digitale transformatie.

Nitro Sign, een onderdeel van de Nitro Productivity Suite, is een browsergebaseerde applicatie die snelle, veilige en wettelijk bindende eSigning-workflows biedt. Nitro Sign is ontworpen om eenvoudige, aangename eSigning voor iedereen te bieden en biedt een intuïtieve interface en uitgebreide functionaliteit die wordt ondersteund door sterke beveiligingsfundamentals, voor een echte enterprise-grade ervaring. Met onze eSigning-oplossing transformeren Nitro-klanten niet-verbonden, tijdrovende legacy-processen in moderne digitale workflows die binnen enkele minuten kunnen worden uitgevoerd.

Nitro Sign biedt alle functionaliteit die nodig is om snelle, veilige en wettelijk bindende eSignatures te verkrijgen:

  • Volgorde van ondertekenaars
  • Realtime meldingen
  • Analyses bekijken
  • Multi-factor authenticatie voor identiteitsverificatie van ondertekenaars
  • Verzegelde ondertekende documenten
  • Volledige audit trail voor elk document
  • Herbruikbare sjablonen
  • Naleving van het hoogste niveau van wereldwijde regelgeving en normen

Het doel van dit document is om een overzicht op hoog niveau te geven van het algemene beveiligingsraamwerk van Nitro Sign, inclusief maar niet beperkt tot: applicatiebeveiliging, compliance, organisatorische beveiliging, netwerkbeveiliging, gegevensbeveiliging en noodherstel.

Toepassingsbeveiliging
Nitro Sign draait op een gecontaineriseerd microserviceplatform dat wordt gehost in een dedicated-to- Nitro VPC (Virtual Private Cloud) in meerdere beschikbaarheidszones binnen één enkele EU-regio: Frankfurt, Duitsland. Nitro-klanten hebben toegang tot de Nitro Sign-applicatie via hun webbrowser via de openbare website cloud.gonitro.com.

Openbaar internetverkeer van en naar cloud.gonitro.com wordt versleuteld via TLS (Transport Layer Security) beveiligd met een Secure Hash Algorithm (SHA- 2 ) familie uitgebreid validatie digitaal certificaat van DigiCert (www.digicert.com) met zowel SHA 1 en SHA 256 vingerafdrukken; SHA 256 is het gebruikte hash-algoritme en het gebruikte ondertekeningsschema is 2048 -bit RSA.

Nitro Sign-documenten worden opgeslagen op veilige, speciale en beheerde locaties, met behulp van de Advanced Encryption Standard met een 256 -bits (AES- 256 ). AES is opgenomen in de ISO/IEC 18033 - 3 : Informatietechnologie – Beveiligingstechnieken – Encryptie-algoritmen – Deel 3 : Block ciphers Standard. AES is gedefinieerd als de Amerikaanse Federal Information Processing Standard: FIPS PUB 197 : Advanced Encryption Standard (AES).

De gegevenscommunicatie tussen de webclients en de backendservers van Nitro wordt versleuteld met TLS, waarmee gegevens tijdens het transport worden beschermd. Metagegevens van documenten worden bewaard in een relationele databaseservice die zorgt voor hoge beschikbaarheid en gegevensduurzaamheid. De opslag wordt verzorgd door Amazon S 3 (Simple Storage Service) — speciaal voor Nitro — die zijn versleuteld om gegevens in rust te beschermen.

Gevoelige informatie (referenties, tokens, certificaten, API-sleutels) wordt beheerd via een versleutelde kluisdatabase.

systeemoverzicht.png

Gebruikersverificatie
Nitro Sign ondersteunt meerdere methoden voor het beheren en verifiëren van gebruikersidentiteiten.

Nitro Admin, ons speciale portaal voor gebruikers- en licentiebeheer, wordt gebruikt door aangewezen beheerders om nieuwe gebruikers uit te nodigen, bestaande gebruikers en hun licenties te beheren en om gebruikers te schorsen of te verwijderen, indien nodig.

Nitro biedt ook Single Sign-On (SSO)-integraties als onderdeel van ons Enterprise-plan. SSO stelt gebruikers in staat toegang te krijgen tot Nitro's producten door te authenticeren via de Identity Provider (IdP) van de organisatie. Nitro ondersteunt SSO met elke SAML- 2 . 0 -compatibele IdP.

Meer informatie over het inschakelen van Nitro's SSO-integratie vindt u hier https://www.gonitro.com/user-guide/admin/article/single-sign-on-overview

Documentintegriteit
Na voltooiing van een handtekeningworkflow ondertekent Nitro de PDF digitaal met behulp van een certificaat dat is uitgegeven om Nitro als organisatie te identificeren. De digitale handtekening verifieert de integriteit van het document en bevestigt dat er niet met het document is geknoeid sinds het is voltooid. Zie de volgende afbeelding om te zien hoe de digitale handtekening wordt weergegeven op een voltooid document dat wordt bekeken in Nitro Pro 13 . De Digitale Handtekening zal aanwezig zijn in de kopie van het document die alle partijen bij het verzoek ontvangen.

document-security.png

Naleving
Nitro Software Inc. heeft onder andere HIPAA-, SOC- 2 Type 1 - en SOC 2 Type 2 -certificeringen. Nitro is ook zelf gecertificeerd voor Privacy Shield en zet zich volledig in voor het ondersteunen van de EU General Data Protection Regulations (GDPR).

naleving.png

Wij beschouwen gegevensbeveiliging als onze belangrijkste taak en prioriteit en daarom bouwen wij veiligheid in tijdens elke stap van de systeemontwikkelingscyclus van alle Nitro-producten.

We volgen best practices uit de branche om klantgegevens over te dragen, te verwerken en op te slaan. Alle Nitro cloud-enabled functies maken gebruik van state-of-the-art computerfaciliteiten die voldoen aan belangrijke industriestandaarden, zoals PCI DSS, HIPAA en SOC. Ons primaire datacenter bevindt zich in de EU in Frankfurt, Duitsland.

Nitro beschermt documenten in beweging en in rust met digitale audittrails en TLS AES-codering. Door middel van uitgebreide logboekregistratie en instrumentatie bewaken we onze productieomgeving om de beveiliging, beschikbaarheid, toegang en andere statistieken voor onze services te controleren.

We gebruiken een combinatie van geautomatiseerde tools en handmatige inspectie om constant toezicht te houden op beveiligingsgebeurtenissen. Voor al onze cloud-infrastructuur, maken we gebruik van Amazon Web Services (AWS), die een uitgebreide documentatie verschaft over hun veiligheid praktijken hier . AWS maakt gebruik van geavanceerde maatregelen voor gegevensbeveiliging, evenals fysieke toegangsbeperkingen op serverlocaties.

Voor een volledige lijst van Nitro certificeringen, waaronder SOC 2 Type 2 , HIPAA en Privacy Shield, klik dan hier .

De lijst met AWS-certificeringen, inclusief ISO 27001 en SOC-rapporten 1 , 2 en 3 , is hier beschikbaar .

Organisatorische beveiliging
Nitro Software heeft procedures ontwikkeld en gecommuniceerd met haar gebruikers om logische toegang tot de systemen van Nitro Software te beperken. De procedures hebben betrekking op de volgende belangrijke levenscyclusgebieden van de beveiliging:

  • Beleidsbeheer en communicatie
  • Autorisatie, wijziging en beëindiging van toegang tot het informatiesysteem
  • Autorisatie, testen en goedkeuring van wijzigingen aan toepassingen in de productieomgeving
  • Beveiligingscontroles bewaken
  • Beheer van toegang en rollen
  • Onderhoud en ondersteuning van het beveiligingssysteem en benodigde back-ups/mediaopslag
  • Disaster recovery en incident response
  • Onderhoud van beperkte toegang tot systeemconfiguraties, administratieve functionaliteit, wachtwoorden, krachtige hulpprogramma's en beveiligingsapparatuur

Achtergrondcontroles : Nitro doet er alles aan om ervoor te zorgen dat niemand uw gegevens ziet of verwerkt, tenzij ze daartoe geautoriseerd zijn - en we beperken uitzonderingen strikt. Alle medewerkers worden onderworpen aan antecedentenonderzoek en toegang tot productieservers is uitsluitend beperkt tot technici die rechtstreeks met onze productiesystemen moeten werken.

Nitro Informatiebeveiligingsnormen v 1 . 5 bestaan en zijn van kracht.

Deze normen zijn ontwikkeld onder het gezag van het Nitro-informatiebeveiligingsbeleid.

Deze normen zijn van toepassing op alle onderdelen van Nitro en alle geografische regio's waar Nitro actief is.

Deze normen zijn gebaseerd op en afgestemd op ISO/IEC 27002 : 2013 Informatietechnologie – Praktijkcode voor informatiebeveiligingscontroles (onder licentie van Nitro).

Deze normen zijn ook afgestemd op en ondersteunen de NIST Special Publication 800 - 53 het Amerikaanse ministerie van Handel.

Het Nitro-informatiebeveiligingsbeleid is eigendom van de Global Security Lead, die de goedkeuring van het management en de verantwoordelijkheid voor het ontwikkelen, beoordelen en onderhouden van het beleid heeft gekregen.

Nitro-informatiebeveiligingsnormen vormen de basis van het Nitro-informatiebeveiligingsbeleid. Normen worden voortdurend herzien en indien nodig worden updates toegepast.

De normen en het beleid voor informatiebeveiliging van Nitro worden jaarlijks herzien als onderdeel van onze lopende initiatieven op het gebied van naleving van regelgeving, waaronder SOC 2 en HIPAA.

Beveiligingsbewustzijn en training
Nitro heeft een informatiebeveiligingsbeleid om ervoor te zorgen dat werknemers hun individuele rollen en verantwoordelijkheden met betrekking tot verwerking en controles begrijpen om ervoor te zorgen dat belangrijke gebeurtenissen tijdig worden gecommuniceerd.

Deze omvatten formele en informele trainingsprogramma's en het gebruik van e-mail, Slack en andere methoden om tijdgevoelige informatie en processen te communiceren voor beveiligings- en systeembeschikbaarheidsdoeleinden die sleutelpersoneel op de hoogte stellen in geval van problemen.

Algemene informatiebeveiligingstraining wordt gegeven tijdens het wervings- en onboardingproces en wordt daarna ten minste jaarlijks vernieuwd. Specifieke training, afhankelijk van de rollen, wordt gegeven aan specialistische gebieden zoals softwareontwikkeling en systeem- of platformengineering.

Dataveiligheid
Alle systemen en applicaties worden regelmatig onderworpen aan kwetsbaarheidsscans door een onafhankelijke en geaccrediteerde derde partij.

De Nitro online platformservice is een cloudgebaseerde oplossing die wordt gehost in AWS VPC in meerdere beschikbaarheidszones in één regio (Frankfurt, Duitsland), ontworpen voor storingen, zelfherstel, robuustheid en is zeer beschikbaar.

Er zijn geautomatiseerde back-ups die 20 generaties gegevens dekken.

Er is AES- 256 -versleuteling voor gegevens in rust en gegevens die onderweg zijn.

Er zijn meerdere instanties van antivirus- en antimalwaretechnologie aanwezig, op de desktoplaag en ook op de e-mailgateway en internetgateway-lagen.

Nitro maakt ook gebruik van een Web Application Firewall en een DDoS-beveiligingsplatform.

Noodherstel
Alle Nitro-systemen zijn gebouwd om zeer veerkrachtig, zeer beschikbaar en fouttolerant te zijn.

Dat gezegd hebbende, hebben we een Nitro Disaster Recovery Plan en Nitro Business Continuity Plan, die jaarlijks worden herzien en getest.

De meest recente test van het Nitro Disaster Recovery Plan is uitgevoerd in Q 3 2020 .

Elektronische handtekeningen
Een leider in e-handtekeningen
Nitro Sign erkend als leider in het 2022 GigaOm Radar Report for eSignatures. Lees meer over GigaOm's evaluatie en analyse van de beste eSignature-leveranciers in de categorie.