Download een exemplaar

DIT ADDENDUM VOOR GEGEVENSVERWERKING IS VAN TOEPASSING ALS U ZICH ALS ZAKELIJKE KLANT HEBT AANGEMELD VOOR NITRO SERVICES ONDER DE SERVICEVOORWAARDEN VAN NITRO EN DE Britse AVG IS VAN TOEPASSING OP DE VERWERKING VAN PERSOONLIJKE GEGEVENS IN DE CONTEXT VAN DE OVEREENKOMST. ALS U U ALS INDIVIDU HEBT AANGEMELD, GA DAN NAAR HET PRIVACYBELEID VAN NITRO VOOR MEER INFORMATIE OVER HOE NITRO UW PERSOONLIJKE GEGEVENS VERWERKT.

Nitro zal Persoonsgegevens ontvangen en verwerken ten behoeve van en namens de Klant bij het verlenen van de Service, volgens de instructies en het doel dat door de Klant is gedefinieerd in de Gegevensverwerkingsdetails. Met dit Addendum Gegevensverwerking willen Partijen hun specifieke afspraken vastleggen met betrekking tot de verwerking van Persoonsgegevens in het kader van de Overeenkomst.

Standaard treedt Nitro op als Verwerker en treedt de Klant op als Verwerkingsverantwoordelijke met betrekking tot de Diensten die door Nitro aan de Klant worden geleverd in overeenstemming met de Servicevoorwaarden van Nitro. Dit Addendum Gegevensverwerking vervangt en vervangt alle eerdere overeenkomsten die (indien van toepassing) zijn gemaakt met betrekking tot de verwerking van Persoonsgegevens en gegevensbescherming tussen de Partijen met betrekking tot de Diensten die door Nitro worden aangeboden.

Dit Addendum voor Gegevensverwerking vormt een aanvulling op en maakt deel uit van de Servicevoorwaarden, en samen vormen de Servicevoorwaarden en dit Addendum voor Gegevensverwerking één enkele juridische overeenkomst tussen de Partijen. In geval van discrepanties of tegenstrijdigheden tussen dit Addendum voor gegevensverwerking en de Servicevoorwaarden, prevaleert het Addendum voor gegevensverwerking.

“Bijlage” betekent elke bijlage bij dit Addendum Gegevensverwerking;

“Verwerkingsverantwoordelijke” verwijst naar de Klant zoals geïdentificeerd in de Servicevoorwaarden en het toepasselijke Bestelformulier;

“Gegevensverwerkingsdetails” betekent Bijlage 1 bij dit Addendum Gegevensverwerking, die meer details bevat over de instructies van de Klant over de verwerking van Persoonsgegevens, zoals het doel, het voorwerp en de aard van de verwerking en het soort Persoonsgegevens dat wordt verwerkt;

“EU AVG” betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende de vrije verplaatsing van dergelijke gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

“Persoonlijke gegevens” betekent persoonlijke gegevens zoals gedefinieerd onder de Britse AVG die Nitro verwerkt ten behoeve en namens de Klant bij het leveren van de Services volgens de instructies en het doel dat door de Klant is gedefinieerd in de Gegevensverwerkingsdetails;

“Verwerker” verwijst naar Nitro Software Inc., leverancier van de Services aan de Klant en zoals geïdentificeerd in de Servicevoorwaarden;

“Lijst van subverwerkers” verwijst naar de lijst van subverwerkers zoals online beschikbaar gesteld door Nitro, met inbegrip van de subverwerkers die door Nitro zijn ingeschakeld voor het leveren van de Diensten en het nakomen van Nitro's verplichtingen onder de Overeenkomst in het algemeen. Nitro kan de Lijst van subverwerkers van tijd tot tijd bijwerken volgens het proces dat is uiteengezet in dit Addendum voor gegevensverwerking;

“Subverwerker” betekent elke externe verwerker die door Nitro is ingeschakeld voor de verwerking van Persoonsgegevens met betrekking tot de levering van de Diensten aan de Klant;

'Britse AVG' betekent de EU-AVG zoals omgezet in de nationale wetgeving van Groot-Brittannië op grond van artikel 3 van de Europese Terugtrekkingswet 2018 en zoals gewijzigd door de Gegevensbescherming, Privacy en Elektronische Communicatie (Wijzigingen enz.) (EU-exit ) Voorschriften 2019 (zoals gewijzigd);

“Britse Persoonsgegevens” betekent Persoonsgegevens waarop de Britse AVG van toepassing is;

'Britse standaardcontractbepalingen' betekent het Addendum voor internationale gegevensoverdracht bij de standaardcontractbepalingen van de Europese Commissie, uitgegeven door de Information Commissioner onder Sectie 119A(1) van de Data Protection Act 2018, in de vorm en op de manier die is vastgelegd in bijlage 2 bij dit Addendum voor gegevensverwerking.

Alle andere termen en definities die met hoofdletters zijn geschreven en die niet uitdrukkelijk in dit Addendum voor gegevensverwerking zijn gedefinieerd, worden gedefinieerd zoals uiteengezet in de toepasselijke wetgeving inzake gegevensbescherming of de Servicevoorwaarden van Nitro.

3.1 Dit Addendum Gegevensverwerking bepaalt de voorwaarden voor de verwerking door Nitro van Persoonsgegevens die door of op initiatief van de Klant worden gecommuniceerd in het kader van de Overeenkomst. De aard en het doel van de verwerking, een lijst en het soort Persoonsgegevens, evenals de categorieën van de Betrokkenen, zijn vermeld in de Gegevensverwerkingsdetails (Bijlage 1).  

3.2 De verwerking vindt uitsluitend plaats ten behoeve van de Klant en voor het doel zoals gedefinieerd door de Klant in de Gegevensverwerkingsdetails. Nitro zal de Klant onmiddellijk op de hoogte stellen als een instructie naar zijn mening in strijd is met de toepasselijke wetgeving inzake gegevensbescherming. Nitro zal de Persoonsgegevens alleen verwerken volgens de gedocumenteerde instructies van de Klant en zal deze Persoonsgegevens niet voor eigen doeleinden gebruiken, tenzij uitdrukkelijk toegestaan in de Servicevoorwaarden. Indien Nitro wettelijk verplicht is om door te gaan met de verwerking van Persoonsgegevens, zal Nitro, tenzij dit in strijd zou zijn met toepasselijke dwingende regels, de Klant op de hoogte stellen van een dergelijke verplichting.  

4.1 Dit Addendum voor gegevensverwerking is van toepassing op alle verwerkingen van Persoonsgegevens die worden uitgevoerd in de context van het leveren van de Services aan de Klant door Nitro en is van toepassing zolang Nitro Persoonsgegevens namens de Klant verwerkt in de context van de Overeenkomst. . Dit Addendum voor Gegevensverwerking vormt een aanvulling op de Servicevoorwaarden van Nitro en is bedoeld om ervoor te zorgen dat de Partijen voldoen aan de vereisten die worden opgelegd door de toepasselijke wet- en regelgeving inzake gegevensbescherming voor het gebruik van de Services door de Klant. 

4.2 Dit Addendum voor gegevensverwerking eindigt automatisch bij beëindiging van de Overeenkomst (of op het moment dat de verwerking door Nitro wordt beëindigd). De bepalingen van dit Addendum Gegevensverwerking die expliciet of impliciet (gezien hun aard) bedoeld zijn om van kracht te worden na beëindiging van het Addendum Gegevensverwerking blijven van kracht na het einde van de Overeenkomst met betrekking tot de Persoonsgegevens die zijn meegedeeld door of op initiatief van de Klant in het kader van de Overeenkomst.  

5.1 Nitro biedt adequate garanties met betrekking tot de implementatie van passende technische en organisatorische maatregelen (“TOM's”) om een veilige verwerking van Persoonsgegevens te garanderen en zo de bescherming van de rechten van de Betrokkene te garanderen. De door Nitro geïmplementeerde TOM's zijn zoals uiteengezet in de Gegevensverwerkingsdetails. De TOM's kunnen van tijd tot tijd door Nitro worden bijgewerkt, maar Nitro zal ervoor zorgen dat de algehele beveiliging die het heeft geïmplementeerd op het moment dat het Addendum voor gegevensverwerking wordt uitgevoerd, niet wordt verlaagd. De Klant erkent dat de TOM’s geschikt zijn voor de verwerking van zijn Persoonsgegevens op het moment van ondertekening of aanvaarding van dit Addendum Gegevensverwerking.   

5.2 Nitro zal alle passende technische en organisatorische maatregelen nemen zoals bedoeld in artikel 32 Britse AVG om een passend beveiligingsniveau te garanderen dat past bij het risico. 

5.3 Indien de Klant gevoelige Persoonsgegevens zoals bedoeld in de artikelen 9 en 10 Britse AVG aan Nitro verstrekt in de context van de Overeenkomst, zal de Klant Nitro hiervan schriftelijk op de hoogte stellen via privacy@gonitro.com. 

5.4 In het geval dat de Klant vraagt om specifieke technische en organisatorische maatregelen die door Nitro moeten worden geïmplementeerd (die Nitro niet standaard heeft geïmplementeerd), zal de Klant Nitro vergoeden voor het implementeren van dergelijke aanvullende maatregelen in overeenstemming met Paragraaf 14 'Kosten' van dit document. Addendum voor gegevensverwerking. 

5.5 Naleving door Nitro van een goedgekeurde gedragscode zoals bedoeld in artikel 40 Britse AVG, of een goedgekeurd certificeringsmechanisme zoals bedoeld in artikel 42 Britse AVG, kan worden gebruikt als bewijs van voldoende garanties waarnaar wordt verwezen in de Britse AVG. 

6.1 Nitro bewaart Persoonsgegevens niet langer dan nodig is voor de verwerking van dergelijke Persoonsgegevens in het kader van de Overeenkomst. De Klant zal Nitro geen opdracht geven om Persoonsgegevens langer te bewaren dan noodzakelijk. De toepasselijke bewaartermijn (zoals gedefinieerd door de Klant) wordt uiteengezet in de Gegevensverwerkingsdetails. 

6.2 Naar keuze van de Klant zal Nitro alle Persoonsgegevens verwijderen of teruggeven aan de Klant na het einde van de dienstverlening en bestaande kopieën verwijderen, tenzij de toepasselijke wetgeving opslag van de Persoonsgegevens vereist. De Klant erkent dat de Diensten mogelijk downloadfunctionaliteiten bevatten waarover de Klant beschikt, zodat de Klant zijn gegevens kan downloaden. Voor zover dergelijke functionaliteiten beschikbaar zijn, zal de Klant deze functionaliteiten gebruiken om zijn gegevens op te halen of te verwijderen. 

7.1 Partijen zijn in de Servicevoorwaarden een vertrouwelijkheidsclausule overeengekomen die van toepassing is op de verwerking van Persoonsgegevens in het kader van de Overeenkomst.  

7.2 Nitro erkent en stemt ermee in dat alleen de werknemers, contractanten of agenten van Nitro die betrokken zijn bij de verwerking van Persoonsgegevens over de Persoonsgegevens kunnen worden geïnformeerd, en alleen voor zover dit redelijkerwijs noodzakelijk is voor de uitvoering van de Overeenkomst. Nitro zorgt ervoor dat personen die bevoegd zijn om de Persoonsgegevens te verwerken, contractueel gebonden zijn aan vertrouwelijkheid of een passende wettelijke geheimhoudingsplicht hebben. 

8.1 Rekening houdend met de aard van de verwerking zal Nitro alle redelijke inspanningen leveren, door passende technische en organisatorische maatregelen te nemen, om de Klant te helpen bij het nakomen van zijn verplichting om te reageren op verzoeken van Betrokkenen. 

8.2 Voor alle hulp die door Nitro wordt verleend in de context van de behandeling van dergelijke verzoeken van Betrokkenen, zal de Klant Nitro vergoeden in overeenstemming met Paragraaf 14 'Kosten' van dit Addendum Gegevensverwerking. Een dergelijke terugbetaling door de Klant is niet van toepassing (i) in het geval dat de Betrokkene een beroep doet op zijn rechten vanwege een Inbreuk in verband met Persoonsgegevens waarvan bewezen is dat deze toe te schrijven is aan Nitro of (ii) in het geval dat dergelijke assistentie door Nitro niet langer duurt dan vier (4) uur. van werkzaamheden gedurende de looptijd van de Overeenkomst. 

9.1 Wanneer Nitro zich bewust wordt van een Inbreuk in verband met Persoonsgegevens, zal Nitro de Klant hiervan zonder onnodige vertraging op de hoogte stellen door contact op te nemen met de contactpersoon die is vermeld in de Overeenkomst of het relevante Bestelformulier (of via het e-mailadres voor kennisgeving van de Klant of (indien van toepassing) een ander e-mailadres dat de Klant in het beheerportaal heeft gedeeld als privacycontact). Nitro's contactpersoon voor alle gegevensbeschermingsgerelateerde zaken kunt u per e-mail bereiken: privacy@gonitro.com. 

9.2 Op verzoek van de Klant zal Nitro de Klant informeren over eventuele nieuwe ontwikkelingen met betrekking tot een Inbreuk in verband met Persoonsgegevens en over de maatregelen die zijn genomen om de gevolgen ervan te beperken en herhaling van een dergelijke Inbreuk in verband met Persoonsgegevens te voorkomen. Het is de verantwoordelijkheid van de Klant om, indien nodig, een Inbreuk in verband met Persoonsgegevens te melden aan de Toezichthoudende Autoriteit of de Betrokkene(n).  

10.1 De Klant geeft Nitro uitdrukkelijk toestemming om Subverwerkers in te schakelen voor de verwerking van Persoonsgegevens voor de uitvoering van de Overeenkomst en om de levering van de Services in het algemeen te vergemakkelijken. In zoverre verleent de Klant een algemene schriftelijke toestemming aan Nitro om te beslissen met welke Subverwerker(s) Nitro samenwerkt voor de nakoming van zijn verplichtingen onder de Overeenkomst. Nitro publiceert een Lijst met Subverwerkers waarin wordt verwezen naar de Subverwerkers die door Nitro zijn ingeschakeld.  

10.2 Nitro zal de Klant op de hoogte stellen van eventuele voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van Subverwerkers door contact op te nemen met de contactpersoon die is vermeld in de Overeenkomst of het relevante Bestelformulier (of via het e-mailadres voor kennisgeving van de Klant of (indien van toepassing) een ander e-mailadres dat de Klant heeft gedeeld in het admin-portaal als privacycontact). De Klant heeft het recht bezwaar te maken tegen de toevoeging of vervanging door zich schriftelijk tot Nitro te wenden. Partijen zullen in dat geval de aanvulling, vervanging of het alternatief te goeder trouw en zo snel als redelijkerwijs mogelijk na het schriftelijke bezwaarschrift van de Klant bespreken. 

10.3 Wanneer Nitro een subverwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten, worden dezelfde of vergelijkbare gegevensbeschermingsverplichtingen zoals uiteengezet in dit Addendum voor gegevensverwerking aan die subverwerker opgelegd door middel van een schriftelijke overeenkomst, met name door te voorzien voldoende garanties om passende technische en organisatorische maatregelen te treffen (en te voldoen aan de relevante technische en organisatorische maatregelen). Wanneer een subverwerker zijn verplichtingen op het gebied van gegevensbescherming niet nakomt, blijft Nitro volledig aansprakelijk jegens de Klant voor de nakoming van de verplichtingen van die subverwerker.  

11.1 De Klant erkent dat Nitro is gevestigd in de Verenigde Staten van Amerika en geeft daarmee toestemming voor internationale overdracht van persoonlijke gegevens met het oog op het leveren van de Services. Een dergelijke internationale gegevensoverdracht wordt beschouwd als een instructie van de Klant. 

11.2 Indien, op enig moment tijdens de looptijd van dit Addendum voor gegevensverwerking, (i) Nitro is gecertificeerd onder de Britse uitbreiding van het EU-VS Data Privacy Framework (ook bekend als de Brits-Amerikaanse ‘databrug’) (“ Kader"); en (ii) dat het Raamwerk een geldig adequaatheidsbesluit vormt voor de doeleinden van artikel 45 Britse AVG, erkennen de Partijen dat er geen passende waarborgen vereist zijn met betrekking tot overdrachten tussen de Klant en Nitro.  

11.3 Waar de voorwaarden uiteengezet in artikel 11.2 niet van toepassing zijn, gaan de partijen de Britse standaardcontractbepalingen aan in de vorm en op de wijze zoals uiteengezet in bijlage 2 bij dit Addendum voor gegevensverwerking, waarbij dergelijke Britse standaardcontractbepalingen zijn opgenomen in en deel uitmaken van dit Addendum voor gegevensverwerking. .   

11.4 De Klant erkent dat Subverwerkers die geautoriseerd zijn op grond van clausule 10 ook Persoonsgegevens in derde landen mogen verwerken. De Klant staat dergelijke overdrachten toe, op voorwaarde dat Nitro alle stappen onderneemt die nodig zijn om ervoor te zorgen dat dergelijke overdrachten voldoen aan de bepalingen van Hoofdstuk V van de Britse AVG en andere toepasselijke wetgeving inzake gegevensbescherming.  

11.5 Indien de overdracht van Persoonsgegevens naar een derde land of een internationale organisatie verplicht is op grond van de toepasselijke wetgeving waaraan Nitro onderworpen is, mag Nitro een dergelijke overdracht uitvoeren en zal Nitro de Klant vóór een dergelijke Verwerking op de hoogte stellen van die wettelijke vereiste, tenzij die wet dergelijke informatie verbiedt om belangrijke redenen van openbaar belang. 

12.1 Als de Klant een Data Protection Impact Assessment ('DPIA') (artikel 35 Britse AVG) of voorafgaand overleg (artikel 36 Britse AVG) uitvoert in verband met de verwerking van Persoonsgegevens in de context van de uitvoering van de Overeenkomst, zal Nitro de Klant redelijkerwijs assisteren door assistentie te verlenen op schriftelijk verzoek van de Klant. De Klant vergoedt Nitro voor de verleende hulp overeenkomstig Paragraaf 14 “Kosten” van dit Addendum Gegevensverwerking. Een dergelijke vergoeding van kosten is niet van toepassing in het geval (i) de hulp die van Nitro wordt gevraagd minder dan vier (4) werkuren bedraagt tijdens de looptijd van de Overeenkomst, of (ii) de DPIA of voorafgaand overleg wordt geactiveerd door een Persoonsgegevensprobleem. De inbreuk is bewezen toe te schrijven aan Nitro. 

13.1 De Klant heeft het recht om audits uit te voeren met betrekking tot de naleving door Nitro van zijn verplichtingen onder dit Addendum voor Gegevensverwerking en de toepasselijke wetgeving inzake gegevensbescherming. Nitro zal redelijke inspanningen leveren om mee te werken aan dergelijke audits en om alle informatie beschikbaar te stellen die nodig is om aan te tonen dat hij aan zijn verplichtingen voldoet. De Klant zal Nitro ten minste één (1) maand vóór de datum waarop de audit zal worden uitgevoerd, op de hoogte stellen van een dergelijke audit, door Nitro hiervan schriftelijk op de hoogte te stellen via privacy@gonitro.com.  

13.2 Als er een audit wordt uitgevoerd, moeten alle betrokken partijen eerst een specifieke geheimhoudingsovereenkomst ondertekenen, uitgegeven door Nitro, met betrekking tot een dergelijke audit en de auditresultaten vóór aanvang van de audit. Bij de uitvoering van een dergelijke audit moet rekening worden gehouden met de vertrouwelijkheidsverplichtingen van de Partijen ten opzichte van derden. Zowel de Partijen als hun auditors moeten de informatie die wordt verzameld in verband met een audit geheim houden en deze uitsluitend gebruiken om de naleving van dit Addendum Gegevensverwerking en de toepasselijke wet- en regelgeving met betrekking tot gegevensbescherming te verifiëren. De Klant heeft de mogelijkheid om de audit zelf uit te voeren of om een onafhankelijke auditor aan te wijzen, maar deze onafhankelijke auditor moet de geheimhoudingsovereenkomst waarnaar in dit artikel wordt verwezen, naar behoren ondertekenen. 

13.3 Beide Partijen en, indien van toepassing, hun vertegenwoordigers, zullen op verzoek redelijkerwijs samenwerken met de Toezichthoudende Autoriteit bij de uitvoering van haar taken.  

13.4 De Klant zal Nitro vergoeden voor de hulp die Nitro biedt met betrekking tot audit(s) in overeenstemming met Sectie 14 'Kosten' van dit Addendum voor gegevensverwerking. Met dien verstande dat een dergelijke vergoeding niet van toepassing is in het geval (i) de audit het resultaat is van een Inbreuk in verband met Persoonsgegevens waarvan bewezen is dat deze aan Nitro kan worden toegeschreven of (ii) in het geval dat de hulp van Nitro niet langer duurt dan vier (4) werkuren tijdens de looptijd van de Overeenkomst. 

14.1 De op grond van dit Addendum voor gegevensverwerking uit te voeren assistentie waarvoor Nitro de Klant kosten in rekening kan brengen, wordt in rekening gebracht op basis van de gewerkte uren en de toepasselijke standaarduurtarieven van Nitro (exclusief USD 295/uurbelasting). Nitro factureert deze bedragen maandelijks, maar heeft tevens het recht om vooraf een voorschot te vragen.  

14.2 De betaling door de Klant aan Nitro voor de hulp en professionele diensten die door Nitro worden geleverd onder dit Addendum voor gegevensverwerking vindt plaats in overeenstemming met de bepalingen in de Servicevoorwaarden.  

15.1 Behoudens voor zover toegestaan onder de toepasselijke wetgeving, zijn de bepalingen van de Servicevoorwaarden met betrekking tot de beperking van aansprakelijkheid ook van toepassing op dit Addendum voor gegevensverwerking en de daaruit voortvloeiende schade. 

16.1 De bepalingen van de Servicevoorwaarden met betrekking tot wijzigingen, volledige overeenkomst, scheidbaarheid, toepasselijk recht en bevoegde rechtbanken zijn van toepassing op dit Addendum voor gegevensverwerking. In geval van discrepanties of tegenstrijdigheden tussen dit Addendum voor gegevensverwerking en de Britse standaardcontractbepalingen, indien van toepassing, prevaleren de Britse standaardcontractbepalingen. 

A. LIJST VAN PARTIJEN

1. EXPORTEUR(S) VAN GEGEVENS
Naam: Klant, zoals vermeld in de Overeenkomst en het betreffende Bestelformulier.

Adres: Het adres van de gegevensexporteur staat vermeld in de Overeenkomst en het relevante Bestelformulier.

Naam, functie en contactgegevens contactpersoon: De contactgegevens van de contactpersoon voor de gegevensexporteur zijn ingesteld. in de Overeenkomst, het relevante Bestelformulier (en, indien van toepassing, het beheerportaal van de Klant).

Activiteiten die relevant zijn voor de overgedragen gegevens: De activiteiten die relevant zijn voor de gegevens die worden overgedragen onder deze Britse standaardcontractbepalingen worden hieronder beschreven in Deel B “Beschrijving van verwerking/overdracht”.

Handtekening en datum: Door het relevante Bestelformulier te ondertekenen of te accepteren, wordt de gegevensexporteur geacht deze Bijlage I te hebben ondertekend.

Rol (verwerkingsverantwoordelijke/verwerker): Verwerkingsverantwoordelijke

2. IMPORTEUR(S) VAN GEGEVENS
Naam: Nitro Software Inc.

Adres: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.

Naam, functie en contactgegevens van de contactpersoon: privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.

Activiteiten die relevant zijn voor de doorgegeven gegevens: De activiteiten die relevant zijn voor de gegevens die worden overgedragen onder deze modelcontractbepalingen van het Verenigd Koninkrijk, worden hieronder beschreven in sectie B "Beschrijving van verwerking/overdracht".

Handtekening en datum: Door het ondertekenen of accepteren van het betreffende Bestelformulier, wordt de gegevensimporteur geacht deze Bijlage I te hebben ondertekend.

Rol (verwerkingsverantwoordelijke/verwerker): Processor

B. BESCHRIJVING VAN VERWERKING/OVERDRACHT

1. ONDERWERP VAN DE VERWERKING VAN DE PERSOONSGEGEVENS 

Het onderwerp wordt door de Klant bepaald zoals uiteengezet in de Overeenkomst en het relevante Bestelformulier.

2. DE AARD EN HET DOEL VAN DE VERWERKING VAN PERSOONSGEGEVENS  

De aard en het doel van de verwerking worden door de Klant bepaald zoals uiteengezet in de Overeenkomst en het relevante Bestelformulier.

Standaard heeft een dergelijke verwerking tot doel de Diensten, inclusief al zijn kenmerken en functionaliteiten, beschikbaar te stellen aan de Klant en zijn Gebruikers en meer in het algemeen om Nitro in staat te stellen zijn contractuele verplichtingen onder de Overeenkomst na te komen. Een dergelijk doel kan het beschikbaar stellen van de Cloud Services zijn (bijvoorbeeld maar niet beperkt tot het beschikbaar stellen van het cloudportaal voor klanten, diensten voor elektronische ondertekening, analysediensten etc.) en het verlenen van Ondersteuning.

De aard van de verwerking omvat, naast andere instructies die door de Klant in de Overeenkomst en het relevante Bestelformulier worden gegeven, de verwerking, verzameling, opslag, communicatie en overdracht van Persoonsgegevens.

3. VERWERKTE PERSOONSGEGEVENS 

Afhankelijk van de functionaliteiten die binnen de Diensten worden gebruikt (bijvoorbeeld beheerdersportaal, diensten voor elektronische ondertekening, analysediensten enz.) en de inhoud van de Klantgegevens die door de Klant en zijn Gebruikers naar de Diensten zijn geüpload, verwerkt Nitro verschillende soorten Persoonsgegevens.

Over het algemeen omvatten de door Nitro verwerkte Persoonsgegevens, zonder beperking:

• Identificatiegegevens (bijvoorbeeld Gebruiker- en gebruiksgegevens) 
• Documentgegevens (bijvoorbeeld Persoonsgegevens opgenomen in verwerkte PDF-documenten) 

Een gedetailleerd overzicht van het soort Persoonsgegevens dat wordt verwerkt bij het gebruik van de Diensten is beschikbaar via het Vertrouwenscentrum van Nitro: Verwerking van Persoonsgegevens

4. GEVOELIGE GEGEVENS 
De gegevensexporteur kan gevoelige persoonsgegevens in de persoonsgegevens opnemen in overeenstemming met afdeling 5.3 van dit Addendum Gegevensverwerking. Doorgegeven gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die ten volle rekening houden met de aard van de gegevens en de risico's die ermee gepaard gaan, zoals bijvoorbeeld strikte doelbinding, toegangsbeperkingen (met inbegrip van toegang alleen voor personeel dat een gespecialiseerde opleiding heeft gevolgd), het bijhouden van een register van de toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende beveiligingsmaatregelen: wordt verwezen naar de TOM's zoals vermeld of waarnaar wordt verwezen in de onderstaande gegevensverwerkingsgegevens.

5. CATEGORIE VAN BETROKKENEN 

De volgende categorieën Betrokkenen vallen standaard onder het bereik:

• Alle Gebruikers die toegang hebben tot de Diensten (inclusief beheerders, algemene gebruikers of uitgenodigde gebruikers zoals ondertekenaars). 
• Alle Betrokkenen die zijn opgenomen in de Klantgegevens die door de Klant of zijn Gebruikers naar de Diensten zijn geüpload.  

De Klant bevestigt dat deze Betrokkenen standaard in een van de volgende categorieën worden beschouwd:

• Het personeel van de klant 
• Klanten van de klant  
• De vooruitzichten van de klant 
• Leveranciers van de klant 

6. SUB-VERWERKERS 

Nitro schakelt Subverwerkers in om ervoor te zorgen dat alle functionaliteiten binnen de Diensten beschikbaar zijn. Welke Subverwerkers van toepassing zijn, hangt af van het gebruik van de Diensten en de door Klant gevraagde functionaliteiten en inrichting. Een gedetailleerd overzicht van de door Nitro ingeschakelde subverwerkers (inclusief de procedure die wij hanteren bij het inschakelen van nieuwe subverwerkers) is beschikbaar via ons Vertrouwenscentrum: Subverwerkers en Onderaannemers

7. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN (TOM's) 

Nitro implementeert passende technische en organisatorische maatregelen om adequate beveiliging te garanderen bij het gebruik van de Diensten. We zijn voortdurend bezig met het updaten van dergelijke maatregelen. Een gedetailleerd overzicht van de genomen maatregelen is beschikbaar via ons Trust Center op onze sectie Beveiliging: Informatiebeveiliging en in ons Informatiebeveiligingsbeleid. Ons Trust Center geeft ook een overzicht van de certificeringen die Nitro bezit in het gedeelte Naleving: Naleving.

8. BEWAARPERIODE 

Nitro bewaart Persoonsgegevens niet langer dan nodig is voor het verlenen van de Diensten. Afhankelijk van de Diensten en de functionaliteiten waar u als Klant gebruik van maakt, kunnen de toepasselijke bewaartermijn(en) verschillen. Elke klant kan Nitro verzoeken om specifieke bewaartermijnen op zijn omgeving te configureren (voor zover dit technisch haalbaar is).

Indien er geen specifieke bewaartermijnen zijn geconfigureerd, worden Persoonsgegevens standaard door Nitro bewaard tot verwijdering door de Klant of tot beëindiging van de Overeenkomst tussen Nitro en de Klant (plus maximaal 30 dagen), afhankelijk van welke van beide situaties zich het eerst voordoet. Een gedetailleerd overzicht van de bewaartermijnen is beschikbaar via ons Vertrouwenscentrum: Verwerking van Persoonsgegevens

9. FREQUENTIE VAN INTERNATIONALE OVERDRACHTEN 

Op doorlopende basis, indien nodig om de Diensten aan de Klant te leveren.

Addendum voor internationale gegevensoverdracht bij de standaardcontractbepalingen van de Europese Commissie

VERSIE B1.0, van kracht 21 maart 2022

Dit Addendum is uitgegeven door de Information Commissioner voor partijen die beperkte overdrachten uitvoeren. De Information Commissioner is van mening dat hij passende waarborgen biedt voor beperkte overdrachten wanneer deze wordt aangegaan als een juridisch bindend contract.

Tabel 1: Partijen

Tabel 2: Geselecteerde SCC's, modules en geselecteerde clausules

Tabel 3: Bijlage-informatie

“Bijlage-informatie” betekent de informatie die moet worden verstrekt voor de geselecteerde modules zoals uiteengezet in de Bijlage van de Goedgekeurde EU SCC’s (anders dan de Partijen), en die voor dit Addendum is uiteengezet in:

Tabel 4: Dit addendum wordt beëindigd wanneer het goedgekeurde addendum verandert

Het aangaan van dit Addendum

1. Elke Partij stemt ermee in gebonden te zijn aan de voorwaarden uiteengezet in dit Addendum, in ruil voor het feit dat de andere Partij er eveneens mee instemt gebonden te zijn aan dit Addendum. 
2. Hoewel Bijlage 1A en Clausule 7 van de Goedgekeurde EU SCC's ondertekening door de Partijen vereisen, kunnen de Partijen, met het oog op het uitvoeren van Beperkte Overdrachten, dit Addendum aangaan op elke manier die ze juridisch bindend maakt voor de Partijen en het mogelijk maakt betrokkenen om hun rechten zoals uiteengezet in dit Addendum af te dwingen. Het aangaan van dit Addendum zal hetzelfde effect hebben als het ondertekenen van de Goedgekeurde EU-VCA’s en enig deel van de Goedgekeurde EU-VCA’s. 

Interpretatie van dit addendum

3. Wanneer in dit Addendum termen worden gebruikt die zijn gedefinieerd in de goedgekeurde EU-modelcontractbepalingen, hebben die termen dezelfde betekenis als in de goedgekeurde EU-modelcontractbepalingen. Daarnaast hebben de volgende termen de volgende betekenissen: 

4. Dit Addendum moet altijd worden geïnterpreteerd op een manier die in overeenstemming is met de Britse wetgeving inzake gegevensbescherming en zodat het voldoet aan de verplichting van de Partijen om de Passende waarborgen te bieden.  
5. Indien de bepalingen in het Addendum EU SCC's de Goedgekeurde SCC's wijzigen op een manier die niet is toegestaan op grond van de Goedgekeurde EU SCC's of het Goedgekeurde Addendum, zal een dergelijke wijziging(en) niet in dit Addendum worden opgenomen en zal de equivalente bepaling van de Goedgekeurde EU SCC's in de plaats komen. 
6. Als er sprake is van inconsistentie of conflict tussen de Britse wetgeving inzake gegevensbescherming en dit addendum, is de Britse wetgeving inzake gegevensbescherming van toepassing. 
7. Als de betekenis van dit Addendum onduidelijk is of als er meer dan één betekenis is, is de betekenis van toepassing die het meest overeenkomt met de Britse wetgeving inzake gegevensbescherming.  
8. Elke verwijzing naar wetgeving (of specifieke bepalingen van wetgeving) betekent dat wetgeving (of specifieke bepaling) in de loop van de tijd kan veranderen. Dit geldt ook wanneer die wetgeving (of specifieke bepaling) is geconsolideerd, opnieuw vastgesteld en/of vervangen nadat dit Addendum is aangegaan.  

Hiërarchie
9. Hoewel in clausule 5 van de goedgekeurde EU-SCC's is bepaald dat de goedgekeurde EU-SCC's voorrang hebben op alle gerelateerde overeenkomsten tussen de partijen, komen de partijen overeen dat voor beperkte overdrachten de hiërarchie in afdeling 10 prevaleert. 
10. Wanneer er sprake is van inconsistentie of tegenstrijdigheid tussen het Goedgekeurde Addendum en de Addendum EU-SCC's (indien van toepassing), heeft het Goedgekeurde Addendum voorrang op de Addendum EU-SCC's, behalve wanneer (en voor zover) de inconsistente of tegenstrijdige voorwaarden van het Addendum EU-SCC's meer bescherming bieden voor betrokkenen, in welk geval die voorwaarden voorrang hebben op het Goedgekeurde Addendum. 
11. Wanneer dit Addendum Addendum EU SCC's bevat die zijn aangegaan om overdrachten te beschermen die onderworpen zijn aan de Algemene Verordening Gegevensbescherming (EU) 2016/679 dan erkennen de Partijen dat niets in dit Addendum van invloed is op die Addendum EU SCC's. 

Opname van en wijzigingen in de EU SCC's
12. In dit addendum zijn de addendum EU-modelcontractbepalingen opgenomen die voor zover nodig worden gewijzigd zodat: 

1. samen zijn zij actief voor gegevensoverdrachten door de gegevensexporteur naar de gegevensimporteur, voor zover de Britse wetgeving inzake gegevensbescherming van toepassing is op de verwerking door de gegevensexporteur bij het uitvoeren van die gegevensoverdracht, en zij bieden passende waarborgen voor die gegevensoverdrachten;  
2. Secties 9 tot en met 11 overschrijven clausule 5 (Hiërarchie) van het Addendum EU SCC's; En 
3. dit Addendum (inclusief de daarin opgenomen EU-MCC's van het Addendum) valt (1) onder de wetten van Engeland en Wales en (2) elk geschil dat hieruit voortvloeit, wordt in elk geval beslecht door de rechtbanken van Engeland en Wales tenzij de wetten en/of rechtbanken van Schotland of Noord-Ierland uitdrukkelijk door de partijen zijn gekozen. 

13. Tenzij de partijen alternatieve wijzigingen zijn overeengekomen die voldoen aan de vereisten van afdeling 12, zijn de bepalingen van afdeling 15 van toepassing. 
14. Er mogen geen andere wijzigingen in de goedgekeurde EU-modelcontractbepalingen worden aangebracht dan om te voldoen aan de vereisten van sectie 12 . 
15. De volgende wijzigingen worden aangebracht in het Addendum EU-SCC's (voor de toepassing van afdeling 12) :  

1. Verwijzingen naar de “clausules” betekenen dit Addendum, waarin de EU SCC’s van het Addendum zijn opgenomen; 
2. In clausule 2worden de volgende woorden geschrapt: 
   "en, met betrekking tot gegevensoverdrachten van verwerkingsverantwoordelijken aan verwerkers en/of verwerkers aan verwerkers, modelcontractbepalingen overeenkomstig artikel 28, lid7, van Verordening (EU) 2016/679";
3. Clausule 6 (Beschrijving van de overdracht(en)) wordt vervangen door: 
   "De bijzonderheden van de doorgifte(n) en met name de categorieën persoonsgegevens die worden doorgegeven en het doel of de doeleinden waarvoor zij worden doorgegeven) zijn die welke zijn gespecificeerd in bijlage I, deel B, waar de Britse wetgeving inzake gegevensbescherming van toepassing is op de verwerking door de gegevensexporteur bij die doorgifte.";
4. Clausule 8.7i) van module 1 wordt vervangen door: 
   "het is naar een land dat profiteert van adequaatheidsvoorschriften op grond van sectie 17A van de Britse AVG die de verdere doorgifte dekt";
5. Clausule 8.8i) van de modules 2 en 3 wordt vervangen door: 
   "de verdere doorgifte vindt plaats naar een land dat profiteert van adequaatheidsvoorschriften op grond van sectie 17A van de Britse AVG die de verdere doorgifte dekt;"
6. Verwijzingen naar "Verordening (EU) 2016/679 ", "Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens (Algemene Verordening Gegevensbescherming)” en “die Verordening” worden allemaal vervangen door “Britse wetten inzake gegevensbescherming”. Verwijzingen naar specifieke artikelen van “Verordening (EU) 2016/679” worden vervangen door het gelijkwaardige artikel of onderdeel van de Britse wetgeving inzake gegevensbescherming; 
7. Verwijzingen naar Verordening (EU) 2018/1725 zijn verwijderd; 
8. Verwijzingen naar de “Europese Unie”, “Unie”, “EU”, “EU-lidstaat”, “Lidstaat” en “EU of lidstaat” worden allemaal vervangen door “VK”; 
9. De verwijzing naar “Clausule 12(c)(i)” in Clausule 10(b)(i) van Module één wordt vervangen door “Clausule 11(c)(i)”; 
10. Clausule 13(a) en deel C van bijlage I worden niet gebruikt;  
11. De “bevoegde toezichthoudende autoriteit” en de “toezichthoudende autoriteit” worden beide vervangen door de “Informatiecommissaris”; 
12. In punt 16, onder e), wordt punt i) vervangen door: 
    "de Secretary of State stelt voorschriften vast op grond van artikel 17A van de Data Protection Act 2018 die betrekking hebben op de doorgifte van persoonsgegevens waarop deze clausules van toepassing zijn;";
13. Clausule 17 wordt vervangen door: 
    "Deze clausules worden beheerst door de wetten van Engeland en Wales.";
14. Clausule 18 wordt vervangen door: 
    "Elk geschil dat voortvloeit uit deze clausules zal worden beslecht door de rechtbanken van Engeland en Wales. Een betrokkene kan ook gerechtelijke stappen ondernemen tegen de gegevensexporteur en/of gegevensimporteur voor de rechtbanken van elk land in het VK. De partijen komen overeen zich te onderwerpen aan de rechtsmacht van deze rechtbanken."; en
15. De voetnoten bij de goedgekeurde EU SCC's maken geen deel uit van het Addendum, met uitzondering van de voetnoten 8, 9, 10 en 11.  

Wijzigingen in dit addendum

1. De partijen kunnen overeenkomen om clausules 17 en/of 18 van het Addendum EU SCC's te wijzigen om te verwijzen naar de wetten en/of rechtbanken van Schotland of Noord-Ierland. 
2. Als de Partijen het formaat willen wijzigen van de informatie opgenomen in Deel 1: Tabellen van het Goedgekeurde Addendum, kunnen zij dit doen door schriftelijk akkoord te gaan met de wijziging, op voorwaarde dat de wijziging de Passende Waarborgen niet vermindert. 
3. Van tijd tot tijd kan de ICO een herzien goedgekeurd addendum uitgeven dat:  
   
   1. redelijke en proportionele wijzigingen aanbrengt in het Goedgekeurde Addendum, inclusief het corrigeren van fouten in het Goedgekeurde Addendum; en/of 
   2. weerspiegelt wijzigingen in de Britse wetgeving inzake gegevensbescherming; 
4. In het herziene Goedgekeurde Addendum wordt de startdatum gespecificeerd vanaf welke de wijzigingen in het Goedgekeurde Addendum van kracht worden en of de Partijen dit Addendum, inclusief de Bijlage-informatie, moeten herzien. Dit Addendum wordt vanaf de aangegeven startdatum automatisch gewijzigd zoals uiteengezet in het herziene Goedgekeurde Addendum.
5. Als de ICO een herzien Goedgekeurd Addendum uitgeeft onder Sectie 18, zal een Partij die is geselecteerd in Tabel 4 “Het Addendum beëindigen wanneer het Goedgekeurde Addendum verandert”, als direct gevolg van de wijzigingen in het Goedgekeurde Addendum een substantiële, onevenredige en aantoonbare toename van:  
   
   1. zijn directe kosten voor het nakomen van zijn verplichtingen uit hoofde van het Addendum; en/of  
   2. het risico ervan onder het Addendum,  

en in beide gevallen heeft zij eerst redelijke stappen ondernomen om die kosten of risico’s te beperken, zodat deze niet substantieel en onevenredig zijn, dan kan die Partij dit Addendum beëindigen na een redelijke opzegtermijn, door voor die periode een schriftelijke kennisgeving te sturen naar de andere Partij vóór de ingangsdatum van het herziene Goedgekeurde Addendum.

1. De partijen hebben geen toestemming van derden nodig om wijzigingen in dit Addendum aan te brengen, maar eventuele wijzigingen moeten worden aangebracht in overeenstemming met de voorwaarden ervan. 

Download een exemplaar