Addendum voor gegevensverwerking van Nitro Sign Premium en Identity Hub EU AVG
DIT ADDENDUM VOOR GEGEVENSVERWERKING IS VAN TOEPASSING ALS U U HEBT AANGEMELD VOOR NITRO SIGN PREMIUM OF NITRO IDENTITY HUB ONDER DE NITRO SERVICEVOORWAARDEN VOOR NITRO SIGN PREMIUM EN NITRO IDENTITY HUB EN DE EU AVG IS VAN TOEPASSING OP DE VERWERKING VAN PERSOONLIJKE GEGEVENS IN DE CONTEXT VAN DE OVEREENKOMST.
1. DOMEIN; ROLLEN VAN DE PARTIJEN
Nitro zal Persoonsgegevens ontvangen en verwerken ten behoeve van en namens de Klant bij het leveren van de Services, volgens de instructies en het doel dat door de Klant is gedefinieerd in de Gegevensverwerkingsdetails. Met dit Addendum Gegevensverwerking willen Partijen hun specifieke afspraken vastleggen met betrekking tot de verwerking van Persoonsgegevens in het kader van de Overeenkomst.
Standaard treedt Nitro op als Verwerker en treedt de Klant op als Verwerkingsverantwoordelijke met betrekking tot de Diensten die door Nitro aan de Klant worden geleverd in overeenstemming met de Servicevoorwaarden van Nitro. Dit Addendum Gegevensverwerking vervangt en vervangt alle eerdere overeenkomsten die (indien van toepassing) zijn gemaakt met betrekking tot de verwerking van Persoonsgegevens en gegevensbescherming tussen de Partijen met betrekking tot de Diensten die door Nitro worden aangeboden.
Dit Addendum voor Gegevensverwerking vormt een aanvulling op en maakt deel uit van de Servicevoorwaarden, en samen vormen de Servicevoorwaarden en dit Addendum voor Gegevensverwerking één enkele juridische overeenkomst tussen de Partijen. In geval van discrepanties of tegenstrijdigheden tussen dit Addendum voor gegevensverwerking en de Servicevoorwaarden, prevaleert het Addendum voor gegevensverwerking.
2. DEFINITIES
“Verwerkingsverantwoordelijke” verwijst naar de Klant zoals geïdentificeerd in de Servicevoorwaarden en het toepasselijke Bestelformulier;
“Gegevensverwerkingsdetails” betekent de gegevensverwerkingsdetails zoals opgenomen in het Bestelformulier en die meer details bevatten over de instructies van de Klant over de verwerking van Persoonsgegevens, zoals het doel, het voorwerp en de aard van de verwerking en het soort Persoonsgegevens dat wordt verwerkt;
“EU AVG” betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende de vrije verplaatsing van dergelijke gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);
“Persoonlijke gegevens” betekent persoonlijke gegevens zoals gedefinieerd onder de EU AVG die Nitro verwerkt ten behoeve en namens de Klant bij het leveren van de Services volgens de instructies en het doel dat door de Klant is gedefinieerd in de Gegevensverwerkingsdetails;
“Verwerker” verwijst naar Nitro Software Belgium NV, leverancier van de Diensten aan de Klant en zoals geïdentificeerd in de Servicevoorwaarden;
“Lijst van subverwerkers” verwijst naar de lijst van subverwerkers zoals online beschikbaar gesteld door Nitro, met inbegrip van de subverwerkers die door Nitro zijn ingeschakeld voor het leveren van de Services en het nakomen van Nitro's verplichtingen onder het Addendum voor gegevensverwerking in het algemeen. Nitro kan de Lijst van subverwerkers van tijd tot tijd bijwerken volgens het proces dat is uiteengezet in dit Addendum voor gegevensverwerking;
“Subverwerker” betekent elke externe verwerker die door Nitro is ingeschakeld voor de verwerking van Persoonsgegevens met betrekking tot de levering van de Diensten aan de Klant;
Alle andere termen en definities die met hoofdletters zijn geschreven en die niet uitdrukkelijk in dit Addendum voor gegevensverwerking zijn gedefinieerd, worden gedefinieerd zoals uiteengezet in de toepasselijke wetgeving inzake gegevensbescherming of de Servicevoorwaarden van Nitro.
3. DOEL VAN DIT ADDENDUM VOOR GEGEVENSVERWERKING
3.1 Dit Addendum Gegevensverwerking bepaalt de voorwaarden voor de verwerking door Nitro van Persoonsgegevens die door of op initiatief van de Klant worden meegedeeld in het kader van de Overeenkomst. De aard en het doel van de verwerking, een lijst en het soort Persoonsgegevens, evenals de categorieën van de Betrokkenen, zijn vermeld in de Gegevensverwerkingsdetails.
3.2 De verwerking vindt uitsluitend plaats ten behoeve van de Klant en voor het doel zoals door de Klant gedefinieerd in de Gegevensverwerkingsdetails. Nitro zal de Klant onmiddellijk op de hoogte stellen indien een instructie naar haar oordeel in strijd is met de toepasselijke (gegevensbeschermings)wetgeving. Nitro zal de Persoonsgegevens alleen verwerken volgens de gedocumenteerde instructies van de Klant en zal deze Persoonsgegevens niet voor eigen doeleinden gebruiken, tenzij uitdrukkelijk toegestaan in de Servicevoorwaarden. Indien Nitro wettelijk verplicht is om door te gaan met de verwerking van Persoonsgegevens, zal Nitro, tenzij dit in strijd zou zijn met toepasselijke dwingende regels, de Klant op de hoogte stellen van een dergelijke verplichting.
4. TERMIJN
4.1 Dit Addendum Gegevensverwerking is van toepassing op alle verwerkingen van Persoonsgegevens die worden uitgevoerd in het kader van het verlenen van de Diensten aan de Klant door Nitro en is van toepassing zolang Nitro Persoonsgegevens namens de Klant verwerkt in het kader van de Overeenkomst. Dit Addendum voor Gegevensverwerking vormt een aanvulling op de Servicevoorwaarden van Nitro en is bedoeld om ervoor te zorgen dat de Partijen voldoen aan de eisen die worden opgelegd door de toepasselijke wet- en regelgeving inzake gegevensbescherming voor het gebruik van de Services door de Klant.
4.2 Dit Addendum Gegevensverwerking eindigt automatisch bij beëindiging van de Overeenkomst (of op het moment dat de verwerking door Nitro wordt beëindigd). De bepalingen van dit Addendum Gegevensverwerking die expliciet of impliciet (gezien hun aard) bedoeld zijn om van kracht te worden na beëindiging van het Addendum Gegevensverwerking blijven van kracht na het einde van de Overeenkomst met betrekking tot de Persoonsgegevens die zijn meegedeeld door of op initiatief van de Klant in het kader van de Overeenkomst.
5. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
5.1 Nitro biedt adequate garanties met betrekking tot de implementatie van passende technische en organisatorische maatregelen (“TOM's”) om een veilige verwerking van Persoonsgegevens te garanderen en zo de bescherming van de rechten van de Betrokkene te garanderen. De door Nitro geïmplementeerde TOM's zijn zoals uiteengezet in de Gegevensverwerkingsdetails. De TOM's kunnen van tijd tot tijd door Nitro worden bijgewerkt, maar Nitro zal ervoor zorgen dat de algehele beveiliging die het heeft geïmplementeerd op het moment dat het Addendum voor gegevensverwerking wordt uitgevoerd, niet wordt verlaagd. De Klant erkent dat de TOM’s geschikt zijn voor de verwerking van zijn Persoonsgegevens op het moment van ondertekening of aanvaarding van dit Addendum Gegevensverwerking.
5.2 Nitro zal alle passende technische en organisatorische maatregelen nemen zoals bedoeld in artikel 32 EU AVG om een passend beveiligingsniveau te garanderen dat past bij het risico.
5.3 Als de Klant gevoelige Persoonsgegevens zoals bedoeld in de artikelen 9 en 10 EU AVG aan Nitro verstrekt in de context van de Overeenkomst, zal de Klant dergelijke informatie opnemen in de Gegevensverwerkingsdetails.
5.4 In het geval dat de Klant vraagt om specifieke technische en organisatorische maatregelen die door Nitro moeten worden geïmplementeerd (die Nitro niet standaard heeft geïmplementeerd), zal de Klant Nitro vergoeden voor het implementeren van dergelijke aanvullende maatregelen in overeenstemming met Paragraaf 14 “Kosten” van dit Addendum Gegevensverwerking .
5.5 Naleving door Nitro van een goedgekeurde gedragscode zoals bedoeld in artikel 40 EU AVG, of een goedgekeurd certificeringsmechanisme zoals bedoeld in artikel 42 EU AVG kan worden gebruikt als bewijs van voldoende garanties waarnaar wordt verwezen in de EU AVG.
6. BEHOUD
6.1 Nitro bewaart Persoonsgegevens niet langer dan nodig is voor de verwerking van dergelijke Persoonsgegevens in het kader van de Overeenkomst. De Klant zal Nitro niet instrueren om Persoonsgegevens langer te bewaren dan noodzakelijk. De toepasselijke bewaartermijn (zoals gedefinieerd door de Klant) wordt uiteengezet in de Gegevensverwerkingsdetails.
6.2 Naar keuze van de Klant zal Nitro alle Persoonsgegevens verwijderen of teruggeven aan de Klant na het einde van de dienstverlening en bestaande kopieën verwijderen, tenzij de wetgeving van de Unie of de lidstaten opslag van de Persoonsgegevens vereist. De Klant erkent dat de Diensten downloadfunctionaliteiten kunnen bevatten die ter beschikking staan van de Klant, zodat de Klant zijn gegevens kan downloaden. Voor zover dergelijke functionaliteiten beschikbaar zijn, zal de Klant deze functionaliteiten gebruiken om zijn gegevens op te halen of te verwijderen.
7. VERTROUWELIJKHEID
7.1 Partijen zijn in de Servicevoorwaarden een vertrouwelijkheidsclausule overeengekomen die van toepassing is op de verwerking van Persoonsgegevens in het kader van de Overeenkomst.
7.2 Nitro erkent en stemt ermee in dat alleen de werknemers, contractanten of agenten van Nitro die betrokken zijn bij de verwerking van Persoonsgegevens over de Persoonsgegevens kunnen worden geïnformeerd, en alleen voor zover dit redelijkerwijs noodzakelijk is voor de uitvoering van de Overeenkomst. Nitro zorgt ervoor dat personen die bevoegd zijn om de Persoonsgegevens te verwerken, contractueel gebonden zijn aan vertrouwelijkheid of een passende wettelijke geheimhoudingsplicht hebben.
8. RECHTEN VAN DE BETROKKENE
8.1 Rekening houdend met de aard van de verwerking zal Nitro alle redelijke inspanningen leveren, door passende technische en organisatorische maatregelen te nemen, om de Klant te helpen bij het nakomen van zijn verplichting om te reageren op verzoeken van Betrokkenen.
8.2 Voor alle hulp die door Nitro wordt verleend in het kader van de behandeling van dergelijke verzoeken van Betrokkenen, zal de Klant Nitro vergoeden in overeenstemming met Paragraaf 14 “Kosten” van dit Addendum Gegevensverwerking. Een dergelijke terugbetaling door de Klant is niet van toepassing (i) in het geval dat de Betrokkene een beroep doet op zijn rechten vanwege een Inbreuk in verband met Persoonsgegevens waarvan bewezen is dat deze toe te schrijven is aan Nitro of (ii) in het geval dat dergelijke assistentie door Nitro niet langer duurt dan vier (4) uur. van werkzaamheden gedurende de looptijd van de overeenkomst.
9. MELDPLICHT
9.1 Wanneer Nitro zich bewust wordt van een Inbreuk in verband met Persoonsgegevens, zal Nitro de Klant hiervan zonder onnodige vertraging op de hoogte stellen door contact op te nemen met de contactpersoon die is vermeld in de Overeenkomst of het relevante Bestelformulier (of via het e-mailadres voor kennisgeving van de Klant). Nitro's contactpersoon voor alle gegevensbeschermingsgerelateerde zaken kunt u per e-mail bereiken: privacy@gonitro.com.
9.2 Op verzoek van de Klant zal Nitro de Klant informeren over eventuele nieuwe ontwikkelingen met betrekking tot een Inbreuk in verband met Persoonsgegevens en over de maatregelen die zijn genomen om de gevolgen ervan te beperken en herhaling van een dergelijke Inbreuk in verband met persoonsgegevens te voorkomen. Het is de verantwoordelijkheid van de Klant om, indien nodig, een Inbreuk in verband met Persoonsgegevens te melden aan de Toezichthoudende Autoriteit of de Betrokkene(n).
10. SUBBEWERKING
10.1 De Klant geeft Nitro uitdrukkelijk toestemming om Subverwerkers in te schakelen voor de verwerking van Persoonsgegevens voor de uitvoering van de Overeenkomst en om de levering van de Diensten in het algemeen te vergemakkelijken. In zoverre verleent de Klant een algemene schriftelijke toestemming aan Nitro om te beslissen met welke Subverwerker(s) Nitro samenwerkt voor de nakoming van zijn verplichtingen onder de Overeenkomst. Nitro publiceert een Lijst met Subverwerkers waarin wordt verwezen naar de Subverwerkers die door Nitro zijn ingeschakeld.
10.2 Nitro zal de Klant op de hoogte stellen van eventuele voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van Subverwerkers via de contactpersoon van de Klant die is vermeld in de Overeenkomst of het relevante Bestelformulier (of via het e-mailadres voor kennisgeving van de Klant). De Klant heeft het recht bezwaar te maken tegen de toevoeging of vervanging door zich schriftelijk tot Nitro te wenden. Partijen zullen in dat geval de aanvulling, vervanging of het alternatief te goeder trouw en zo snel als redelijkerwijs mogelijk na het schriftelijke bezwaarschrift van de Klant bespreken.
10.3 Wanneer Nitro een subverwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten, zullen dezelfde of soortgelijke gegevensbeschermingsverplichtingen zoals uiteengezet in dit Addendum voor gegevensverwerking aan die subverwerker worden opgelegd door middel van een schriftelijke overeenkomst, waarbij met name voldoende garanties worden geboden om het implementeren van passende technische en organisatorische maatregelen (en het naleven van de relevante technische en organisatorische maatregelen). Wanneer een subverwerker zijn verplichtingen op het gebied van gegevensbescherming niet nakomt, blijft Nitro volledig aansprakelijk jegens de Klant voor de nakoming van de verplichtingen van die subverwerker.
11. INTERNATIONALE GEGEVENSOVERDRACHT
11.1 De Klant geeft toestemming voor internationale overdracht van Persoonsgegevens met het oog op het leveren van de Services. Dergelijke internationale gegevensoverdrachten worden beschouwd als een instructie van de Klant. De Klant erkent dat Subverwerkers die geautoriseerd zijn op grond van Artikel 10 ook Persoonsgegevens in derde landen kunnen verwerken. De Klant staat dergelijke overdrachten toe, op voorwaarde dat Nitro alle stappen onderneemt die nodig zijn om ervoor te zorgen dat dergelijke overdrachten voldoen aan de bepalingen van Hoofdstuk V van de EU AVG en andere toepasselijke wetgeving inzake gegevensbescherming.
11.2 In het geval dat de overdracht van Persoonsgegevens naar een derde land of een internationale organisatie verplicht is op grond van de toepasselijke wetgeving van de EU of een lidstaat waaraan Nitro onderworpen is, mag Nitro een dergelijke overdracht uitvoeren en zal zij de Klant vóór een dergelijke Verwerking op de hoogte stellen van die wettelijke vereiste. , tenzij die wet dergelijke informatie om gewichtige redenen van openbaar belang verbiedt.
12. GEGEVENSBESCHERMING IMPACTBEOORDELING EN VOORAFGAAND OVERLEG
12.1 Als de Klant een Data Protection Impact Assessment ("DPIA")(artikel 35 EU AVG) of een voorafgaande raadpleging (artikel 36 EU AVG) uitvoert in verband met de verwerking van Persoonsgegevens in het kader van de uitvoering van de Overeenkomst, zal Nitro de Klant redelijkerwijs bijstaan door assistentie te verlenen op schriftelijk verzoek van de Klant. De Klant zal Nitro vergoeden voor hulp die is verleend in overeenstemming met Sectie 14 "Kosten" van dit Addendum voor gegevensverwerking. Een dergelijke vergoeding van kosten is niet van toepassing in het geval (i) de gevraagde hulp van Nitro minder dan vier (4) werkuren bedraagt tijdens de looptijd van de Overeenkomst, of (ii) de DPIA of voorafgaand overleg wordt geactiveerd door een Inbreuk in verband met Persoonsgegevens waarvan bewezen is dat deze aan Nitro kan worden toegeschreven.
13. CONTROLEER RECHT
13.1 De Klant heeft het recht om audits uit te voeren met betrekking tot de naleving door Nitro van zijn verplichtingen onder dit Addendum voor gegevensverwerking en de toepasselijke wetgeving inzake gegevensbescherming. Nitro zal redelijke inspanningen leveren om mee te werken aan dergelijke audits en om alle informatie beschikbaar te stellen die nodig is om aan te tonen dat hij aan zijn verplichtingen voldoet. De Klant zal Nitro ten minste één (1) maand vóór de datum waarop de audit zal worden uitgevoerd, op de hoogte stellen van een dergelijke audit, door Nitro hiervan schriftelijk op de hoogte te stellen via privacy@gonitro.com.
13.2 Indien een audit wordt uitgevoerd, zullen alle betrokken partijen vóór aanvang van de audit eerst een specifieke geheimhoudingsovereenkomst ondertekenen, uitgegeven door Nitro met betrekking tot een dergelijke audit en de auditresultaten. Bij de uitvoering van een dergelijke audit moet rekening worden gehouden met de vertrouwelijkheidsverplichtingen van de Partijen ten opzichte van derden. Zowel de Partijen als hun auditors moeten de informatie die wordt verzameld in verband met een audit geheim houden en deze uitsluitend gebruiken om de naleving van dit Addendum Gegevensverwerking en de toepasselijke wet- en regelgeving met betrekking tot gegevensbescherming te verifiëren. De Klant heeft de keuze om de audit zelf uit te voeren of om een onafhankelijke auditor aan te wijzen. Deze onafhankelijke auditor moet echter wel de geheimhoudingsverklaring ondertekenen waarnaar in dit artikel wordt verwezen.
13.3 Beide Partijen en, indien van toepassing, hun vertegenwoordigers werken op verzoek redelijkerwijs samen met de Toezichthoudende Autoriteit bij de uitvoering van haar taken.
13.4 De Klant zal Nitro vergoeden voor de hulp die Nitro biedt met betrekking tot audit(s) in overeenstemming met Sectie 14 'Kosten' van dit Addendum voor gegevensverwerking. Met dien verstande dat een dergelijke vergoeding niet van toepassing is in het geval (i) de audit het resultaat is van een Inbreuk in verband met Persoonsgegevens waarvan bewezen is dat deze aan Nitro kan worden toegeschreven of (ii) in het geval dat de hulp van Nitro niet langer duurt dan vier (4) werkuren tijdens de Duur van de Overeenkomst.
14. KOSTEN
14.1 De op grond van dit Addendum Gegevensverwerking uit te voeren assistentie waarvoor Nitro de Klant kosten in rekening kan brengen, wordt in rekening gebracht op basis van de gewerkte uren en de toepasselijke standaarduurtarieven van Nitro (exclusief 195 EUR/uur belastingen). Nitro factureert deze bedragen maandelijks, maar heeft tevens het recht om vooraf een voorschot te vragen.
14.2 De betaling door de Klant aan Nitro voor de hulp en professionele diensten die door Nitro worden geleverd onder dit Addendum voor gegevensverwerking zal plaatsvinden in overeenstemming met de bepalingen in de Servicevoorwaarden.
15. BETROUWBAARHEID
15.1 Behoudens voor zover toegestaan onder de toepasselijke wetgeving, zijn de bepalingen van de Servicevoorwaarden met betrekking tot de beperking van aansprakelijkheid ook van toepassing op dit Addendum voor gegevensverwerking en de daaruit voortvloeiende schade.
16. GEMENGD
16.1 De bepalingen van de Servicevoorwaarden met betrekking tot wijzigingen, volledige overeenkomst, scheidbaarheid, toepasselijk recht en bevoegde rechtbanken zijn van toepassing op dit Addendum voor gegevensverwerking.