Gegevensverwerkingsovereenkomst

Belangrijkste termen

Termijn	Waarde
Overeenkomst	Deze DPA is een aanvulling op de Terms of Service
Goedgekeurde subverwerkers	Cloudflare (VS; DNS-, netwerk- en beveiligingsprovider), DataPacket (VS/VK; hostingprovider), Digital Ocean (VS; hostingprovider), Vultr (VS; hostingprovider), Stripe (VS; betalingsverwerker), PayPal (VS; betalingsverwerker)
Contactpersoon voor de beveiliging van de provider	security@forwardemail.net
Beveiligingsbeleid	Bekijk our Security Policy on GitHub
Regerende Staat	De staat Delaware, Verenigde Staten

Wijzigingen in de overeenkomst

Dit document is een afgeleide van Standaardvoorwaarden Common Paper DPA (versie 1.0) en de volgende wijzigingen zijn aangebracht:

1. Toepasselijk recht en gekozen rechtbanken is hieronder opgenomen, terwijl Governing State hierboven is geïdentificeerd.
2. Relatie met serviceprovider is hieronder opgenomen.

1. Relaties tussen verwerkers en subverwerkers

1. Leverancier als verwerker

In situaties waarin Klant de verwerkingsverantwoordelijke is van de Persoonsgegevens van de Klant, wordt Provider beschouwd als een Verwerker die Persoonsgegevens verwerkt namens Klant.

2. Leverancier als subverwerker

In situaties waarin Klant een Verwerker is van de Persoonsgegevens van Klant, wordt Provider beschouwd als een Subverwerker van de Persoonsgegevens van Klant.

2. Verwerken

1. Verwerkingsdetails

In Bijlage I(B) op het voorblad worden het onderwerp, de aard, het doel en de duur van deze verwerking beschreven, evenals de categorieën persoonsgegevens die worden verzameld en de categorieën betrokkenen.

2. Verwerkingsinstructies

Klant geeft Provider opdracht om Persoonsgegevens van Klant te Verwerken: (a) om de Dienst te verlenen en te onderhouden; (b) zoals nader gespecificeerd via het gebruik van de Dienst door Klant; (c) zoals vastgelegd in de Overeenkomst; en (d) zoals vastgelegd in andere schriftelijke instructies van Klant en erkend door Provider over het Verwerken van Persoonsgegevens van Klant onder deze DPA. Provider zal zich aan deze instructies houden, tenzij dit verboden is door de Toepasselijke Wetgeving. Provider zal Klant onmiddellijk informeren indien hij de Verwerkingsinstructies niet kan opvolgen. Klant heeft instructies gegeven en zal deze alleen geven die voldoen aan de Toepasselijke Wetgeving.

3. Verwerking door provider

Provider verwerkt Persoonsgegevens van Klant uitsluitend in overeenstemming met deze Gegevensverwerkingsovereenkomst (DPA), inclusief de details op de voorpagina. Indien Provider de Dienst bijwerkt om bestaande producten, functies of functionaliteiten bij te werken of nieuwe producten, functies of functionaliteiten toe te voegen, kan Provider de Categorieën van Betrokkenen, Categorieën van Persoonsgegevens, Speciale Gegevenscategorieën, Beperkingen of Waarborgen voor Speciale Gegevenscategorieën, Frequentie van Doorgifte, Aard en Doel van de Verwerking en Duur van de Verwerking naar behoefte wijzigen om de updates te weerspiegelen door Klant op de hoogte te stellen van de updates en wijzigingen.

4. Klantverwerking

Wanneer Klant een Verwerker is en Provider een Subverwerker, zal Klant voldoen aan alle Toepasselijke Wetten die van toepassing zijn op de Verwerking van Persoonsgegevens door Klant. De overeenkomst van Klant met zijn Verwerkingsverantwoordelijke vereist eveneens dat Klant voldoet aan alle Toepasselijke Wetten die van toepassing zijn op Klant als Verwerker. Daarnaast zal Klant voldoen aan de Subverwerkersvereisten in de overeenkomst van Klant met zijn Verwerkingsverantwoordelijke.

5. Toestemming voor verwerking

Klant heeft voldaan aan en zal blijven voldoen aan alle Toepasselijke Wetgeving inzake Gegevensbescherming met betrekking tot het verstrekken van Persoonsgegevens van Klant aan Provider en/of de Dienst, waaronder het doen van alle openbaarmakingen, het verkrijgen van alle toestemmingen, het bieden van voldoende keuzemogelijkheden en het implementeren van relevante waarborgen die vereist zijn onder de Toepasselijke Wetgeving inzake Gegevensbescherming.

6. Subverwerkers

a. Provider zal geen Persoonsgegevens van de Klant aan een Subverwerker verstrekken, overdragen of overhandigen, tenzij Klant de Subverwerker heeft goedgekeurd. De huidige lijst met Goedgekeurde Subverwerkers bevat de identiteit van de Subverwerkers, hun land van vestiging en hun verwachte Verwerkingstaken. Provider zal Klant ten minste 10 werkdagen van tevoren schriftelijk informeren over eventuele voorgenomen wijzigingen in de Goedgekeurde Subverwerkers, ongeacht of dit door toevoeging of vervanging van een Subverwerker gaat, zodat Klant voldoende tijd heeft om bezwaar te maken tegen de wijzigingen voordat Provider de nieuwe Subverwerker(s) in gebruik neemt. Provider zal Klant de informatie verstrekken die nodig is om Klant in staat te stellen zijn recht uit te oefenen om bezwaar te maken tegen de wijziging in Goedgekeurde Subverwerkers. Klant heeft 30 dagen na kennisgeving van een wijziging aan de Goedgekeurde Subverwerkers de tijd om bezwaar aan te tekenen, anders wordt Klant geacht de wijzigingen te accepteren. Indien Klant binnen 30 dagen na kennisgeving bezwaar maakt tegen de wijziging, zullen Klant en Provider te goeder trouw samenwerken om het bezwaar of de zorg van Klant op te lossen.

b. Bij het inschakelen van een Subverwerker heeft Provider een schriftelijke overeenkomst met de Subverwerker waarin wordt gewaarborgd dat de Subverwerker alleen toegang heeft tot en gebruikmaakt van Persoonsgegevens van de Klant (i) voor zover dat nodig is om de aan hem uitbesteedde verplichtingen na te komen, en (ii) in overeenstemming met de voorwaarden van de Overeenkomst.

c. Indien de AVG van toepassing is op de verwerking van Persoonsgegevens van Klant, (i) worden de in deze DPA beschreven verplichtingen inzake gegevensbescherming (zoals bedoeld in artikel 28(3) van de AVG, indien van toepassing) ook opgelegd aan de Subverwerker, en (ii) zal de overeenkomst van Provider met de Subverwerker deze verplichtingen omvatten, inclusief details over hoe Provider en zijn Subverwerker zullen samenwerken om te reageren op vragen of verzoeken over de Verwerking van Persoonsgegevens van Klant. Daarnaast zal Provider op verzoek van Klant een kopie van zijn overeenkomsten (inclusief eventuele wijzigingen) met zijn Subverwerkers delen. Voor zover noodzakelijk om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mag Provider de tekst van zijn overeenkomst met zijn Subverwerker redigeren voordat een kopie wordt gedeeld.

d. Provider blijft volledig aansprakelijk voor alle verplichtingen die zijn uitbesteed aan zijn Subverwerkers, met inbegrip van de handelingen en omissies van zijn Subverwerkers bij het Verwerken van Persoonsgegevens van Klant. Provider zal Klant op de hoogte stellen van enig verzuim van zijn Subverwerkers om een materiële verplichting met betrekking tot Persoonsgegevens van Klant na te komen op grond van de overeenkomst tussen Provider en de Subverwerker.

3. Beperkte overdrachten

1. Autorisatie

Klant stemt ermee in dat Provider Persoonsgegevens van Klant mag overdragen buiten de EER, het Verenigd Koninkrijk of een ander relevant geografisch gebied, indien nodig om de Dienst te leveren. Indien Provider Persoonsgegevens van Klant overdraagt naar een gebied waarvoor de Europese Commissie of een andere relevante toezichthoudende autoriteit geen adequaatheidsbesluit heeft uitgevaardigd, zal Provider passende waarborgen implementeren voor de overdracht van Persoonsgegevens van Klant naar dat gebied, in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming.

2. Overdrachten buiten de EER

Klant en Provider komen overeen dat indien de AVG de overdracht van Persoonsgegevens van Klant beschermt, de overdracht plaatsvindt van Klant binnen de EER naar Provider buiten de EER, en de overdracht niet wordt beheerst door een adequaatheidsbesluit van de Europese Commissie, Klant en Provider door het aangaan van deze DPA geacht worden de EER-SCC's en de bijlagen daarbij, die bij verwijzing zijn opgenomen, te hebben ondertekend. Een dergelijke overdracht vindt plaats overeenkomstig de EER-SCC's, die als volgt zijn ingevuld:

a. Module twee (Verwerkingsverantwoordelijke naar Verwerker) van de EER-SCC's is van toepassing wanneer Klant een verwerkingsverantwoordelijke is en Aanbieder Persoonsgegevens van Klant verwerkt voor Klant als Verwerker.

b. Module drie (Verwerker naar subverwerker) van de EER-SCC's is van toepassing wanneer Klant een verwerker is en Provider Persoonsgegevens van Klant verwerkt namens Klant als subverwerker.

c. Voor elke module geldt (indien van toepassing) het volgende:

1. De optionele dokclausule in clausule 7 is niet van toepassing;

2. In Clausule 9 is Optie 2 (algemene schriftelijke toestemming) van toepassing en bedraagt de minimale termijn voor voorafgaande kennisgeving van wijzigingen in de Subprocessor 10 werkdagen;

3. In clausule 11 is de optionele taal niet van toepassing;

4. Alle vierkante haken in clausule 13 worden verwijderd;

5. In clausule 17 (optie 1) worden de EER-SCC's beheerst door de wetten van de besturende lidstaat;

6. In artikel 18(b) worden geschillen beslecht door de rechtbanken van de regerende lidstaat; en

7. De voorpagina van deze DPA bevat de informatie die vereist is in Bijlage I, Bijlage II en Bijlage III van de EER-SCC's.

3. Ex-VK-overdrachten

Klant en Provider komen overeen dat, indien de Britse AVG de overdracht van Persoonsgegevens van Klant beschermt, de overdracht plaatsvindt van Klant vanuit het Verenigd Koninkrijk naar Provider buiten het Verenigd Koninkrijk, en de overdracht niet wordt beheerst door een adequaatheidsbesluit van de Britse minister van Buitenlandse Zaken, Klant en Provider door het aangaan van deze DPA geacht worden het Britse Addendum en de bijbehorende Bijlagen te hebben ondertekend, die door middel van verwijzing zijn opgenomen. Een dergelijke overdracht vindt plaats overeenkomstig het Britse Addendum, dat als volgt is ingevuld:

a. Paragraaf 3.2 van deze Gegevensbeschermingsovereenkomst bevat de informatie die vereist is in Tabel 2 van het Britse Addendum.

b. Tabel 4 van het Britse Addendum wordt als volgt gewijzigd: Geen van beide partijen mag het Britse Addendum beëindigen zoals uiteengezet in Artikel 19 van het Britse Addendum; voor zover de ICO een herzien Goedgekeurd Addendum uitgeeft op grond van Artikel 18 van het Britse Addendum, zullen de partijen te goeder trouw samenwerken om deze DPA dienovereenkomstig te herzien.

c. De voorpagina bevat de informatie die vereist is in Bijlage 1A, Bijlage 1B, Bijlage II en Bijlage III van het Britse addendum.

4. Andere internationale overboekingen

Voor de overdracht van persoonsgegevens waarbij het Zwitserse recht (en niet het recht van een EER-lidstaat of het Verenigd Koninkrijk) van toepassing is op het internationale karakter van de overdracht, worden verwijzingen naar de AVG in clausule 4 van de EER-SCC's, voor zover wettelijk vereist, gewijzigd zodat er wordt verwezen naar de Zwitserse federale wet inzake gegevensbescherming of de opvolger daarvan. Het begrip toezichthoudende autoriteit omvat dan ook de Zwitserse federale commissaris voor gegevensbescherming en informatie.

4. Reactie op beveiligingsincident

1. Zodra Provider op de hoogte is van een Beveiligingsincident, zal Provider: (a) Klant onverwijld op de hoogte stellen, indien mogelijk, maar uiterlijk binnen 72 uur nadat Klant op de hoogte is gesteld van het Beveiligingsincident; (b) tijdig informatie verstrekken over het Beveiligingsincident zodra dit bekend wordt of redelijkerwijs door Klant wordt verzocht; en (c) onmiddellijk redelijke stappen ondernemen om het Beveiligingsincident te beperken en te onderzoeken. De melding van of reactie van Provider op een Beveiligingsincident, zoals vereist door deze Gegevensverwerkingsovereenkomst, zal niet worden opgevat als een erkenning door Provider van enige schuld of aansprakelijkheid voor het Beveiligingsincident.

5. Audit en rapporten

1. Auditrechten

Provider verstrekt Klant alle informatie die redelijkerwijs nodig is om aan te tonen dat deze DPA naleeft. Provider zal audits, inclusief inspecties door Klant, toestaan en hieraan bijdragen om de naleving van Provider door Provider van deze DPA te beoordelen. Provider kan de toegang tot gegevens of informatie echter beperken als de toegang van Klant tot de informatie een negatieve invloed zou hebben op de intellectuele-eigendomsrechten, geheimhoudingsverplichtingen of andere verplichtingen van Provider onder de Toepasselijke Wetgeving. Klant erkent en stemt ermee in dat hij zijn auditrechten onder deze DPA en alle auditrechten die worden verleend door de Toepasselijke Wetgeving inzake Gegevensbescherming alleen zal uitoefenen door Provider te instrueren te voldoen aan de onderstaande rapportage- en due diligence-vereisten. Provider bewaart gegevens over zijn naleving van deze DPA gedurende drie jaar na afloop van de DPA.

2. Beveiligingsrapporten

Klant erkent dat Provider regelmatig wordt gecontroleerd op basis van de normen die zijn vastgelegd in het Beveiligingsbeleid door onafhankelijke externe auditors. Op schriftelijk verzoek zal Provider Klant vertrouwelijk een samenvatting van het actuele rapport verstrekken, zodat Klant kan controleren of Provider voldoet aan de normen die zijn vastgelegd in het Beveiligingsbeleid.

3. Beveiligingsonderzoek

Naast het Rapport zal Provider reageren op redelijke verzoeken om informatie van Klant om de naleving van deze DPA door Provider te bevestigen, inclusief antwoorden op vragenlijsten over informatiebeveiliging, due diligence en audits, of door aanvullende informatie te verstrekken over zijn informatiebeveiligingsprogramma. Al dergelijke verzoeken moeten schriftelijk worden ingediend bij de Contactpersoon Beveiliging van de Provider en mogen slechts eenmaal per jaar worden ingediend.

6. Coördinatie en samenwerking

1. Reactie op vragen

Indien Provider een vraag of verzoek van iemand anders ontvangt over de verwerking van Persoonsgegevens van Klant, zal Provider Klant hiervan op de hoogte stellen en zal Provider niet op het verzoek reageren zonder voorafgaande toestemming van Klant. Voorbeelden van dit soort vragen en verzoeken zijn onder meer een bevel van een rechterlijke, administratieve of regelgevende instantie over Persoonsgegevens van Klant, waarbij het informeren van Klant niet verboden is door de Toepasselijke Wetgeving, of een verzoek van een betrokkene. Indien toegestaan door de Toepasselijke Wetgeving, zal Provider de redelijke instructies van Klant over deze verzoeken opvolgen, inclusief het verstrekken van statusupdates en andere informatie die redelijkerwijs door Klant wordt gevraagd. Indien een betrokkene een geldig verzoek indient op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming om Persoonsgegevens van Klant te verwijderen of om zich af te melden voor het verstrekken van Persoonsgegevens van Klant door Klant aan Provider, zal Provider Klant bijstaan bij het voldoen aan het verzoek in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming. Provider zal op kosten van Klant samenwerken met en redelijke bijstand verlenen aan Klant in enig juridisch antwoord of andere procedurele actie die door Klant wordt ondernomen naar aanleiding van een verzoek van een derde partij over de Verwerking van Persoonsgegevens van Klant door Provider op grond van deze Gegevensverwerkingsovereenkomst.

2. DPIA's en DTIA's

Indien vereist door de toepasselijke wetgeving inzake gegevensbescherming, zal Provider Klant redelijkerwijs bijstaan bij het uitvoeren van verplichte gegevensbeschermingseffectbeoordelingen of gegevensoverdrachtseffectbeoordelingen en overleg met relevante gegevensbeschermingsautoriteiten, rekening houdend met de aard van de Verwerking en de Persoonsgegevens van de Klant.

7. Verwijdering van persoonlijke gegevens van klanten

1. Verwijdering door klant

Provider stelt Klant in staat om Persoonsgegevens van Klant te verwijderen op een manier die consistent is met de functionaliteit van de Diensten. Provider zal zo spoedig als redelijkerwijs mogelijk is aan deze instructie voldoen, behalve wanneer verdere opslag van Persoonsgegevens van Klant vereist is door de Toepasselijke Wetgeving.

2. Verwijdering bij DPA-vervaldatum

a. Na afloop van de DPA zal Provider de Persoonsgegevens van de Klant retourneren of verwijderen op verzoek van Klant, tenzij verdere opslag van de Persoonsgegevens van de Klant vereist of toegestaan is door de Toepasselijke Wetgeving. Indien retourneren of vernietigen onuitvoerbaar of verboden is door de Toepasselijke Wetgeving, zal Provider redelijke inspanningen leveren om verdere Verwerking van de Persoonsgegevens van de Klant te voorkomen en zal Provider de Persoonsgegevens van de Klant die nog in haar bezit, beheer of controle zijn, blijven beschermen. Toepasselijke Wetgeving kan bijvoorbeeld vereisen dat Provider de Persoonsgegevens van de Klant blijft hosten of verwerken.

b. Indien Klant en Provider de EER-SCC's of het VK-addendum zijn aangegaan als onderdeel van deze Gegevensverwerkingsovereenkomst (DPA), zal Provider Klant alleen de certificering van verwijdering van Persoonsgegevens verstrekken zoals beschreven in Clausule 8.1(d) en Clausule 8.5 van de EER-SCC's indien Klant daarom vraagt.

8. Beperking van aansprakelijkheid

1. Aansprakelijkheidslimieten en schadevrijstelling

Voor zover maximaal toegestaan volgens de toepasselijke wetgeving inzake gegevensbescherming, is de totale cumulatieve aansprakelijkheid van elke partij jegens de andere partij die voortvloeit uit of verband houdt met deze DPA onderworpen aan de vrijstellingen, uitsluitingen en beperkingen van aansprakelijkheid zoals vermeld in de Overeenkomst.

2. Claims van verbonden partijen

Eventuele claims tegen Provider of haar gelieerde ondernemingen die voortvloeien uit of verband houden met deze DPA, kunnen uitsluitend worden ingediend door de Klant-entiteit die partij is bij de Overeenkomst.

3. Uitzonderingen

1. Deze Gegevensverwerkingsovereenkomst (DPA) beperkt geen enkele aansprakelijkheid jegens een individu met betrekking tot diens gegevensbeschermingsrechten onder de toepasselijke wetgeving inzake gegevensbescherming. Bovendien beperkt deze Gegevensverwerkingsovereenkomst (DPA) geen enkele aansprakelijkheid tussen partijen voor schendingen van de EER-SCC's of het Britse Addendum.

9. Conflicten tussen documenten

1. Deze Gegevensverwerkingsovereenkomst (DPA) maakt deel uit van en vormt een aanvulling op de Overeenkomst. Indien er sprake is van een inconsistentie tussen deze Gegevensverwerkingsovereenkomst, de Overeenkomst of een van de onderdelen daarvan, heeft het eerder genoemde onderdeel voorrang op het later vermelde onderdeel voor die inconsistentie: (1) de EER-overeenkomsten of het VK-addendum, (2) deze Gegevensverwerkingsovereenkomst, en vervolgens (3) de Overeenkomst.

10. Looptijd van de overeenkomst

Deze DPA gaat in wanneer Provider en Klant akkoord gaan met een voorpagina voor de DPA en de Overeenkomst ondertekenen of elektronisch accepteren, en blijft van kracht totdat de Overeenkomst afloopt of wordt beëindigd. Provider en Klant blijven echter beiden onderworpen aan de verplichtingen in deze DPA en de toepasselijke wetgeving inzake gegevensbescherming totdat Klant stopt met het doorgeven van Persoonsgegevens van Klant aan Provider en Provider stopt met het Verwerken van Persoonsgegevens van Klant.

11. Toepasselijk recht en gekozen rechtbanken

Onverminderd het toepasselijk recht of vergelijkbare bepalingen in de Overeenkomst, zijn alle interpretaties en geschillen over deze Gegevensverwerkingsovereenkomst onderworpen aan het recht van de Regerende Staat, ongeacht de bepalingen inzake conflictenrecht. Bovendien, en onverminderd de forumkeuze, jurisdictie of vergelijkbare bepalingen in de Overeenkomst, komen de partijen overeen om alle rechtszaken, gerechtelijke stappen of procedures met betrekking tot deze Gegevensverwerkingsovereenkomst aanhangig te maken bij de rechtbanken van de Regerende Staat, en elke partij onderwerpt zich onherroepelijk aan de exclusieve jurisdictie van deze rechtbanken.

12. Serviceproviderrelatie

Voor zover de California Consumer Privacy Act, Cal. Civ. Code § 1798.100 e.v. ("CCPA") van toepassing is, erkennen en komen partijen overeen dat Provider een dienstverlener is en Persoonsgegevens van Klant ontvangt om de Dienst te verlenen zoals overeengekomen in de Overeenkomst, hetgeen een zakelijk doel vormt. Provider zal geen Persoonsgegevens verkopen die door Klant onder de Overeenkomst zijn verstrekt. Bovendien zal Provider geen Persoonsgegevens bewaren, gebruiken of openbaar maken die door Klant onder de Overeenkomst zijn verstrekt, behalve voor zover noodzakelijk voor het verlenen van de Dienst aan Klant, zoals vermeld in de Overeenkomst of zoals toegestaan door de Toepasselijke Wetgeving inzake Gegevensbescherming. Provider verklaart de beperkingen van deze paragraaf te begrijpen.

13. Definities

1. "Toepasselijke wetten" betekent de wetten, regels, voorschriften, gerechtelijke bevelen en andere bindende vereisten van een relevante overheidsinstantie die van toepassing zijn op een partij of die hierop van toepassing zijn.

2. "Toepasselijke wetten inzake gegevensbescherming" betekent de toepasselijke wetten die bepalen hoe de Service de persoonlijke informatie, persoonlijke gegevens, persoonlijk identificeerbare informatie of andere soortgelijke termen van een individu kan verwerken of gebruiken.

3. "Verantwoordelijke voor de verwerking" heeft de betekenis(sen) die daaraan worden toegekend in de toepasselijke wetgeving inzake gegevensbescherming voor het bedrijf dat het doel en de omvang van de verwerking van persoonsgegevens bepaalt.

4. "Voorblad" betekent een document dat door de partijen is ondertekend of elektronisch is geaccepteerd, waarin deze standaardvoorwaarden voor de gegevensbescherming zijn opgenomen en waarin Provider, Klant en het onderwerp en de details van de gegevensverwerking worden geïdentificeerd.

5. "Persoonsgegevens van de Klant" betekent Persoonsgegevens die Klant uploadt of verstrekt aan Provider als onderdeel van de Dienst en die worden beheerd door deze Gegevensverwerkingsovereenkomst.

6. "DPA" betekent deze standaard DPA-voorwaarden, de voorpagina tussen Provider en Klant en het beleid en de documenten waarnaar op de voorpagina wordt verwezen of die daaraan zijn gehecht.

7. "EER-SCC's" betekent de standaardcontractbepalingen die zijn gehecht aan Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Europese Raad.

8. "Europese Economische Ruimte" of "EER" betekent de lidstaten van de Europese Unie, Noorwegen, IJsland en Liechtenstein.

9. "AVG" betekent Verordening 2016/679 van de Europese Unie, zoals geïmplementeerd door de lokale wetgeving in de relevante EER-lidstaat.

10. "Persoonsgegevens" heeft de betekenis(sen) die daaraan worden toegekend in de toepasselijke wetgeving inzake gegevensbescherming voor persoonlijke informatie, persoonlijke gegevens of een andere soortgelijke term.

11. "Verwerken" of "Verwerken" heeft de betekenis(sen) die daaraan worden toegekend in de Toepasselijke Wetgeving inzake Gegevensbescherming voor elk gebruik van Persoonsgegevens of de uitvoering van een computerbewerking op Persoonsgegevens, inclusief via geautomatiseerde procedés.

12. "Verwerker" heeft de betekenis(sen) die daaraan worden toegekend in de toepasselijke wetgeving inzake gegevensbescherming voor het bedrijf dat Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.

13. "Rapport" betekent auditrapporten die door een ander bedrijf zijn opgesteld volgens de normen die zijn vastgelegd in het Beveiligingsbeleid namens Provider.

14. "Beperkte overdracht" betekent (a) waar de AVG van toepassing is, een overdracht van persoonsgegevens vanuit de EER naar een land buiten de EER dat niet onderworpen is aan een adequaatheidsbeoordeling door de Europese Commissie; en (b) waar de Britse AVG van toepassing is, een overdracht van persoonsgegevens vanuit het Verenigd Koninkrijk naar een ander land dat niet onderworpen is aan adequaatheidsregelgeving die is vastgesteld krachtens artikel 17A van de Britse Data Protection Act 2018.

15. "Beveiligingsincident" betekent een inbreuk op persoonsgegevens zoals gedefinieerd in artikel 4 van de AVG.

16. "Dienst" betekent het product en/of de diensten beschreven in de Overeenkomst.

17. "Bijzondere categoriegegevens" heeft de betekenis die daaraan wordt gegeven in Artikel 9 van de AVG.

18. "Subverwerker" heeft de betekenis(sen) die daaraan worden toegekend in de toepasselijke wetgeving inzake gegevensbescherming voor een bedrijf dat, met de goedkeuring en acceptatie van de Verwerkingsverantwoordelijke, de Verwerker helpt bij het Verwerken van Persoonsgegevens namens de Verwerkingsverantwoordelijke.

19. "UK GDPR" betekent Verordening 2016/679 van de Europese Unie, zoals geïmplementeerd door artikel 3 van de European Union (Withdrawal) Act van 2018 van het Verenigd Koninkrijk in het Verenigd Koninkrijk.

20. "UK Addendum" betekent het internationale gegevensoverdrachtsaddendum bij de EER-SCC's uitgegeven door de Information Commissioner voor Partijen die Beperkte Overdrachten doen onder S119A(1) Data Protection Act 2018.

Credits

Dit document is een afgeleide van Standaardvoorwaarden Common Paper DPA (versie 1.0) en valt onder de licentie CC BY 4.0.