Dit Addendum voor gegevensverwerking (“DPA”) maakt deel uit van de Overeenkomst tussen Push Engage LLC d/b/a PushEngage (“PushEngage”) en Klant (“Klant”) en wordt van kracht op de datum waarop beide partijen deze DPA uitvoeren (Ingangsdatum”). Alle in deze DPA niet gedefinieerde hoofdlettertermen hebben de betekenissen zoals uiteengezet in de Overeenkomst.

1. Definities

“Affiliate” betekent een entiteit die een entiteit direct of indirect beheerst, wordt beheerst door of onder gemeenschappelijke controle staat van een entiteit.

“Overeenkomst” betekent de Gebruiksvoorwaarden van PushEngage, die de levering van de Diensten aan de Klant regelen, zoals deze voorwaarden door PushEngage van tijd tot tijd kunnen worden bijgewerkt.

“Controle” betekent een eigendoms-, stem- of soortgelijk belang dat vijftig procent (50%) of meer van de totale uitstaande belangen van de betreffende entiteit vertegenwoordigt. De term “Gecontroleerd” zal dienovereenkomstig worden geïnterpreteerd.

“Klantgegevens” betekent alle Persoonsgegevens die PushEngage namens de Klant verwerkt als Gegevensverwerker bij het leveren van Diensten, zoals nader beschreven in deze DPA.

“Gegevensbeschermingswetten” betekent alle wetten inzake gegevensbescherming en privacy die van toepassing zijn op de verwerking van Persoonsgegevens onder de Overeenkomst, inclusief, waar van toepassing, EU-gegevensbeschermingswetgeving.

“Gegevensbeheerder” betekent een entiteit die de doeleinden en middelen voor de verwerking van Persoonsgegevens bepaalt.

“Gegevensverwerker” betekent een entiteit die Persoonsgegevens verwerkt namens een Gegevensbeheerder.

“EU-gegevensbeschermingswetgeving” betekent (i) vóór 25 mei 2018, Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (“Richtlijn”) en op en na 25 mei 2018, Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming) (“AVG”); en (ii) Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de elektronische communicatiesector en de toepasselijke nationale implementaties daarvan (zoals gewijzigd, vervangen of vernieuwd).

“EER” betekent, voor de doeleinden van deze DPA, de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland.

“Groep” betekent alle Affiliates die deel uitmaken van de bedrijvengroep van een entiteit.

“PushEngage-netwerk” betekent de datacenters, servers, netwerkapparatuur en host-software systemen (bijv. virtuele firewalls) van PushEngage die onder de controle van PushEngage vallen en worden gebruikt om de Diensten te leveren.

“Persoonsgegevens” betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon.

“Processing” heeft de betekenis die daaraan wordt gegeven in de AVG en “verwerken”, “verwerkt” en “verwerkt” worden dienovereenkomstig geïnterpreteerd.

“Security Incident” betekent elke ongeoorloofde of onwettige inbreuk op de beveiliging die leidt tot de accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Klantgegevens.

“Services” betekent elk product of dienst dat door PushEngage aan de Klant wordt geleverd krachtens de Overeenkomst.

“Standard Contractual Clauses” betekent Bijlage C die bij deze Addendum is gevoegd en er deel van uitmaakt.

“Sub-processor” betekent elke Gegevensverwerker die door PushEngage of haar Affiliates wordt ingeschakeld om te helpen bij het nakomen van haar verplichtingen met betrekking tot het leveren van de Diensten krachtens de Overeenkomst of deze DPA. Sub-processors kunnen derden of leden van de PushEngage Groep omvatten.

2. Relatie met de Overeenkomst

2.1 De partijen komen overeen dat DPA elke bestaande DPA zal vervangen die de partijen mogelijk eerder hebben gesloten in verband met de Diensten.

2.2 Behalve voor de wijzigingen aangebracht door deze DPA, blijft de Overeenkomst ongewijzigd en volledig van kracht. Indien er een conflict is tussen deze DPA en de Overeenkomst, prevaleert deze DPA voor zover dat conflict reikt.

2.3 Alle claims die worden ingesteld onder of in verband met deze DPA zijn onderworpen aan de voorwaarden, met inbegrip van, maar niet beperkt tot, de uitsluitingen en beperkingen uiteengezet in de Overeenkomst.

2.4 Alle claims tegen PushEngage of haar Affiliates onder deze DPA moeten uitsluitend worden ingesteld tegen de entiteit die partij is bij de Overeenkomst. In geen geval zal een partij haar aansprakelijkheid beperken met betrekking tot de gegevensbeschermingsrechten van individuen onder deze DPA of anderszins. De Klant stemt er verder mee in dat eventuele wettelijke boetes die PushEngage oploopt met betrekking tot de Klantgegevens die voortvloeien uit, of in verband met, het niet naleven door de Klant van haar verplichtingen onder deze DPA of enige toepasselijke wetgeving inzake gegevensbescherming, zullen meetellen voor en de aansprakelijkheid van PushEngage onder de Overeenkomst zullen verminderen alsof het aansprakelijkheid jegens de Klant onder de Overeenkomst betrof.

2.5 Niemand anders dan een partij bij deze DPA, haar opvolgers en toegestane cessionarissen heeft het recht om een van de bepalingen ervan te handhaven.

2.6 Deze DPA wordt beheerst door en geïnterpreteerd in overeenstemming met de bepalingen inzake toepasselijk recht en jurisdictie in de Overeenkomst, tenzij anders vereist door toepasselijke wetgeving inzake gegevensbescherming.

3. Reikwijdte en Toepasselijkheid van deze DPA

3.1 Deze DPA is van toepassing waar en alleen voor zover PushEngage Klantgegevens verwerkt die afkomstig zijn uit de EER en/of anderszins onderworpen zijn aan EU-wetgeving inzake gegevensbescherming namens de Klant als Gegevensverwerker in het kader van het leveren van Diensten krachtens de Overeenkomst.

3.2 Deel A (zijnde Sectie 4 – 8 (inclusief) van deze DPA, evenals Bijlagen A, B en C van deze DPA) is van toepassing op de verwerking van Klantgegevens binnen het toepassingsgebied van deze DPA vanaf de Ingangsdatum.

3.3 Deel B (zijnde Secties 9-12 (inclusief) van deze DPA) is van toepassing op de verwerking van Klantgegevens binnen het toepassingsgebied van de DPA vanaf en met ingang van 25 mei 2018. Voor alle duidelijkheid geldt Deel B naast de bepalingen in Deel A, en niet ter vervanging daarvan.

Deel A: Algemene Verplichtingen inzake Gegevensbescherming

4. Rollen en Toepassingsgebied van Verwerking

4.1 Rol van de Partijen. Tussen PushEngage en Klant is de Klant de Gegevensbeheerder van Klantgegevens, en PushEngage zal Klantgegevens alleen verwerken als Gegevensverwerker namens de Klant.

4.2 Verwerking van Klantgegevens door Klant. De Klant stemt ermee in dat (i) deze zal voldoen aan zijn verplichtingen als Gegevensbeheerder onder de Wetgeving inzake Gegevensbescherming met betrekking tot zijn verwerking van Klantgegevens en alle verwerkingsinstructies die deze aan PushEngage geeft; en (ii) deze kennisgeving heeft verstrekt en alle toestemmingen en rechten heeft verkregen (of zal verkrijgen) die vereist zijn onder de Wetgeving inzake Gegevensbescherming voor PushEngage om Klantgegevens te verwerken en de Diensten te leveren krachtens de Overeenkomst en deze DPA.

4.3 Verwerking van Klantgegevens door PushEngage. PushEngage zal Klantgegevens alleen verwerken voor de doeleinden die in deze DPA worden beschreven en alleen in overeenstemming met de gedocumenteerde wettige instructies van de Klant. De partijen komen overeen dat deze DPA en de Overeenkomst de volledige en definitieve instructies van de Klant aan PushEngage met betrekking tot de verwerking van Klantgegevens bevatten en dat verwerking buiten het toepassingsgebied van deze instructies (indien van toepassing) voorafgaande schriftelijke overeenkomst tussen de Klant en PushEngage vereist.

4.4 Details van Gegevensverwerking.

1. Onderwerp: Het onderwerp van de gegevensverwerking onder deze DPA is de Klantgegevens.
2. Duur: Tussen PushEngage en Klant is de duur van de gegevensverwerking onder deze DPA tot de beëindiging van de Overeenkomst in overeenstemming met de voorwaarden ervan.
3. Doel: Het doel van de gegevensverwerking onder deze DPA is de levering van de Diensten aan de Klant en de uitvoering van de verplichtingen van PushEngage onder de Overeenkomst (inclusief deze DPA) of zoals anders overeengekomen door de partijen.
4. Aard van de verwerking: PushEngage levert een web push notification service en andere gerelateerde diensten, zoals beschreven in de Overeenkomst.
5. Categorieën van betrokkenen: Elke persoon die toegang heeft tot en/of gebruik maakt van de Diensten via het account van de Klant ("Gebruikers"); en elke persoon: (i) wiens e-mailadres is opgenomen in de Distributielijst van de Klant; (ii) wiens informatie wordt opgeslagen op of verzameld via de Diensten, of (iii) aan wie Gebruikers e-mails verzenden of anderszins communiceren via de Diensten (gezamenlijk "Abonnees").
6. Soorten Klantgegevens:
7. Klant en gebruikers: identificatie- en contactgegevens (naam, adres, functie, contactgegevens, gebruikersnaam); financiële informatie (creditcardgegevens, accountgegevens, betalingsinformatie); werkgegevens (werkgever, functie, geografische locatie, verantwoordingsgebied);
8. Abonnees: identificatie- en contactgegevens (naam, geboortedatum, geslacht, algemene, beroeps- of andere demografische informatie, adres, functie, contactgegevens, inclusief e-mailadres), persoonlijke interesses of voorkeuren (inclusief aankoopgeschiedenis, marketingvoorkeuren en publiekelijk beschikbare informatie van sociale media profielen); IT-informatie (IP-adressen, gebruiksgegevens, cookiegegevens, online navigatiegegevens, locatiegegevens, browsergegevens); financiële informatie (creditcardgegevens, accountgegevens, betalingsinformatie).
9. Niettegenstaande enige tegenstrijdigheid in de Overeenkomst (inclusief deze DPA), erkent de Klant dat PushEngage het recht heeft om gegevens met betrekking tot de werking, ondersteuning en/of het gebruik van de Diensten te gebruiken en openbaar te maken voor zijn legitieme zakelijke doeleinden, zoals facturering, accountbeheer, technische ondersteuning, productontwikkeling en verkoop en marketing. Voor zover dergelijke gegevens worden beschouwd als Persoonsgegevens onder de Wetgeving inzake gegevensbescherming, is PushEngage de Gegevensbeheerder van dergelijke gegevens en zal dienovereenkomstig dergelijke gegevens verwerken in overeenstemming met het Privacybeleid van PushEngage en de Wetgeving inzake gegevensbescherming.
10. Trackingtechnologieën. De Klant erkent dat PushEngage in verband met de levering van de Diensten gebruik maakt van cookies, unieke identificatoren, webbakens en vergelijkbare trackingtechnologieën ("Trackingtechnologieën"). De Klant zal passende kennisgeving-, toestemmings-, opt-in- en opt-out-mechanismen handhaven zoals vereist door de Wetgeving inzake gegevensbescherming om PushEngage in staat te stellen Trackingtechnologieën rechtmatig in te zetten op, en gegevens te verzamelen van, de apparaten van Abonnees (hieronder gedefinieerd) in overeenstemming met en zoals beschreven in de Cookieverklaring van PushEngage.

5. Subverwerking

5.1 Geautoriseerde Subverwerkers. De Klant stemt ermee in dat PushEngage Subverwerkers kan inschakelen om Klantgegevens namens de Klant te verwerken. De Subverwerkers die momenteel door PushEngage worden ingeschakeld en door de Klant worden geautoriseerd, worden vermeld in Bijlage A.

5.2 Verplichtingen van Subverwerker. PushEngage zal: (i) een schriftelijke overeenkomst aangaan met de Subverwerker waarin bepalingen inzake gegevensbescherming worden opgelegd die de Subverwerker verplichten de Klantgegevens te beschermen volgens de norm die vereist is door de Wetgeving inzake gegevensbescherming; en (ii) verantwoordelijk blijven voor de naleving van de verplichtingen van deze DPA en voor enige handelingen of nalatigheden van de Subverwerker die ertoe leiden dat PushEngage een van zijn verplichtingen onder deze DPA schendt.

6. Beveiliging

6.1 Veiligheidsmaatregelen. PushEngage implementeert en handhaaft passende technische en organisatorische veiligheidsmaatregelen om Klantgegevens te beschermen tegen beveiligingsincidenten en om de beveiliging en vertrouwelijkheid van de Klantgegevens te bewaren, in overeenstemming met de beveiligingsnormen van PushEngage zoals beschreven in Bijlage B (“Veiligheidsmaatregelen”).

6.2 Updates van Veiligheidsmaatregelen. De Klant is verantwoordelijk voor het beoordelen van de door PushEngage beschikbaar gestelde informatie met betrekking tot gegevensbeveiliging en het zelfstandig bepalen of de Diensten voldoen aan de vereisten en wettelijke verplichtingen van de Klant onder de Wetgeving gegevensbescherming. De Klant erkent dat de Veiligheidsmaatregelen onderhevig zijn aan technische vooruitgang en ontwikkeling en dat PushEngage de Veiligheidsmaatregelen van tijd tot tijd kan bijwerken of wijzigen, mits dergelijke updates en wijzigingen niet leiden tot een verslechtering van de algehele beveiliging van de door de Klant aangekochte Diensten.

6.3 Verantwoordelijkheden van de Klant. Niettegenstaande het bovenstaande, stemt de Klant ermee in dat, behalve zoals bepaald in deze DPA, de Klant verantwoordelijk is voor het veilige gebruik van de Diensten, inclusief het beveiligen van zijn accountauthenticatiegegevens, het beschermen van de beveiliging van Klantgegevens tijdens verzending van en naar de Diensten en het nemen van passende stappen om veilig alle Klantgegevens die naar de Diensten zijn geüpload te versleutelen of te back-uppen.

7. Veiligheidsrapporten en Audits

7.1 De Klant erkent dat PushEngage regelmatig wordt geauditeerd tegen SSAE 16 en PCI-normen door onafhankelijke externe auditors en interne auditors, respectievelijk.

7.2 PushEngage zal ook schriftelijke antwoorden verstrekken (op vertrouwelijke basis) op alle redelijke informatieverzoeken van de Klant, inclusief antwoorden op vragenlijsten over informatiebeveiliging en audits die nodig zijn om de naleving van PushEngage van deze DPA te bevestigen, mits de Klant dit recht niet vaker dan één keer per jaar uitoefent.

8. Internationale Overdrachten

8.1 Locaties van datacenters. PushEngage mag Klantgegevens overal ter wereld overdragen en verwerken waar PushEngage, haar Affiliates of haar Sub-processors gegevensverwerkingsactiviteiten uitvoeren. PushEngage zorgt te allen tijde voor een adequaat beschermingsniveau voor de verwerkte Klantgegevens, in overeenstemming met de vereisten van de Wetgeving gegevensbescherming.

8.2 Alternatief Overdrachtsmechanisme. De partijen komen overeen dat de in Sectie 8.2 genoemde exportoplossing voor gegevens niet van toepassing is indien en voor zover PushEngage een alternatieve exportoplossing voor gegevens voor de wettige overdracht van Persoonsgegevens (zoals erkend onder de EU-wetgeving gegevensbescherming) buiten de EER (“Alternatief Overdrachtsmechanisme”) aanneemt, in welk geval het Alternatief Overdrachtsmechanisme in plaats daarvan van toepassing zal zijn (maar alleen voor zover een dergelijk Alternatief Overdrachtsmechanisme zich uitstrekt tot de gebieden waarnaar Persoonsgegevens worden overgedragen).

Deel B: AVG-verplichtingen vanaf 25 mei 2018

9. Aanvullende Beveiliging

9.1 Vertrouwelijkheid van de verwerking. PushEngage zorgt ervoor dat elke persoon die door PushEngage gemachtigd is om Klantgegevens te verwerken (inclusief zijn personeel, agenten en onderaannemers) gebonden is aan een passende geheimhoudingsplicht (hetzij contractueel of wettelijk).

9.2 Reactie op beveiligingsincidenten. Zodra PushEngage op de hoogte is van een beveiligingsincident, stelt PushEngage de Klant zonder onnodige vertraging op de hoogte en verstrekt tijdige informatie met betrekking tot het beveiligingsincident zodra deze bekend wordt of zoals redelijkerwijs verzocht door de Klant.

10. Wijzigingen in subverwerkers

10.1 PushEngage zal (i) op schriftelijk verzoek van de Klant een actuele lijst verstrekken van de subverwerkers die het heeft aangesteld; en (ii) de Klant (waarvoor e-mail volstaat) op de hoogte stellen indien het subverwerkers toevoegt of verwijdert, ten minste 10 dagen vóór dergelijke wijzigingen.

10.2 De Klant kan binnen dertig (30) kalenderdagen na een dergelijke kennisgeving schriftelijk bezwaar maken tegen de aanstelling van een nieuwe subverwerker door PushEngage, mits een dergelijk bezwaar gebaseerd is op redelijke gronden met betrekking tot gegevensbescherming. In een dergelijk geval zullen de partijen dergelijke zorgen te goeder trouw bespreken met het oog op het bereiken van een oplossing. Indien dit niet mogelijk is, kan de Klant de Overeenkomst schorsen of beëindigen (onverminderd eventuele kosten die de Klant vóór de schorsing of beëindiging heeft gemaakt).

11. Teruggave of verwijdering van gegevens

11.1 Na beëindiging of afloop van de Overeenkomst zal PushEngage (naar keuze van de Klant) alle Klantgegevens (inclusief kopieën) die het bezit of onder controle heeft, verwijderen of retourneren aan de Klant, met dien verstande dat deze vereiste niet van toepassing is voor zover PushEngage wettelijk verplicht is om (een deel van) de Klantgegevens te bewaren, of op Klantgegevens die het heeft gearchiveerd op back-upsystemen, welke Klantgegevens PushEngage veilig zal isoleren en beschermen tegen verdere verwerking, behalve voor zover wettelijk vereist.

12. Samenwerking

12.1 De Services bieden Klant een aantal controles die Klant kan gebruiken om Klantgegevens op te halen, te corrigeren, te verwijderen of te beperken, die Klant kan gebruiken om te helpen bij zijn verplichtingen onder de AVG, inclusief zijn verplichtingen met betrekking tot het reageren op verzoeken van betrokkenen of toepasselijke gegevensbeschermingsautoriteiten. Voor zover Klant niet zelfstandig toegang heeft tot de relevante Klantgegevens binnen de Services, zal PushEngage (op kosten van Klant) redelijke medewerking verlenen om Klant te helpen bij het reageren op verzoeken van individuen of toepasselijke gegevensbeschermingsautoriteiten met betrekking tot de verwerking van Persoonsgegevens onder de Overeenkomst. In het geval dat een dergelijk verzoek rechtstreeks aan PushEngage wordt gedaan, zal PushEngage niet rechtstreeks op een dergelijke communicatie reageren zonder voorafgaande toestemming van Klant, tenzij wettelijk verplicht. Indien PushEngage verplicht is om op een dergelijk verzoek te reageren, zal PushEngage Klant onmiddellijk op de hoogte stellen en Klant een kopie van het verzoek verstrekken, tenzij wettelijk verboden.

12.2 Indien een wetshandhavingsinstantie PushEngage een eis voor Klantgegevens stuurt (bijvoorbeeld via een dagvaarding of gerechtelijk bevel), zal PushEngage proberen de wetshandhavingsinstantie om te leiden om die gegevens rechtstreeks van Klant op te vragen. Als onderdeel van deze inspanning kan PushEngage de basiscontactgegevens van Klant verstrekken aan de wetshandhavingsinstantie. Indien PushEngage verplicht is Klantgegevens aan een wetshandhavingsinstantie te verstrekken, zal PushEngage Klant redelijke kennisgeving geven van de eis om Klant in staat te stellen een beschermend bevel of een ander passend rechtsmiddel te zoeken, tenzij PushEngage wettelijk verboden is dit te doen.

12.3 Voor zover PushEngage daartoe verplicht is onder de EU-wetgeving inzake gegevensbescherming, zal PushEngage (op kosten van Klant) redelijkerwijs verzochte informatie verstrekken met betrekking tot de Services om Klant in staat te stellen gegevensbeschermingseffectbeoordelingen of voorafgaande raadplegingen met gegevensbeschermingsautoriteiten uit te voeren zoals wettelijk vereist.

BIJLAGE A – Lijst van PushEngage Sub-verwerkers

PushEngage maakt gebruik van haar Affiliates en een reeks externe Sub-verwerkers om haar te helpen bij het leveren van de Services (zoals beschreven in de Overeenkomst). Deze hieronder genoemde Sub-verwerkers leveren cloud hosting- en opslagdiensten; contentleverings- en beoordelingsdiensten; helpen bij het bieden van klantondersteuning; evenals diensten voor het volgen, reageren op, diagnosticeren en oplossen van incidenten.
Sub-verwerkers die door ons worden gebruikt bij het werken als verwerker

Sub-verwerker	Doel	Locatie	Meer opmerkingen
Amazon Web Services	Beveiligde Cloudservice voor Hosting Infrastructuur en Databases	Verenigde Staten	https://aws.amazon.com/compliance/gdpr-center/

Bijlage B – Beveiligingsmaatregelen

De Beveiligingsmaatregelen die van toepassing zijn op de Services worden hieronder en hier https://PushEngage.com/security/ beschreven (zoals van tijd tot tijd bijgewerkt in overeenstemming met Sectie 6.2 van deze DPA).

1. Informatiebeveiligingsprogramma. PushEngage onderhoudt een informatiebeveiligingsprogramma (inclusief de invoering en handhaving van interne beleidslijnen en procedures) dat is ontworpen om (a) de Klant te helpen bij het beveiligen van Klantgegevens tegen onopzettelijk of onwettig verlies, toegang of openbaarmaking, (b) redelijkerwijs te voorziene interne risico's voor de beveiliging en ongeautoriseerde toegang tot het PushEngage-netwerk te identificeren, en (c) beveiligingsrisico's te minimaliseren, onder meer door middel van risicobeoordeling en regelmatige tests. PushEngage wijst één of meer werknemers aan om het informatiebeveiligingsprogramma te coördineren en ervoor verantwoordelijk te zijn. Het informatiebeveiligingsprogramma omvat de volgende maatregelen:

1.1 Netwerkbeveiliging. Het PushEngage-netwerk is elektronisch toegankelijk voor werknemers, contractanten en andere personen die nodig zijn om de Diensten te leveren. PushEngage handhaaft toegangscontroles en beleidslijnen om te beheren welke toegang is toegestaan tot het PushEngage-netwerk vanaf elke netwerkverbinding en gebruiker, inclusief het gebruik van firewalls of functioneel gelijkwaardige technologie en authenticatiecontroles. PushEngage handhaaft plannen voor corrigerende maatregelen en incidentrespons om te reageren op potentiële beveiligingsdreigingen.

1.2 Fysieke beveiliging

1.2.1 Fysieke toegangscontroles. Fysieke componenten van het PushEngage-netwerk bevinden zich in onopvallende faciliteiten (de “Faciliteiten”). Fysieke barrièrecontroles worden gebruikt om ongeautoriseerde toegang tot de Faciliteiten te voorkomen, zowel aan de perimeter als bij gebouwtoegangen. Doorgang door de fysieke barrières bij de Faciliteiten vereist ofwel elektronische toegangscontrolevalidatie (bijv. kaarttoegangs-systemen, etc.) of validatie door menselijk beveiligingspersoneel (bijv. gecontracteerde of interne beveiligingsdienst, receptionist, etc.). Werknemers en contractanten krijgen een foto-ID-badge toegewezen die gedragen moet worden terwijl de werknemers en contractanten zich in een van de Faciliteiten bevinden. Bezoekers moeten zich aanmelden bij aangewezen personeel, moeten een passende identificatie tonen, krijgen een bezoekers-ID-badge toegewezen die gedragen moet worden terwijl de bezoeker zich in een van de Faciliteiten bevindt, en worden voortdurend begeleid door geautoriseerde werknemers of contractanten tijdens een bezoek aan de Faciliteiten.

1.2.2 Beperkte toegang voor werknemers en contractanten. PushEngage verleent toegang tot de Faciliteiten aan die werknemers en contractanten die een legitieme zakelijke noodzaak hebben voor dergelijke toegangsmachtigingen. Wanneer een werknemer of contractant geen zakelijke noodzaak meer heeft voor de aan hem/haar toegewezen toegangsmachtigingen, worden de toegangsmachtigingen onmiddellijk ingetrokken, zelfs als de werknemer of contractant werknemer blijft van PushEngage of haar dochterondernemingen.

1.2.3 Fysieke Beveiligingsmaatregelen. Alle toegangspunten (behalve hoofdingangsdeuren) worden beveiligd (afgesloten) gehouden. Toegangspunten tot de Faciliteiten worden gemonitord door videobewakingscamera's die zijn ontworpen om alle personen die toegang krijgen tot de Faciliteiten op te nemen. PushEngage onderhoudt ook elektronische inbraakdetectiesystemen die zijn ontworpen om ongeautoriseerde toegang tot de Faciliteiten te detecteren, inclusief het monitoren van kwetsbare punten (bijv. primaire ingangsdeuren, nooduitgangen, dakluiken, laaddeurpoorten, enz.) met deurencontacten, glasbreukdetectoren, interieur bewegingsdetectie of andere apparaten die zijn ontworpen om personen te detecteren die proberen toegang te krijgen tot de Faciliteiten. Alle fysieke toegang tot de Faciliteiten door werknemers en contractanten wordt geregistreerd en routinematig gecontroleerd.

2. Voortdurende Evaluatie. PushEngage zal periodieke beoordelingen uitvoeren van de beveiliging van haar PushEngage Netwerk en de adequaatheid van haar informatiebeveiligingsprogramma, gemeten aan de hand van industriestandaarden voor beveiliging en haar beleid en procedures. PushEngage zal voortdurend de beveiliging van haar PushEngage Netwerk en bijbehorende Diensten evalueren om te bepalen of aanvullende of andere beveiligingsmaatregelen nodig zijn om te reageren op nieuwe beveiligingsrisico's of bevindingen die voortkomen uit de periodieke beoordelingen.

Bijlage C – Standaard Contractuele Clausules

Voor de toepassing van artikel 26, lid 2, van Richtlijn 95/46/EG voor de overdracht van persoonsgegevens naar verwerkers die gevestigd zijn in derde landen die geen adequaat beschermingsniveau van gegevens waarborgen

De entiteit geïdentificeerd als “Klant” in de Addendum (de “gegevensuitvoerder”) en PushEngage (de “gegevensinvoerder”), elk een “partij”; samen “de partijen”,

HEBBEN de volgende Contractuele Clausules (de Clausules) OVEREENGEKOMEN om adequate waarborgen te bieden met betrekking tot de bescherming van de privacy en de fundamentele rechten en vrijheden van individuen voor de overdracht door de gegevensuitvoerder aan de gegevensinvoerder van de persoonsgegevens gespecificeerd in Bijlage 1.

Clausule 1

Definities

Voor de toepassing van de Clausules:

• ‘persoonsgegevens’, ‘bijzondere categorieën van gegevens’, ‘verwerken/verwerking’, ‘controleur’, ‘verwerker’, ‘betrokkene’ en ‘toezichthoudende autoriteit’ hebben dezelfde betekenis als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
• ‘de gegevensuitvoerder’ betekent de controleur die de persoonsgegevens overdraagt;
• ‘de gegevensinvoerder’ betekent de verwerker die ermee instemt om van de gegevensuitvoerder persoonsgegevens te ontvangen die bestemd zijn voor verwerking namens hem na de overdracht in overeenstemming met zijn instructies en de voorwaarden van de Clausules en die niet onderworpen is aan een systeem van een derde land dat adequate bescherming waarborgt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
• ‘de subverwerker’ betekent elke verwerker die door de gegevensinvoerder of door een andere subverwerker van de gegevensinvoerder wordt ingeschakeld en die ermee instemt om van de gegevensinvoerder of van een andere subverwerker van de gegevensinvoerder persoonsgegevens te ontvangen die uitsluitend bestemd zijn voor verwerkingsactiviteiten die namens de gegevensuitvoerder moeten worden uitgevoerd na de doorgifte, in overeenstemming met zijn instructies, de voorwaarden van de Clausules en de voorwaarden van de schriftelijke subcontract.
• ‘de toepasselijke wetgeving inzake gegevensbescherming’ betekent de wetgeving ter bescherming van de fundamentele rechten en vrijheden van personen en, met name, hun recht op privacy met betrekking tot de verwerking van persoonsgegevens die van toepassing is op een gegevensbeheerder in de Lidstaat waar de gegevensuitvoerder is gevestigd.
• ‘technische en organisatorische beveiligingsmaatregelen’ betekent die maatregelen die gericht zijn op de bescherming van persoonsgegevens tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeautoriseerde openbaarmaking of toegang, met name wanneer de verwerking de verzending van gegevens via een netwerk inhoudt, en tegen alle andere onwettige vormen van verwerking.

Klausule 2

Details van de doorgifte

De details van de doorgifte en met name de bijzondere categorieën van persoonsgegevens, indien van toepassing, worden gespecificeerd in Bijlage 1, die een integraal onderdeel van de Clausules vormt.

Klausule 3

Klausule voor derdenbegunstigden

• De betrokkene kan deze Klausule, Klausule 4(b) tot (i), Klausule 5(a) tot (e), en (g) tot (j), Klausule 6(1) en (2), Klausule 7, Klausule 8(2), en Klausules 9 tot 12 als derdenbegunstigde tegen de gegevensuitvoerder afdwingen.
• De betrokkene kan deze Klausule, Klausule 5(a) tot (e) en (g), Klausule 6, Klausule 7, Klausule 8(2), en Klausules 9 tot 12 tegen de gegevensinvoerder afdwingen, in gevallen waarin de gegevensuitvoerder feitelijk is verdwenen of wettelijk heeft opgehouden te bestaan, tenzij een opvolgende entiteit alle wettelijke verplichtingen van de gegevensuitvoerder bij contract of krachtens de wet heeft overgenomen, als gevolg waarvan zij de rechten en verplichtingen van de gegevensuitvoerder op zich neemt, in welk geval de betrokkene deze tegen die entiteit kan afdwingen.
• De betrokkene kan deze Klausule, Klausule 5(a) tot (e) en (g), Klausule 6, Klausule 7, Klausule 8(2), en Klausules 9 tot 12 tegen de subverwerker afdwingen, in gevallen waarin zowel de gegevensuitvoerder als de gegevensinvoerder feitelijk zijn verdwenen of wettelijk hebben opgehouden te bestaan of insolvent zijn geworden, tenzij een opvolgende entiteit alle wettelijke verplichtingen van de gegevensuitvoerder bij contract of krachtens de wet heeft overgenomen, als gevolg waarvan zij de rechten en verplichtingen van de gegevensuitvoerder op zich neemt, in welk geval de betrokkene deze tegen die entiteit kan afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingsactiviteiten onder de Clausules.
• De partijen verzetten zich er niet tegen dat een betrokkene wordt vertegenwoordigd door een vereniging of een andere instantie indien de betrokkene dit uitdrukkelijk wenst en indien dit wettelijk is toegestaan.

Klausule 4

Verplichtingen van de gegevensuitvoerder

De gegevensuitvoerder stemt in en garandeert:

• dat de verwerking, met inbegrip van de overdracht zelf, van de persoonsgegevens is en zal blijven geschieden in overeenstemming met de relevante bepalingen van de toepasselijke wetgeving inzake gegevensbescherming (en, waar van toepassing, is aangemeld bij de relevante autoriteiten van de lidstaat waar de gegevensuitvoerder is gevestigd) en de relevante bepalingen van die staat niet schendt;
•  dat het de gegevensinvoerder heeft geïnstrueerd en gedurende de gehele duur van de diensten voor de verwerking van persoonsgegevens zal instrueren om de overgedragen persoonsgegevens uitsluitend namens de gegevensuitvoerder en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en de clausules te verwerken;
• dat de gegevensinvoerder voldoende waarborgen zal bieden met betrekking tot de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in Bijlage 2 bij dit contract;
• dat, na beoordeling van de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, de beveiligingsmaatregelen passend zijn om persoonsgegevens te beschermen tegen accidentele of onwettige vernietiging of accidenteel verlies, wijziging, ongeautoriseerde openbaarmaking of toegang, met name wanneer de verwerking de overdracht van gegevens via een netwerk inhoudt, en tegen alle andere onwettige vormen van verwerking, en dat deze maatregelen een beveiligingsniveau waarborgen dat passend is voor de risico's die de verwerking met zich meebrengt en de aard van de te beschermen gegevens, rekening houdend met de stand van de techniek en de kosten van de implementatie ervan;
• dat het naleving van de beveiligingsmaatregelen zal waarborgen;
• dat, indien de overdracht bijzondere categorieën van gegevens betreft, het betrokken subject is geïnformeerd of zal worden geïnformeerd vóór, of zo spoedig mogelijk na, de overdracht dat zijn gegevens kunnen worden overgedragen naar een derde land dat geen adequate bescherming biedt in de zin van Richtlijn 95/46/EG;
• om elke kennisgeving die van de gegevensinvoerder of een subverwerker wordt ontvangen krachtens clausule 5(b) en clausule 8(3) door te sturen naar de toezichthoudende autoriteit voor gegevensbescherming indien de gegevensuitvoerder besluit de overdracht voort te zetten of de schorsing op te heffen;
• om op verzoek van de betrokkenen een kopie van de clausules, met uitzondering van bijlage 2, en een samenvattende beschrijving van de beveiligingsmaatregelen, alsmede een kopie van elke overeenkomst voor subverwerkingsdiensten die krachtens de clausules moet worden gesloten, ter beschikking te stellen, tenzij de clausules of de overeenkomst commerciële informatie bevatten, in welk geval deze commerciële informatie mag worden verwijderd;
• dat, in geval van subverwerking, de verwerkingsactiviteit wordt uitgevoerd in overeenstemming met clausule 11 door een subverwerker die ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van het betrokken subject biedt als de gegevensinvoerder onder de clausules;
• dat het naleving van clausule 4(a) tot (i) zal waarborgen.

Clausule 5

Verplichtingen van de gegevensinvoerder

De gegevensinvoerder stemt ermee in en garandeert:

• om de persoonsgegevens alleen namens de gegevensuitvoerder te verwerken en in overeenstemming met zijn instructies en de clausules; indien het niet aan deze naleving kan voldoen om welke reden dan ook, stemt het ermee in de gegevensuitvoerder onverwijld op de hoogte te stellen van zijn onvermogen om te voldoen, in welk geval de gegevensuitvoerder gerechtigd is de gegevensoverdracht op te schorten en/of het contract te beëindigen;
• dat het geen reden heeft om aan te nemen dat de op hem van toepassing zijnde wetgeving hem verhindert de van de gegevensuitvoerder ontvangen instructies en zijn verplichtingen onder het contract na te komen en dat het, in geval van een wijziging van deze wetgeving die waarschijnlijk een aanzienlijk nadelig effect zal hebben op de garanties en verplichtingen die door de clausules worden geboden, de wijziging onverwijld aan de gegevensuitvoerder zal melden zodra het zich ervan bewust is, in welk geval de gegevensuitvoerder gerechtigd is de gegevensoverdracht op te schorten en/of het contract te beëindigen;
• dat het de technische en organisatorische veiligheidsmaatregelen heeft geïmplementeerd zoals gespecificeerd in Bijlage 2 vóór de verwerking van de overgedragen persoonsgegevens;
• dat het de gegevensuitvoerder onverwijld op de hoogte zal stellen van:
• elk juridisch bindend verzoek tot openbaarmaking van de persoonsgegevens door een wetshandhavingsinstantie, tenzij anderszins verboden, zoals een verbod onder strafrecht om de vertrouwelijkheid van een onderzoek door wetshandhavers te bewaren,
• elke onopzettelijke of ongeautoriseerde toegang, en
• elk verzoek dat rechtstreeks van de betrokkenen wordt ontvangen zonder op dat verzoek te reageren, tenzij het anderszins is gemachtigd om dit te doen;
• om alle vragen van de gegevensuitvoerder met betrekking tot de verwerking van de persoonsgegevens die aan de overdracht zijn onderworpen, onverwijld en correct af te handelen en zich te houden aan het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de overgedragen gegevens;
• op verzoek van de gegevensuitvoerder zijn gegevensverwerkingsfaciliteiten te onderwerpen aan een audit van de verwerkingsactiviteiten die onder de clausules vallen en die zal worden uitgevoerd door de gegevensuitvoerder of een inspectieorgaan dat bestaat uit onafhankelijke leden en beschikt over de vereiste professionele kwalificaties, gebonden aan een geheimhoudingsplicht, geselecteerd door de gegevensuitvoerder, waar van toepassing, in overeenstemming met de toezichthoudende autoriteit;
• om de betrokkene op verzoek een kopie van de clausules, of enig bestaand contract voor subverwerking, ter beschikking te stellen, tenzij de clausules of het contract commerciële informatie bevatten, in welk geval het dergelijke commerciële informatie mag verwijderen, met uitzondering van Bijlage 2 die zal worden vervangen door een samenvattende beschrijving van de veiligheidsmaatregelen in die gevallen waarin de betrokkene geen kopie van de gegevensuitvoerder kan verkrijgen;
• dat het, in geval van subverwerking, de gegevensuitvoerder vooraf heeft geïnformeerd en zijn voorafgaande schriftelijke toestemming heeft verkregen;
• dat de verwerkingsdiensten door de subverwerker zullen worden uitgevoerd in overeenstemming met clausule 11;
• om onverwijld een kopie van elke subverwerkingsovereenkomst die het onder de clausules sluit, naar de gegevensuitvoerder te sturen.

Verplichte vereisten van de nationale wetgeving die van toepassing is op de gegevensinvoerder die niet verder gaan dan wat noodzakelijk is in een democratische samenleving op basis van een van de belangen vermeld in artikel 13(1) van Richtlijn 95/46/EG, dat wil zeggen, indien zij een noodzakelijke maatregel vormen om de nationale veiligheid, landsverdediging, openbare veiligheid, de opsporing, onderzoek, detectie en vervolging van strafbare feiten of van schendingen van de ethiek voor de gereglementeerde beroepen, een belangrijk economisch of financieel staatsbelang of de bescherming van de betrokkene of de rechten en vrijheden van anderen te waarborgen, zijn niet in strijd met de standaardcontractbepalingen. Enkele voorbeelden van dergelijke verplichte vereisten die niet verder gaan dan wat noodzakelijk is in een democratische samenleving zijn onder meer internationaal erkende sancties, rapportagevereisten voor belastingen of rapportagevereisten ter bestrijding van het witwassen van geld.

Klausule 6

Aansprakelijkheid

1. De partijen komen overeen dat elke betrokkene die schade heeft geleden als gevolg van een schending van de verplichtingen waarnaar wordt verwezen in Klausule 3 of in Klausule 11 door een partij of subverwerker, recht heeft op vergoeding van de gegevensuitvoerder voor de geleden schade.
2. Indien een betrokkene geen vordering tot vergoeding kan instellen overeenkomstig paragraaf 1 tegen de gegevensuitvoerder, voortvloeiend uit een schending door de gegevensinvoerder of zijn subverwerker van een van hun verplichtingen waarnaar wordt verwezen in Klausule 3 of in Klausule 11, omdat de gegevensuitvoerder feitelijk verdwenen is of wettelijk heeft opgehouden te bestaan of insolvent is geworden, stemt de gegevensinvoerder ermee in dat de betrokkene een vordering kan instellen tegen de gegevensinvoerder alsof deze de gegevensuitvoerder was, tenzij een opvolgende entiteit alle wettelijke verplichtingen van de gegevensuitvoerder heeft overgenomen bij contract of krachtens de wet, in welk geval de betrokkene zijn rechten tegen die entiteit kan doen gelden. De gegevensinvoerder kan geen beroep doen op een schending door een subverwerker van zijn verplichtingen om zijn eigen aansprakelijkheden te ontlopen.
3. Indien een betrokkene geen vordering kan instellen tegen de gegevensuitvoerder of de gegevensinvoerder waarnaar wordt verwezen in de paragrafen 1 en 2, voortvloeiend uit een schending door de subverwerker van een van hun verplichtingen waarnaar wordt verwezen in Klausule 3 of in Klausule 11, omdat zowel de gegevensuitvoerder als de gegevensinvoerder feitelijk verdwenen zijn of wettelijk hebben opgehouden te bestaan of insolvent zijn geworden, stemt de subverwerker ermee in dat de betrokkene een vordering kan instellen tegen de subverwerker met betrekking tot zijn eigen verwerkingsactiviteiten onder de Klausules alsof deze de gegevensuitvoerder of de gegevensinvoerder was, tenzij een opvolgende entiteit alle wettelijke verplichtingen van de gegevensuitvoerder of gegevensinvoerder heeft overgenomen bij contract of krachtens de wet, in welk geval de betrokkene zijn rechten tegen die entiteit kan doen gelden. De aansprakelijkheid van de subverwerker is beperkt tot zijn eigen verwerkingsactiviteiten onder de Klausules.

Klausule 7

Bemiddeling en jurisdictie

1. De gegevensimporteur stemt ermee in dat indien de betrokkene tegen hem rechten van derden als begunstigde inroept en/of schadevergoeding eist onder de Clausules, de gegevensimporteur de beslissing van de betrokkene zal accepteren:

• het geschil te verwijzen naar bemiddeling door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit;
• het geschil te verwijzen naar de rechtbanken in de lidstaat waar de gegevensexporteur is gevestigd.

De partijen komen overeen dat de keuze van de betrokkene geen afbreuk doet aan zijn materiële of procedurele rechten om rechtsmiddelen te zoeken in overeenstemming met andere bepalingen van nationaal of internationaal recht.

Artikel 8

Samenwerking met toezichthoudende autoriteiten

1. De gegevensexporteur stemt ermee in een kopie van dit contract te deponeren bij de toezichthoudende autoriteit indien deze daarom verzoekt of indien een dergelijke deponering vereist is onder de toepasselijke wetgeving inzake gegevensbescherming.
2. De partijen komen overeen dat de toezichthoudende autoriteit het recht heeft om een audit uit te voeren bij de gegevensimporteur, en bij elke subverwerker, met dezelfde reikwijdte en onder dezelfde voorwaarden als van toepassing zou zijn op een audit bij de gegevensexporteur onder de toepasselijke wetgeving inzake gegevensbescherming.
3. De gegevensimporteur informeert de gegevensexporteur onmiddellijk over het bestaan van wetgeving die op hem of een subverwerker van toepassing is en die de uitvoering van een audit bij de gegevensimporteur, of een subverwerker, krachtens lid 2 verhindert. In een dergelijk geval is de gegevensexporteur gerechtigd de maatregelen te nemen die voorzien zijn in Artikel 5 (b).

Artikel 9

Toepasselijk recht

De Clausules worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd.

Artikel 10

Wijziging van het contract

De partijen verbinden zich ertoe de Clausules niet te wijzigen of aan te passen. Dit sluit niet uit dat de partijen clausules toevoegen met betrekking tot zakelijke kwesties indien nodig, zolang deze niet in tegenspraak zijn met de Clausule.

Artikel 11

Onderverwerking

1. De gegevensimporteur mag geen van zijn verwerkingsactiviteiten die namens de gegevensexporteur onder de Clausules worden uitgevoerd, uitbesteden zonder voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur zijn verplichtingen onder de Clausules uitbesteedt, met toestemming van de gegevensexporteur, zal hij dit alleen doen middels een schriftelijke overeenkomst met de subverwerker die dezelfde verplichtingen oplegt aan de subverwerker als aan de gegevensimporteur onder de Clausules. Indien de subverwerker zijn verplichtingen inzake gegevensbescherming onder een dergelijke schriftelijke overeenkomst niet nakomt, blijft de gegevensimporteur volledig aansprakelijk jegens de gegevensexporteur voor de nakoming van de verplichtingen van de subverwerker onder die overeenkomst.
2. Het eerdere schriftelijke contract tussen de gegevensinvoerder en de subverwerker zal ook voorzien in een clausule voor derdenbegunstigden zoals uiteengezet in clausule 3 voor gevallen waarin de betrokkene de in paragraaf 1 van clausule 6 genoemde schadevergoeding niet kan instellen tegen de gegevensuitvoerder of de gegevensinvoerder omdat zij feitelijk zijn verdwenen of wettelijk zijn opgehouden te bestaan of insolvent zijn geworden en geen opvolger entiteit de volledige wettelijke verplichtingen van de gegevensuitvoerder of gegevensinvoerder contractueel of wettelijk heeft overgenomen. De aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingsactiviteiten onder de clausules.
3. De bepalingen met betrekking tot gegevensbeschermingsaspecten voor subverwerking van het in paragraaf 1 genoemde contract worden beheerst door de wet van de lidstaat waar de gegevensuitvoerder is gevestigd.
4. De gegevensuitvoerder houdt een lijst bij van subverwerkingsovereenkomsten die zijn gesloten onder de clausules en die door de gegevensinvoerder zijn aangemeld overeenkomstig clausule 5 (j), die ten minste eenmaal per jaar wordt bijgewerkt. De lijst is beschikbaar voor de toezichthoudende autoriteit voor gegevensbescherming van de gegevensuitvoerder.

Clausule 12

Verplichting na beëindiging van diensten voor de verwerking van persoonsgegevens

1. De partijen komen overeen dat na beëindiging van de levering van gegevensverwerkingsdiensten, de gegevensinvoerder en de subverwerker, naar keuze van de gegevensuitvoerder, alle overgedragen persoonsgegevens en kopieën daarvan aan de gegevensuitvoerder zullen retourneren of alle persoonsgegevens zullen vernietigen en de gegevensuitvoerder zullen certificeren dat zij dit heeft gedaan, tenzij wetgeving die op de gegevensinvoerder van toepassing is, haar verhindert om alle of een deel van de overgedragen persoonsgegevens te retourneren of te vernietigen. In dat geval garandeert de gegevensinvoerder dat zij de vertrouwelijkheid van de overgedragen persoonsgegevens zal waarborgen en de overgedragen persoonsgegevens niet langer actief zal verwerken.
2. De gegevensinvoerder en de subverwerker garanderen dat zij op verzoek van de gegevensuitvoerder en/of de toezichthoudende autoriteit haar faciliteiten voor gegevensverwerking zullen onderwerpen aan een audit van de in paragraaf 1 genoemde maatregelen.

BIJLAGE 1 BIJ DE STANDAARD CONTRACTUELE CLAUSULES

Gegevensuitvoerder

De gegevensuitvoerder is de entiteit die in de Addendum wordt geïdentificeerd als “Klant”.

Gegevensinvoerder

De gegevensinvoerder is PushEngage, een leverancier van webservices.

Betrokkenen

Betrokkenen zijn de klanten en eindgebruikers van de gegevensuitvoerder.

Categorieën van gegevens

De persoonsgegevens met betrekking tot individuen die door de gegevensuitvoerder op de PushEngage Services worden geüpload.

Verwerkingsactiviteiten

De overgedragen persoonsgegevens zullen onderworpen zijn aan de volgende basisverwerkingsactiviteiten (indien van toepassing):

Compute, Opslag en Contentlevering op het PushEngage Netwerk

BIJLAGE 2 BIJ DE STANDAARD CONTRACTUELE CLAUSULES

Deze bijlage maakt deel uit van de clausules en moet door de partijen worden ingevuld en ondertekend. Door de ondertekeningspagina op pagina 1 van deze Addendum te ondertekenen, worden de partijen geacht deze Bijlage 2 te hebben ondertekend.

Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensinvoerder zijn geïmplementeerd in overeenstemming met clausules 4(d) en 5(c) (of bijgevoegd document/wetgeving):

De door de gegevensinvoerder geïmplementeerde technische en organisatorische beveiligingsmaatregelen zijn zoals beschreven in de Addendum.

Laatst bijgewerkt: 24 december 2025