ADDENDUM OVER GEGEVENSVERWERKING VAN CLOUD SOFTWARE GROUP
ADDENDUM OVER GEGEVENSVERWERKING VAN CLOUD SOFTWARE GROUP
Versie: 30 september 2022
1. Xxxxxx, volgorde van prioriteit en partijen
Dit Addendum over Gegevensverwerking ('Addendum') is van toepassing op de Verwerking van Persoonsgegevens door Cloud Software Group en zijn Gelieerde ondernemingen namens u bij de levering van cloudservices, technische ondersteuningsservices of adviesservices ('Services'). De Services worden beschreven in de betreffende licentie- en/of servicesovereenkomst en de toepasselijke bestelling voor Services (samen de 'Overeenkomst'). Bij een conflict tussen de voorwaarden van de Overeenkomst en dit Addendum, zijn de voorwaarden van dit Addendum van toepassing. In geval van tegenstrijdigheid tussen de voorwaarden van dit Addendum en de standaardcontractbepalingen van de Europese Unie en/of het VK SCC-addendum (indien van toepassing), hebben de voorwaarden van de standaardcontractbepalingen van de Europese Unie en/of het VK SCC-addendum (indien van toepassing) voorrang.
Dit Addendum wordt afgesloten tussen de eindklant ('u') en de contracterende entiteit Cloud Software Group Holdings, Inc. ('Cloud Software Group', 'we', 'ons' of 'onze') en wordt door middel van verwijzing in de Overeenkomst opgenomen.
2. Definities
Onder 'u' wordt verstaan de eindklant die is gespecificeerd onder dit Addendum.
Onder 'Gelieerde onderneming' wordt verstaan een dochteronderneming van Cloud Software Group Holdings, Inc. (waaronder, zonder beperking, Citrix Systems, Inc. en TIBCO Software, Inc.) die ons kan bijstaan bij de verwerking van uw Persoonsgegevens onder dit Addendum.
Onder 'Geaggregeerd' wordt informatie verstaan die is gerelateerd aan een groep of categorie van individuen, waarvan de identiteit is verwijderd zodat de informatie niet is gekoppeld of niet kan worden gekoppeld aan een individu dat onderworpen is aan de Toepasselijke gegevensbeschermingswetten.
Onder 'Toepasselijke gegevensbeschermingswetten' wordt verstaan (i) de Algemene verordening gegevensbescherming van de Europese unie 2016/679 ('VGA') en wetten en regelgeving die de VGA implementeren of aanvullen; en (ii) andere internationale, federale, staatkundige, provinciale en lokale privacy- of gegevensbeschermingswetten, -regels, -reguleringen, -richtlijnen en overheidsvereisten, die momenteel van kracht zijn en wanneer deze van kracht worden, die van toepassing zijn op de Verwerking van Persoonsgegevens op grond van deze Overeenkomst.
Onder 'Klantinhoud' wordt gegevens verstaan die we openen of ontvangen of die u verzendt of uploadt voor opslag of verwerking zodat Cloud Software Group Services kan verlenen. Het bevat ook eigendomsrechtelijk beschermde technische informatie over uw omgeving, zoals uw systeem- of netwerkconfiguraties en de besturingselementen die u selecteert.
Onder 'Europese Economische Zone' wordt verstaan de Europese Economische Ruimte, Zwitserland en het Verenigd Koninkrijk voor het doel van dit Addendum.
Onder 'Modelcontractbepalingen van de Europese Unie van 2021' of 'EU-SCB van 2021' wordt verstaan de contractbepalingen die als bijlage bij Besluit 2021/914/Eu van de Commissie van de EU zijn gevoegd, of eventuele vervolgbepalingen die door de Commissie van de EU zijn goedgekeurd.
Onder 'Persoonsgegevens' wordt verstaan Klantinhoud die wordt verwerkt in verband met de prestaties van Services en die een uniek individu, rechtstreeks of onrechtstreeks, kan identificeren, in het bijzonder door verwijzing naar een identificator zoals een naam, een identiteitsnummer, locatiegegevens, een online identificator of een of meer factoren die specifiek zijn voor de fysieke, psychologische, genetische, mentale, economische, culturele of sociale identiteit van individuen of als dergelijke informatie op een andere wijze is gedefinieerd onder de Toepasselijke gegevensbeschermingswetten.
Onder 'Inbreuk in verband met persoonsgegevens' wordt verstaan een schending van de beveiliging die leidt tot accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van, of toegang tot, Persoonsgegevens die worden overgedragen, opgeslagen of anders verwerkt om de Services uit te voeren waarmee de beveiliging van de persoonsgegevens is geschonden.
Onder 'Subverwerker' wordt verstaan elke derde die is ingehuurd om assistentie te verlenen bij de Verwerking van Persoonsgegevens voor de prestaties van Services onder de Overeenkomst.
Onder 'VK SCC-addendum' wordt verstaan het Addendum met betrekking tot internationale gegevensoverdracht van de Modelcontractbepalingen van de Europese Unie (vB1.0 of een daaropvolgende versie) zoals uitgegeven door de Britse Information Commissioner's Office.
Termen die worden gebruikt maar niet zijn gedefinieerd in dit Addendum (bijv. 'Bedrijfsdoel, Consument, Verwerkingsverantwoordelijke, Betrokkene, Verwerken/Verwerking, Verwerker') hebben dezelfde betekenis als is beschreven in de Overeenkomst of Toepasselijke gegevensbeschermingswetten.
3. Rollen als Verweringsverantwoordelijke en als Gegevensverwerker
Voor de doelstellingen van dit Addendum bent u de Verwerkingsverantwoordelijke van de Persoonsgegevens die door Cloud Software Group worden verwerkt tijdens de uitvoering van de Services onder de bepalingen van de Overeenkomst. U bent verantwoordelijk voor de naleving van uw verplichtingen als Verwerkingsverantwoordelijke op grond van de Toepasselijke gegevensbeschermingswetten waaraan uw levering van Persoonsgegevens aan ons voor de prestaties van de Services is onderworpen, met inbegrip van maar niet beperkt tot het verkrijgen van toestemmingen, het verstrekken van kennisgevingen, of anders de vereiste rechtsgrondslag te vestigen en snel te reageren op vragen van een Toezichthoudende autoriteit. Tenzij anders bepaald in de Overeenkomst, zult u ons geen toegang verlenen tot Persoonsgegevens die specifieke vereisten voor gegevensbescherming stellen die verder gaan dan die welke zijn overeengekomen in de Overeenkomst en dit Addendum, en zult u de toegang van ons tot Persoonsgegevens beperken voor zover dit noodzakelijk is voor de uitvoering van de Services.
Cloud Software Group is de Gegevensverwerker en serviceprovider met betrekking tot dergelijke Persoonsgegevens, behalve wanneer u als Verwerker van Persoonsgegevens fungeert, in welk geval we een Subverwerker zijn. Uw Persoonsgegevens blijven uw exclusieve eigendom en zijn Vertrouwelijke informatie op grond van de voorwaarden van de Overeenkomst. Cloud Software Group is verantwoordelijk om te voldoen aan zijn verplichtingen onder Toepasselijke gegevensbeschermingswetten waaraan zijn Verwerking van Persoonsgegevens onder de Overeenkomst en dit Addendum zijn onderworpen.
4. Het Verwerkingsdoel van Cloud Software Group
Cloud Software Group en alle personen die onder zijn gezag krachtens dit Addendum handelen, inclusief Subverwerkers en Gelieerde ondernemingen zoals beschreven in Sectie 6, zullen Persoonsgegevens uitsluitend verwerken ten behoeve van de uitvoering van de Services in overeenstemming met uw schriftelijke instructies zoals gespecificeerd in de Overeenkomst, dit Addendum en in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming. We kunnen Persoonsgegevens ook aggregeren als onderdeel van de Services om producten en services van Cloud Software Group te leveren, te beveiligen en te verbeteren.
5. Betrokkenen en categorieën van Persoonsgegevens
U bepaalt tot welke Persoonsgegevens u ons toegang verleent de Services uit te voeren. Dit kan de Verwerking van Persoonsgegevens inhouden voor de volgende categorieën van uw Betrokkenen:
• Werknemers en sollicitanten;
• Klanten en eindgebruikers;
• Leveranciers, vertegenwoordigers en contractanten.
De Verwerking van uw Persoonsgegevens kan ook de volgende categorieën Persoonsgegevens inhouden:
• Directe identificatoren zoals voornaam, achternaam, geboortedatum en huisadres;
• Communicatiegegevens zoals het vaste telefoonnummer thuis, het mobiele nummer, het e-mailadres, het postadres en het faxnummer;
• Informatie over familiale en andere persoonlijke omstandigheden, zoals leeftijd, geboortedatum, burgerlijke staat, echtgenoot/echtgenote of partner, het aantal en de namen van kinderen;
• Arbeidsinformatie zoals werkgever, werkadres, zakelijke e-mail en telefoon, functie, salaris, manager, werknemersnummer, gebruikersnamen en wachtwoorden in het systeem, informatie over prestaties en CV-gegevens;
• Andere gegevens zoals financiële informatie, aangeschafte goederen of services, apparaat-ID's, online profielen en gedrag, en IP-adres;
• Andere Persoonsgegevens waarvoor u toegang aan ons verleent in verband met de levering van producten of Services.
6. Subverwerking
Onderhevig aan de voorwaarden van dit Addendum autoriseert u ons om Subverwerkers en Gelieerde ondernemingen in te huren voor de Verwerking van Persoonsgegevens. Deze Subverwerkers en Gelieerde ondernemingen zijn gebonden aan schriftelijke overeenkomsten waarvoor zij ten minste het gegevensbeschermingsniveau moeten bieden dat wordt vereist van Cloud Service Group door de Overeenkomst en dit Addendum en wij hebben commercieel redelijke maatregelen genomen om de naleving van deze maatregelen te bevestigen. U kunt ons vragen om een audit van een Subverwerker uit te voeren of een bestaand auditrapport van een derde te verkrijgen dat is gerelateerd aan de activiteit van de Subverwerker om de naleving van deze vereisten te controleren. U kunt ook kopieën aanvragen van de voorwaarden voor gegevensbescherming die we hebben voor Subverwerkers of Gelieerde ondernemingen die zijn betrokken bij het leveren van de Services. We blijven te allen tijde verantwoordelijk voor de naleving door dergelijke Subverwerkers en Gelieerde ondernemingen van de vereisten van de Overeenkomst, dit Addendum en Toepasselijke gegevensbeschermingswetten.
Een lijst met Subverwerkers en Gelieerde ondernemingen, evenals een methode om kennisgevingen over updates van de lijst te ontvangen, zijn beschikbaar op xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxxxxxxxx-xxxx.xxxx. We werken de lijst met Subverwerkers en Gelieerde ondernemingen bij ten minste veertien (14) kalenderdagen voordat nieuwe Subverwerkers worden geautoriseerd om toegang tot Persoonsgegevens te krijgen. Waar Cloud Software Group een Verwerker (en geen Subverwerker) is, zijn de volgende voorwaarden van toepassing:
• Als u, op basis van gegronde redenen gerelateerd aan de onmogelijkheid van dergelijke Subverwerkers of Gelieerde ondernemingen om Persoonsgegevens te beschermen, een nieuwe Subverwerker of Geaffilieerde niet goedkeurt, kunt u abonnementen voor de betreffende Service zonder boete opzeggen
door, vóór het einde van de kennisgevingsperiode, een schriftelijke kennisgeving van opzegging te verstrekken die uitleg van de redenen voor het niet-goedkeuren bevat.
• Als de betreffende Service onderdeel is van een pakket (of soortgelijke afzonderlijke aankoop van Services), is dergelijke opzegging van toepassing op het gehele pakket.
• Na dergelijke opzegging blijft u verplicht om alle betalingen uit te voeren die vereist zijn op grond van inkooporders of andere contractuele verplichtingen met de ELA Wederverkoper en/of Citrix en hebt u geen recht op restitutie of terugbetaling door de ELA Wederverkoper en/of Cloud Software Group.
7. Internationale overdracht van persoonsgegevens
Afhankelijk van de Services kunt u met Cloud Software Group overeenkomen op welke locatie Persoonsgegevens worden opgeslagen. Niettegenstaande het voorgaande kunnen we Persoonsgegevens overdragen naar de Verenigde Staten en/of andere derde landen voor zover dit nodig is om de Services uit te voeren, en u wijst Cloud Software Group aan om een dergelijke overdracht uit te voeren om Persoonsgegevens te verwerken voor zover nodig om de Services te leveren. We volgen de vereisten van dit Addendum ongeacht waar dergelijke Persoonsgegevens worden opgeslagen of verwerkt.
Als de Verwerking de internationale doorgifte van Persoonsgegevens aan Cloud Software Group, Gelieerde ondernemingen of Subverwerkers betreft (i) tussen u en Cloud Software Group, Gelieerde ondernemingen of Subverwerkers gevestigd in de Europese Economische Zone of (ii) op grond van andere Toepasselijke gegevensbeschermingswetten, zijn dergelijke overdrachten onderworpen aan de gegevensbeschermingsvoorwaarden die zijn gespecificeerd in dit Addendum en Toepasselijke gegevensbeschermingswetten.
Als de Verwerking de internationale overdracht van Persoonsgegevens betreft onder Toepasselijke gegevensbeschermingswetten in de Europese Economische Zone aan Cloud Software Group, Gelieerde ondernemingen of Subverwerkers in een rechtsgebied (i) dat door de Europese Commissie niet wordt geacht een adequaat niveau van gegevensbescherming te bieden, en (ii) er geen andere legitieme grondslag is voor de internationale overdracht van dergelijke Persoonsgegevens, zijn dergelijke overdrachten onderworpen aan de standaardcontractbepalingen van de Europese Unie van 2021 en/of aan het VK SCC-addendum (zoals van toepassing) of andere geldige overdrachtsmechanismen die beschikbaar zijn onder Toepasselijke gegevensbeschermingswetten. Voor internationale overdracht onderhavig aan:
• de EU-SCB van 2021, nemen de partijen hierbij de SCB van 2021 in ongewijzigde vorm door middel van verwijzing op (Module Twee wanneer u een Verwerkingsverantwoordelijke bent en Cloud Software Group een Verwerker is of Module Drie wanneer zowel u als Cloud Software Group een Verwerker zijn, zoals van toepassing).
• het VK SCC-addendum, nemen de partijen hierbij het VK SCC-addendum in ongewijzigde vorm bij verwijzing op.
Voor Citrix-services zijn de EU-SCB van 2021 en het VK SCC-addendum zijn beschikbaar in het Citrix Trust Center op xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx, en gelden tussen u en Citrix Systems, Inc., ongeacht uw locatie. Voor TIBCO-services zijn de EU-SCB van 2021 en het VK SCC-addendum zijn beschikbaar op de TIBCO- website op xxxxx://xxxxx.xxxxx.xxx/#xxxx-xxxxxxxxxx-xxxxx. Voor dergelijke doeleinden treedt u op als de Gegevensexporteur namens u en namens elk van uw entiteiten, en treedt Citrix of TIBCO (indien van toepassing) op als de Gegevensimporteur namens zichzelf en/of namens zijn Gelieerde ondernemingen. Voor de toepassing van bepaling 7 van de EU-SCB van 2021 zal elke toetredende entiteit zijn rechten via u doen gelden.. U kunt de opgenomen EU-SCB van 2021 of en het VK SCC-addendum voor Citrix die beschikbaar zijn in het Citrix Trust Center of voor TIBCO beschikbaar op xxxxx://xxxxx.xxxxx.xxx/#xxxx-xxxxxxxxxx-xxxxx naar keuze formeel uitvoeren.
8. Aanvragen van Betrokkenen
We zullen de Persoonsgegevens van uw Betrokkenen aan u ter beschikking stellen en de mogelijkheid bieden om verzoeken van Xxxxxxxxxxx in te willigen om een of meer van hun rechten onder de Toepasselijke Gegevensbeschermingswetgeving uit te oefenen op een wijze die in overeenstemming is met onze rol als Gegevensverwerker. We bieden dergelijke redelijke bijstand om u bij uw reactie te helpen.
Als we een aanvraag rechtstreeks van uw Betrokkene ontvangen om een of meer van zijn rechten onder Toepasselijke gegevensbeschermingswetten uit te oefenen, zullen we de Betrokkene doorverwijzen naar u tenzij dit wettelijk niet is toegestaan.
9. Beveiliging
We zullen geschikte technische en organisatorische procedures implementeren en onderhouden die zijn ontworpen om Persoonsgegevens te beschermen tegen misbruik of accidentele of onwettige vernietiging, verlies, aanpassing, ongeautoriseerd openbaar maken of toegang tot Persoonsgegevens. Dergelijke beveiligingsprocedures zijn uiteengezet in het Beveiligingsdocument voor Cloud Software Group-services, dat beschikbaar is op xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxx.xxxx. We werken continu aan de versterking en verbetering van de beveiligingsprocedures en behouden ons het recht voor om de hierin beschreven controles te wijzigen. Eventuele wijzigingen doen geen afbreuk aan het beveiligingsniveau tijdens de betreffende termijn van de Services.
Onze medewerkers zijn gebonden aan de betreffende vertrouwelijkheidsovereenkomsten en zijn vereist om regelmatig training in gegevensbescherming te volgen en de procedures en onze beleidsregels op het gebied van privacy en beveiliging na te leven.
10. Inbreuk in verband met persoonsgegevens
We zullen u zonder onnodige vertraging op de hoogte stellen nadat wij kennis hebben genomen van een Inbreuk in verband met persoonsgegevens, waarbij persoonsgegevens in ons bezit, onder onze hoede of onder ons beheer zijn betrokken. Deze kennisgeving moet ten minste: (i) een beschrijving van de aard van de Inbreuk in verband met persoonsgegevens omvatten, waaronder, indien mogelijk, de betrokken categorieën en het geschatte aantal Betrokkenen en de betrokken categorieën en het geschatte aantal opgeslagen Persoonsgegevens; (ii) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon waar meer informatie kan worden verkregen; en (iii) een beschrijving van de maatregelen die zijn genomen of worden voorgesteld om de Inbreuk in verband met persoonsgegevens aan te pakken, waaronder, indien van toepassing, maatregelen om de mogelijke schadelijke gevolgen ervan te beperken. U bepaalt samen met ons de inhoud van openbare verklaringen of vereiste kennisgevingen aan individuen en/of toezichthoudende autoriteiten.
11. Uw instructies en informatie- en bijstandsverstrekking
U kunt ons aanvullende informatie verstrekken die is gerelateerd aan de Verwerking van Persoonsgegevens die nodig zijn voor u en Cloud Software Group om als Verwerkingsverantwoordelijke en Gegevensverwerker te voldoen aan onze respectieve verplichtingen onder Toepasselijke gegevensbeschermingswetten. We volgen uw instructies zonder extra kosten op, op voorwaarde dat als uw instructies kosten voor ons met zich meebrengen die buiten het bereik van de Services onder de Overeenkomst vallen, de partijen akkoord gaan te goeder trouw te onderhandelen om de extra kosten te bepalen. We informeren u onmiddellijk als we menen dat uw instructies niet in overeenkomst zijn met de Toepasselijke gegevensbeschermingswetten, op voorwaarde dat we niet zullen worden verplicht om uw Verwerking van Persoonsgegevens te inspecteren en te verifiëren.
We verstrekken u redelijkerwijs de informatie die nodig is om u te helpen bij het nakomen van uw verplichtingen onder de Toepasselijke Gegevensbeschermingswetgeving, waaronder, zonder beperking, onze verplichtingen onder
de Algemene Verordening Gegevensbescherming van de EU om passende gegevensbeveiligingsmaatregelen te implementeren, een gegevensbeschermingseffectbeoordeling uit te voeren en de bevoegde toezichthoudende autoriteit te raadplegen (rekening houdend met de aard van de Verwerking en de informatie waarover we beschikken), en zoals verder gespecificeerd in dit Addendum.
12. Retourneren en verwijderen van Persoonsgegevens
13. Audit
In het geval dat de informatie die u Cloud Software Group onder Sectie 11 hierboven hebt gevraagd niet voldoet aan uw verplichtingen onder de Toepasselijke Gegevensbeschermingswetgeving, kunt u maximaal één keer per jaar of zoals anderszins vereist door de Toepasselijke Gegevensbeschermingswetgeving een audit uitvoeren van de onze Verwerking van uw Persoonsgegevens. Om een audit aan te vragen, moet u ons drie weken van tevoren een voorstel voor een gedetailleerd auditplan verstrekken. We werken te goeder trouw met u samen om tot een definitief schriftelijk plan te komen. Een dergelijke audit zal worden uitgevoerd op uw eigen kosten, tijdens normale kantooruren, zonder verstoring van onze activiteiten, en in overeenstemming met onze beveiligingsregels en - vereisten. Voorafgaand aan elke audit, verbinden we ons ertoe om u redelijkerwijs gevraagde informatie en bijbehorend bewijsmateriaal te verstrekken om aan uw auditverplichtingen te voldoen, en verbindt u zich ertoe deze informatie te controleren alvorens een onafhankelijke audit wordt uitgevoerd. Indien delen van het bereik van de audit worden gedekt door een auditrapport dat in de voorafgaande twaalf maanden door een gekwalificeerde externe auditor aan ons is verstrekt, komen de partijen overeen dat het bereik van uw audit dienovereenkomstig zal worden beperkt.
U kunt met onze toestemming gebruikmaken van een auditor van derden, welke toestemming niet op onredelijke grond zal worden geweigerd. Voorafgaand aan elke audit door een derde is dergelijke auditor verplicht een passende geheimhoudingsovereenkomst met ons af te sluiten. Indien de derde uw Toezichthoudende autoriteit is en het toepasselijke recht deze in staat stelt ons rechtstreeks te controleren, werken we samen met en verlenen we redelijke bijstand aan de Toezichthoudende autoriteit in overeenstemming met Toepasselijke gegevensbeschermingswetten.
U verstrekt ons een kopie van elk eindrapport, tenzij verboden door Toepasselijke gegevensbeschermingswetten, behandelt de bevindingen als vertrouwelijke informatie in overeenstemming met de voorwaarden van de Overeenkomst (of een vertrouwelijkheidsovereenkomst die tussen u en Cloud Software Group is gesloten), en gebruikt het eindrapport uitsluitend om te beoordelen of wij ons aan de voorwaarden van de Overeenkomst, dit Addendum en de Toepasselijke gegevensbeschermingswetten houden.
14. Functionaris voor de gegevensbescherming
U kunt contact opnemen met onze wereldwijde Functionaris voor gegevensbescherming van c/o Cloud Software Group Systems, Inc., 000 Xxxxxxxx Xxxxxx, Xxxxxxxxxx XX 00000 XXX. Als u een Functionaris voor gegevensbescherming hebt aangesteld, kunt u zijn contactgegevens opnemen in uw bestelling van de Services.
15. Termijn
Dit Addendum wordt van kracht op het moment dat u de Services aanschaft. Beëindiging van de Overeenkomst ontslaat geen van de partijen van zijn verplichtingen uit hoofde van dit Addendum.