OVEREENKOMST GEGEVENSBESCHERMING TECHNISCHE ONDERSTEUNING EN ONDERHOUD
OVEREENKOMST GEGEVENSBESCHERMING TECHNISCHE ONDERSTEUNING EN ONDERHOUD
Deze Overeenkomst GegevensBescherming en haar bijlagen (de "OGB") legt de minimale normen vast voor de gegevensbescherming en cyberbeveiliging en daarmee verband houdende vereisten en maakt deel uit van de overeenkomst, met inbegrip van een verkoopovereenkomst, een serviceovereenkomst of een bestelling (de "Overeenkomst") (met uitzondering van de Cepheid C360-gebruikersovereenkomst). Deze OGB wordt aangegaan door en tussen de Klant (zoals gedefinieerd in de Overeenkomst) en Cepheid (zoals gedefinieerd in de Overeenkomst) en blijft volledig van kracht voor de duur van de Overeenkomst. Cepheid en de Klant worden hierna afzonderlijk aangeduid als de "Partij" of gezamenlijk als de "Partijen".
De Partijen komen overeen dat wanneer in het kader van de Overeenkomst sprake is van Verwerking van Persoonsgegevens, de voorwaarden van deze OGB van toepassing zijn op die Overeenkomst, ongeacht of die Overeenkomst er uitdrukkelijk naar verwijst.
DERHALVE, gezien het bovenstaande en de hierin vervatte wederzijdse convenanten, komen de Partijen het volgende overeen:
1. Definities
(A) "Toepasselijke Wetgeving" betekent alle wetgeving (waaronder alle wereldwijde wet- en regelgeving inzake gegevensbescherming en privacy die van toepassing is op de betreffende Persoonsgegevens, met inbegrip van, indien van toepassing, de Europese wet op de bescherming van Prsoonsgegevens of de POPIA), regel of regelgeving die van toepassing is op de Overeenkomst, de Services of de Partijen en toepasselijke branchenormen inzake privacy, gegevensbescherming, geheimhouding, informatiebeveiliging, beschikbaarheid en integriteit, of de behandeling of Verwerking (waaronder bewaring en bekendmaking) van Persoonsgegevens, zoals deze van tijd tot tijd kunnen worden gewijzigd, geregeld, aangepast of vervangen.
(B) "Verwerkingsverantwoordelijke", "Verwerker", "Betrokkene", "Persoonsgegevens" of "Persoonlijke Informatie", "Verwerkingsproces", "Verwerking", "Bijzondere Persoonsgegevens" en "Gevoelige Persoonlijke Informatie" hebben de betekenis die daaraan wordt gegeven in de Toepasselijke Wetgeving.
(C) "Datalek" betekent: (i) het verlies of misbruik (op welke manier dan ook) van Persoonsgegevens;
(ii) onopzettelijke, onbevoegde en/of onwettige bekendmaking, toegang, wijziging, corruptie, doorgifte, verkoop, verhuur, vernietiging of gebruik van Persoonsgegevens; (iii) enige andere handeling of nalatigheid die de veiligheid, vertrouwelijkheid of integriteit van Persoonsgegevens aantast of kan aantasten; of (iv) elke inbreuk op de beveiligingswaarborgen.
(D) "EU/UK/CH Wetgeving Gegevensbescherming" betekent (i) de Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de Verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (General Data Protection Regulation (de "EU GDPR"); (ii) de EU GDPR zoals opgenomen in het recht van het Verenigd Koninkrijk krachtens artikel 3 van de European Union (Withdrawal) Xxx 0000 van het Verenigd Koninkrijk (de "UK GDPR"); (iii) in Zwitserland de Federal Act on Data Protection van 19 juni 1992 (herziene versie) (de “FADP"); (iv) de EU e-privacyrichtlijn (Richtlijn 2002/58/EG); en (v) alle toepasselijke nationale wetten inzake gegevensbescherming die onder
v. 230117
of ingevolge (i), (ii) of (iii) zijn gemaakt; in elk van deze gevallen zoals die van tijd tot tijd kunnen worden gewijzigd of vervangen.
(E) "Persoonsgegevens" betekent, in welke vorm, opmaak of media dan ook, alle (a) vertrouwelijke informatie van de Klant; en/of (b) gegevens die enigerlei informatie inhouden waarmee een persoon kan worden geïdentificeerd. Voor alle duidelijkheid: onder Persoonsgegevens wordt ook Persoonlijke Informatie verstaan.
(F) "POPIA" betekent de Protection of Personal Information Act, een wet betreffende de bescherming en regulering van de verwerking van persoonlijke informatie in de Republiek Zuid- Afrika, aangenomen op 13 november 2013 en in werking getreden op 1 juli 2020.
(G) "Beperkte Doorgifte" betekent (i) wanneer de EU GDPR van toepassing is, een doorgifte van Persoonsgegevens naar een land buiten de Europese Economische Ruimte dat niet valt onder een adequaatheidsbesluit van de Europese Commissie; (ii) wanneer de UK GDPR van toepassing is, een doorgifte van Persoonsgegevens naar een ander land dat niet is gebaseerd op een adequaatheidsregel ingevolge sectie 17A van de United Kingdom Data Protection Act van 2018;
(iii) wanneer de FADP van toepassing is, een grensoverschrijdende bekendmaking met afwezigheid van wetgeving die passende bescherming garandeert overeenkomstig artikel 6 van de FADP; en (iv) wanneer de POPIA van toepassing is, een grensoverschrijdende doorgifte, bekendmaking of uitwisseling van informatie buiten de Republiek Zuid-Afrika.
(H) "Standaardcontractbepalingen" betekent (i) wanneer de EU GDPR van toepassing is, de contractbepalingen in de bijlage bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad (Standard Contractual Clauses – "EU SCCs"); (ii) wanneer de UK GDPR van toepassing is, de International Data Transfer Addendum to the EU Commission Standard Contractual Clauses vastgesteld door de Information Commissioner onder s.119A(1) van de "Data Protection Xxx 0000" ("UK Addendum"); (iii) wanneer de FADP van toepassing is, de modelcontracten en standaardcontractbepalingen erkend door de Swiss Federal Data Protection and Information Commissioner ("FDPIC") ingevolge artikel 6 paragraaf 2 letter a van de FADP in overeenstemming met de verklaring van de FDPIC van 27 augustus 2021 (oorspronkelijk beschikbaar op xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xxxxx%00XXX%00xxx.xx%0000 082021.pdf.download.pdf/Paper%20SCC%20def.en%2024082021.pdf) ("CH Addendum"); en (iv) wanneer de POPIA van toepassing is, contractuele bepalingen betreffende de bescherming, verwerking en doorgifte van persoonlijke informatie uitgevoerd door twee of meer partijen met betrekking tot dergelijke informatie.
(I) "Services" betekent de diensten die Cepheid ingevolge de Overeenkomst verricht.
(J) "Subverwerker" betekent elke entiteit of persoon aan wie de verwerker zijn verantwoordelijkheden uitbesteedt.
(K) Indien van toepassing, andere termen met een hoofdletter zoals gedefinieerd in de Overeenkomst.
2. Relatie tussen de Partijen
2.1 De Klant (de "Verwerkingsverantwoordelijke") stelt Cepheid aan als Verwerker om de Persoonsgegevens beschreven in Bijlage 1 bij deze OGB te Verwerken voor de daarin beschreven doeleinden (of zoals anderszins schriftelijk overeengekomen door de Partijen) (het "Toegestane
v. 230117
doel"). Elke partij voldoet aan de verplichtingen die krachtens de Toepasselijke Wetgeving op haar van toepassing zijn.
De Klant erkent en stemt ermee in dat Cepheid aan haar gelieerde ondernemingen en/of derde Subverwerkers kan inschakelen in verband met de verlening van de Services. Cepheid blijft ten opzichte van de Klant volledig aansprakelijk voor die derde partij en sluit met die derde partij een schriftelijke en afdwingbare overeenkomst met voorwaarden die niet minder beperkend zijn dan de verplichtingen van de Klant krachtens deze OGB.
2.2 Cepheid verzamelt en verwerkt de noodzakelijke identificatiegegevens teneinde deze Overeenkomst te sluiten en uit te voeren, en meer in het algemeen voor het beheer van de zakelijke relatie van de Partijen, voor het verzenden van informatie over producten, goederen en diensten of over gerelateerde producten, goederen of diensten van gelieerde ondernemingen.
De Klant verbindt zich ertoe elke betrokkene te informeren over de verwerkingsactiviteiten van Cepheid en verstrekt derhalve de privacyverklaring van Cepheid.
3. Algemene vereisten
3.1 Wanneer Cepheid Persoonsgegevens Verwerkt namens de Klant, zal Cepheid:
i) alle toepasselijke wetten naleven, met inbegrip van de Toepasselijke Wetgeving, bij de Verwerking van Persoonsgegevens;
ii) behalve voor zover vereist door de toepasselijke wetgeving, de Persoonsgegevens alleen verwerken namens de Klant en uitsluitend voor zover nodig om de Services aan de Klant te verlenen en in overeenstemming met alle toepasselijke wetten, met inbegrip van de Toepasselijke Wetgeving, en de gedocumenteerde instructies van de Klant;
iii) passende en redelijke technische en organisatorische beveiligingsmaatregelen treffen en handhaven om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder, wanneer van toepassing, de in artikel 32(1) van de EU en UK GDPR bedoelde maatregelen (met inbegrip van de vereisten van de Payment Card Industry Data Security Standard indien Cepheid gegevens van kaarthouders of andere financiële gegevens Verwerkt), om de Persoonsgegevens te beschermen tegen (i) accidentele of onwettige vernietiging, en (ii) verlies, wijziging, ongeoorloofde bekendmaking van of ongeoorloofde toegang tot de Persoonsgegevens; deze maatregelen omvatten ten minste de in Bijlage 2 genoemde maatregelen;
iv) alleen toegang verlenen tot Persoonsgegevens aan personeelsleden van Cepheid voor wie redelijkerwijs toegang noodzakelijk is voor de doeleinden van de Overeenkomst, waarbij al deze personen onderworpen zijn aan een geheimhoudingsplicht;
v) alle redelijke en tijdige bijstand verlenen (waaronder de implementatie van passende en redelijke technische en organisatorische maatregelen) om de Klant te helpen bij het reageren op: (i) een verzoek van een Betrokkene om een van zijn of haar rechten krachtens de Toepasselijke Wetgeving uit te oefenen (met inbegrip van het recht op toegang, correctie, bezwaar, wissen en gegevensportabiliteit, voor zover van toepassing); en (ii) alle andere correspondentie, vragen of klachten die worden ontvangen van een Betrokkene, toezichthoudende autoriteit of andere derde partij in verband met de Verwerking van de Persoonsgegevens. Indien een dergelijk verzoek, correspondentie, vraag of klacht
v. 230117
rechtstreeks aan Cepheid wordt gericht, zal Cepheid de Klant onverwijld in kennis stellen met volledige vermelding van de ontvangen details;
vi) de Klant onmiddellijk in kennis stellen van:
a) alle verzoeken, vragen, klachten, kennisgevingen of mededelingen van derden, waaronder een Betrokkene of een toezichthoudende autoriteit, met betrekking tot Persoonsgegevens, en de instructies van de Klant in acht nemen bij het beantwoorden van dergelijke verzoeken, vragen, klachten, kennisgevingen of mededelingen; en
b) van elke instructie van de Klant die Cepheid in strijd acht met de toepasselijke wetten, waaronder de Toepasselijke Wetgeving;
vii) in geval van internationale doorgifte, komen de Partijen overeen dat wanneer de doorgifte van Persoonsgegevens een Beperkte Doorgifte is, de passende Standaardcontractbepalingen erop van toepassing zijn zoals uiteengezet in Bijlage 3;
viii) op redelijk verzoek van de Klant en met een redelijke voorafgaande kennisgeving, de faciliteiten die hij gebruikt om Persoonsgegevens te Verwerken en/of de Persoonsgegevens aanbieden voor een audit, uitgevoerd door afgevaardigden van de Klant of een auditinstantie die door beide Partijen is overeengekomen, waarbij de hieraan verbonden kosten uitsluitend worden gedragen door de Klant;
ix) een passende administratie bijhouden, die de naleving van haar verplichtingen krachtens deze OGB ondersteunt, en deze beschikbaar stellen aan de Klant in verband met een audit zoals bedoeld in (viii) hierboven;
x) behalve wanneer Cepheid Standaardcontractbepalingen heeft vastgesteld met betrekking tot een Beperkte Doorgifte van Persoonsgegevens, geen Persoonsgegevens doorgeven van enig rechtsgebied naar een ander rechtsgebied zonder de voorafgaande schriftelijke toestemming van de Klant;
xi) redelijkerwijs bijstand verlenen aan en samenwerken met de Klant, met inbegrip van het bijstaan van de Klant bij een beoordeling van een aantasting van de gegevensbescherming of de privacy (zoals vereist door de Toepasselijke Wetgeving) en voorafgaand overleg met de toepasselijke autoriteiten, om de Klant te helpen te voldoen aan zijn verplichtingen op grond van de Toepasselijke Wetgeving;
xii) de Persoonsgegevens alleen bewaren zo lang dit nodig is om de Services te verrichten, en aan het einde van de levering van de Services naar keuze van de Klant de Persoonsgegevens wissen of aan de Klant teruggeven (tenzij uitdrukkelijk anders vereist door de toepasselijke wetgeving) en de Klant desgevraagd een schriftelijke verklaring verstrekken dat hieraan is voldaan;
xiii) indien Cepheid redelijkerwijs een Datalek vermoedt of hiervan kennis krijgt:
a) de Klant hiervan onverwijld schriftelijk in kennis stellen en in geen geval later dan vierentwintig (24) uur na de kennisname van een dergelijk vermoed of bevestigd Xxxxxxx;
b) de Klant informatie verstrekken om hem, indien nodig, in staat te stellen de betrokkenen te rapporteren of te informeren over het Datalek;
v. 230117
c) een onderzoek instellen naar een dergelijk Datalek en redelijkerwijs samenwerken met de Klant en de regelgevende en rechtshandhavende instanties;
d) geen publieke mededelingen doen met betrekking tot een dergelijk Datalek zonder voorafgaande schriftelijke toestemming van de Klant, die niet op onredelijke gronden zal worden onthouden; en
e) tijdig redelijke corrigerende maatregelen nemen om te helpen bij het onderzoek, de beperking en het herstel van een Datalek, om het risico op herhaling van een dergelijk Datalek te voorkomen en te beperken; en
xiv) zich onderwerpen aan de in de Overeenkomst vastgelegde jurisdictiekeuze met betrekking tot alle geschillen of vorderingen in het kader van deze OGB, met inbegrip van geschillen over het bestaan, de geldigheid of de beëindiging ervan of de gevolgen van de nietigheid ervan; en op deze OGB en alle niet-contractuele of andere verplichtingen die voortvloeien uit of verband houden met deze OGB is het recht van het land of gebied van toepassing dat voor dit doel in de Overeenkomst is vastgelegd.
3.2 De Partijen nemen niet deel (en staan niet toe dat een Subverwerker deelneemt) aan enige andere Beperkte Doorgifte van Persoonsgegevens (hetzij als exporteur, hetzij als importeur van Persoonsgegevens), tenzij de Beperkte Doorgifte geschiedt met volledige inachtneming van de Toepasselijke Wetgeving en overeenkomstig de Standaardcontractbepalingen die tussen de desbetreffende exporteur en importeur van Persoonsgegevens van toepassing zijn.
3.3 De Klant machtigt Cepheid om Subverwerkers aan te stellen (en machtigt elke aangestelde Subverwerker om andere Verwerkers aan te stellen) in overeenstemming met dit artikel 3.3 en eventuele beperkingen in de Overeenkomst.
3.3.1 De Klant geeft hierbij een algemene toestemming aan Cepheid om gebruik te maken van de Subverwerkers die op de datum van deze OGB reeds zijn aangesteld, op voorwaarde dat Cepheid volledig aansprakelijk blijft jegens de Klant voor die derde partij en, in elk geval zo snel als praktisch mogelijk, een schriftelijke en afdwingbare overeenkomst aangaat met die derde partij die voorwaarden bevat die niet minder beperkend zijn dan de verplichtingen die van toepassing zijn op Cepheid krachtens deze OGB.
3.3.2 Cepheid houdt een lijst bij van zijn geautoriseerde subverwerkers die op verzoek beschikbaar is.
4. Diversen
Indien van toepassing zijn de Standaardcontractbepalingen, met inbegrip van de bijlagen 1 tot en met 4, van toepassing in geval van strijdigheid of inconsistentie tussen de voorwaarden van deze OGB en de Standaadcontractbepalingen.
v. 230117
Bijlage 1
Beschrijving van de gegevensverwerking
Deze Bijlage 1 maakt deel uit van de OGB en beschrijft de Verwerking die de Verwerker namens de Verwerkingsverantwoordelijke zal verrichten.
Overzicht van de Partijen Verwerker:
1. | Naam: | Cepheid, de in de Overeenkomst aangegeven entiteit |
Adres: | Zoals vermeld in de Overeenkomst | |
Naam, functie en contactgegevens van de contactpersoon: | Zoals vermeld in de Overeenkomst of tussen de Partijen | |
Activiteiten die relevant zijn voor de gegevens die in het kader van deze bepalingen worden doorgegeven: | Beschreven in deze Bijlage 1 | |
Rol: | Verwerker |
Verwerkingsverantwoordelijke:
1. | Naam: | Klant, de in de Overeenkomst aangegeven entiteit |
Adres: | Zoals vermeld in de Overeenkomst | |
Naam, functie en contactgegevens van de contactpersoon: | Zoals vermeld in de Overeenkomst of tussen de Partijen | |
Activiteiten die relevant zijn voor de gegevens die in het kader van deze bepalingen worden doorgegeven: | Beschreven in deze Bijlage 1 | |
Rol: | Verwerkingsverantwoordelijke |
Beschrijving van de doorgifte Onderwerp van de Verwerking
De Persoonsgegevens worden Verwerkt voor de volgende doeleinden:
Technische ondersteuning, optimalisatie van de workflow, ondersteuning op hoog niveau, minimalisering van downtime bij de Klant, reactie op feedback van de Klant, regelgevingskwesties, metingen, klantenanalyses, connectiviteitsverificatie (troubleshooting, implementatie / LIS (Laboratory Informatic System)), post-market surveillance, audits.
Duur van de Verwerking
De Persoonsgegevens worden Verwerkt voor de volgende duur:
– Klantenanalyses: zolang als nodig is om de doeleinden te vervullen en de gevraagde services te verlenen ingevolge de Overeenkomst, tenzij schriftelijk anders is overeengekomen;
– technische ondersteuning, ondersteuning op hoog niveau, minimalisatie van downtime bij de Klant, reactie op feedback van de Klant, regelgevingskwesties, metingen, connectiviteitsverificatie: totdat het probleem is opgelost.
Alle gegevens kunnen worden opgeslagen in archieven voor post-market surveillance of audits gedurende een periode die afhangt van de Regelgeving.
Frequentie van de doorgifte
v. 230117
De Persoonsgegevens worden op permanente basis verwerkt.
Aard van de verwerking Verwerkingsactiviteiten
De Persoonsgegevens worden Verwerkt met de volgende basisactiviteiten:
Registratie, opslag, raadpleging, gebruik, bekendmaking door doordoorgifte, samenvoeging, beperking, verwijdering of vernietiging, anonimisering, pseudonimisering, en zoals vermeld in de Overeenkomst.
Categorieën van betrokkenen
De te Verwerken Persoonsgegevens hebben betrekking op de volgende categorieën betrokkenen:
– patiënten van de Klant;
– de Klant en zijn personeelsleden.
Categorieën persoonsgegevens
De te Verwerken Persoonsgegevens betreffen de volgende categorieën van gegevens.
Afhankelijk van de door de Klant op het bedieningspaneel ingevoerde en/of door het Laboratory Information System ontvangen gegevens, kunnen de volgende gegevens voor de verschillende bovengenoemde doeleinden worden verwerkt: Monster-ID, telemetriegegevens van het instrument (temperatuur, spanningen, druk, systeemwaarschuwingen en -alarmen), testresultaten, achternaam, voornaam, patiënt-ID (de gegevens kunnen gevoelige of bijzondere categorieën persoonsgegevens omvatten)
Bevoegde autoriteit
Dit is de toezichthoudende autoriteit van de EU-lidstaat waar de exporteur is gevestigd, de Information Commission indien de exporteur is gevestigd in het Verenigd Koninkrijk ("UK") of de FDPIC indien de exporteur is gevestigd in Zwitserland ("CH"). Wanneer de exporteur niet is gevestigd in een EU-lidstaat, het Verenigd Koninkrijk of Zwitserland, maar wel onderworpen is aan de EU/UK/CH Wetgeving Gegevensbescherming, is dit de toezichthoudende autoriteit in het rechtsgebied waar de vertegenwoordiger van Cepheid is gevestigd (zoals vereist door de EU/UK/CH Wetgeving Gegevensbescherming). Wanneer de aanstelling van een vertegenwoordiger niet is vereist krachtens de EU/UK/CH Wetgeving Gegevensbescherming, is de toezichthoudende autoriteit indien de personen van wie de gegevens worden doorgegeven zich in de EU bevinden de CNIL in Frankrijk, indien de personen zich in het Verenigd Koninkrijk bevinden de Information Commissioner, of indien de personen zich in Zwitserland bevinden de FDPIC. Indien de Persoonsgegevens afkomstig zijn uit Canada, is de toezichthoudende autoriteit een van de Commissioners die ter zake bevoegd is volgens de Toepasselijke Wetgeving Gegevensbescherming.
v. 230117
Bijlage 2
Beschrijving van de door Cepheid genomen technische en organisatorische maatregelen
Deze Bijlage 2 maakt deel uit van de OGB en beschrijft de technische en organisatorische maatregelen die Cepheid heeft geïmplementeerd in overeenstemming met artikel 32(1) van de GDPR en andere Toepasselijke Wetgeving Gegevensbescherming.
1- Ter plaatse:
De Cepheid-medewerker kan een versleutelde USB-drive gebruiken om de noodzakelijke gegevens van het instrument van de Klant te extraheren gericht op het verhelpen van technische problemen en de prestaties van het instrument.
Voor bezoeken ter optimalisering van de prestaties, openen de Cepheid-medewerkers alleen de minimaal noodzakelijke gegevens, die geen gegevens omvatten over de gezondheidszorg van patiënten. De gegevens worden overgebracht naar de notebook van de medewerker, verwerkt voor het genereren van klantrapporten met aanbevelingen, en daarna verwijderd volgens het standaardbeleid inzake werkzaamheden en gegevensbewaring.
2- Op afstand:
Toegangsfunctie: Alleen medewerkers van Cepheid Technical Support en Field Support hebben beveiligde toegang tot de instrumenten.
Voor ondersteuning op afstand voor klachtenafhandeling, kunnen Cepheid-medewerkers gebruikmaken van Remote Desktop Sharing (RDS) sessies, maar alleen nadat elke sessie is toegestaan door de klant.
Gegevensdoorgifte: Volgens het beleid van Cepheid worden gegevens via een beveiligde versleutelde methode verzonden naar interne Cepheid-servers voor medewerkers teneinde klantondersteuningsactiviteiten uit te voeren (voor beveiligde transacties worden TLS 1.2+ protocollen gebruikt).
3- De Klant verzendt gegevens:
Verzending per e-mail, webplatform of fax: de gegevens worden door de Kalnt verzonden via een veilige versleutelde methode naar een interne Cepheid-medewerker binnen de regio. De Klant is, als Verwerkingsverantwoordelijke, verantwoordelijk voor het anonimiseren van de Persoonsgegevens en voor het uploaden van alleen de minimaal vereiste gegevens alvorens deze aan Cepheid door te geven (de instrumentsoftware van Cepheid stelt de Klant in staat specifieke Persoonsgegevens en Gezondheidsgegevens te verhullen alvorens deze te exporteren).
4- Gegevensdoorgifte binnen Cepheid Support functies:
Indien extra ondersteuning nodig is buiten de thuisregio van de Klant, wordt alleen noodzakelijke informatie doorgegeven. Niet noodzakelijke Persoonsgegevens en Gezondheidsgegevens worden waar mogelijk verwijderd/geanonimiseerd* en verzonden via een beveiligde uitwisselingsmethode. Resterende gegevens worden versleuteld en vernietigd volgens het toepasselijke Cepheid-beleid inzake klantenzorg.
5- Beleid en praktijk
Cepheid zorgt voor de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en weerstand van de verwerkingssystemen en -services. Daartoe is Cepheid in staat om, in geval van een fysiek of technisch incident, tijdig de beschikbaarheid van en toegang tot relevante gegevens over de service-ondersteuning en klachtenbehandeling in de systemen van Cepheid te herstellen.
6- Processen
Cepheid heeft een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.
v. 230117
* De procedure voor desidentificatie/anonimisering is instrumentspecifiek.
v. 230117
Bijlage 3
Bepalingen inzake EU-, UK- en CH-doorgiften
1. Wanneer de EU SCCs geacht worden te zijn aangegaan tussen de partijen en in deze OGB zijn opgenomen middels een verwijzing, worden de EU SCCs als volgt gecompleteerd:
(ii) in artikel 7 is de optionele dockingsclausule van toepassing;
(iii) in artikel 9 is optie 2 van toepassing en de termijn voor voorafgaande kennisgeving van wijzigingen van Subverwerkers is zoals vermeld in artikel 3.2 van deze OGB;
(iv) in artikel 11 is de optionele taal niet van toepassing;
(vii) Bijlage I van de EU SCCs wordt geacht te zijn gecompleteerd;
(A) Deel A: met de informatie die is vermeld in Bijlage 1 van deze OGB;
(B) Deel B: met de relevante beschrijving van de Verwerking vermeld in Bijlage 1 van deze OGB; en
(C) Deel C: in overeenstemming met de criteria vermeld in artikel 13(a) van de EU SCCs;
(viii) Bijlage II: met de Minimale Veiligheidsmaatregelen.
2. Wanneer het UK Addendum geacht wordt te zijn aangegaan tussen de Partijen en in deze OGB is opgenomen middels een verwijzing, wordt het UK Addendum als volgt gecompleteerd:
a. De EU SCCs, gecompleteerd zoals hierboven uiteengezet in artikel 1 van deze Bijlage 3, zijn ook van toepassing op de doorgifte van dergelijke Persoonsgegevens, overeenkomstig subartikel 2.b van deze Bijlage 3 hieronder;
v. 230117
a. De EU SCCs, gecompleteerd zoals hierboven uiteengezet in punt 1 van deze Bijlage 3, zijn ook van toepassing op de doorgifte van dergelijke Persoonsgegevens, overeenkomstig subartikel 3.b van deze Bijlage 3 hieronder;
b. de per referentie opgenomen Standaardcontractbepalingen beschermen de Persoonsgegevens van rechtspersonen in Zwitserland tot de inwerkingtreding van de herziene FADP.
v. 230117
Bijlage 4
4.1 Aanvullende vereisten voor de doorgifte van Persoonsgegevens uit de Europese Economische Ruimte
De volgende aanvullende vereisten zijn van toepassing op elke Beperkte Doorgifte:
1. de Klant stelt Cepheid regelmatig informatie ter beschikking betreffende verzoeken van overheidsinstanties om toegang tot Persoonsgegevens en de wijze waarop deze worden beantwoord (indien wettelijk toegestaan);
2. de Klant garandeert dat hij niet doelbewust technische back doors of interne processen heeft gecreëerd om rechtstreekse toegang van overheidsinstanties tot Persoonsgegevens te vergemakkelijken, en krachtens de toepasselijke wetgeving of praktijken niet verplicht is back doors te creëren of in stand te houden;
3. de Klant informeert bij elke overheidsinstantie die een verzoek om toegang tot Persoonsgegevens indient, of zij met betrekking tot de kwestie samenwerkt met andere overheidsinstanties;
4. de Klant zal redelijke bijstand verlenen aan betrokkenen bij de uitoefening van hun rechten op Persoonsgegevens in het ontvangende rechtsgebied;
5. de Klant zal met Cepheid samenwerken indien een relevante toezichthoudende autoriteit of rechtbank bepaalt dat een doorgifte van Persoonsgegevens aan specifieke aanvullende waarborgen moet voldoen;
6. de Klant zal voldoende versleuteling en/of andere technische maatregelen toepassen om Persoonsgegevens tijdens de doorgifte redelijkerwijs te beschermen tegen onderschepping of andere ongeoorloofde toegang door overheidsinstanties; en
7. de Klant zal een passend beleid en passende procedures hebben, met inbegrip van opleiding, zodat verzoeken om toegang tot Persoonsgegevens van overheidsinstanties naar de juiste functie worden geleid en naar behoren worden behandeld.
4.2 Aanvullende vereisten voor de doorgifte van Persoonsgegevens uit de Republiek Zuid-Afrika
De volgende aanvullende vereisten zijn van toepassing op de doorgifte van Persoonsgegevens uit de Republiek Zuid-Afrika:
1. De doorgifte van persoonsgegevens buiten Zuid-Afrika moet aan de volgende criteria voldoen:
(A) de Partij die de informatie ontvangt is onderworpen aan een wet, bindende bedrijfsvoorschriften of een bindende overeenkomst die een passend beschermingsniveau biedt of bieden met:
1. daadwerkelijke principes voor een redelijke verwerking van de informatie die in wezen overeenkomen met de voorwaarden voor de rechtmatige verwerking van persoonlijke informatie betreffende een betrokkene die een natuurlijke persoon is of, waar van toepassing, een rechtspersoon; en
2. bepalingen betreffende de verdere doorgifte van persoonlijke informatie door de ontvanger aan derden die zich in een ander land bevinden;
(B) de betrokkene stemt in met de doorgifte;
v. 230117
(C) de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de gegevensbetrokkene en de verantwoordelijke partij, of voor de implementatie van precontractuele maatregelen die worden genomen in antwoord op een verzoek van de betrokkene;
(D) de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de verantwoordelijke partij en een derde partij; of
(E) de doorgifte is ten behoeve van de betrokkene, en:
1. het is redelijkerwijs niet mogelijk de toestemming van de betrokkene voor deze doorgifte te verkrijgen; en
2. indien het redelijkerwijs mogelijk zou zijn deze toestemming te verkrijgen, dan zou de betrokkene deze waarschijnlijk geven.
2. Voor de toepassing van dit gedeelte:
(A) "bindende bedrijfsvoorschriften" betekent een beleid inzake de verwerking van persoonlijke informatie, binnen een groep van ondernemingen, dat door een verantwoordelijke partij of operator binnen die groep van ondernemingen wordt nageleefd bij de doorgifte van persoonlijke informatie aan een verantwoordelijke partij of operator binnen diezelfde groep van ondernemingen in een ander land; en
(B) "groep van ondernemingen" betekent een zeggenschap uitoefenende onderneming en de ondernemingen waarover zij zeggenschap uitoefent.
v. 230117