GEDRAGSCODE VOOR TEGENPARTIJEN VAN CNA HARDY (Versie voor verwerker)
GEDRAGSCODE VOOR TEGENPARTIJEN VAN CNA HARDY (Versie voor verwerker)
Naar behoren ondertekend als rechtsgeldige en bindende overeenkomst door een bevoegd vertegenwoordiger van:
"Tegenpartij":
Handtekening:
Naam
Datum:
"CNA Hardy Groep", handelend via
CNA Services (UK) Limited
(en waartoe de in artikel 4 genoemde operationele entiteiten behoren)
Datum:
CONSIDERANS
De CNA Hardy Groep werkt volledig in overeenstemming met alle voor haar activiteiten geldende wet- en regelgeving.
Ter waarborging van de blijvende naleving van de geldende wet- en regelgeving door de CNA Hardy Groep (in het bijzonder in het licht van de naderende implementatie van de nieuwe wet- en regelgeving inzake gegevensbescherming), dient ervoor te worden gezorgd dat alle tegenpartijen, leveranciers en zakenpartners van de CNA Hardy Groep (die goederen of diensten leveren of in verzekeringsdiensten handelen) erkennen en verklaren dat zij aan de normen van de CNA Hardy Groep voldoen en alle geldende wet- en regelgeving, regulatoire beleidsregels, richtsnoeren of gedragscodes en normen in de industrie naleven en zullen blijven naleven.
Deze Gedragscode voor tegenpartijen (hierna de “Gedragscode”) zet uiteen welke verwachtingen de CNA Hardy Groep heeft van en welke eisen de CNA Hardy Groep stelt aan haar tegenpartijen bij de naleving van de normen op het gebied van:
- wetgeving ter bestrijding van slavernij en dwangarbeid;
- wetgeving ter bestrijding van omkoping en corruptie;
- EU-eisen op het gebied van financiële governance die ook gelden voor partijen die bepaalde diensten verlenen aan gereguleerde financiële dienstverleners, zoals verzekeraars [EAVB Solvabiliteit II Governancesysteem];
- de terugtrekking van het VK uit de EU (“Brexit”) en de reorganisatie van de activiteiten van de CNA Hardy Groep ter waarborging van de continuïteit van de dienstverlening aan haar klanten;
- wetgeving op het gebied van privacy en gegevensbescherming.
ARTIKEL 3: TOEPASSELIJKE GOVERNANCE- EN REGELGEVINGSEISEN DIE OOK GELDEN VOOR PARTIJEN DIE BEPAALDE DIENSTEN VERLENEN AAN
GEREGULEERDE FINANCIELE DIENSTVERLENERS ZOALS VERZEKERAARS
(a) De tegenpartij erkent dat de CNA Hardy Groep op grond van de geldende wet- en regelgeving, regulatoire beleidsregels, richtsnoeren of gedragscodes of normen in de industrie die voor de wijze van werken en activiteiten van de CNH Hardy Groep gelden (waaronder, maar niet beperkt tot, de Richtlijn Solvabiliteit II, de richtsnoeren van de Europese Autoriteit voor verzekeringen en bedrijfspensioenen inzake het governancesysteem op grond van Solvabiliteit II en de Rulebooks en bijbehorende richtsnoeren van de Britse Prudential Regulation Authority ("PRA") en de Britse Financial Conduct Authority ("FCA") verplicht is om ervoor te zorgen dat alle werknemers en ander personeel van de tegenpartij (“werknemers van de tegenpartij”) die diensten voor de CNA Hardy Groep leveren deskundig en betrouwbaar zijn.
(b) De tegenpartij dient ervoor te zorgen dat haar werknemers te allen tijde:
(i) over voldoende beroepskwalificaties, competenties, kennis en ervaring beschikken;
(ii) over een goede reputatie en integriteit beschikken;
(iii) met de nodige bekwaamheid, zorgvuldigheid en toewijding handelen; en
(iv) alle trainingen hebben gevolgd of volgen
die nodig zijn om hun rol en functie te kunnen uitoefenen en overeenkomstig de geldende wet- en regelgeving, regulatoire beleidsregels, richtsnoeren of gedragscodes en normen in de industrie.
(c) Daarnaast geldt indien:
(i) de tegenpartij diensten verleent op grond van een overeenkomst die gemeld is bij de PRA op grond van Regel 7.3 van het PRA-Rulebook met de eisen voor ondernemingen en/of bij de FCA als materiële uitbesteding overeenkomstig SUP 15.3.8G(i)(e) van het FCA-Rulebook (“materiële uitbesteding”); of
(ii) (werknemers van de tegenpartij betekent: goedgekeurd om een ‘gecontroleerde functie’ (zoals gedefinieerd in artikel 59 van de Britse Financial Services and Markets Xxx 0000 (“FSMA”) uit te oefenen; benoemd op een ‘sleutelfunctie’ (zoals deze term in het PRA- Rulebook is gedefinieerd); of waarvoor een certificaat inzake een ‘gespecificeerde functie’ is vereist overeenkomstig artikel 63E en 63F van de FSMA
voor een entiteit in de CNA Hardy Groep, dat de bepalingen van Annex 2 gelden voor werknemers van de tegenpartij die diensten verlenen als onderdeel van een materiële uitbesteding of, in het geval van lid (c)(ii) hierboven, voor de persoon (“gereguleerde personen”) die benoemd is om die functie uit te oefenen.
(d) De tegenpartij erkent dat de in artikel 3(b) en (c) genoemde eisen, al naar gelang van toepassing, de voor de tegenpartij geldende “deskundigheids- en betrouwbaarheidseisen” zijn.
(e) De tegenpartij dient:
(i) een bijgewerkte personeelsadministratie te hebben met betrekking tot haar medewerkers en op verzoek redelijke informatie aan de CNA Hardy Groep inzake dergelijke werknemers van haar te verstrekken, waaronder, maar niet beperkt tot, de informatie die de CNA Hardy Groep nodig heeft om de naleving van de deskundigheids- en betrouwbaarheidseisen aan te tonen; en
(ii) te allen tijde te waarborgen dat zij gerechtigd is deze informatie te verstrekken op grond van de van toepassing zijnde wet- en regelgeving, regulatoire beleidsregels, richtsnoeren of gedragscodes en normen in de industrie die voor haar wijze van werken en activiteiten gelden.
ARTIKEL 4: TERUGTREKKING VAN HET VERENIGD KONINKRIJK UIT DE EU
(“BREXIT”) EN REORGANISATIE VAN DE ACTIVITEITEN VAN DE CNA HARDY
GROEP TER WAARBORGING VAN DE CONTINUITEIT VAN DE DIENSTVERLENING AAN HAAR KLANTEN.
De CNA Hardy Groep bestaat uit zes (in de loop van 2018: zeven) operationele hoofdentiteiten zoals hieronder omschreven en gedefinieerd. Daarnaast zijn er andere vennootschappen binnen de CNA Groep die als holding of houdstermaatschappij fungeren, maar die geen contracterende of operationele frontline-entiteiten zijn.
CNA Services (UK) Limited ("CNASL") | Deze entiteit fungeert als belangrijkste dienstverleningsvennootschap en sluit overeenkomsten voor en namens andere groepsentiteiten; zij houdt voornamelijk gecentraliseerde diensten en overeenkomsten namens de andere entiteiten; ook is de meerderheid van de werknemers van de Groep bij deze entiteit in dienst. |
CNA Insurance Company Limited("CICL") | Dit is een in het VK gevestigde verzekeringsmaatschappij, die momenteel opereert met juridische vestigingen verspreid over Europa. |
Xxxxx (Underwriting Agencies) Limited ("HUAL") | Dit is een in het VK gevestigde verzekeringsmaatschappij die opereert via Lloyds of London, Syndicate 382. |
Xxxxx Underwriting Asia Pte Limited ("HAP") | Dit is een maatschappij die verzekeringsdiensten verleent en opereert op grond van de gedelegeerde bevoegdheid van HUAL. |
Xxxxx Underwriting Labuan Limited (“HUL”) | Dit is een maatschappij die verzekeringsdiensten verleent en opereert op grond van de delegeerde bevoegdheid van HUAL. |
CNA Hardy International Services Limited ("CHISL") | Dit is een onderneming die verzekeringsdiensten verleent, bekend als “Aangewezen Vertegenwoordiger”, en die opereert met toestemming van XXXX. |
CNA Insurance Company (Europe) SA ("CICE") | Deze entiteit wordt de verzekeringsmaatschappij voor Europese verzekeringen, anders dan Britse; de huidige Europese vestigingen van CICL zullen aan CICE worden overgedragen. |
Niettegenstaande andersluidende bepalingen bevestigt de tegenpartij en gaat zij ermee akkoord dat:
(a) het voordeel van de aan CNASL verleende diensten vrijelijk mag worden overgedragen en gebruikt ten behoeve van CICL, HUAL, HAP, HUL, CHISL en/of CICE, al naar gelang nodig, zonder kennisgeving;
(b) indien een reorganisatie van de CNA Hardy Groep na de voorgenomen terugtrekking van het VK uit de Europese Unie noopt tot wijziging van enige overeenkomst tussen de tegenpartij en een lid van de CNA Hardy Groep (waaronder, maar niet beperkt tot, deze overeenkomst) om de overdracht van het voordeel van een dienst of een ander contractueel voordeel mogelijk te maken, de tegenpartij zonder kennisgeving met een dergelijke overdracht akkoord gaat;
(c) indien een reorganisatie van de CNA Hardy Groep na de voorgenomen terugtrekking van het VK uit de Europese Unie op enig moment noopt tot novatie van een overeenkomst tussen een tegenpartij en een lid van de CNA Hardy Groep (waaronder, maar niet beperkt tot, deze overeenkomst) aan een dochtermaatschappij of houdstermaatschappij van een dergelijk lid van de CNA Hardy Groep, en een dochtermaatschappij van een houdstermaatschappij van de CNA Hardy Groep op enig moment, dan verbindt de tegenpartij zich om:
(i) toestemming voor het aangaan van een dergelijke novatie te geven, die niet op onredelijke gronden zal worden onthouden;
(ii) alle redelijke medewerking te verlenen die de CNA Hardy Groep redelijkerwijs kan verlangen; en
(iii) de overeenkomsten aan te gaan die nodig zijn ter effectuering van de in dit lid
(c) genoemde novatie.
(d) Indien een reorganisatie van de CNA Hardy Groep na de voorgenomen terugtrekking van het VK uit de Europese Unie noopt tot een zodanige wijziging van de overeenkomst tussen de tegenpartij en een lid van de CNA Hardy Groep (waaronder, maar niet beperkt tot, deze overeenkomst) dat er een nieuwe, afzonderlijke overeenkomst wordt aangegaan tussen de tegenpartij en dat lid van de CNA Hardy Groep
(of enig ander lid, al naar gelang van toepassing), dan verbindt de tegenpartij zich om die overeenkomst te goeder trouw aan te gaan op voorwaarden die materieel hetzelfde zijn als een dergelijke bestaande overeenkomst met de CNA Hardy Groep en om bestaande kosten tussen een nieuwe en bestaande overeenkomst daarbij niet te zullen dupliceren.
ARTIKEL 5: WETGEVING INZAKE PRIVACY EN GEGEVENSBESCHERMING
De CNA Hardy Groep en de tegenpartij bevestigen het volgende:
(a) de tussen de CNA Hardy Groep en de tegenpartij geldende overeenkomst kan met zich mee brengen dat de tegenpartij namens de CNA Hardy Groep persoonsgegevens moet verwerken;
(b) alleen de CNA Hardy Groep bepaalt voor welke doeleinden en op welke wijze de persoonsgegevens door de tegenpartij namens de CNA Hardy Groep worden verwerkt op grond van de Overeenkomst; en
(c) de CNA Hardy Groep is de verwerkingsverantwoordelijke en de tegenpartij is de verwerker voor al dergelijke persoonsgegevens.
Wanneer de tegenpartij in verband met de levering van een dienst of de overeenkomst persoonsgegevens namens de CNA Hardy Groep verwerkt, zal de tegenpartij te allen tijde aan de eisen van Annex 1 voldoen.
ARTIKEL 6: MEERDERE EXEMPLAREN EN ELEKTRONISCHE HANDTEKENINGEN
Deze Gedragscode kan in een of meer exemplaren worden ondertekend, waarbij elk van die exemplaren als origineel exemplaar van de Gedragscode wordt beschouwd en die alle tezamen genomen geacht worden een en dezelfde overeenkomst te vormen. De facsimile handtekeningen of de per e-mail of op andere elektronische wijze geplaatste handtekeningen van de partijen worden geacht originele handtekeningen te zijn, en de facsimile of elektronische kopieën hiervan worden geacht duplicaatoriginelen te zijn.
ARTIKEL 7: WIJZIGING
Een wijziging van deze Gedragsode is slechts rechtsgeldig wanneer deze schriftelijk is vastgelegd en door de partijen (of hun bevoegd vertegenwoordigers) is ondertekend; elke wijziging van deze Gedragscode die beweerdelijk op grond van een originele overeenkomst plaatsvindt, is slechts rechtsgeldig indien de wijziging verwijst naar deze Gedragsode en naar de wijzigingen in de Gedragscode waarvan de doorvoering wordt voorgesteld, schriftelijk is vastgelegd en door de partijen is ondertekend.
ARTIKEL 8: VOORRANG EN EFFECT
Niettegenstaande andersluidende bepalingen in enige overeenkomst of een andere wijze van handelen of verplichting aangegaan door de tegenpartij of de CNA Hardy Groep, komen de tegenpartij en de CNA Hardy Groep overeen dat deze Gedragscode prevaleert boven en voorgaat op een bestaande overeenkomst, contractvoorwaarden of wijze van handelen, ongeacht een daarin voorkomende verklaring waarin het tegendeel staat. De tegenpartij en de CNA Hardy Groep komen overeen dat deze Gedragscode een geldige wijziging en aanpassing van een bestaande overeenkomst vormt, niettegenstaande eventuele formaliteiten die daarvoor in een dergelijke overeenkomst worden voorgeschreven.
De tegenpartij en de CNA Hardy Groep komen overeen dat indien de tegenpartij deze Gedragsode niet heeft erkend en op elektronische wijze of op papier ondertekend heeft, of geen voorgesteld bezwaar om daarmee akkoord te gaan heeft aangevoerd, de voortgezette betrekkingen of wijze van zakendoen tussen de tegenpartij en de CNA Hardy Groep zullen/zal gelden als bewijs van en toestemming van de tegenpartij met haar instemming met de Gedragscode en dat de Gedragscode het hiervoor in dit artikel genoemde effect zal hebben.
ARTIKEL 9: NALEVING VAN WET- EN REGELGEVING
De tegenpartij is verplicht tot naleving van alle geldende wet- en regelgeving, regulatoire beleidsregels, richtsnoeren of gedragscodes en normen in de industrie die van toepassing zijn op haar wijze van werken en
activiteiten, waarvan de niet-naleving, afzonderlijk of in zijn totaliteit, een belangrijk of nadelig effect (of beide) zou hebben op het vermogen van de tegenpartij om haar verplichtingen uit hoofde van deze Gedragscode of een overeenkomst na te komen, of de CNA Hardy Groep op enigerlei wijze zou blootstellen aan reputatieschade, nadelige gevolgen of aansprakelijkheid, waaronder die welke voortvloeit uit de bepalingen van de Britse Criminal Finance Xxx 0000.
ARTIKEL 10: TOEPASSELIJK RECHT EN BEVOEGDE RECHTER
De uitleg, rechtsgeldigheid en nakoming van deze overeenkomst worden uitsluitend beheerst door het recht van Engeland en Wales en de partijen hierbij onderwerpen zich onherroepelijk aan de exclusieve rechtsmacht van de Britse rechter om enig geschil tussen hen op te lossen.
ANNEX 1: ANNEX VOOR DE VERWERKER
Onder gelieerde onderneming wordt verstaan een lid van een groep bedrijven van een partij, of een subverwerker, opdrachtnemer of vertegenwoordiger van die partij of een met die partij gelieerde onderneming.
Onder wetgeving inzake gegevensbescherming wordt verstaan alle geldende wet- en regelgeving inzake gegevensbescherming en -privacy, waaronder, maar niet beperkt tot, alle voorschriften die van toepassing zijn op de verzameling, verwerking, opslag, bekendmaking of overdracht van persoonsgegevens uit hoofde van en in verband met deze overeenkomst, waaronder, maar niet beperkt tot, de Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), ), alsook de wijziging van deze richtlijn door richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, , en , evenals Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), telkens met inbegrip van alle gewijzigde of vervangende versies, en met inbegrip van alle toepasselijke wet- en regelgeving inzake gegevensbescherming en -privacy zoals die vanaf de datum van deze overeenkomst periodiek in het Verenigd Koninkrijk kan worden aangenomen, samen met alle toepasselijke regels, richtlijnen, bevelen, praktijkcodes, leidraden, instructies en formele schriftelijke adviezen uitgevaardigd door of namens de Information Commissioner ('ICO') en/of enige andere toezichtautoriteit voor gegevensbescherming die relevant is voor de van tijd tot tijd onder deze overeenkomst verwerkte persoonsgegevens.
Onder veiligheidsmaatregelen worden verstaan technische en organisatorische veiligheidsmaatregelen die afgestemd zijn op de risico's voortvloeiend uit de verwerking van persoonsgegevens uit hoofde van deze overeenkomst en welke maatregelen afdoende bescherming bieden tegen onbedoelde of onrechtmatige vernietiging of onbedoeld verlies, wijziging of onrechtmatige verstrekking van, of toegang tot de uit hoofde van deze overeenkomst overgedragen, opgeslagen of anderszins verwerkte persoonsgegevens, en tegen elke andere vorm van onrechtmatige verwerking, met inbegrip van, maar niet beperkt tot, de minimumvereisten zoals uiteengezet in de bijgevoegde Bijlage B en, met ingang van 25 mei 2018, op de internetpagina xxx.xxxxxxxx.xxx\privacy, telkens zoals gewijzigd of vervangen.
Onder modelcontractbepalingen worden verstaan de modelcontractbepalingen voor in derde landen gevestigde verwerkers op basis van besluit 2010/87/EU van de Commissie van 5 februari 2010 krachtens Richtlijn 95/46/EG of enig ander besluit van de Commissie ter vervanging van dit besluit.
Voor de toepassing van deze Annex voor de verwerker hebben de hiernavolgende termen de betekenis die daaraan in de wetgeving inzake gegevensbescherming is toegekend: Verwerkingsverantwoordelijke, betrokkene, persoonsgegevens, verwerking en verwerker.
Gegevensverwerkingsverplichtingen
1. De tegenpartij dient het volgende te doen en te zorgen dat ook alle met haar gelieerde subverwerkers het volgende doen:
(a) naleven van de wetgeving inzake gegevensbescherming en niets doen of nalaten waardoor de CNA Hardy Groep in overtreding zou zijn van de wetgeving inzake gegevensbescherming;
(b) geheimhouden van de persoonsgegevens overeenkomstig de geheimhoudingsbepaling(en) in deze overeenkomst en alle verlangde informatie betreffende haar naleving van deze Annex voor de verwerker op verzoek bijwerken in het door de CNA Hardy Groep aangegeven IT-systeem;
(c) persoonsgegevens uitsluitend na een schriftelijk gegeven opdracht van de CNA Hardy Groep verwerken, en zulks uitsluitend voor zover dit noodzakelijk is voor de nakoming van haar/hun verplichtingen uit hoofde van deze overeenkomst (of in het geval van subverwerkers: het betreffende subcontract of een andere schriftelijke overeenkomst). De tegenpartij stelt de CNA Hardy Groep onverwijld in kennis indien een opdracht naar haar oordeel in strijd met de wetgeving inzake gegevensbescherming is.
Beperkingen aan verstrekking en doorgifte buiten de EER
2. De tegenpartij dient zich te onthouden van het volgende en ervoor te zorgen dat alle gelieerde subverwerkers zich van het volgende onthouden:
(a) verstrekken van de persoonsgegevens aan een derde of persoon (anders dan gelieerde ondernemingen en haar/hun eigen werknemers voor de nakoming van hun verplichtingen uit hoofde van deze overeenkomst, en zulks strikt op need-to-know-basis, anders dan met de uitdrukkelijke toestemming van de CNA Hardy Groep (welke toestemming niet op onredelijke gronden mag worden onthouden) en altijd op voorwaarde dat de tegenpartij:
(i) de CNA Hardy Groep schriftelijk in kennis stelt van elke derde of personen (waaronder gelieerde ondernemingen) aan wie zij de persoonsgegevens verstrekt en van de locatie(s) waar de verwerking zal plaatsvinden;
(ii) schriftelijke voorwaarden aan die derde of personen (waaronder gelieerde ondernemingen) oplegt die gelijkwaardig zijn aan de verplichtingen omschreven in deze Annex voor de verwerker;
(iii) dient te zorgen dat die derden of personen (waaronder gelieerde ondernemingen) voldoen aan de verplichtingen uit deze Annex voor de verwerker;
(iv) volledig aansprakelijk blijft voor elk handelen of nalaten van dergelijke derden en personen (waaronder gelieerde ondernemingen) in verband met de door hen verwerkte persoonsgegevens;
(i) anders dan met de uitdrukkelijke toestemming van de CNA Hardy Groep (welke toestemming niet op onredelijke gronden mag worden onthouden); echter de CNA Hardy Groep geeft hierbij toestemming om de persoonsgegevens door de tegenpartij te laten doorgeven aan haar opdrachtnemers en/of subverwerkers, waaronder, maar niet beperkt tot, die welke zich binnen haar eigen groep bevinden en die van tijd tot tijd kunnen wijzigen, altijd op voorwaarde dat de tegenpartij de CNA Hardy Groep schriftelijk in kennis stelt van elke opdrachtnemer en/of subverwerker en van de locatie(s) waar zij de persoonsgegevens verwerken; en
(c) betrokkenen attenderen, indien verplicht of gepast, onder meer op een daartoe strekkend verzoek van de CNA Hardy Groep op enig moment, op de Kennisgeving van gegevensverwerking van CNA Hardy, die te vinden is op xxx.xxxxxxxx.xxx\privacy; en
(d) in gevallen waarin uitdrukkelijke in plaats van impliciete instemming met de Kennisgeving van gegevensverwerking van CNA Hardy of toestemming voor het gebruik van gevoelige persoonsgegevens nodig is voor de verwerking, een schriftelijk bewijsstuk van die uitdrukkelijke toestemming verkrijgen en bewaren en die instemming of toestemming op verzoek aan CNA Hardy ter beschikking stellen gedurende een periode van ten minste zeven jaar vanaf de datum van verzameling.
Gegevensbeveiliging en –inbreuken
(b) waarborgen van de betrouwbaarheid van haar/hun werknemers die toegang hebben tot de persoonsgegevens en zorgen dat zij:
(i) deze alleen verwerken indien dit strikt noodzakelijk is voor de op grond van deze overeenkomst nagekomen verplichtingen;
(ii) volledig bekend zijn met de treffen maatregelen en te nemen stappen bij de verwerking van de persoonsgegevens, met inachtneming van de wetgeving inzake gegevensbescherming en deze Annex voor de verwerker;
(iii) zich verplicht hebben tot geheimhouding van de persoonsgegevens, onder meer door middel van een gepaste verplichting tot geheimhouding (op grond van een schriftelijke overeenkomst of anderszins) van de persoonsgegevens; en
(iv) training hebben gevolgd en op gezette tijden blijven volgen die voldoende is om relevante cybersecurity-risico’s te kunnen aanpakken en dat eventuele cybersecurity-medewerkers stappen nemen om hun kennis van de veranderende cybersecurity-bedreigingen en tegenmaatregelen op peil te houden;
(c) onverwijld (en in geval binnen 24 uur na kennisname) melding doen van (een vermoeden van) onbedoelde of onrechtmatige vernietiging, verlies, wijziging, onrechtmatige of onbedoelde verstrekking van of toegang tot de persoonsgegevens of een andere overtreding van lid 3(a) (een ‘beveiligingsinbreuk’) bij de CNA Hardy Groep door een e-mail te sturen naar xxxxxxxxxxxxxxxxxxxxx@xxxxxxxx.xxx en xxxxxxxxxxxx@xxxxxxxx.xxx;
(d) onverwijld het volgende verstrekken aan de CNA Hardy Groep:
(i) alle informatie over een beveiligingsinbreuk in haar bezit/onder haar controle, waaronder, maar niet beperkt tot:
• een beschrijving van de aard van de beveiligingsinbreuk;
• de categorieën van en het geschatte aantal van de betreffende betrokkenen en de administratie van de betreffende persoonsgegevens;
• de naam en contactgegevens van haar/hun functionaris voor de gegevensbescherming of andere contactpersoon van wie nadere informatie kan worden verkregen;
• een beschrijvingen van de vermoedelijke gevolgen van de beveiligingsinbreuk;
• en een beschrijving van de maatregelen die zijn genomen zijn of waarvan het nemen wordt voorgesteld door haar/hen ter opheffing van de beveiligingsinbreuk); en
(ii) alle assistentie en medewerking die de CNA Hardy Groep nodig heeft wanneer zij probeert om de gevolgen van de beveiligingsinbreuk te mitigeren en haar eigen verplichtingen op grond van de wetgeving inzake gegevensbescherming in verband met de beveiligingsinbreuk na te komen (waaronder, maar niet beperkt tot, haar verplichting om dit van tijd tot tijd aan de ICO te melden en de bijzonderheden daarvan aan de betreffende betrokkenen mede te delen, indien relevant);
(e) geen aankondiging of publicatie te doen of anderszins een bekendmaking te autoriseren van een melding van of informatie over een beveiligingsinbreuk (een 'inbreukmelding') of dit autoriseren of toestaan zonder de voorafgaande schriftelijke toestemming van de CNA Hardy Groep, en de uitdrukkelijke goedkeuring van de inhoud, de vorm en het tijdstip van de inbreukmelding door de CNH Hardy Groep;
(f) bij het aflopen of beëindigen van deze Overeenkomst:
(i) voor zover redelijkerwijs realiseerbaar, en zodanig dat bewaring mogelijk is van de administratie die verplicht is op grond van de wet- of regelgeving, op grond van lid (f)) van “Administratie” hieronder, en van geautomatiseerde back-ups indien geen poging tot herstel van specifieke CNA Hardy gegevens wordt gedaan (en, indien dit wordt gedaan om andere redenen de CNA Hardy gegevens niet worden bewaard) of ten behoeve van fraude- of verzekeringsbewaringsdoeleinden, alle elektronische kopieën van de persoonsgegevens permanent en veilig verwijderen van haar/hun systemen en van alle computers en andere apparaten in haar/hun bezit of onder haar/hun controle; en
(ii) alle hard copies van de persoonsgegevens in haar/hun bezit of onder haar/hun controle veilig retourneren aan de CNA Hardy Groep of, naar keuze van de CNA Hardy Groep, alle hard copies daarvan veilig en permanent vernietigen; en
(iii) binnen 30 dagen na het aflopen of beëindigen schriftelijk aan de CNA Hardy Groep bevestigen dat volledig aan dit lid 3(f) is voldaan.
Administratie, controle en assistentie
4. De tegenpartij zal het volgende doen en zorgen dat alle gelieerde subverwerkers zonder extra kosten voor de CNA Hardy Groep het volgende doen:
(a) de CNA Hardy Groep op verzoek onverwijld voorzien van alle in haar/hun bezit zijnde of onder haar/hun controle staande informatie met betrekking tot de verwerking van persoonsgegevens uit hoofde van deze overeenkomst evenals alle hulp, medewerking, materialen en/of technische documentatie die de CNA Hardy Groep nodig kan hebben om:
(i) vast te stellen dat de tegenpartij deze Annex voor de verwerkingsverantwoordelijke naleeft;
(ii) te voldoen aan haar verplichtingen op grond van de wetgeving inzake de gegevensbescherming, onder meer om dit aan de ICO te kunnen aantonen;
(iii) gegevensbeschermingsimpactbeoordelingen met betrekking tot de verwerking van persoonsgegevens uit hoofde van deze overeenkomst uit te voeren, waar relevant; en
(iv) met de ICO samen te werken en te overleggen over alle relevante kwesties in verband met de verwerking van de persoonsgegevens, en zulks binnen de door de ICO en/of de wetgeving inzake gegevensbescherming vastgestelde tijdsbestekken (waaronder die met betrekking tot rapportage- en controleverplichtingen en het voeren van een administratie van verwerkingsactiviteiten (en het in voorkomende gevallen verstrekken van informatie dienaangaande aan de ICO);
(b) de CNA Hardy Groep in kennis te stellen, onder meer door kopieën en volledige bijzonderheden te verstrekken, bij ontvangst van:
(i) mededelingen, correspondentie of verzoeken om informatie (mondeling of schriftelijk) van de ICO die direct of indirect verband houdt/houden met de uit hoofde van deze overeenkomst verwerkte persoonsgegevens ('verzoek van de ICO'), waaronder, maar niet beperkt tot, handhavingsmaatregelen of onderzoeken op grond van de wetgeving inzake gegevensbescherming; en/of
(ii) mededelingen, correspondentie, klachten, verzoeken of vragen (mondeling of schriftelijk) van een betrokkene die direct of indirect verband houdt/houden met de uit hoofde van deze overeenkomst verwerkte persoonsgegevens, waaronder, maar niet beperkt tot, verzoeken om toegang door betrokkenen, verzoeken tot stopzetting van de verwerking van persoonsgegevens en alle andere verzoeken van een betrokkene tot uitoefening van zijn rechten op grond van de wetgeving inzake gegevensbescherming (“verzoek van betrokkene”; en)
(c) samenwerken met en medewerking verlenen aan de CNA Hardy Groep om te voldoen aan het verzoek van de ICO of het verzoek van de betrokkene binnen de tijdsbestekken vermeld in de wetgeving inzake gegevensbescherming of het verzoek van de ICO en/of het verzoek van de betrokkene (al naar gelang relevant);
(d) alleen rechtstreeks reageren op een verzoek van een betrokkene met de uitdrukkelijke voorafgaande schriftelijke toestemming hiervoor van de CNA Hardy Groep en in alle gevallen strikt overeenkomstig de gedocumenteerde instructies van de CNA Hardy Groep;
(e) een administratie bijhouden, inclusief in elektronische vorm, over alle categorieën van verwerkingsactiviteiten die namens de CNA Hardy Groep worden uitgevoerd van de verwerking door de tegenpartij (en daarmee gelieerde ondernemingen) in verband met deze overeenkomst, die in elk geval de volgende informatie bevat:
(i) de doeleinden van de verwerking;
(ii) een omschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
(iii) de categorieën van ontvangers aan wie de persoonsgegevens verstrekt zijn of zullen worden, waaronder ontvangers buiten de EER en hun fysieke locatie;
(iv) de termijnen waarbinnen de verschillende categorieën van persoonsgegevens moeten worden gewist; en
(v) een algemene beschrijving van de technische en organisatorische veiligheidsmaatregelen zoals bedoeld in lid 3(a) (de “gegevensadministratie”),
en na een verzoek daartoe onverwijld op veilige wijze een kopie van de gegevenadministratie aan de CNA Hardy Groep verstrekken; en
(f) een volledige en nauwkeurige administratie bijhouden met betrekking tot elke verwerking van persoonsgegevens in verband met de overeenkomst, en de CNA Hardy Groep, haar externe auditors of andere door de CNA Hardy Groep benoemde vertegenwoordigers tijdens normale werkuren en na aanvaarding van een redelijke geheimhoudingsverplichting een redelijk recht op toegang tot en het maken van kopieën van een dergelijke administratie bieden, en alle redelijke medewerking verlenen aan de CNA Hardy Groep bij de uitoefening van haar controlerechten. De verplichtingen van de tegenpartij op grond van dit artikel blijven bestaan tijdens de duur van de overeenkomst en gedurende een periode van zeven (7) jaar daarna of gedurende een andere periode die de CNA Hardy Groep of de toepasselijke wet- of regelgeving voorschrijft.
Latere wijzigingen
5. De tegenpartij erkent dat Richtlijn 95/46/EG, zoals onder meer geïmplementeerd door de Britse Data Protection Xxx 0000, wordt vervangen door Verordening (EU) 2016/679 zodra deze in werking treedt; bijgevolg zal de tegenpartij op verzoek van de CNA Hardy Groep een wijziging van deze Annex voor de verwerkingsverantwoordelijke aangaan op de door de CNA Hardy Groep verlangde voorwaarden, voor zover de CNA Hardy Groep, op basis van redelijk handelen, een dergelijke wijziging noodzakelijk acht ter naleving van Verordening (EU) 2016/679 en de geldende wet- en regelgeving inzake gegevensbescherming en -privacy die periodiek vanaf de datum van deze overeenkomst in het Verenigd Koninkrijk kan worden aangenomen.
Aansprakelijkheid
7. Behoudens de in lid 6 vermelde aansprakelijkheidslimieten, is elke partij “de vrijwarende partij”) verplicht tot vrijwaring van de wederpartij (waaronder de daarmee gelieerde ondernemingen en hun respectievelijke directeuren, functionarissen, werknemers en vertegenwoordigers) (de “gevrijwaarde partijen”) tegen schade geleden door of aansprakelijkheid van de gevrijwaarde partij als gevolg van de overtreding door de vrijwarende partij van de wetgeving inzake gegevensbescherming of deze Annex voor de verwerker, waaronder, maar niet beperkt tot, geldboetes, sancties (waaronder boetes van toezichthouders), claims en kosten. In het geval dat vrijwaring tegen een boete of sanctie uit hoofde van deze bepaling strijdig wordt geacht met enig overheidsbeleid of enige wetmatigheid, wordt deze vrijwaring vervangen door een verbintenis tot een contractuele schuld ter hoogte van deze boete of sanctie.
BIJLAGE A
TOELICHTING OP DE VERWERKING VAN PERSOONSGEGEVENS ZOALS DIE KAN PLAATSVINDEN OP BASIS VAN DEZE OVEREENKOMST (STEEDS CONFORM DE WETGEVING INZAKE GEGEVENSBESCHERMING EN ZOALS BEPAALD DOOR VAN DE AARD VAN DE DIENSTEN)
Duur van de verwerking
De verwerking van persoonsgegevens door de tegenpartij uit hoofde van deze overeenkomst mag slechts plaatsvinden zolang deze overeenkomst duurt, waarna deze op veilige wijze moeten worden verwijderd en de hard copies daarvan moeten worden vernietigd of aangeleverd conform de desbetreffende bepalingen uit deze overeenkomst.
Categorieën van betrokkenen
De persoonsgegevens die de tegenpartij uit hoofde van deze overeenkomst verwerkt, kunnen betrekking hebben op een of meer van de volgende categorieën van betrokkenen:
Ten behoeve van het beheren van verzekeringen:
• Makelaars en werknemers van makelaarsbedrijven (of makelaars, indien dit personen zijn)
• Klanten en werknemers van opdrachtgevende bedrijven
• Verzekerde personen (‘verzekerden’) en hun werknemers
• Eisende partijen
• Klagers, correspondenten en verzoekers
• De personen om wie klachten, correspondentie en verzoeken handelen
• Personeel, inclusief werknemers, aannemers, adviseurs en vrijwilligers
• Vertegenwoordigers, uitzendkrachten en tijdelijke krachten
• Familieleden, voogden en relaties van de klager of de personen om wie de klacht handelt (indien nodig en afhankelijk van de aard van de polis waarvoor de klagers garant staan)
• Alle andere betrokkenen waarmee de verwerkingsverantwoordelijke zaken doet of een contract, licentieovereenkomst of andere juridische relatie heeft, inclusief (indien van toepassing) de werknemers van deze betrokkenen.
Ten behoeve van het beheren van informatietechnologie en databases:
• Bestaande of potentiële klanten, verzekerden, opdrachtgevers en hun werknemers
• Klagers, correspondenten, verzoekers en hun werknemers
• De personen om wie klachten, correspondentie en verzoeken handelen
• Personeel, inclusief werknemers, aannemers, adviseurs en vrijwilligers
• Vertegenwoordigers, uitzendkrachten en tijdelijke krachten
• Familieleden, voogden en relaties van de betrokkene, inclusief afhankelijke gezinsleden van werknemers
• Werknemers van toeleveringsbedrijven en mogelijke toeleveringsbedrijven (of leveranciers indien dit personen zijn)
• Alle andere betrokkenen die op enigerlei wijze gebruik maken van de IT-infrastructuur van de verwerkingsverantwoordelijke (en/of, waar van toepassing, de verwerker).
Ten behoeve van nalevingsdoeleinden, voor zover toegestaan op grond van de toepasselijke wetgeving:
• Personeel, inclusief werknemers, functionarissen, bestuurders, opdrachtnemers, adviseurs en vrijwilligers
• Vertegenwoordigers, uitzendkrachten en tijdelijke krachten
• Indien van toepassing en voor zover toegestaan door de wet, alle andere betrokkenen waarmee de verwerkingsverantwoordelijke zaken doet of een contract, licentieovereenkomst of andere juridische relatie heeft, inclusief (indien van toepassing) de werknemers van deze betrokkenen
• Alle betrokkenen die op enigerlei wijze betrokken zijn bij of naar wie wordt verwezen in een kwestie in verband met nalevingsdoeleinden, inclusief werknemers, familieleden, vrienden of andere bekenden van een betrokkene en zoals bepaald in de toepasselijke wetgeving.
Voorwerp, aard en doel van de verwerking
Op grond van deze overeenkomst mag de tegenpartij persoonsgegevens verwerken voor (een van) de volgende doeleinden:
• Het beheren van verzekeringen, waaronder het goedkeuren en evalueren van beslissingen betreffende klanten/opdrachtgevers van de verwerkingsverantwoordelijke, verzekerden en eisende partijen, evenals beslissingen betreffende de aanvaarding van personen als klant/opdrachtgever of, in het geval van individuen, als makelaar, en in alle gevallen met inbegrip van het beheren van levens-, ziektekosten-, pensioen-, schade- en autoverzekeringen en andere verzekeringsactiviteiten van de verwerkingsverantwoordelijke evenals alle andere commerciële aangelegenheden waarbij de verwerkingsverantwoordelijke betrokken is.
• Het beheren van informatietechnologie en databases, zoals uitgevoerd door de verwerker in zijn hoedanigheid als verwerkingsverantwoordelijke
• Nalevingsdoeleinden, om te waarborgen dat de verwerkingsverantwoordelijke voldoet aan de geldende wetgeving of om te voldoen aan eisen van overheidswege, voor zover toegestaan door de geldende wetgeving
Categorieën van/soorten persoonsgegevens
De persoonsgegevens die de tegenpartij uit hoofde van deze overeenkomst verwerkt, kunnen betrekking hebben op een of meer van de volgende categorieën van gegevens:
Ten behoeve van het beheren van verzekeringen:
• Persoonlijke gegevens
• Contactgegevens
• Opleidingen (voor sommige werknemers binnen makelaarsbedrijven en in bepaalde gevallen ook voor eisende partijen)
• Bankgegevens (voor het verrichten van betalingen aan makelaars (indien personen) of eisende partijen)
• Fysieke of geestelijke gezondheid of aandoening
• Strafbare feiten (inclusief vermeende strafbare feiten) (voor zover toegestaan door de toepasselijke wetgeving)
• Strafrechtelijke procedures, uitkomsten en vonnissen (voor zover toegestaan door de toepasselijke wetgeving).
Ten behoeve van het beheren van informatietechnologie en databases:
• Naam
• Geboortedatum en geboorteplaats (uitsluitend voor werknemers van de verwerkingsverantwoordelijke)
• Land van verblijf
• Nationaliteit I Visumvoorwaarden I Mobiliteit (uitsluitend voor werknemers van de verwerkingsverantwoordelijke)
• Geslacht
• Burgerlijke staat
• Adres en e-mailadres
• Telefoonnummer en andere contactnummers (zakelijk en privé)
• Militaire status (indien van toepassing)
• Werkgever
• Werknemersstatus
• Arbeidsverleden (uitsluitend voor werknemers van de verwerkingsverantwoordelijke; denk aan informatie over werving, carrière, loopbaan, loopbaanperspectieven, verwachte pensioneringsdatum en beëindiging dienstverband)
• Functietitel, functieniveau en taken
• Functioneren (inclusief opmerkingen van de werknemer en diens manager), projectbeoordelingen en evaluaties, jaarlijkse prestatiedoelen van de werknemer (uitsluitend voor werknemers van de verwerkingsverantwoordelijke)
• Afwezigheidsinformatie: begin-/einddatum, soort afwezigheid (bijvoorbeeld ziekte of ouderschapsverlof), reden van de ziekte (uitsluitend indien en voor zover noodzakelijk om te voldoen aan de verplichtingen van de verwerkingsverantwoordelijke in de functie van werkgever)
• Contactgegevens bij noodgevallen (zoals de naam van de contactpersoon bij noodgevallen, zijn/haar telefoonnummer, de verwantschap alleen indien relevant en de contactgegevens; uitsluitend voor werknemers van de verwerkingsverantwoordelijke. Deze informatie is optioneel en kan door de werknemers van de verwerkingsverantwoordelijke worden ingevoerd/bijgewerkt)
• Ouderschapsverlof: naam- en adresgegevens van afhankelijke gezinsleden van de werknemer, verwantschap tussen de werknemer en het afhankelijke gezinslid
• Informatie over opleidingen en trainingen, inclusief ontwikkelingsplannen van werknemers (uitsluitend voor werknemers van de verwerkingsverantwoordelijke)
• Kennisgevingen en informatie met betrekking tot disciplinaire kwesties (uitsluitend voor werknemers van de verwerkingsverantwoordelijke)
• Informatie over werknemersuitkeringen (uitsluitend voor werknemers van de verwerkingsverantwoordelijke)
• Gesproken taal
• Nationaal identiteitsbewijs
• Persoonlijk nationaal identificatienummer (fiscaal nummer)
• Ras of etnische afstamming, religieuze, filosofische of andere overtuigingen, politieke opvattingen
• Uitgebreid achtergrondonderzoek (met betrekking tot eisende partijen), voor zover toegestaan door de geldende wetgeving (bijvoorbeeld gevoelige gegevens)
• Bankgegevens (voor het verrichten van betalingen aan makelaars (indien dit personen zijn) of aan eisende partijen of het uitkeren van salarissen aan werknemers van de verwerkingsverantwoordelijke
• Informatie over bedrijfsmiddelen die zijn toegewezen aan personeel (uitsluitend voor werknemers van de verwerkingsverantwoordelijke; denk aan zakelijke creditcards en andere aanvullende arbeidsvoorwaarden)
• Uitgebreid achtergrondonderzoek conform de toepasselijke wetgeving (uitsluitend voor werknemers van de verwerkingsverantwoordelijke en in bepaalde gevallen ook voor eisende partijen)
• Financiële en salarisgegevens (uitsluitend voor werknemers van de verwerkingsverantwoordelijke en in bepaalde gevallen ook voor eisende partijen; denk aan de loongroep, compensatie, jaarlijkse compensatie, loonregeling, informatie over deelname aan en beheer van collectieve voorzieningen van de verwerkingsverantwoordelijke voor werknemers).
Ten behoeve van nalevingsdoeleinden:
• alle informatie die nodig is om te voldoen aan de geldende wetgeving of aan vereisten van overheidswege, voor zover toegestaan door de geldende wetgeving; dit is met begrip van, maar niet beperkt tot alle gegevenscategorieën zoals hierboven uiteengezet en hierna vermeld in het onderdeel 'gegevenscategorieën' in dit Deel 1 van Bijlage B.
Ontvangers
De persoonsgegevens die de tegenpartij uit hoofde van deze overeenkomst verwerkt, kunnen worden doorgegeven aan een of meer van de hierna vermelde categorieën van ontvangers, steeds met inachtneming van de bepalingen in deze overeenkomst die zien op de doorgifte van persoonsgegevens aan derden door de tegenpartij:
Ten behoeve van het beheren van verzekeringen:
• Managers van de verwerkingsverantwoordelijke en/of de verwerker die belast zijn met het goedkeuren en beoordelen van beslissingen die de verwerkingsverantwoordelijke maakt ten aanzien van underwriting en claims
• Externe bedrijfsadviseurs en dienstverleners (zoals juridische, financiële, boekhoudkundige, IT- en HR-adviseurs en/of vergelijkbare adviseurs en consultants) van de verwerkingsverantwoordelijke en/of de verwerker die de informatie nodig hebben voor de realisatie van het betreffende doel.
Ten behoeve van het beheren van informatietechnologie en databases:
• Aangewezen medewerkers op de IT- en HR-afdeling van de verwerkingsverantwoordelijke en/of de verwerker die de informatie nodig hebben, zoals IT-beheerders en technische ondersteuningsmedewerkers bij HR
• Externe bedrijfsadviseurs en dienstverleners (zoals juridische, financiële, boekhoudkundige,
IT- en HR-adviseurs en/of vergelijkbare adviseurs en consultants) van de verwerkingsverantwoordelijke en/of de verwerker wanneer ze de informatie nodig hebben voor de realisatie van het betreffende doel.
Ten behoeve van nalevingsdoeleinden:
• Aangewezen medewerkers op de IT- en HR-afdeling van de verwerkingsverantwoordelijke die de informatie nodig hebben, zoals IT-beheerders en technische ondersteuningsmedewerkers bij HR
• Rechtshandhavingsautoriteiten, in overeenstemming met de toepasselijke wettelijke voorschriften
• Externe bedrijfsadviseurs en dienstverleners (zoals juridische, financiële, boekhoudkundige, IT- en HR-adviseurs en/of vergelijkbare adviseurs en consultants) van de verwerkingsverantwoordelijke wanneer ze de informatie nodig hebben voor de realisatie van het betreffende doel.
Speciale categorieën van persoonsgegevens en persoonsgegevens inzake strafrechtelijke veroordelingen en misdrijven
De persoonsgegevens die de tegenpartij uit hoofde van deze overeenkomst verwerkt, kunnen betrekking hebben op een of meer van de volgende speciale categorieën van persoonsgegevens en/of persoonsgegevens inzake strafrechtelijke veroordelingen en misdrijven, en hebben (waar van toepassing) betrekking op de hierboven beschreven betrokkenen:
• Het (vermeend) plegen van een strafbaar feit
• Strafrechtelijke procedures
• Fysieke of geestelijke aandoeningen
• Afwezigheidsinformatie over werknemers: begin-/einddatum, soort afwezigheid (bijvoorbeeld ziekte of ouderschapsverlof), reden van ziekte (uitsluitend indien en voor zover noodzakelijk om te voldoen aan de verplichtingen van de werkgever)
• Informatie over de gezondheid van een eiser voor het vaststellen van schade en het beheren van de claim
• Informatie over de fysieke of geestelijke aandoening van de aanvrager of de verzekerde voor het goedkeuren en beoordelen van beslissingen die de verwerkingsverantwoordelijke neemt ten aanzien van underwriting en claims
• Justitiële informatie over eisende partijen en werknemers, voor zover toegestaan door de toepasselijke wetgeving en voor zover nodig voor het beheren van claims en gerechtelijke procedures, waaronder het beschermen van de belangen van de eisende partijen en het beheer door de verwerkingsverantwoordelijke in rechtszaken
• Niet-identificeerbare justitiële informatie over verzekerden en aanvragers, voor zover toegestaan door de toepasselijke wetgeving
• Ras of etnische afkomst van de hierboven geïdentificeerde betrokkenen, uitsluitend wanneer dit strikt noodzakelijk is voor de verwezenlijking van de hierboven genoemde doorgiften en in overeenstemming met de toepasselijke wetgeving
• Religieuze, filosofische of andere overtuigingen, politieke opvattingen, lidmaatschap van partijen, vakbonden, verenigingen of organisaties met een religieus, filosofisch, politiek of vakbondskarakter van de hierboven geïdentificeerde betrokkenen, uitsluitend wanneer dit strikt noodzakelijk is voor de verwezenlijking van de doeleinden van de hierboven genoemde doorgiften en in overeenstemming met de toepasselijke wetgeving
• Persoonsgegevens waaruit de gezondheid van de hierboven genoemde betrokkenen blijkt, uitsluitend wanneer dit strikt noodzakelijk is voor de verwezenlijking van de doeleinden van de hierboven genoemde doorgiften en in overeenstemming met de toepasselijke wetgeving.
BIJLAGE B
Ingevolge lid (h) stemt de tegenpartij hierbij in met de instelling en handhaving van de volgende specifieke aanvullende veiligheidsmaatregelen:
Beveiligingsprogramma. De tegenpartij neemt alle redelijke commerciële stappen tot invoering en instandhouding van integrale informatieveiligheidsstandaarden, inclusief een geschreven programma ter zake (het 'beveiligingsprogramma') dat (i) voldoet aan alle geldende wet- en regelgeving, waaronder alle wetgeving inzake gegevensbescherming en dat (ii) de veiligheid, integriteit, beschikbaarheid en vertrouwelijkheid van alle namens de CNA Hardy Groep verwerkte persoonsgegevens en commercieel gevoelige informatie beschermt en waarborgt door middel van redelijke en passende beschermingsmaatregelen, beleidsrichtlijnen en procedures van administratieve, organisatorische en fysieke aard.
Deze beschermingsmaatregelen en procedures omvatten in elk geval alle redelijke commerciële inspanningen om de volgende normen in acht te nemen:
Algemene beheersmaatregelen
(i) Het uitvoeren van periodieke risicobeoordelingen, penetratietesten, kwetsbaarheidsscans en hersteloefeningen.
(ii) Voor alle besturingssystemen en applicaties moet actuele ondersteuning beschikbaar zijn. Op alle computerapparatuur (waaronder desktopcomputers, laptops, tablets, mobiele telefoons, servers, firewalls en switches) worden verplicht beveiligingsupdates voor de besturingssystemen en applicaties geïnstalleerd en actueel gehouden.
(iii) Voor de detectie van schadelijke programma's (zoals virussen en trojans) dient verplicht antivirus-
/malwaresoftware te zijn geïnstalleerd en ingeschakeld.
Netwerkbeveiliging
(i) Het toepassen van encryptie en gescheiden netwerken, zowel intern als voor verbindingen met externe entiteiten zoals derden en het internet, met als doel de blootstelling van gevoelige informatie zo veel mogelijk te beperken. Het bewaken van netwerkverkeer om inbraken op het netwerk te detecteren en aan te pakken. Het gebruik van firewalls, inbraakdetectiesystemen en antivirus- en malwaredetectie, en het waarborgen dat de installatie en het onderhoud daarvan gebeuren door deskundig personeel.
(ii) Het beveiligen van draadloze apparaten door middel van 'trusted' draadloze netwerken, wederom onder toepassing van gescheiden netwerken en relevante encryptiemethoden.
(iii) Het beveiligen van verbindingen (en indien mogelijk het versleutelen van de gegevensstroom) met de CNA Hardy Groep (en haar groepsmaatschappijen en -vestigingen) en alle derden die toegang kunnen hebben tot het netwerk van de tegenpartij;
(iv) Het voeren van een veilig beheer – aan de hand van gebruikerstoegangsbeheer, regelmatige User Access Reviews en Periodic User Access Reviews.
Gebruikerstoegangsbeheer
(i) Alle toegang door gebruikers en in het bijzonder geprivilegieerde gebruikers moet worden onderworpen aan passende goedkeuringsprocedures en periodieke evaluaties.
(ii) Toegang door gebruikers wordt gecontroleerd via bijgewerkte beschermingsprogramma's, waaronder multifactorauthenticatie en toegangscontroles binnen media, applicaties, besturingssystemen en apparatuur;
(iii) De besturingssystemen en applicaties moeten beschikken over de mogelijkheid om toegang door gebruikers elektronisch vast te leggen en te bewaren; ook dient deze functie te zijn ingeschakeld. De relevante gegevens over gebruikerstoegang dienen ten minste 14 dagen te worden bewaard.
(iv) Het ID en wachtwoord zijn voor elke gebruiker uniek en mogen niet worden gedeeld.
(v) Er worden vereisten betreffende het gebruik van sterke wachtwoorden toegepast (waaronder het gebruik van alfanumerieke tekens, minimumlengte, complexiteit, beperkingen op hergebruik).
Persoonsgegevens
(i) Het verwerken, opslaan en doorgeven van persoonsgegevens gebeurt op een veilige wijze, onder meer door het gebruik van encryptie.
(ii) Het personeel dat toegang heeft tot persoonsgegevens is speciaal daartoe opgeleid.
(iii) Binnen interne systemen en applicaties voor de opslag van persoonsgegevens worden uitsluitend rechten en privileges verleend aan personen die deze nodig hebben om hun functievereisten te kunnen vervullen.
Back-ups
(i) Met betrekking tot applicaties en informatiesystemen voor de opslag van persoonsgegevens worden periodiek passende backup- en herstelprocedures uitgevoerd.
(ii) Back-upmedia dienen te zijn beveiligd tegen onrechtmatige fysieke toegang. Back-upmedia die op een externe locatie wordt bewaard, dienen te worden versleuteld.
Fysieke beveiliging
(i) De systemen worden fysiek beveiligd door plaatsing in beperkt toegankelijke gebieden;
(ii) Draagbare computer- of opslagapparatuur die langere tijd onbeheerd wordt achtergelaten, wordt fysiek beveiligd (bijvoorbeeld met een kabel en slot).
Netwerkschema. De tegenpartij zal de CNA Hardy Groep op verzoek steeds voorzien van een netwerkdiagram met een weergave van de IT-netwerkinfrastructuur van de tegenpartij en alle apparatuur die wordt ingezet bij de nakoming van haar verplichtingen uit hoofde van deze overeenkomst, waaronder, maar niet beperkt tot: (i) verbindingen met de CNA Hardy Groep (en haar groepsmaatschappijen en -vestigingen) en alle derden die toegang kunnen hebben tot het netwerk van de tegenpartij, (ii) alle netwerkverbindingen, waaronder diensten voor externe toegang en draadloze verbindingen, (iii) alle maatregelen voor toegangsbeheer (zoals firewalls, packetfilters, diensten voor inbraakdetectie en -preventie en met een toegangslijst gecontroleerde routers), (iv) alle redundante of back-upservers en (v) de geautoriseerde toegang via elke netwerkverbinding. Wanneer de tegenpartij wezenlijke wijzigingen aanbrengt in haar infrastructuur en/of apparatuur, zal zij onverwijld een bijgewerkt netwerkschema doen toekomen aan de CNA Hardy Groep.
Controlerecht.
In aanvulling op alle controlerechten krachtens het dispositief van deze overeenkomst zal de tegenpartij de CNA Hardy Groep en alle door haar aangewezen externe auditors de toegang, bijstand en informatie betreffende de servicelocaties en het beveiligingsprogramma verschaffen die zij nodig heeft om naleving van de bepalingen in deze bijlage te bevestigen. Tijdens deze controles zal de tegenpartij alle bijstand verlenen die redelijkerwijs nodig is om vast te stellen of het beveiligingsprogramma van de tegenpartij toereikend is en de voortdurende instandhouding daarvan te waarborgen. Verder mogen de CNA Hardy Groep en alle door haar aangewezen externe auditors geautoriseerde binnendringingspogingen uitvoeren op het systeem van de tegenpartij, op voorwaarde dat: (i) de tegenpartij vooraf in kennis wordt gesteld van een dergelijke poging en (ii) de partijen onderling overeenstemming bereiken over het testplan. Controles krachtens deze bepaling worden uitgevoerd met de frequentie die de CNA Hardy Groep naar eigen goeddunken redelijk en noodzakelijk acht.
'Multifactorauthenticatie' houdt in dat verificatie plaatsvindt aan de hand van ten minste twee van de volgende soorten authenticatie-elementen:
(1) Kenniselementen, zoals een wachtwoord, of;
(2) Bezitselementen, zoals een token of een sms-bericht op een mobiele telefoon, of;
(3) Inherentie-elementen, zoals een biometrisch kenmerk.
BIJLAGE C
In het Verenigd Koninkrijk geregistreerde ondernemingen
Ondernemingsnaam | Ondernemingsnummer | Statutaire zetel | |
1 | Xxxxx (Underwriting Agencies) Limited | 1264271 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
2 | Hardy IC Limited | 07809131 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
3 | Hardy Insurance Services Limited | 03075206 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
4 | Hardy Names Limited | 03227930 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
5 | Hardy Underwriting Group plc | 03217501 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
6 | Hardy Underwriting Limited | 02981735 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
7 | CNA Insurance Company Limited | 950 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
8 | CNA Europe Holdings Limited | 3526047 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
9 | CNA Services (UK) Limited | 8836589 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
10 | Maritime Insurance Company Limited | 4000324 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
11 | CNA Hardy International Services Limited | 09849484 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxxxx Xxxxxxxxxx |
Europese vestigingen/onderneming
Ondernemingsnaam | Ondernemingsnummer | Vestigingskantoor | |
1 | CNA Hardy - vestiging België | CNA België (Verzekeringsonderneming toegelaten onder het nr. 1075) van CNA Insurance Company Limited (handelsregistratienummer 950) | Succursale België, Xxxxxx Xxxxxxx-Xxxxx 000, 0000 Xxxxxxx |
2 | CNA Hardy - vestiging Denemarken | CNA Insurance Company Limited (virksomhedsregistreringsnummer 950), | Xxxxxxxxxxxxx 0, 0 xxx, 0000 Xxxxxxxxxx X, Xxxxxxxxxx |
3 | CNA Hardy - vestiging Frankrijk | CNA Insurance Company Limited est une société enregistrée en Angleterre sous le numéro 000 | 0xx Xxxxx, 00-00 xxx xx xx Xxxxxxxx , 00000 Xxxxxx, Xxxxxxxxx |
4 | CNA Hardy - vestiging Duitsland | CNA Insurance Company Limited Enspricht dem deutschen Registericht: Registernr 950 | Xx Xxxxxxxxx 0, X-00000 Xxxxxx, Xxxxxxxxx HRB 63197 |
5 | CNA Hardy - vestiging Italië | CNA Insurance Company Limited societa registrata con numero 950 | Xxx Xxxxxxxx 0, 00000, Xxxxxx, Xxxxxx |
6 | CNA - vestiging Nederland | CNA Insurance Company Limited (handelsregistratienummer 950) | Xxxxx Xxxxx Xxxxxx, Xxxxxxxxxxxxxx 000, 0000 XX Xxxxxxxxx |
7 | CNA Hardy - vestiging Zwitserland | CNA Insurance Company Limited is een onderneming die in het VK is geregistreerd onder het nummer 950 | Succursale di Lugano, enregistree a Xxx Xxxxxx 0 X, 0000, Xxxxxx |
0 | XXX Hardy - vestiging Luxemburg | CNA Insurance Company (Europe) S.A., geregistreerd bij het Luxemburgse Handels- en ondernemingsregister onder nummer B222697 | 0, xxx Xxxxxx Xxxxxxx, 0000 Xxxxxxxxx, Xxxxxxxxxxxxxx Xxxxxxxxx |
Internationaal geregistreerde ondernemingen
Ondernemingsnaam | Ondernemingsnummer | Statutaire zetel | |
1 | Hardy Underwriting Asia PTE Limited | Reg. Nr. 201018369K, een dienstverlenende onderneming van Lloyd’s Asia die handelt namens Hardy Syndicate 382. | 000 Xxxxxx Xxxxxx, Xxxxxx Xxxxx, #00-00, Xxxxxxxxx 000000 |
2 | Hardy Bermuda Limited | 43005 | Xxxxxxxx Xxxxx, 00 Xxxxx Xxxxxx, Xxxxxxxx, XX00, Xxxxxxx |
3 | Hardy Underwriting Bermuda Limited | 40834 | Xxxxxxxx Xxxxx, 00 Xxxxx Xxxxxx, Xxxxxxxx, XX00, Xxxxxxx |
4 | Hardy Underwriting Bermuda Limited | LL14346 | Xxxxxxxxxx Xxxxxxx, Xx. X0000, Xxx 0000, Xxxxx Xxxxxxx Xxxxxx, 00000 Labuan F.T., Maleisië |
BIJLAGE D
Groepsmaatschappijen in de VS waarmee persoonsgegevens worden gedeeld op grond van een overdrachtsovereenkomst met modelbepalingen
Ondernemingsnaam | Ondernemingsnummer | Statutaire zetel | |
1 | Continental Casualty Company | 00-0000000 | 000 Xxxxx Xxxxxx Xxxxxx. Xxxxxxx, Xxxxxxxx, 00000 VS |
2 | CNA Financial Corporation | 00-0000000 | 000 Xxxxx Xxxxxx Xxxxxx. Xxxxxxx, Xxxxxxxx, 00000 VS |
ANNEX 2: BEPALINGEN INZAKE WERKNEMERS
1 De tegenpartij dient te voldoen aan de relevante gedragsnormen en/of regels die de PRA en de FCA met betrekking tot gereguleerde personen hebben voorgeschreven en ervoor te zorgen dat haar werknemers die gereguleerde personen zijn, dit ook doen.
2 De wederpartij dient het navolgende te doen en ervoor te zorgen dat haar werknemers die diensten verlenen als onderdeel van een materiële uitbesteding en/of die gereguleerde personen zijn, dit ook doen:
a. voldoen aan alle redelijke normen, beleidsregels of richtsnoeren die de CNA Hardy Groep vaststelt of geeft met betrekking tot de deskundigheid- en betrouwbaarheidseisen;
b. transparantie betrachten en medewerking verlenen aan de PRA en de FCA;
c. voor zover redelijkerwijs mogelijk, naar behoren rekening houden met de belangen van de klanten van de CNA Hardy Groep en de noodzaak om hen eerlijk te behandelen; en
d. voldoen aan alle verdere eisen die de CNA Hardy Groep nodig acht voor een gezonde en prudente bedrijfsvoering voor haar ondernemingen.
3 De tegenpartij dient de CNA Hardy Groep prompt in kennis te stellen van alle informatie en elke gebeurtenis of omstandigheid die van invloed is op de naleving door haar werknemers die materiële uitbestedingsdiensten leveren of de naleving door een gereguleerde persoon van de deskundigheids- en betrouwbaarheidseisen (waaronder overtredingen door dergelijke gereguleerde personen van de gedragsnormen/regels van de PRA en FCA) of de toepasselijke wet- en regelgeving, regulatoire beleidsregels, richtsnoeren of gedragscodes en normen in de industrie, zodra zij daarmee bekend wordt. Om het bepaalde in deze Bijlage te kunnen naleven, dient de tegenpartij passend en gepast toezicht over haar werknemers uit te oefenen.
4 De tegenpartij dient een of meer bij naam genoemde personen aan te wijzen die de algehele verantwoordelijkheid hebben voor de aan de CNA Hardy Groep verleende diensten. De tegenpartij dient op verzoek de naam en contactgegevens van die perso(o)n(en) aan de CNA Hardy Groep op te geven.
5 De tegenpartij:
a. dient informatie bij te houden over de rollen en functies van gereguleerde personen alsmede alle andere informatie die nodig is ter bevestiging van de naleving van artikel 1 van deze Annex door dergelijke gereguleerde personen;
b. mag een gereguleerde persoon niet vervangen of herplaatsen zonder de voorafgaande schriftelijke toestemming van de CNA Hardy Groep; en
c. dient de CNA Hardy Groep onverwijld te informeren indien een gereguleerde persoon zijn/haar ontslag indient.
6 Indien een gereguleerde persoon op de nominatie staat om te worden vervangen of herplaatst of zijn/haar ontslag heeft ingediend, dient de wederpartij:
a. de CNA Hardy Groep onverwijld schriftelijk te informeren over het voorgenomen ontslag of de voorgenomen vervanging of herplaatsing (al naar gelang van toepassing);
b. onverwijld de informatie te verstrekken aan de CNA Hardy Groep over de voorgenomen vervanging en/of het tijdstip met de voorgenomen vervanging zoals in redelijkheid door de CNA Hardy Groep verlangd, en
c. onverwijld de schriftelijke toestemming van de CNA Hardy Groep te verkrijgen alvorens een vervanging of herplaatsing door te voeren.
7 De CNA Hardy Groep mag een persoon die door de tegenpartij is genomineerd of voorgesteld als vervanging van een gereguleerde persoon weigeren te accepteren, indien die persoon of personen naar het redelijke oordeel van de CNA Groep niet aan de deskundigheids- en betrouwbaarheidseisen voldoet/voldoen. In dat geval dient de wederpartij onverwijld andere vervanger(s) voor te stellen en zijn artikelen (6) en (7) van deze Annex op de benoeming van die vervanger van toepassing.