OVEREENKOMST VOOR DE VERWERKING VAN PERSOONSGEGEVENS VOOR OCLC-DIENSTEN PERSONAL DATA PROCESSING AGREEMENT FOR OCLC SERVICES

OVEREENKOMST VOOR DE VERWERKING VAN PERSOONSGEGEVENS VOOR OCLC-DIENSTEN PERSONAL DATA PROCESSING AGREEMENT FOR OCLC SERVICES

Deze Gegevensverwerkingsovereenkomst ("Overeenkomst") wordt gesloten tussen OCLC B.V., ("OCLC" of "Verwerker") en de "Klant" of "Verantwoordelijke" (gezamenlijk "de Partijen") vanaf de datum van de laatste handtekening hieronder. This Data Processing Agreement (“DPA”) is entered into between OCLC B.V., (“OCLC” or “Processor”) and “Customer” or “Controller” (jointly “the Parties”) as of the date of last signature below.

Klant

Naam organisatie

Adres

Telefoon/fax

E-mail

Contact voor kennisgeving

De Klant gaat deze Overeenkomst namens zichzelf aan en, voor zover vereist onder de toepasselijke wetten en voorschriften inzake gegevensbescherming, in naam en ten behoeve van haar Toegelaten Verbonden Vennootschappen, indien en voor zover OCLC persoonsgegevens verwerkt waarvoor dergelijke Toegelaten Verbonden Vennootschappen als de verantwoordelijke voor de verwerking van de gegevens kwalificeren. OCLC gaat deze Overeenkomst aan in eigen naam en in naam en voor rekening van deze OCLC Verbonden Vennootschappen die Persoonsgegevens verwerken. Uitsluitend in het kader van deze Overeenkomst, en tenzij anders aangegeven, wordt onder de term (i) "Klant" of “Verantwoordelijke voor de verwerking” de Klant en de Toegelaten Verbonden Vennootschappen verstaan, en (ii) zal “OCLC” of “Verwerker” verwijzen naar OCLC of de betreffende OCLC Verbonden Vennootschap die de betreffende Persoonsgegevens verwerkt. Tijdens het verlenen van de Gedekte Diensten aan de Klant krachtens de bestaande dienstverleningsovereenkomst tussen de partijen (de " Dienstverleningsovereenkomst "), kan OCLC namens de Klant Persoonsgegevens Verwerken en de Partijen komen overeen om te voldoen Customer enters into this DPA on behalf of itself and, to the extent required under applicable Data Protection Laws and Regulations, in the name and on behalf of its Authorised Affiliates, if and to the extent OCLC processes Personal Data for which such Authorised Affiliates qualify as the Controller. OCLC enters into this DPA on behalf of itself and in the name and on behalf of those OCLC Affiliates that process Personal Data. For the purposes of this DPA only, and except where indicated otherwise, the term; (i) “Customer” or “Controller” shall include Customer and Authorised Affiliates; and (ii) “OCLC” or “Processor” shall mean OCLC or the relevant OCLC Affiliate that is undertaking the processing of the Personal Data concerned. In the course of providing the Covered Services to Customer pursuant to the existing services agreement between the parties (the “Services Agreement”), OCLC may Process Personal Data on behalf of Customer, and the Parties agree to comply with the following provisions with respect to any Personal Data, each acting reasonably and in good faith.
To ask questions about this DPA, please contact your OCLC contact or email XX_xxxxxxx@XXXX.xxx.

aan de volgende bepalingen met betrekking tot alle Persoonsgegevens, waarbij elk van hen redelijk en te goeder trouw handelt. Voor vragen over deze Overeenkomst kunt u contact opnemen met uw OCLC contactpersoon of een e-mail sturen naar XX_xxxxxxx@XXXX.xxx.
VOORWAARDEN VAN DE GEGEVENSVERWERKINGSOVEREENKOMST	DATA PROCESSING AGREEMENT TERMS
Het onderwerp van de gegevensverwerking in het kader van deze Overeenkomst is de verwerking van persoonsgegevens, zoals gedefinieerd in bijlage 1, en het doel en de aard van de gegevensverwerking in het kader van deze Overeenkomst is de verstrekking van de door de Klant in het kader van de Dienstverleningsovereenkomst geïnitieerde Gedekte Diensten. De duur van de gegevensverwerking in het kader van deze Overeenkomst wordt dan ook bepaald door de Dienstverleningsovereenkomst van de Klant voor dergelijke Gedekte Diensten. Deze Overeenkomst zal een einde nemen of beëindigd worden op de datum waarop de Dienstverleningsovereenkomst eindigt of verloopt, met dien verstande dat deze Overeenkomst zal voortbestaan met betrekking tot de Verwerking die na de beëindiging of het verstrijken van de Dienstverleningsovereenkomst wordt overwogen (zoals het beschikbaar stellen van Persoonsgegevens aan de Klant voor een beperkte periode voorafgaand aan het verwijderen ervan), en een eventuele verlenging van de Dienstverleningsovereenkomst verlengt ook de termijn van deze Overeenkomst.	The subject matter of the data processing under this DPA is Personal Data, as defined in Appendix 1, and the purpose and nature of the data processing under this DPA is the provision of the Covered Services initiated by Customer under the Services Agreement. Accordingly, the duration of the data processing under this DPA shall be determined by Customer’s Services Agreement for such Covered Services. This DPA shall terminate or expire on the same date that the Services Agreement terminates or expires, except that this DPA shall continue with respect to Processing that is contemplated to occur after the termination or expiration of the Services Agreement (such as making Personal Data available to Customer for a limited time period prior to deletion), and any extension of the Services Agreement shall also extend the term of this DPA.
In het kader van de Algemene Verordening inzake Gegevensbescherming en de Zwitserse Wetgeving inzake Gegevensbescherming (zoals hieronder gedefinieerd), wordt voor de overdracht van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen buiten de Europese Economische Ruimte ("EER") en Zwitserland en die niet erkend zijn door de Europese Commissie of de Federale Gegevensbeschermings- en informatiecommissaris (voorzover van toepassing) als een passend beschermingsniveau waarborgend ("Ontvanger uit een derde land"), overeengekomen dat die entiteiten van de Klant die Persoonsgegevens buiten de EER of Zwitserland overdragen en die entiteiten van OCLC die Ontvangers uit een derde land zijn, hierbij instemmen dat de modelcontractbepalingen (de "Bepalingen"), die hier gekoppeld zijn en in deze Overeenkomst zijn opgenomen door middel van verwijzing (zoals aangevuld in de volgende alinea hieronder), op dergelijke overdrachten van toepassing zullen zijn, teneinde voldoende waarborgen te bieden met betrekking tot de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van natuurlijke personen voor de doorgifte van de in	For the purposes of the General Data Protection Regulation and Swiss Data Protection Laws (as defined below), for the transfer of personal data to processors established in third countries outside the European Economic Area ("EEA") and Switzerland that are not recognized by the European Commission or the Swiss Federal Protection and Information Commissioner (as applicable) as ensuring an adequate level of data protection for personal data ("Third Country Recipient"), those entities of Customer who are transferring Personal Data outside of the EEA or Switzerland and those entities of OCLC who are Third Country Recipients hereby agree that the Standard Contractual Clauses (the “Clauses”), linked here and incorporated into this DPA by reference (as supplemented in the next paragraph below), shall apply to such transfers in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1.

aanhangsel 1 genoemde persoonsgegevens door de gegevensexporteur aan de gegevensimporteur.
Voor de duidelijkheid zijn de Bepalingen van toepassing op de Klant en op elk van de Verbonden Vennootschappen, die voor de doeleinden van de Bepalingen elk optreden als 'gegevensexporteur' en op elke OCLC Verbonden Vennootschap (en OCLC, indien OCLC een Ontvanger uit een derde land is of wordt), die in het kader van deze Overeenkomst kunnen optreden als 'gegevensimporteur' in de zin van de Bepalingen. De Klant erkent dat de Verwerker die in de EER, Zwitserland of het Verenigd Koninkrijk gevestigd is, gebruik kan maken van haar Verbonden Vennootschappen die Ontvangers uit derde landen zijn, en met betrekking tot een dergelijke overdracht van Persoonsgegevens naar een Ontvanger uit een derde land, zal een dergelijke overdracht van gegevens onder de Bepalingen vallen en beschouwd worden als een directe export door de Klant naar de Ontvanger uit een derde land. Alle relevante voorwaarden uit de Bijlagen 1 en 2, die hierbij zijn gevoegd, worden hierbij opgenomen in de Bepalingen die door de partijen zijn overeengekomen (als respectievelijk Bijlagen 1 en 2 van de Bepalingen). In artikel 9 en 11 lid 3 van de Bepalingen is het recht van het land van vestiging van de Klant, van toepassing. Niets in deze Overeenkomst of in de Dienstverleningsovereenkomst is door de partijen bedoeld om te worden uitgelegd als zijnde te primeren op de Bepalingen.	For the sake of clarity, the Clauses apply to Customer and each of its Authorised Affiliates who, for the purposes of the Clauses, each act as ‘data exporter’ and each OCLC Affiliate (and OCLC, if OCLC is or becomes a Third Country Recipient) as each, for the purposes of the Clauses may act as ‘data importer’ under this DPA. Customer acknowledges that Processor established in the EEA, Switzerland or UK may utilize its Affiliates who are Third Country Recipients, and with respect to any such transfer of Personal Data to such Third Country Recipients, such transfer shall be covered by the Clauses and deemed a direct export by Customer to the Third Country Recipient. All relevant terms from Appendices 1 and 2, attached hereto, are hereby incorporated into the Clauses agreed to by the parties (as Appendices 1 and 2 of the Clauses, respectively). In clauses 9 and 11(3) of the Clauses, the governing law is the laws of the country of Customer’s establishment. Nothing in this DPA or in the Services Agreement is intended by the parties to be construed as prevailing over the Clauses.
1. DEFINITIES	DEFINITIONS
1.1. "Toegelaten Verbonden Vennootschap” betekent de Verbonden Vennootschappen van de Klant die (a) onderworpen zijn aan de wetten en voorschriften inzake gegevensbescherming van de EU, de EER en/of hun lidstaten, Zwitserland en/of het Verenigd Koninkrijk; (b) de Gedekte Diensten mogen gebruiken op grond van de Dienstverleningsovereenkomst tussen de Klant en OCLC; en (c) geen eigen Dienstverleningsovereenkomst met OCLC hebben ondertekend.	“Authorised Affiliate” means Customer's Affiliates that (a) are subject to the data protection laws and regulations of the EU, the EEA and/or their member states, Switzerland and/or the United Kingdom; (b) are permitted to use the Covered Services pursuant to the Services Agreement between Customer and OCLC; and (c) have not signed their own Services Agreement with OCLC.
1.2. "Verbonden Vennootschap": een entiteit die direct of indirect zeggenschap heeft over, onder zeggenschap staat van of onder gezamenlijke zeggenschap staat van een partij. Onder "zeggenschap" in de zin van deze definitie wordt verstaan: directe of indirecte eigendom van of zeggenschap over meer dan 50% van de stemgerechtigde belangen van de betrokken entiteit.	“Affiliate” means any entity that directly or indirectly controls, is controlled by or is under common control with a party. “Control,” for purposes of this definition, means direct or indirect ownership or control of more than 50% of the voting interests of the subject entity.
1.3. "Gedekte Diensten" betekent de OCLC- diensten die door de Klant bij OCLC worden afgenomen en die de Verwerking van Persoonsgegevens in naam van de Klant met	“Covered Services” means the OCLC services that are ordered by the Customer from OCLC involving the Processing of Personal Data on

zich meebrengen, zoals uiteengezet in de toepasselijke Dienstverleningsovereenkomst.	behalf of the Customer, as set forth in the applicable Services Agreement.
1.4. "Wet- en regelgeving inzake gegevensbescherming" betekent alle toepasselijke wetten die van toepassing zijn op het gebruik van gegevens met betrekking tot de Betrokkenen, met inbegrip van de Algemene Verordening inzake Gegevensbescherming van de Europese Unie ("EU"), zoals van tijd tot tijd gewijzigd of vervangen, en alle andere buitenlandse of binnenlandse wetten voor zover deze van toepassing zijn op een Partij bij de uitvoering van de Dienstverleningsovereenkomst.	“Data Protection Laws and Regulations” means all applicable laws that govern the use of data relating to Data Subjects, including the European Union (“EU”) General Data Protection Regulation (“GDPR”), as amended or replaced from time to time, and any other foreign or domestic laws to the extent that they are applicable to a party in the course of the performance of the Services Agreement.
1.5. "Persoonsgegevens" betekent alle persoonsgegevens, zoals gedefinieerd in de AVG, die door of namens de Klant worden verstrekt en door de Verwerker worden verwerkt in het kader van de Dienstverleningsovereenkomst. Een overzicht van de categorieën Persoonsgegevens en de doeleinden waarvoor de Persoonsgegevens worden Verwerkt, is opgenomen in Bijlage 1.	“Personal Data” means any personal data, as defined in the GDPR, which is provided by or on behalf of Customer and Processed by the Processor pursuant to the Services Agreement. An overview of the categories of Personal Data and purposes for which the Personal Data are being Processed is provided in Appendix 1.
1.6. "Toezichthouder" betekent elke toezichthoudende autoriteit met bevoegdheid op grond van wetten en voorschriften inzake gegevensbescherming over de gehele of gedeeltelijke verlening of ontvangst van de Gedekte Diensten of de Verwerking van Persoonsgegevens.	“Regulator” means any supervisory authority with authority under Data Protection Laws and Regulations over all or any part of the provision or receipt of the Covered Services or the Processing of Personal Data.
1.7. "Gevoelige gegevens" zijn de bijzondere categorieën van persoonsgegevens als omschreven in artikel 9 van de AVG, en persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als omschreven in artikel 10 van de AVG.	“Sensitive Data” means the special categories of Personal Data as described in Article 9 of the GDPR, and Personal Data relating to criminal convictions and offences as described in Article 10 of the GDPR.
1.8. “Bepalingen” verwijzen naar de modelcontractbepalingen van de Europese Commissie voor de overdracht van Persoonsgegevens van de Europese Unie naar verwerkers gevestigd in derde landen (overdrachten verantwoordelijke-naar– verwerker), zoals bepaald in de Bijlage aan de Commissiebeslissing 2010/87/EU.	“Standard Contractual Clauses” means European Commission’s Standard Contractual Clauses for the transfer of Personal Data from the European Union to processors established in third countries (controller-to-processor transfers), as set out in the Annex to Commission Decision 2010/87/EU.
1.9. "Verdere Verwerker" betekent elke verdere Verwerker die zich bezighoudt met de verwerking van persoonsgegevens namens OCLC en/of haar Verbonden Vennootschappen. Om twijfel te vermijden, worden de colocatiedatacenterfaciliteiten van OCLC niet beschouwd als Verdere Verwerkers in het kader van deze Overeenkomst.	“Subprocessor” means any data Processor engaged to Process Personal Data on behalf of OCLC and/or its Affiliates. For the avoidance of doubt, OCLC’s colocation data centre facilities are not considered Subprocessors under this DPA.

1.10. “Zwitserse Wetgeving inzake Gegevensbescherming” verwijst naar alle toepasselijke wetgeving inzake gegevensbescherming en privacy zoals op enig moment van kracht in Zwitserland, met inbegrip van de Zwitserse Federale Wet inzake gegevensbescherming van 1992, zoals geamendeerd of vervangen van tijd tot tijd.	“Swiss Data Protection Laws” means all applicable data protection and privacy laws in force from time to time in Switzerland, including the Swiss Federal Data Protection Xxx 0000, as amended or replaced from time to time.
1.11. Termen zoals "betrokkene", "Inbreuk in verband met persoonsgegevens", "Verwerking", "Verwerking", "Verantwoordelijke", "Verwerker", "Verwerker" en "Toezichthoudende Autoriteit" hebben de betekenis die hun in de Wet- en regelgeving inzake gegevensbescherming wordt toegekend.	Terms such as “Data Subject”, “Personal Data Breach”, “Processing”, “Controller”, “Processor” and “Supervisory Authority” shall have the meaning ascribed to them in the Data Protection Laws and Regulations.
2. DIENSTVERLENINGSOVEREENKOMST	SERVICES AGREEMENT
2.1. Deze Overeenkomst vormt een aanvulling op en is geïncorporeerd in de Dienstverleningsovereenkomst, en in geval van tegenstrijdigheid tussen de bepalingen van deze Overeenkomst en de bepalingen van de Dienstverleningsovereenkomst, hebben de bepalingen van deze Overeenkomst voorrang en zullen zij heersen, maar alleen met betrekking tot het onderwerp van deze Overeenkomst.	This DPA supplements and is incorporated into the Services Agreement, and in the event of any conflict between the terms of this DPA and the terms of the Services Agreement, the terms of this DPA shall prevail and control, but only with respect to the subject matter of this DPA.
3. VERPLICHTINGEN VAN DE KLANT	OBLIGATIONS OF THE CUSTOMER
3.1. Instructies. Deze Overeenkomst en de Dienstverleningsovereenkomst zijn de volledige en definitieve instructies van de Klant, op het moment van ondertekening van de Overeenkomst, aan OCLC voor de Verwerking van Persoonsgegevens. Eventuele aanvullende of plaatsvervangende instructies moeten door de Partijen onderling schriftelijk worden overeengekomen, tenzij dergelijke instructies wettelijk vereist zijn. De Klant garandeert dat de instructies die zij op grond van deze Overeenkomst aan OCLC verstrekt, in overeenstemming zijn met de Wet- en regelgeving inzake gegevensbescherming.	Instructions. This DPA and the Services Agreement are Customer’s complete and final instructions, at the time of signature of the DPA, to OCLC for the Processing of Personal Data. Any additional or alternate instructions must be agreed upon mutually by the Parties in writing, unless such instructions are required by law. Customer warrants that the instructions it provides to OCLC pursuant to this DPA comply with Data Protection Laws and Regulations.
3.2. Verzoeken van de betrokkene en de toezichthoudende autoriteit. De Klant is verantwoordelijk voor de communicatie en het leiden van alle inspanningen om te voldoen aan alle verzoeken van Betrokkenen op grond van Wet- en regelgeving inzake gegevensbescherming en alle communicatie van enige Toezichthouder(s) die betrekking hebben op de Persoonsgegevens, in overeenstemming met de Wet- en regelgeving inzake gegevensbescherming.	Data Subject and Supervisory Authority Requests. Customer shall be responsible for communications and leading any efforts to comply with all requests made by Data Subjects under Data Protection Laws and Regulations and all communications from any Regulator(s) that relate to the Personal Data, in accordance with Data Protection Laws and Regulations.

3.3. Kennisgeving, toestemming en andere machtigingen. De Klant is verantwoordelijk voor de nauwkeurigheid, kwaliteit en wettigheid van de Persoonsgegevens en de manier waarop de Klant de Persoonsgegevens die zij aan OCLC verstrekt voor de Verwerking onder de Dienstverleningsovereenkomst heeft verkregen. De Klant is verantwoordelijk voor het verstrekken van enige kennisgeving aan de Betrokkenen en voor het verkrijgen en verstrekken van bewijs dat het de noodzakelijke toestemmingen, machtigingen en toestemmingen van de Betrokkenen op een geldige manier heeft verkregen OCLC om de Gedekte Diensten uit te laten voeren. De Klant zal OCLC dergelijk bewijs hiervan leveren, waar OCLC redelijkerwijs om kan vragen als OCLC deze informatie nodig heeft om te voldoen aan de Wet- en regelgeving inzake gegevensbescherming of het verzoek van een Toezichthouder. De Klant begrijpt dat aangepaste velden en andere vrije tekstvelden in de software die als onderdeel van de Gedekte Diensten worden geleverd (zoals "notitie"-velden) niet zijn ontworpen voor de Verwerking van Gevoelige Gegevens en garandeert dat zij geen Gevoelige Gegevens zal invoeren in dergelijke velden of anderszins bij het gebruik van de Gedekte Diensten.	Notice, Consent, and Other Authorisations. Customer is responsible for the accuracy, quality, and legality of Personal Data and the means by which Customer acquired the Personal Data that it provides to OCLC for Processing under the Services Agreement. Customer is responsible for providing any notice to the Data Subjects and for obtaining and demonstrating evidence that it has obtained any necessary consents, authorisations, and permissions from the Data Subjects in a valid manner for OCLC to perform the Covered Services. Customer will provide OCLC with such evidence of this as OCLC may reasonably request if OCLC needs this information to comply with Data Protection Laws or the request of any Regulator. Customer understands that custom fields and other free text fields in the software provided as a part of the Covered Services (such as “notes” fields) are not designed for the Processing of Sensitive Data and warrants that it will not enter Sensitive Data in such fields or otherwise when using the Covered Services.
4. VERPLICHTINGEN VAN DE VERWERKER	OBLIGATIONS OF THE PROCESSOR
4.1. Reikwijdte van de Verwerking. OCLC zal de Persoonsgegevens verwerken op basis van gedocumenteerde instructies van de Klant die in overeenstemming met deze Overeenkomst zijn gegeven, inclusief met betrekking tot de overdracht van Persoonsgegevens naar een derde land of een internationale organisatie, en op de manier die noodzakelijk is voor de levering van de Gedekte diensten onder de Dienstverleningsovereenkomst, behalve wanneer dit nodig is om te voldoen aan een wettelijke verplichting waaraan OCLC onderworpen is. OCLC zal de Klant op de hoogte brengen als zij van mening is dat de uitvoering van een opdracht met betrekking tot de Verwerking van Persoonsgegevens een inbreuk zou kunnen vormen op de Wet- en regelgeving inzake gegevensbescherming. In het geval dat OCLC Persoonsgegevens moet Verwerken om aan een wettelijke verplichting te voldoen, zal OCLC de Klant vóór de Verwerking van die wettelijke verplichting op de hoogte stellen, tenzij kennisgeving bij wet verboden is.	Scope of Processing. OCLC will Process the Personal Data on documented instructions from Customer given in accordance with this DPA, including with regard to transfers of Personal Data to a third country or an international organisation, and in such manner as is necessary for the provision of Covered Services under the Services Agreement, except as required to comply with a legal obligation to which OCLC is subject. OCLC shall inform Customer if, in its opinion, the execution of an instruction relating to the Processing of Personal Data could infringe on any Data Protection Laws and Regulations. In the event that OCLC must Process Personal Data for the purpose of complying with a legal obligation, OCLC will inform the Customer of that legal requirement before Processing, unless notification is prohibited by the law.

4.2. Verzoeken van de Betrokkene. Rekening houdend met de aard van de verwerking heeft OCLC passende technische en organisatorische maatregelen uitgewerkt om de Klant te helpen bij de vervulling van haar verplichting om te reageren op verzoeken tot uitoefening van de rechten van betrokkenen zoals vastgelegd in hoofdstuk III van de AVG, met inbegrip van processen voor het ontvangen en beantwoorden van verzoeken van betrokkenen. In het bijzonder zal OCLC, wanneer het een verzoek ontvangt van een Betrokkene onder de AVG en vaststelt dat OCLC niet de verantwoordelijke voor de verwerking is en dat de verantwoordelijke voor de verwerking de Klant is, de Klant bijstaan door de Betrokkene te verwijzen naar de Klant (specifiek of in het algemeen) als de entiteit aan wie een verzoek moet worden gedaan. Op verzoek van de Klant, en op voorwaarde dat de Klant niet in staat is om een verzoek in te willigen via de functionaliteit van de Gedekte Diensten zelf of anderszins, zal OCLC de Klant aanvullende, redelijke hulp bieden (rekening houdend met de aard van de verwerking) om de Klant bij te staan bij het nakomen van haar verplichtingen met betrekking tot de rechten van de Betrokkene onder Hoofdstuk III AVG.	Data Subject Requests. Taking into account the nature of the processing, OCLC has established appropriate technical and organizational measures to assist Customer in its fulfillment of its obligation to respond to requests for exercising the data subject rights laid down in Chapter III of the GDPR, including processes for receiving and responding to requests from Data Subjects. In particular, if OCLC receives a request from a Data Subject made under the GDPR and determines that OCLC is not the controller and that the controller is Customer, OCLC will assist Customer by referring the Data Subject to Customer (either specifically or generally) as the entity to whom a request should be made. At Customer’s request, and provided that Customer is unable to fulfill a request through functionality of the Covered Services themselves or otherwise, OCLC will provide additional, reasonable assistance (taking into account the nature of the processing) to Customer to assist Customer in fulfilling its obligations related to Data Subject rights under Chapter III of GDPR.
4.3. Verzoeken van de Toezichthouder. Met betrekking tot haar rol als verwerker van de Klant zal OCLC de Klant redelijke hulp bieden om alle communicatie en de adviezen of bevelen van een Toezichthouder met betrekking tot de Persoonsgegevens op te nemen.	Regulator Requests. With respect to its role as a processor of Customer, OCLC will provide reasonable assistance to Customer to address any communications and advice or orders from any Regulator relating to the Personal Data.
4.4. Bewaring. OCLC bewaart de Persoonsgegevens maar zolang als de Klant het nodig acht voor het toegestane doel zoals bepaald door de configuratieopties die OCLC beschikbaar stelt en die van tijd tot tijd door de Klant voor de Gedekte Diensten worden geselecteerd, of zoals vereist door de toepasselijke wetgeving. Bij beëindiging van de Dienstverleningsovereenkomst zal OCLC de Persoonsgegevens naar keuze van de Klant vernietigen of aan de Klant terugbezorgen, tenzij OCLC wettelijk verplicht is om de Persoonsgegevens te bewaren, in overeenstemming met de op dat moment bestaande procedures van OCLC voor de vernietiging of teruggave van Persoonsgegevens.	Retention. OCLC will retain Personal Data only for as long as Customer deems it necessary for the permitted purpose as determined by configuration options made available by OCLC and selected by Customer for Covered Services from time to time, or as required by applicable laws. At the termination of the Services Agreement, OCLC will either, at the choice of Customer, destroy or return the Personal Data to Customer, unless legal obligations require OCLC to retain Personal Data, in accordance with OCLC’s then-existing procedures for the destruction or return of Personal Data.
4.5. Bekendmaking aan derden. OCLC zal de Persoonsgegevens niet aan derden bekendmaken, behalve voor zover toegestaan	Disclosure to Third Parties. OCLC will not disclose the Personal Data to third parties except as permitted by this DPA or the Services

door deze Overeenkomst of de Dienstverleningsovereenkomst of zoals anderszins door de Klant is voorgeschreven of zoals beoogd door de Gedekte Diensten (zoals het beschikbaar stellen van beperkte Persoonsgegevens aan een andere bibliotheek om een interbibliothecair leenverzoek te faciliteren), tenzij OCLC op grond van de van toepassing zijnde wetgeving verplicht is om de Persoonsgegevens openbaar te maken, in welk geval OCLC de Klant hiervan schriftelijk op de hoogte zal stellen (in de mate waarin dit door de wet is toegestaan) en contact zal onderhouden met de Klant voordat het verzoek om openbaarmaking van dergelijke gegevens wordt ingewilligd. Het voorgaande is niet van toepassing op Persoonsgegevens die worden weergegeven in de collectie van de Klant (zoals de namen van auteurs).	Agreement or as otherwise directed by Customer or as contemplated by the Covered Services (such as making limited Personal Data available to another library to facilitate an inter-library loan request), unless OCLC is required to disclose the Personal Data by applicable laws, in which case OCLC shall (to the extent permitted by law) notify Customer in writing and liaise with Customer before complying with such disclosure request. The foregoing shall not apply to Personal Data reflected in Customer’s holdings (such as the names of authors).
4.6. Vertrouwelijkheid. OCLC zal alle Persoonsgegevens als strikt vertrouwelijk behandelen en zal al haar werknemers, agenten en erkende Verdere Verwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens, informeren over de vertrouwelijke aard van dergelijke informatie. OCLC zal ervoor zorgen dat het personeel dat bevoegd is om de Persoonsgegevens te Verwerken, onderworpen is aan de nodige vertrouwelijkheidsverplichtingen.	Confidentiality. OCLC will treat all Personal Data as strictly confidential and will inform all of its employees, agents, and approved Subprocessors engaged in Processing the Personal Data, of the confidential nature of such information. OCLC will ensure that personnel authorised to Process the Personal Data are subject to appropriate confidentiality obligations.
4.7. Veiligheid. OCLC zal administratieve, fysieke, technische en organisatorische waarborgen voor de veiligheid, vertrouwelijkheid en integriteit van de Persoonsgegevens implementeren en onderhouden, zoals beschreven in Bijlage 2 (met inbegrip van bescherming tegen onopzettelijk of onwettig verlies, vernietiging, wijziging, beschadiging, ongeoorloofde openbaarmaking van of toegang tot de verzonden, opgeslagen of anderszins verwerkte Persoonsgegevens). OCLC zal een procedure hanteren voor het regelmatig testen, inspecteren, beoordelen en evalueren van de effectiviteit van de technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.	Security. OCLC will implement and maintain administrative, physical, technical and organisational safeguards for the security, confidentiality and integrity of Personal Data as detailed in Appendix 2 (including protections against accidental or unlawful loss, destruction, alteration, damage, unauthorised disclosure of, or access to, Personal Data transmitted, stored or otherwise Processed). OCLC will have a procedure for the regular testing, inspection, assessment and evaluation of the effectiveness of the technical and organisational measures in order to ensure the security of the processing.
4.8. AVG Artikelen 32-36. Rekening houdend met de aard van de Verwerking en de informatie waarover OCLC beschikt, zal OCLC de Klant redelijke hulp bieden bij het voldoen aan zijn verplichtingen op grond van de artikelen 32-36 (inclusief) van de AVG (die betrekking hebben op verplichtingen met betrekking tot beveiliging, kennisgevingen	GDPR Articles 32-36. Taking into account the nature of the Processing and the information available to OCLC, OCLC will provide reasonable assistance to Customer in complying with its obligations under GDPR Articles 32-36 (inclusive) (which address obligations with regard to security, breach notifications, data protection impact assessments, and prior consultation).

van inbreuken, effectbeoordelingen van gegevensbescherming en voorafgaande raadpleging).
5. AUDIT	AUDIT
5.1. Proces. Verwerker zal op verzoek aan de Klant alle op dat moment bestaande certificaten van derden verstrekken die relevant zijn voor de nakoming door Verwerker van zijn verplichtingen uit hoofde van deze Overeenkomst (bijvoorbeeld ISO- certificering). Voor zover dergelijke door Verwerker verstrekte certificaten van derden of andere informatie door de Klant ontoereikend worden geacht om de naleving van artikel 28 aan te tonen, kan Klant een gerenommeerde, onafhankelijke derde of auditor met deskundigheid op het gebied van gegevensbeveiliging (de "Auditor") inzage laten nemen in het beleid en de administratie van Verwerker met betrekking tot de Verwerking van Persoonsgegevens door Verwerker om te waarborgen dat Verwerker zich houdt aan artikel 28 van de AVG, op voorwaarde dat een dergelijke Auditor voor Verwerker redelijkerwijs acceptabel is.	Process. Processor will provide to Customer, upon request, any then-existing, third-party certification(s) pertinent to Processor’s compliance with its obligations under this DPA (for example, ISO certification). To the extent that such third-party certifications or other information provided by Processor are deemed inadequate by Customer to demonstrate compliance to Article 28, Customer may have a reputable, independent third party or auditor with expertise in data security (the "Auditor") inspect Processor’s policies and records relating to the Processing of Personal Data by Processor to ensure Processor's compliance with Article 28 of the GDPR, provided that such Auditor is reasonably acceptable to Processor.
5.2. Timing en kosten. Klant zal de audit ten minste één (1) maand op voorhand schriftelijk ter kennis brengen van de Verwerker. Voorafgaand aan de aanvang van een audit komen de Partijen een redelijke termijn, duur, plaats, wijze en voorwaarden voor de audit overeen. De Klant draagt de kosten van elke audit die op grond van dit artikel 5 wordt aangevraagd. Tenzij anders vereist door een Toezichthouder (of indien de controle een wezenlijke inbreuk op deze Overeenkomst aan het licht brengt), mag er niet meer dan één audit worden uitgevoerd in een periode van twaalf maanden.	Timing and Costs. Customer will provide Processor with at least one (1) month’s written notice of any audit. Prior to the start of an audit, the Parties will agree to reasonable time, duration, place, manner, and conditions for the audit. Customer shall bear the cost of any audit requested pursuant to this Section 5. Unless otherwise required by a Regulator (or if the audit reveals a material breach of this DPA), no more than one audit may be undertaken in any 12-month period.
5.3. Openbaarmaking. Voorafgaand aan een dergelijke audit moet de Auditor een geheimhoudingsovereenkomst ondertekenen, die door de Verwerker aan de Auditor wordt verstrekt. De resultaten van de audit en alle informatie die tijdens een dergelijke audit wordt onderzocht, worden beschouwd als vertrouwelijke informatie van de Verwerker en worden door de Auditor beschermd overeenkomstig de tussen de Auditor en de Verwerker uit te voeren geheimhoudingsovereenkomst. Niettegenstaande eventuele andere voorwaarden, mag de Auditor alleen specifieke schendingen van artikel 28, indien van toepassing, en de basis voor dergelijke	Disclosure. Prior to any such inspection, the Auditor must sign a non-disclosure agreement which shall be provided to Auditor by Processor. The results of the inspection and all information reviewed during such inspection will be deemed Processor’s confidential information and shall be protected by Auditor in accordance with the terms of the non-disclosure agreement to be executed between Auditor and Processor. Notwithstanding any other terms, the Auditor may only disclose to Customer specific violations of Article 28, if any, and the basis for such findings in accordance with the terms of this DPA and shall not disclose any of the records or information reviewed during the inspection.

bevindingen aan de Klant bekendmaken in overeenstemming met de voorwaarden van deze Overeenkomst, en mag hij geen van de tijdens de audit onderzochte dossiers of informatie openbaar maken.
6. HET SLUITEN VAN CONTRACTEN MET VERDERE VERWERKERS	CONTRACTING WITH SUBPROCESSORS
6.1. Toestemming van de Klant. De Klant stemt, voor eigen rekening en voor rekening van haar Verbonden Vennootschappen, in met het gebruik van Verdere Verwerkers voor de Verwerking van Persoonsgegevens in het kader van de Dienstverleningsovereenkomst. Een lijst van Verdere Verwerkers is hier te vinden en kan van tijd tot tijd worden herzien. Indien de Klant een redelijke basis heeft om bezwaar te maken tegen het gebruik van een nieuwe Verdere Verwerker, zal de Klant de Verwerker hiervan onmiddellijk schriftelijk op de hoogte brengen binnen vijftien (15) dagen na de kennisgeving van een nieuwe Verdere Verwerker. Als de Klant redelijkerwijze bezwaar maakt in overeenstemming met dit artikel, zal OCLC commercieel redelijke inspanningen leveren om de Klant een wijziging in de betreffende Gedekte Diensten beschikbaar te stellen of een commercieel redelijke wijziging van de configuratie of het gebruik van de betreffende Gedekte Diensten door de Klant aan te bevelen om verwerking van Persoonsgegevens door de geweigerde nieuwe Verdere Verwerker te voorkomen zonder de Klant onredelijk te belasten. Als OCLC niet in staat is om een dergelijke wijziging binnen een redelijke termijn, die niet langer dan dertig (30) dagen zal zijn, beschikbaar te stellen, kan de Klant de Dienstverleningsovereenkomst en deze Overeenkomst en de bepalingen door middel van een schriftelijke kennisgeving aan de Verwerker beëindigen. Bij beëindiging van de Dienstverleningsovereenkomst ingevolge dit artikel zal OCLC het pro rata deel van de vergoedingen voor de rest van de jaarlijkse abonnementsperiode na de beëindigingsdatum van de Dienstverleningsovereenkomst terugbetalen.	Customer Consent. Customer consents, on its own behalf and on behalf of its Authorised Affiliates, to the use of Subprocessors for the Processing of Personal Data in relation to the Services Agreement. A listing of Subprocessors is found here and may be revised from time to time. If Customer has a reasonable basis to object to the use of a new Subprocessor, Customer will notify Processor promptly in writing within fifteen (15) days after the posting of a New Subprocessor Notice. If Customer reasonably objects in accordance with this clause, OCLC will use commercially reasonable efforts to make available to Customer a change in the affected Covered Services or recommend a commercially reasonable change to Customer's configuration or use of the affected Covered Services to avoid processing of Personal Data by the objected-to new Subprocessor without unreasonably burdening Customer. If OCLC is unable to make available such a change within a reasonable period of time, which will not exceed thirty (30) days, Customer may terminate the Services Agreement and this DPA and the Clauses by providing written notice to Processor. Upon termination of the Services Agreement pursuant to this Section, OCLC will refund the pro rata portion of the fees for the remainder of the annual subscription period after the termination date of the Services Agreement.
6.2. Aansprakelijkheid. De Verwerker zorgt ervoor dat de Verdere Verwerker door een schriftelijke overeenkomst of andere rechtshandeling gebonden is aan dezelfde gegevensbeschermingsverplichtingen van de verwerker op grond van deze	Liability. Processor shall ensure that the Subprocessor is bound by written contract or other legal act to the same data protection obligations of Processor under this DPA and the Data Protection Laws and Regulations. Processor will be liable for the acts and omissions of its Subprocessors to the

gegevensbeschermingswet en de Wet- en Regelgeving inzake gegevensbescherming. Verwerker is in dezelfde mate aansprakelijk voor het handelen en nalaten van haar Verdere Verwerkers als zou zij de diensten van elk van deze Verdere Verwerkers rechtstreeks onder de voorwaarden van deze Overeenkomst uitvoeren.	same extent Processor would be liable if performing the services of each of those Subprocessors directly under the terms of this DPA.
7. INFORMATIEVERPLICHTINGEN EN INCIDENT MANAGEMENT	INFORMATION OBLIGATIONS AND INCIDENT MANAGEMENT
7.1. Kennisgeving. OCLC handhaaft het beleid en de procedures voor het beheer van beveiligingsincidenten zoals gespecificeerd in Bijlage 2, en zal de Klant zonder onnodige vertraging op de hoogte stellen nadat OCLC op de hoogte is gebracht van een inbreuk op de persoonsgegevens waarbij OCLC of haar toepasselijke Verdere Verwerkers betrokken zijn en die van invloed is op de Persoonsgegevens die aan OCLC worden verstrekt op grond van deze Overeenkomst. Een dergelijke kennisgeving kan worden gedaan op elke manier die OCLC heeft vastgesteld voor een dergelijke kennisgeving, inclusief kennisgeving per e-mail. Meldingen van onbeschikbaarheid van de Gedekte Diensten kunnen gebeuren op de Systeemstatus van OCLC.	Notification. OCLC maintains security incident management policies and procedures specified in Appendix 2, and shall notify Customer without undue delay after OCLC becomes aware of a Personal Data Breach involving OCLC or its applicable Subprocessors that impacts Personal Data provided to OCLC pursuant to this DPA. Such notification may be by any means OCLC has established for such notification, including notification by email. Notifications of Covered Services unavailability may be by OCLC’s System Status.
7.2. Coördinatie. De Partijen komen overeen om te goeder trouw te coördineren bij het opstellen van de inhoud van alle gerelateerde publieke verklaringen en alle vereiste kennisgevingen aan de betrokken Betrokkenen en/of de relevante Toezichthouder(s) in verband met een inbreuk op Persoonsgegevens waarbij OCLC of haar toepasselijke Verdere Verwerkers betrokken zijn, met dien verstande dat niets in deze sectie een van de Partijen zal verhinderen om te voldoen aan haar verplichtingen onder de Wet - en regelgeving inzake gegevensbescherming.	Coordination. The Parties agree to coordinate in good faith on developing the content of any related public statements and any required notices to the affected data subjects and/or the relevant Regulator(s) in connection with a Personal Data Breach involving OCLC or its applicable Subprocessors, provided that nothing in this section shall prevent either party from complying with its obligations under Data Protection Laws and Regulations.
8. DIVERSEN	MISCELLANEOUS
8.1. Aansprakelijkheid en schadeloosstelling. Alle vorderingen die onder deze Overeenkomst worden ingesteld, zijn onderworpen aan dezelfde voorwaarden en bepalingen, met inbegrip van de uitsluitingen en beperkingen van aansprakelijkheid, zoals uiteengezet in de Dienstverleningsovereenkomst. Voor alle duidelijkheid, enige zulke beperking van aansprakelijkheid toegepast in uitvoering van de Dienstverleningsovereenkomst zal in zijn	Liability and Indemnity. Any claims brought under this DPA will be subject to the same terms and conditions, including the exclusions and limitations of liability, as are set out in the Services Agreement. For avoidance of doubt, any such limitation of liability applied from the Services Agreement shall apply in the aggregate to all OCLC entities taken together, even if such entities are not referred to specifically in the Services Agreement.

geheel van toepassing zijn op alle OCLC entiteiten tesamen genomen, zelfs indien dergelijke entiteiten niet expliciet opgenomen zijn in de Dienstverleningsovereenkomst.
8.2. Informele geschillenbeslechting. In het geval van een geschil tussen de Klant en OCLC wordt het geschil doorverwezen naar de personen die binnen elke organisatie verantwoordelijk zijn voor gegevensbescherming, die het geschil binnen dertig (30) dagen zullen trachten te beslechten.	Informal Dispute Resolution. In the event of a dispute between Customer and OCLC, such dispute shall be referred to the individuals responsible for data protection issues for each organization, who shall endeavour to resolve the dispute within thirty (30) days.
8.3. Verplichtingen na de beëindiging. De beëindiging of het aflopen van deze Overeenkomst ontslaat geen van de partijen van hun verplichtingen die bedoeld zijn om de beëindiging of het aflopen van deze Overeenkomst te overleven.	Obligations Post-Termination. Termination or expiration of this DPA shall not discharge either party from its obligations meant to survive the termination or expiration of this DPA.
8.4. Wijzigingen in de Wet- en regelgeving inzake gegevensbescherming. De Partijen komen overeen om te onderhandelen over wijzigingen in deze Overeenkomst indien wijzigingen nodig zijn om te blijven voldoen aan de Wet- en regelgeving inzake gegevensbescherming of de juridische interpretatie van de Wet- en regelgeving inzake gegevensbescherming, met inbegrip van, maar niet beperkt tot, (a) de vervanging van de modelcontractbepalingen indien deze ongeldig zijn, of (b) indien wijzigingen in de lidmaatschapsstatus van een land in de Europese Unie of de Europese Economische Ruimte een dergelijke wijziging vereisen.	Changes in Data Protection Laws and Regulations. The Parties agree to negotiate modifications to this DPA if changes are required to continue to comply with the Data Protection Laws and Regulations or the legal interpretation of the Data Protection Laws and Regulations, including but not limited to (a) replace the Standard Contractual Clauses if they are invalidated, or (b) if changes to the membership status of a country in the European Union or the European Economic Area require such modification.
8.5. Scheidbaarheid. Indien enige bepaling van deze Overeenkomst door een bevoegde rechtbank ongeldig of niet-afdwingbaar wordt bevonden, zal de ongeldigheid of niet- afdwingbaarheid van een dergelijke bepaling geen invloed hebben op de andere bepalingen van deze Overeenkomst. De partijen zullen trachten een geldige en afdwingbare bepaling overeen te komen die een redelijke vervanging is en zullen deze vervangende bepaling in deze Overeenkomst opnemen.	Severability. If any provisions of this DPA shall be found by any court of competent jurisdiction to be invalid or unenforceable, the invalidity or unenforceability of such provision shall not affect the other provisions of this DPA. The Parties will attempt to agree upon a valid and enforceable provision that is a reasonable substitute and shall incorporate such substitute provision into this DPA.

De bevoegde ondertekenaars van de partijen hebben deze Overeenkomst naar behoren ondertekend in naam van de partij en, voorzover relevant, in naam van hun Verbonden Vennootschappen. The parties’ authorized signatories have duly executed this DPA on behalf of the party and, where relevant, their Affiliates.

Handtekening Signature	Handtekening Signature
Naam in gedrukte letters Printed Name	Naam in gedrukte letters Printed Name S.F.H. Leferink-Xxxxxxxx
Titel Title	Titel Title Director, Benelux
Datum Date	Datum Date October 21, 2019

Klant OCLC B.V.

BIJLAGE 1

GEGEVENS-EXPORTEUR De gegevensexporteur is de Klant.	DATA EXPORTER The data exporter is Customer.
GEGEVENS IMPORTER De gegevensimporteur is OCLC, Inc. of haar Verbonden Vennootschap, die een Ontvanger uit een derde land is.	DATA IMPORTER The data importer is OCLC, Inc. or its Affiliate who is a Third Country Recipient.
CATEGORIEËN VAN BETROKKENEN De categorieën worden bepaald door de Klant en kunnen, zonder beperking, bestaan uit bibliotheekgebruikers, personeel, docenten, studenten, bestuurders, medewerkers, bezoekers en alumni van de Klant, en betrokkenen van wie de persoonlijke gegevens worden weergegeven in de bezitsgegevens van de Klant (zoals de namen van auteurs).	CATEGORIES OF DATA SUBJECT The categories shall be determined by the Customer and may include, without limitation, patrons, staff, faculty, students, administrators, employees, visitors and alumni of Customer, and data subjects whose personal data are reflected in Customer’s holdings (such as the names of authors).
SOORT PERSOONSGEGEVENS Soorten Persoonsgegevens moeten in overeenstemming zijn met de levering van de Gedekte Diensten en kunnen onder meer, maar niet uitsluitend, omvatten: • Namen • Functietitels • Contactgegevens (met inbegrip van fysieke adressen, telefoonnummer(s), faxnummer(s), e- mailadres(sen), enz.) • Unieke identifiers, of ze nu door de Klant of de Verwerker zijn toegewezen (bijv. ID-nummers en barcodes van bibliotheekgebruikers, werknemers- ID-nummers, enz.) • Gebruikersnamen en wachtwoorden • Persoonlijke kenmerken (bv. geboortedata, geslacht, afdeling, type gebruiker, etc.) • Foto's (via URL) • Informatie over het collectiegebruik van docenten • Onderzoeksactiviteiten • Algemene gebruiksinformatie, met inbegrip van verbindingsgegevens • Leveranciers-/verkopersinformatie	TYPE OF PERSONAL DATA Types of Personal Data shall be consistent with the provision of the Covered Services and may include, but is not limited to: • Names • Job titles • Contact information (including physical addresses, telephone number(s), fax number(s), email address(es), etc.) • Unique identifiers, whether assigned by Customer or Processor (e.g., patron ID numbers and barcodes, employee ID numbers, etc.) • Usernames and passwords • Personal attributes (e.g., dates of birth, gender, department, patron type, etc.) • Photographs (via URL) • Staff-related usage information • Research activity • General usage information, including connection data • Supplier/vendor information
BIJZONDERE CATEGORIEËN GEGEVENS De overgedragen persoonsgegevens omvatten geen speciale categorieën gegevens.	SPECIAL CATEGORIES OF DATA The personal data transferred will not include special categories of data.
VERWERKINGSOPERATIES Persoonsgegevens worden verwerkt ten behoeve van het verlenen van de in de Dienstverleningsovereenkomst beschreven Gedekte Diensten, waardoor het bestuur, de bediening, het onderhoud en het gebruik van de bibliotheek van de Klant en de toegang tot de middelen van de Klant worden vergemakkelijkt. Dit omvat, zonder beperking, de volgende verwerkingsactiviteiten:	PROCESSING OPERATIONS Personal Data will be processed for the purpose of providing the Covered Services described in the Service Agreement, thus facilitating the administration, operations, maintenance, and patron use of the Customer library and access to its resources. This includes, without limitation, the following processing activities:

• Het opslaan, opvragen, gebruiken, wijzigen en verwijderen van Persoonsgegevens indien nodig om de Gedekte Diensten te kunnen verlenen; • Het kopiëren en opslaan van Persoonsgegevens voor ontwikkeling, testen, back-up, disaster recovery, Sandbox diensten en andere niet- productiedoeleinden; • Het verzenden van communicatie met betrekking tot de Gedekte Diensten naar eindgebruikers; • Het verstrekken van rapporten aan de Klant; • Het wijzigen, verwijderen, kopiëren of overdragen van Persoonsgegevens indien nodig om aan de verzoeken van individuele Betrokkenen te voldoen; • Registreren van gebruikersactiviteiten op het systeem voor probleemoplossing, auditing en andere doeleinden; • Verwerking die nodig is om problemen op te lossen, te debuggen en de Gedekte Diensten te verbeteren; • Verwerking die nodig is om klantenondersteunende diensten te verlenen aan de Klant en zijn medewerkers; • Het patchen, upgraden, oplossen van problemen, beheren, configureren en anderszins onderhouden van informatietechnologiesystemen en databases die worden gebruikt om de services te leveren; • Het monitoren van de prestaties van de Gedekte Diensten en het oplossen van problemen en het verhelpen van eventuele oorzaken van downtime of ontoegankelijkheid van de Gedekte Diensten; • Beveiligingsmonitoring, ondersteuning voor netwerkgebaseerde inbraakdetectie, penetratietests en andere soortgelijke monitoring en tests; • Hulp bij back-up en herstel van de Gedekte Diensten • Verwerking die nodig is om te voldoen aan wettelijke verplichtingen, zoals de naleving van een geldig gerechtelijk bevel en de wettelijke bewaarplicht; • Elke andere rechtmatige en overeengekomen verwerking die noodzakelijk is voor de uitvoering van de schriftelijke instructies van Klant.

• Storing, retrieving, using, modifying, and deleting Personal Data as necessary to provide the Covered Services; • Copying and storing Personal Data for development, testing, backup, disaster recovery, sandbox services, and other non-production purposes; • Sending communications related to the Covered Services to end users; • Providing reports to Customer; • Modifying, deleting, copying, or transferring Personal Data as necessary to meet the requests of individual Data Subjects; • Logging user activity on the system for troubleshooting, auditing, and other purposes; • Processing that is necessary to troubleshoot, debug, and improve the Covered Services; • Processing necessary to provide customer support services to Customer and its employees; • Patching, upgrading, troubleshooting, administering, configuring, and otherwise maintaining information technology systems and databases used to provide the Services; • Monitoring the performance of the Covered Services and troubleshooting and remediating any causes of downtime or inaccessibility of the Covered Services; • Security monitoring, network-based intrusion detection support, penetration testing, and other similar monitoring and testing; • Assistance with backup and restoration of the Covered Services • Processing that is necessary to meet legal obligations, such as compliance with a valid court order, and record retention requirements that are imposed by law; • Any other lawful and agreed upon processing necessary to carry out the written instructions of Customer.

DUUR VAN DE VERWERKING De duur van de verwerking is de duur van de Dienstverleningsovereenkomst en een redelijke en beperkte periode na afloop of andere beëindiging.

DURATION OF THE PROCESSING The duration of the processing shall be the term of the Services Agreement and a reasonable and limited period of time following expiration or other termination.

BIJLAGE 2

Hier vindt u de technische en organisatorische beveiligingsmaatregelen van OCLC. Beveiligingsmaatregelen kunnen van tijd tot tijd worden bijgewerkt; wijzigingen zullen echter niet leiden tot een verlaging van het geboden beschermingsniveau. OCLC’s Technical and Organizational Security Measures can be found here. Security measures may be updated from time-to-time; however, changes will not result in any reduction in the level of protection provided.