PEARSON BENELUX BV
XXXXXXX BENELUX BV
en
Verwerkersovereenkomst
DATUM: PARTIJEN
(1) , geregistreerd bij de Kamer van Koophandel onder nummer en kantoorhoudende aan (adres) (“Klant”)
(2) PEARSON BENELUX BV een besloten vennootschap met beperkte aansprakelijkheid naar Nederlands recht, geregistreerd bij de Kamer van Koophandel onder nummer 33215170 en kantoorhoudende aan de Kabelweg 37 – 1014 BA Amsterdam, Nederland("Xxxxxxx").
OVERWEGENDE DAT:
A. Klant één of meer overeenkomsten heeft gesloten ("Leveringsovereenkomst") voor de levering van de Pearson diensten zoals weergegeven in het Schema ("Diensten").
B. Vanaf de datum van dit Addendum, zal dit Addendum alle bepalingen toeziend op gegevensbescherming of gegevensverwerking in elke leveringsovereenkomst vervangen en wordt dit Addendum opgenomen in iedere Leveringsovereenkomst.
KOMEN ALS VOLGT OVEREEN:
1
"Persoonsgegevens" betekent Persoonsgegevens verwerkt door Pearson als een verwerker of subverwerker voor en namens de Klant;
"Gegevensbeschermingswetgeving” betekent verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (“AVG”), met inbegrip van implementerende en aanvullende wetgeving;
"Beveiligingsincident" betekent een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens. Onder Beveiligingsincidenten valt niet enige onsuccesvolle pogingen of activiteiten die de beveiliging van versleutelde Persoonsgegevens niet in gevaar brengen;
"verwerkingsverantwoordelijke", “betrokkene”, “persoonsgegevens, “verwerker” en “verwerking” hebben allen de betekenis die wordt gegeven in de Gegevensbeschermingswetgeving.
2. Verwerkingsinstructies
2.1 Met het oog op de verstrekking van Persoonsgegevens aan Pearson, stemt Pearson ermee in de Persoonsgegevens te verwerken in overeenstemming met de bepalingen en voorwaarden van dit Addendum. In de Annex bij dit Addendum zijn de gegevensverwerkingen nader gespecificeerd.
2.2 Onder voorbehoud van artikel 2.3, erkennen de partijen en komen zij overeen dat: (i) in het kader van deze wijziging en tussen hen, de Klant is, of zal worden beschouwd als de verwerkingsverantwoordelijke van Persoonsgegevens, en Pearson is of zal worden beschouwd als de verwerker van de Persoonsgegevens; en (ii) de Klant zal voldoen aan zijn verplichtingen als verwerkingsverantwoordelijke onder de Gegevensbeschermingswetgeving en Pearson zal voldoen aan zijn verplichtingen als een verwerker in overeenstemming met dit Addendum.
2.3 Als de Klant een verwerker is, garandeert de Klant aan Pearson dat de instructies en acties van de Klant met betrekking tot de Persoonsgegevens, inclusief de benoeming van Pearson als een andere verwerker, zijn goedgekeurd door de relevante verwerkingsverantwoordelijke.
2.4 Klant instrueert Pearson en Pearson komt overeen om de Persoonsgegevens te verwerken om de Diensten te leveren zoals uiteengezet in de Leveringsovereenkomst.
3. Vertrouwelijkheid van verwerking
Pearson zal ervoor zorgdragen dat alle personen die zij machtigt om Persoonsgegevens te verwerken onderworpen zijn aan een geheimhoudingsplicht (of dit nu een contractuele verplichting of een wettelijke plicht is); en dat deze personen Persoonsgegevens alleen verwerken overeenkomstig de bepalingen in dit Addendum.
4. Rechten van de betrokkene
4.1 Pearson zal de Klant redelijke hulp bieden om (op kosten van de Klant) de Klant in staat te stellen te reageren op:
(a) elk verzoek met betrekking tot Persoonlijke Klantgegevens van een betrokkene om zijn rechten uit hoofde van de gegevensbeschermingswetgeving uit te oefenen;
(b) enige andere correspondentie, vraag of klacht ontvangen van een betrokkene of toezichthouder in verband met de verwerking van Persoonsgegevens door Pearson.
Bij het verlenen van hulp op grond van dit artikel zal Pearson de inhoud van Persoonsgegevens niet inzien om informatie te identificeren die is onderworpen aan specifieke wettelijke vereisten.
4.2 Indien een dergelijk verzoek, correspondentie, vraag of klacht rechtstreeks aan Pearson wordt gericht, zal Pearson de persoon die het verzoek doet, adviseren zijn verzoek bij de Klant in te dienen en is de Klant verantwoordelijk voor de reactie op een dergelijk verzoek.
4.3 Pearson zal geen Persoonsgegevens openbaar maken in reactie op een verzoek om toegang of openbaarmaking van enige derde partij zonder de voorafgaande schriftelijke
toestemming van de Klant, behalve wanneer dit wordt vereist in overeenstemming met toepasselijke wetgeving of zoals anderszins toegestaan op grond van dit Addendum of de Leveringsovereenkomst.
5. DPIA
Op verzoek van de Klant zal Pearson de Klant, op kosten van de Klant, redelijke hulp bieden om ervoor te zorgen dat de Klant (i) een gegevensbeschermingseffectbeoordeling (DPIA) uitvoert en (ii) indien nodig overleg pleegt met zijn relevante toezichthouder.
6. Kennisgeving aan toezichthouder
Klant zal Pearson voorzien van de naam en contactgegevens van de lokale vertegenwoordiger en / of functionaris voor de gegevensbescherming van de Klant en ervoor zorgen dat dergelijke informatie nauwkeurig en actueel wordt gehouden. Op verzoek van de toezichthouder is Pearson gerechtigd om deze informatie aan hen te verstrekken.
7. Beveiliging
7.1 Pearson zal zorgdragen voor een informatiebeveiligingsprogramma, en deze onderhouden, dat redelijkerwijs passend is voor de Persoonsgegevens, en welke het implementeren en handhaven van alle toepasselijke technische, veiligheids- en organisatorische maatregelen om Persoonsgegevens te beschermen tegen Beveiligingsincidenten.
7.2 Pearson zal de Klant informeren over elk Beveiligingsincident zonder onredelijke vertraging. Al dergelijke kennisgevingen moeten worden gedaan overeenkomstig de afspraken hieromtrent zoals opgenomen in dit Addendum of naar het oordeel van Pearson door een telefoontje of e-mail naar de vertegenwoordiger van de Klant waar Pearson regelmatig contact mee onderhoudt.
7.3 Pearson zal redelijke stappen ondernemen om de gevolgen van Beveiligingsincidenten te verhelpen of te verminderen.
7.4 Pearson zal haar medewerking verlenen aan de Klant en de Klant redelijke assistentie en informatie bieden:
(a) bij het onderzoeken van een Beveiligingsincident; en
(b) met betrekking tot kennisgevingen van een Beveiligingsincident die Klant doet aan een toezichthouder.
7.5 Alle kosten die samenhangen met het afhandelen van een Beveiligingsincident en het voldoen aan alle verplichtingen zijn voor rekening van de Klant wanneer het Beveiligingsincident zich voordoet als de Klant zijn verplichtingen onder dit Addendum niet nakomt of de geautoriseerde gebruikers van de Klant de gebruiksvoorwaarden van de Diensten niet naleven.
7.6 De Klant is als enige verantwoordelijk voor de naleving van de wetgeving inzake het melden van incidenten met betrekking tot Persoonsgegevens en het voldoen aan kennisgevingsverplichtingen jegens derden met betrekking tot Beveiligingsincidenten.
7.7 Xxxxxxx'x kennisgeving van of reactie op een Beveiligingsincident onder dit artikel zal niet worden opgevat als erkenning door Pearson van enige fout of aansprakelijkheid met betrekking tot dat Beveiligingsincident.
8. Subverwerkers
Pearson zal geen toegang verlenen tot of openbaar maken van de Persoonsgegevens aan een onderaannemer of andere derde partij zonder de voorafgaande toestemming van de Klant. Niettegenstaande het voorgaande geeft de Klant specifiek toestemming voor de betrokkenheid van aan Xxxxxxx'x gelieerde ondernemingen als subverwerkers. Bovendien geeft de Klant Pearson hierbij een algemene toestemming om derden in te schakelen voor het verwerken van Persoonsgegevens, op voorwaarde dat Pearson deze partij voorwaarden voor gegevensbescherming oplegt die overeenkomen met de verplichtingen onder dit Addendum.
9. Audit
9.1 Op verzoek van de Klant, en niet meer dan één keer per jaar, zal Pearson aan de Klant alle redelijkerwijs passende informatie beschikbaar stellen om de Klant in staat te stellen de naleving door Pearson van haar verplichtingen onder dit Addendum aan te tonen, waaronder het toestaan van en medewerking verlenen aan audits, inclusief inspecties, door de Klant dan wel een door de klant ingeschakelde derden.
9.2 Op verzoek van de Klant zal Pearson het volgende document aan de Klant ter beschikking stellen: “GENERAL SECURITY OVERVIEW FOR XXXXXXX’X ONLINE LEARNING APPLICATIONS”.
De Klant erkent dat Pearson door het verstrekken van dit document voldoet aan de controlevereisten uiteengezet in artikel 28, lid 3, onder h), van de AVG of enige andere verplichting die is opgenomen in een overeenkomst tussen de partijen met betrekking tot gegevensbescherming of informatiebeveiliging.
9.3 Als de Klant om een verdere controle verzoekt, inclusief een audit of inspectie van de faciliteiten waar Pearson persoonsgegevens verwerkt, zullen Pearson en de Klant de datum(s), de reikwijdte en de beveiligings- en vertrouwelijkheidscontroles overeenkomen die van toepassing zijn op een dergelijke audit of inspectie.
9.4 Pearson kan een vergoeding in rekening brengen voor een dergelijke audit of inspectie en zal de Klant voorafgaand aan een dergelijke audit of inspectie details verstrekken over eventuele toepasselijke vergoedingen. De Klant is verantwoordelijk voor alle kosten in verband met een dergelijke audit of inspectie.
10. Internationale gegevensoverdrachten
De klant gaat ermee akkoord dat Pearson het recht heeft om Persoonsgegevens binnen de Europese Economische Ruimte door te geven en te verwerken. Klant stemt ook in met de doorgifte en of verwerking van Persoonsgegevens buiten de Europese Economische Ruimte op voorwaarde dat de doorgifte t in overeenstemming is met een van de toegestane mechanismen die worden voorgeschreven door de Gegevensbeschermingswetgeving.
11. Beëindiging
De Klant instrueert Pearson om de Persoonsgegevens te bewaren gedurende een redelijke periode na beëindiging of afloop van de Leveringsovereenkomst om eventuele latere controles of gegevensherstel die door de Klant kunnen worden vereist te ondersteunen. Daarna zal Pearson Persoonsgegevens vernietigen die in zijn bezit of beheer zijn. Deze verplichting (om gegevens te vernietigen) is niet van toepassing voor zover Pearson vereist is op grond van haar interne beleid of door enige Europese of andere toepasselijke wetgeving van de Europese Unie (of een andere lidstaat van de Europese Unie) of door enige contractuele verbintenissen na beëindiging van de Leveringsovereenkomst om enkele of alle Persoonsgegevens te bewaren. De bepalingen van dit Addendum blijven van toepassing op Persoonsgegevens die door Pearson worden bewaard, niettegenstaande beëindiging of afloop van de Leveringsovereenkomst.
12. Effect van dit Addendum
Met ingang van de ingangsdatum vervangt dit Addendum de bepalingen inzake gegevensbescherming in elke Leveringsovereenkomst en wordt deze opgenomen in elke Leveringsovereenkomst. In geval van tegenstrijdigheid tussen de bepalingen van dit Addendum en de rest van de toepasselijke Leveringsovereenkomst, gelden de bepalingen van dit Addendum. Onder voorbehoud van de wijzigingen in dit Addendum blijft elke Leveringsovereenkomst onverminderd van kracht. Voor alle duidelijkheid: als de Klant meer dan één Leveringsovereenkomst heeft gesloten, zal dit Addendum elke Leveringsovereenkomst afzonderlijk wijzigen.
SCHEMA
Pearson levert de volgende diensten aan de Klant waarvoor deze verwerkersovereenkomst van toepassing is*:
❏ Q-interactive
❏ Q-global
❏ Cogmed
❏ TalentLens Online/PAN
❏
❏
* Aankruisen wat bij u van toepassing is.
Getekend door en namens de Klant
Handtekening:
Naam:
Functie:
Functionaris voor de gegevensbescherming van de Klant
Naam:
Email:
Getekend door en namens XXXXXXX BENELUX BV
Handtekening:
Naam: Xxxx Xxxx Xxxxxxxxx
Functie: Vice President Clinical & Talent Assessment Europe and Africa
Bijlage A: Specificatie van verwerkingen van persoonsgegevens
Versienummer 01, Datum laatste aanpassing: 17-08-2022
Deze bijlage is onderdeel van het addendum en specificeert de verwerkingen van persoonsgegevens door Pearson. De verwerkingsverantwoordelijke geeft in het Addendum zelf aan welk(e) platform(s) zij gebruikt.
Onderwerp van de verwerking |
Q global |
Cliënten: verwerking en opslag van testgegevens (-scores), en klantgegevens voor psychodiagnostische doeleinden. |
Klanten: identificeren en autoriseren van testleiders om toegang te krijgen tot testgegevens van hun cliënten. |
Q interactive |
Cliënten: administreren van psychodiagnostische testgegevens, verwerking en opslag van testgegevens en cliëntgegevens voor psychodiagnostische doeleinden. Klanten: identificeren en autoriseren van testleiders om toegang te krijgen tot testgegevens van hun cliënten. |
PSI/Talogy |
Cliënten: verwerking en opslag van testgegevens en klantgegevens voor werving- en selectiedoeleinden (HR). |
Klanten: identificeren en autoriseren van testleiders om toegang te krijgen tot testgegevens van hun cliënten. |
Aard en doel van de verwerking |
Q-global Q-global is een digitaal platform dat klanten/clinici ondersteunt bij hun diagnostische proces. Met Q-global kan de klant/clinicus verschillende psychologische testen afnemen en beheren voor hun cliënten, zoals persoonlijkheidstesten, intelligentietesten etc. Q-interactive Q-interactive is een digitaal platform dat klanten/clinici ondersteunt bij hun diagnostische proces. Met Q-interactieve kan de klant/clinicus verschillende psychologische en spreek/taaltesten afnemen en beheren door gebruik van twee iPads. PSI/Talogy PSI/Talogy’s True Talent platform ondersteunt HR teams bij het beheren en beoordelen van kandidaten om te beoordelen of de kandidaat geschikt is voor de openstaande functie. Tevens kan het gebruikt worden voor (de door)ontwikkeling van medewerkers. |
Categories of Data Subjects |
Q global |
Klanten/Clinici |
Cliënten |
Q interactive |
Klanten/Clinici |
Cliënten |
PSI/Talogy |
Klanten/kandidaten |
Categorieën van persoonsgegevens | |
Q interactive | |
Normaal | Bijzondere categoriëen |
1. Klanten/clinici Gebruikersaccount, gebruikersnaam, wachtwoord, e-mailadres. 2. Cliënten Geboortedatum, datum van de test, ruwe testscores. | |
Q Global | |
Normaal | Bijzondere categoriëen |
1. Klanten/clinici Gebruikersaccount, gebruikersnaam, wachtwoord, e-mailadres. 2. Cliënten Geboortedatum, datum van de test, ruwe testscores. | |
PSI/Talogy | |
Normaal | Bijzondere categoriëen |
1. Klanten/kandidaten Voornaam, achternaam, e-mailadres. | |
Duur van de verwerking |
De persoonsgegevens worden door Pearson opgeslagen totdat deze verwijderd worden door de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is verplicht de persoonsgegevens van de platforms onmiddellijk te verwijderen wanneer deze niet meer noodzakelijk zijn voor de doeleinden waarvoor de persoonsgegevens zijn verwerkt. |
Contactgegevens van de FG van Pearson |