Contract

Dit Addendum Gegevensverwerking (“DPA”) van Xxxxxx is integraal onderdeel van de Licentie- en Serviceovereenkomst Eindgebruikers van Xxxxxx (hierna de “Overeenkomst”). Het treedt in werking op de hieronder vermelde ondertekeningsdatum (de “Ingangsdatum”) en is opgesteld door en tussen de hieronder of in de Overeenkomst genoemde klant (“Verwerkingsverantwoordelijke”) en de toepasselijke in deze DPA vermelde Ivanti- entiteit (hierna “Ivanti” of de “Verwerker”) (afzonderlijk een “Partij” en gezamenlijk de “Partijen” genoemd). In hoofdletters geschreven begrippen die niet in dit addendum worden gedefinieerd, hebben de betekenis die hieraan is gegeven in de Overeenkomst.

OVERWEGINGEN

OVERWEGENDE dat de Partijen de Overeenkomst zijn aangegaan.

OVERWEGENDE dat de Verwerker gedurende het verlenen van de Services aan de Verwerkingsverantwoordelijke uit hoofde van de Overeenkomst, Persoonsgegevens kan Verwerken namens de Verwerkingsverantwoordelijke.

OVERWEGENDE dat de Partijen, om toereikende veiligheidsvoorzieningen te waarborgen ten aanzien van de Verwerking van Persoonsgegevens die de Verwerkingsverantwoordelijke verstrekt aan de Verwerker, overeenkomen de volgende bepalingen na te leven met betrekking tot Persoonsgegevens, en beide Partijen redelijk en te goeder trouw handelen.

DAARTOE, rekening houdend met de bovengenoemde aannames en de hieronder beschreven wederzijdse verbintenissen en convenanten, komen de Verwerkingsverantwoordelijke en de Verwerker het volgende overeen:

OVEREENKOMST

1. DEFINITIES

In hoofdletters geschreven begrippen die hier niet worden gedefinieerd, hebben de betekenis die hieraan is gegeven in de Overeenkomst.

“Gelieerde onderneming” staat voor een entiteit die direct of indirect zeggenschap uitoefent over, of onder zeggenschap of gezamenlijke zeggenschap staat van de betrokken entiteit. “Zeggenschap,” staat, in de context van deze definitie, voor het directe of indirecte eigendom of het bezit van meer dan 50% van het stemrecht van de betrokken entiteit.

“Toepasselijke Gegevensbeschermingswetgeving” staat voor alle toepasselijke wetten, regels, wettelijke voorschriften of vereisten in een rechtsgebied met betrekking tot gegevensbescherming, privacy of vertrouwelijkheid van Persoonsgegevens, waaronder onder meer (a) de AVG, met inbegrip van mogelijke omzettings-, uitvoerings- of bijkomende maatregelen, en (b) de CCPA.

“Bevoegde Gelieerde onderneming” staat voor Gelieerde ondernemingen van de Verwerkingsverantwoordelijke die (a) zijn onderworpen aan de wet- en regelgeving inzake Gegevensbescherming van de Europese Economische Ruimte en/of de Lidstaten, het Verenigd Koninkrijk, en Zwitserland, (b) zijn onderworpen aan de wet- en regelgeving inzake Gegevensbescherming die geldt buiten de Europese Economische Ruimte en/of de Lidstaten, Zwitserland, en het Verenigd Koninkrijk (in voorkomend geval), en (c) het recht hebben de Verwerker te gebruiken voor Gegevensverwerking op grond van de Overeenkomst.

“CCPA” staat voor de California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq., en de voorschriften hiervan tot omzetting in lokale wetgeving.

“Verwerkingsverantwoordelijke” staat voor de entiteit die de doeleinden en middelen van de Verwerking van Persoonsgegevens bepaalt. Voor alle duidelijkheid: de Partij die hierboven wordt aangeduid als “Verwerkingsverantwoordelijke” is een Verwerkingsverantwoordelijke krachtens deze DPA.

“Datalek” staat voor een inbreuk op de beveiliging die leidt tot het onbedoeld, ongeoorloofd of onrechtmatig vernietigen, verliezen, wijzigen, openbaren van of toegang krijgen tot doorgegeven, opgeslagen of anderszins Verwerkte Persoonsgegevens.

“Autoriteit Persoonsgegevens” staat voor een vertegenwoordiger of functionaris van een overheidsorgaan of agentschap dat gerechtigd is toezicht te houden op de handhaving van de Toepasselijke Gegevensbeschermings- wetgeving.

“Betrokkene” staat voor een natuurlijke persoon op wie Persoonsgegevens betrekking hebben.

“AVG” staat voor de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EC (General Data Protection Regulation).

“Ivanti” staat voor de hieronder vermelde entiteit in dezelfde geografische regio als de Klant:

- Ivanti, Inc., een in Delaware gevestigde onderneming, in Amerika, behalve Brazilië.

- Ivanti Comércio de Software Brasil Ltda, een Braziliaanse onderneming, in Brazilië.

- Ivanti Software K.K., een Japanse onderneming, in Japan.

- Ivanti Software Technology (Beijing) Co., Ltd., een Chinese onderneming, in China.

- Ivanti International Limited, een Ierse onderneming, voor producten en services onder de merknamen Wavelink en Naurtech in Europa, het Midden-Oosten, Afrika, en de regio Australazië.

- Ivanti UK Limited, een vennootschap ingeschreven in Engeland en Wales, in alle andere landen.

“Persoonsgegevens” staat voor informatie aan de hand waarvan de identiteit van een identificeerbare of te identificeren natuurlijke persoon of een specifiek huishouden kan worden afgeleid of die met hem/haar in verband kan worden gebracht, of informatie die redelijkerwijs direct of indirect aan hem/haar kan worden gekoppeld. Een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of met behulp van specifieke factoren die verband houden met de lichamelijke, fysiologische, erfelijke, geestelijke, economische, culturele of sociale identiteit van deze natuurlijke persoon.

“Verwerking” staat voor een handeling of reeks van handelingen die worden uitgevoerd op Persoonsgegevens gedurende, in verband met of ten behoeve van de, al dan niet geautomatiseerde, uitvoering van de Services, zoals het verzamelen, opslaan, beheren, bewaren, aanpassen of wijzigen, opvragen, inzien, gebruiken, openbaren door doorgifte, verspreiden of anderszins beschikbaar maken, op elkaar afstemmen of combineren, blokkeren, wissen of vernietigen; en zoals gedefinieerd door Toepasselijke Gegevensbeschermingswetgeving.

“Verwerker” staat voor de entiteit die Persoonsgegevens Verwerkt in naam van de Verwerkingsverantwoordelijke. Voor alle duidelijkheid: de Partij die hierboven wordt aangeduid als “Verwerker” is een Verwerker krachtens deze DPA.

“Services” staat voor de Verwerking van Persoonsgegevens door de Verwerker met betrekking tot en ten behoeve van de uitvoering van de door de Verwerker op grond van de Overeenkomst te verlenen diensten.

“Dienstverlener” staat voor een eenmanszaak, samenwerkingsverband, vennootschap met beperkte aansprakelijkheid, organisatie, associatie of andere rechtspersoon die is georganiseerd of wordt geëxploiteerd ten behoeve van de financiële voordelen en baten van zijn aandeelhouders of andere eigenaars, en gegevens verwerkt in naam van een Verwerkingsverantwoordelijke en aan wie de Verwerkingsverantwoordelijke Persoonsgegevens verstrekt van een Betrokkene voor een Zakelijk Doeleinde op grond van een schriftelijke overeenkomst, mits de overeenkomst de Dienstverlener verbiedt de Persoonsgegevens te bewaren, gebruiken of openbaren voor enig ander doeleinde dan het in de overeenkomst beschreven specifieke doeleinde van het uitvoeren van de diensten, of anderszins toegestaan door de CCPA, met inbegrip van het bewaren, gebruiken of openbaren van de Persoonsgegevens voor een Commercieel Doeleinde anders dan het uitvoeren van de in de overeenkomst beschreven diensten aan de Verwerkingsverantwoordelijke. De begrippen “Zakelijk Doeleinde” en “Commercieel Doeleinde” hebben dezelfde betekenis als wanneer deze begrippen worden gebruikt in de CCPA. Voor alle duidelijkheid: de Verwerker is een Dienstverlener.

“Subverwerker” staat voor een entiteit die Persoonsgegevens Verwerkt in naam van de Verwerker.

2. VERWERKING VAN PERSOONSGEGEVENS

2.1 Rollen van de Partijen. De partijen verklaren en komen overeen dat ten aanzien van de Verwerking van Persoonsgegevens, de Verwerkingsverantwoordelijke de rol vervult van Verwerkingsverantwoordelijke, en de Verwerker die van Verwerker of Dienstverlener. De grondslag, duur, doeleinde van de Verwerking, en de types van Persoonsgegevens en Gegevenscategorieën die op grond van deze DPA worden Verwerkt, worden uitgebreid beschreven in Aanhangsel 1.

2.2 Plichten van de Verwerkingsverantwoordelijke. De instructies van de Verwerkingsverantwoordelijke ten aanzien van de Verwerking van Persoonsgegevens moeten voldoen aan de Wet- en Regelgeving inzake Gegevensbescherming. De Verwerkingsverantwoordelijke draagt de volledige verantwoordelijkheid voor de nauwkeurigheid, kwaliteit en rechtmatigheid van Persoonsgegevens en de middelen waarmee de Verwerkingsverantwoordelijke Persoonsgegevens verzamelt en aan de Verwerker verstrekt.

2.3 Plichten van de Verwerker. Alle Persoonsgegevens die de Verwerker op grond van de Overeenkomst Verwerkt zijn Vertrouwelijke Informatie en de Verwerker Verwerkt Persoonsgegevens uitsluitend op basis van door de Verwerkingsverantwoordelijke gegeven schriftelijke instructies, uiteengezet in Aanhangsel 1 of anderszins schriftelijk door de Verwerkingsverantwoordelijke verstrekt. De Verwerker onthoudt zich van de verkoop van de uit hoofde van deze DPA Verwerkte Persoonsgegevens en zal Persoonsgegevens evenmin bewaren, gebruiken of openbaren buiten de directe handelsbetrekkingen tussen de Verwerker en Verwerkingsverantwoordelijke. De Verwerker neemt alle Toepasselijke Wetten inzake Gegevensbescherming in acht met betrekking tot de Verwerking van Persoonsgegevens. Verwerker zal Persoonsgegevens die zijn verstrekt door de Gegevensverantwoordelijlke niet combineren met Persoonsgegevens die hij ontvangt van andere bronnen. Indien de Verwerker van mening is dat de naleving van enige instructie van de Verwerkingsverantwoordelijke zou leiden tot een schending van een Toepasselijke Wet inzake Gegevensbescherming, stelt de Verwerker de Verwerkingsverantwoordelijke hierover onverwijld schriftelijk in kennis. De Verwerker verstrekt de Verwerkingsverantwoordelijke alle noodzakelijke informatie om aan te tonen dat de Verwerker voldoet aan zijn verplichtingen krachtens deze DPA.

2.3.1. Behoefte aan Bijstand. De Verwerker staat de Verwerkingsverantwoordelijke bij op het gebied van: naleving van de Toepasselijke Gegevensbeschermingswetgeving; vermeende en relevante Datalekken; kennisgevingen aan of informatieaanvragen van een Autoriteit voor Gegevensbescherming; kennisgevingen en informatieaanvragen van Betrokkenen; en de plicht van de Verwerkingsverantwoordelijke om effectbeoordelingen van de gegevensbescherming uit te voeren en voorafgaand te overleggen met een Autoriteit voor Gegevensbescherming.

3. MEDEDELINGSPLICHTEN

3.1 Mededelingsplichten van de Verwerker. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld schriftelijk in kennis van:

3.1.1 Een verzoek van een Betrokkene om zijn/haar privacyrechten uit te oefenen zoals het recht op inzage, rectificatie, vernietiging, dataportabiliteit, bezwaar of beperking van de verwerking van zijn/haar Persoonsgegevens;

3.1.2 Verzoeken of klachten ontvangen van de klanten of werknemers van de Verwerkingsverantwoordelijke;

3.1.3 Vragen, klachten, onderzoeken of andere informatieverzoeken van een Autoriteit voor Gegevensbescherming;

3.1.4 Verzoeken tot openbaring van Persoonsgegevens die op enigerlei wijze in verband staan met de Verwerking van Persoonsgegevens door de Verwerker op grond van deze DPA;

3.1.5 Een Datalek op grond van de mededelingsplicht uiteengezet in Artikel 7.1; en

3.1.6 Wanneer de Persoonsgegevens het onderwerp zijn van onderzoek en inbeslagneming, bevel tot beslaglegging, confiscatie bij faillissements- of insolventieprocedures, of vergelijkbare gebeurtenissen of maatregelen van derden gedurende de Verwerking.

De Verwerker zal de Verwerkingsverantwoordelijke bijstaan bij het vervullen van zijn plichten in het beantwoorden van verzoeken ten aanzien van bovenstaand lid (3.1.1) tot (3.1.6) en zal niet ingaan op dergelijke verzoeken zonder de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, tenzij de Verwerker hiertoe wettelijk verplicht is.

3. VERTROUWELIJKHEID

4.1 Vertrouwelijke Informatie. Alle Informatie die aan de Verwerker wordt verstrekt uit hoofde van de Overeenkomst is Vertrouwelijke Informatie.

4.2 Personeel van de Verwerker. De Verwerker garandeert dat zijn werknemers die betrokken zijn bij de Verwerking van Persoonsgegevens, zijn geïnformeerd over de vertrouwelijke aard van de Persoonsgegevens, naar behoren zijn opgeleid en geïnstrueerd over hun verantwoordelijkheden, en schriftelijke geheimhoudingsovereenkomsten hebben ondertekend. De Verwerker garandeert dat deze plicht tot geheimhouding

van werknemers ook van kracht blijft na beëindiging van hun arbeidsovereenkomst of dienstbetrekking bij de Verwerker.

4.3 Beperkte Toegankelijkheid. De Verwerker garandeert dat de toegang van het personeel tot Persoonsgegevens beperkt blijft tot werknemers die Services uitvoeren in overeenstemming met de Overeenkomst.

5. SUBVERWERKERS

5.1 Aanwijzing van Subverwerkers. De Verwerkingsverantwoordelijke verklaart en aanvaardt dat de Verwerker en zijn Gelieerde ondernemingen externe Subverwerkers kunnen aanstellen in verband met de uitvoering van de Services. De Verwerker of de Gelieerde ondernemingen van de Verwerker sluiten hiertoe een schriftelijke overeenkomst af met elke Subverwerker die verplichtingen tot gegevensbescherming bevatten die overeenkomen met het beschermingsniveau van de in deze DPA vervatte verplichtingen, voor zover van toepassing op de aard van de Services die door een dergelijke Subverwerker worden uitgevoerd. De Verwerkingsverantwoordelijke staat de Verwerker hierbij toe de Subverwerkers van zijn huidige lijst aan te stellen, zoals vermeld op xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx-xxxxxxxxxxxxx voor de Verwerking van Persoonsgegevens in overeenstemming met deze DPA. De Verwerkingsverantwoordelijke onderhoudt niet rechtstreeks contact over de Services met de Subverwerkers van de Verwerker, tenzij de Verwerker hiermee instemt.

5.2 Melding van Veranderingen van Subverwerkers. De Verwerker informeert de Verwerkingsverantwoordelijke omtrent voorgenomen veranderingen met betrekking tot de toevoeging of vervanging van Subverwerkers, door de Verwerkingsverantwoordelijke in staat te stellen gebruik te maken van een meldsysteem van nieuwe Subverwerkers op xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx-xxxxxxxxxxxxx. De Verwerker stelt de Verwerkingsverantwoordelijke in kennis omtrent voorgenomen veranderingen over de toevoeging of vervanging van Subverwerkers voorafgaand aan het aanstellen van de Subverwerker.

5.3 Bezwaarrecht aangaande Nieuwe Subverwerkers. De Verwerkingsverantwoordelijke kan redelijkerwijs bezwaar aantekenen tegen de aanstelling door de Verwerker van een nieuwe Subverwerker, door de Verwerker hierover onverwijld binnen vijftien (15) werkdagen na ontvangst van de melding van de Verwerker schriftelijk in kennis te stellen. Indien de Verwerkingsverantwoordelijke bezwaar aantekent tegen de aanstelling van een nieuwe Subverwerker, zal de Verwerker redelijke inspanningen verrichten om de Services zodanig te veranderen voor de Verwerkingsverantwoordelijke dat de Verwerking van Persoonsgegevens door de afgewezen nieuwe Subverwerker wordt vermeden. Indien de Verwerker er niet in slaagt een dergelijke verandering te bewerkstelligen, heeft de Verwerkingsverantwoordelijke het recht de betreffende Overeenkomst te beëindigen ten aanzien van de Services die de Verwerker niet kan leveren zonder gebruik te maken van de afgewezen nieuwe Subverwerker.

5.4 Aansprakelijkheid voor Handelingen van Subverwerkers. De Verwerker is aansprakelijk voor de handelingen en nalatigheden van zijn Subverwerkers, in dezelfde mate als waarin de Verwerker aansprakelijk zou zijn als de Services van elke Subverwerker rechtstreeks zouden worden uitgevoerd krachtens de bepalingen van deze DPA.

6. BEVEILIGING

6.1 Bescherming van Persoonsgegevens. De Verwerker neemt toereikende technische en organisatorische maatregelen ter waarborging van de veiligheid (met inbegrip van bescherming tegen ongeoorloofde of onrechtmatige Verwerking en tegen onbedoelde of onrechtmatige vernietiging, verlies, wijziging, beschadiging, ongeoorloofde openbaring van of toegang tot Persoonsgegevens), vertrouwelijkheid en integriteit van Persoonsgegevens.

6.2 Auditrechten. De Verwerkingsverantwoordelijke verklaart dat de Verwerker voldoet aan het auditrecht van de Verwerkingsverantwoordelijke door laatstgenoemde te voorzien van up-to-date verklaringen, rapporten of uittreksels van onafhankelijke instanties, waaronder onder meer externe of interne auditors, de functionaris gegevensbescherming van de Verwerker, zijn afdeling IT Security, databescherming of auditors Kwaliteit of andere onderlinge afspraken omtrent externe partijen of certificering middels een audit IT Security of databescherming. Voor zover het niet mogelijk is aan een auditplicht te voldoen, opgelegd door toepasselijke Wet- en Regelgeving inzake Gegevensbescherming, door dergelijke verklaringen, rapporten of uittreksels voor te leggen, heeft de Verwerkingsverantwoordelijke, of de vertegenwoordiger van de Verwerkingsverantwoordelijke, het recht om — op kosten van de Verwerkingsverantwoordelijke — de bedrijfsruimtes, beleidsregels, procedures en computersystemen van de Verwerker te onderwerpen aan een audit en inspectie, om zich ervan te verzekeren dat de Verwerker voldoet aan de vereisten van deze DPA. De Verwerkingsverantwoordelijke, of diens vertegenwoordiger, stelt de Verwerker ten minste dertig (30) dagen vóór het uitvoeren van een audit in kennis, tenzij een dergelijke audit is vereist wegens

een Datalek waarbij de Verwerker is betrokken. Door de Verwerkingsverantwoordelijke of diens vertegenwoordiger uitgevoerde audits laten de geheimhoudingsplicht van de Verwerker ten aanzien van zijn andere klanten onverlet. Audits worden te allen tijde verricht gedurende normale werkuren, op de hoofdvestiging van de Verwerker of andere locatie(s) van de Verwerker waar Persoonsgegevens worden ingezien, verwerkt of beheerd, en zullen de dagelijkse operaties en bedrijfsvoering van de Verwerker niet op onredelijke wijze verstoren. Vóór aanvang van een dergelijke audit, maken de Verwerker en de Verwerkingsverantwoordelijke onderling afspraken over het tijdstip, de reikwijdte en duur van de audit. De Verwerkingsverantwoordelijke kan een samenvatting van audit rapport(en) opvragen of de Verwerker niet meer dan één keer per jaar aan een audit onderwerpen.

7. DATALEKKEN

7.1 Melding van Datalek. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld schriftelijk in kennis na het ontdekken van een vermeend Datalek. In elk geval moet een dergelijke melding plaatsvinden binnen 72 uur na de ontdekking van het Datalek door de Verwerker.

7.2 Beheer van Xxxxxxx. De Verwerker stelt alles in het werk om de oorzaak op te sporen van een dergelijk Datalek en neemt alle maatregelen die hij noodzakelijk en redelijk acht om de oorzaak van een dergelijk Datalek te herstellen, voor zover dit herstel redelijkerwijs binnen zijn bereik ligt.

8. BEËINDIGING

8.1 Beëindiging. Deze DPA wordt automatisch beëindigt bij de gebeurtenis die zich het laatst voordoet, namelijk (a) de beëindiging of afloop van de Overeenkomst, of (b) de verwijdering of retournering van Persoonsgegevens door de Verwerker. Daarnaast is de Verwerkingsverantwoordelijke gerechtigd deze DPA rechtmatig te beëindigen indien de Verwerker, naar mening van de Verwerkingsverantwoordelijke, deze DPA wezenlijk of blijvend schendt, en, voor zover deze schending kan worden hersteld, heeft verzuimd de schending te herstellen binnen tien (10) dagen na de datum waarop de Verwerker een kennisgeving heeft ontvangen van de Verwerkingsverantwoordelijke, waarin hij wordt gewezen op de schending en wordt verzocht deze te herstellen.

8.2 Retournering of Verwijdering van Xxxxxxxx. Bij de beëindiging van deze DPA, zal de Verwerker alle bestaande kopieën en bestanden van Persoonsgegevens verwijderen of retourneren, tenzij toepasselijke wetgeving voorschrijft dat de Persoonsgegevens moeten worden bewaard. Op verzoek van de Verwerkingsverantwoordelijke, bevestigt de Verwerker schriftelijk te voldoen aan deze verplichtingen en alle bestaande kopieën en bestanden verwijderen. In het geval dat lokale wetgeving voorschrijft dat de Verwerker Persoonsgegevens moet bewaren, staat de Verwerker in voor de vertrouwelijkheid, integriteit en toegankelijkheid van de Persoonsgegevens; onthoudt zich van de actieve Verwerking van de Persoonsgegevens; en blijft de bepalingen van deze DPA naleven.

9. MECHANISMES VOOR INTERNATIONALE DOORGIFTE

9.1 Doorgifte buiten de EU. Gedurende de uitvoering van Services uit hoofde van de DPA, zijn Verwerkingsverantwoordelijken mogelijk genoodzaakt Persoonsgegevens vanuit de Europese Unie, de Europese Economische Ruimte en/of de Lidstaten, Zwitserland, of het Verenigd Koninkrijk, door te geven aan een Verwerker in een land waarvan het beschermingsniveau niet toereikend wordt geacht door de Europese Commissie of dat niet behoort tot de Europese Economische Ruimte.

9.1.1. Met betrekking tot Persoonsgegevens onderworpen aan de AVG (i) wordt de Verwerker beschouwd als de "gegevensimporteur" en de Verwerkingsverantwoordelijke als de "gegevensexporteur"; (ii) zijn de voorwaarden van Module Twee van toepassing wanneer de Verwerkingsverantwoordelijke een Gegevensbeheerder is en de Verwerker een Gegevensverwerker; (iii) wordt de optionele docking-clausule van Clausule 7 verwijderd; (iv) is in Clausule 9 van Module Twee, Optie 2 van toepassing en is de lijst van Subverwerkers en het tijdbestek voor het melden van veranderingen zoals overeengekomen onder Deel 5 van deze DPA; (v) wordt in Clausule 11 de taaloptie verwijderd; (vi) is in Clausule 17, Optie 1 van toepassing en worden de standaardcontractbepalingen beheerd door de lidstaat waar de Verwerkingsverantwoordelijke is gevestigd; (vii) in Clausule 18(b), zullen geschillen worden beslecht voor de rechtbanken van de lidstaat waar de Verwerkingsverantwoordelijke is gedomicilieerd; (viii) worden Bijlage I en Bijlage II geacht te worden aangevuld met de informatie vervat in Aanhangsel 1 van deze DPA; en (ix) prevaleren de Standaardcontractbepalingen in het geval deze in strijd zijn met enige bepaling van de Overeenkomst (deze DPA inbegrepen). In dit deel, worden de Standaardcontractbepalingen van het Uitvoeringsbesluit van de Commissie (EU) 2021/914 door verwijzing opgenomen; zij kunnen worden ingezien op: xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxx-xxxx-xxxxxxxxxx/xxxxxxxx-

contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

9.1.2. Met betrekking tot Persoonsgegevens die zijn onderworpen aan de Wetten inzake Gegevensbescherming van het VK, is de Internationale Overeenkomst inzake Gegevensdoorgifte (“International Data Transfer Agreement - IDTA”) van toepassing, met inachtneming van de volgende wijzigingen: (i) de contactinformatie over de partijen van de Overeenkomst is de contactinformatie voor de IDTA; (ii) de Verwerkingsverantwoordelijke is de gegevensexporteur en de Verwerker is de gegevens- importeur; (iii) de IDTA wordt beheerd door de wetgeving van Engeland en Wales en rechtsvorderingen worden voorgelegd aan de rechtbanken van Engeland en Wales; (iv) de GDPR (AVG) van het VK is niet van toepassing op de verwerking door de gegevensimporteur van doorgegeven gegevens; (v) de Partijen maken niet gebruik van de aanvullende beschermings- of handelsclausules van de IDTA; en (vi) de informatie in deze DPA en Aanhangsel 1 kan worden gebruikt voor Tabellen 1-4. In dit deel, worden de Standaardcontractbepalingen van het Information Commissioner’s Office van het VK door verwijzing opgenomen; zij kunnen worden ingezien op: xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx-xxxxxxxxxx/xxxxx-xx-xxx-xxxxxxx- data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

9.1.3. Met betrekking tot Persoonsgegevens die zijn onderworpen aan de Zwitserse DPA, zijn de in Deel 9.1.1 vermelde Standaardcontractbepalingen van toepassing, met inachtneming van de volgende wijzigingen (i) verwijzingen naar "Verordening (EU) 2016/679" moeten worden geïnterpreteerd als verwijzingen naar de Zwitserse DPA; (ii) verwijzingen naar "EU", "Unie" en "wetgeving Lidstaat" moeten worden geïnterpreteerd als verwijzingen naar de Zwitserse wetgeving; en (iii) verwijzingen naar de "bevoegde toezichthouder" en "bevoegde rechtbanken" moeten worden vervangen door "de Zwitserse Federale Commissaris voor Gegevensbescherming en Informatie " en de "relevante rechtbanken in Zwitserland".

9.2. Alternatieve Mechanismes voor Gegevensdoorgifte. De Partijen verklaren dat de wetten, regels en voorschriften betreffende internationale gegevensdoorgifte onderhevig zijn aan razendsnelle ontwikkelingen. Indien de Verwerkingsverantwoordelijke een ander mechanisme voor het doorgeven van Persoonsgegevens aanneemt, dat wordt toegestaan door toepasselijke wetten, regels en voorschriften (elk een “Alternatief Mechanisme voor Gegevensdoorgifte” genoemd), komen de Partijen overeen in goed vertrouwen samen te werken bij het implementeren van de noodzakelijke aanpassingen in deze Overeenkomst voor de invoering van het Alternatieve Mechanisme voor Gegevensdoorgifte.

10. OVERIGE BEPALINGEN

10.1. Aanpassingen. Deze DPA kan niet worden aangepast of aangevuld, evenmin kan worden aangenomen dat van enig hierin vervatte bepaling afstand wordt gedaan of anderszins wordt gewijzigd, met uitzondering van een volgens de regels ondertekend schrijven door bevoegde vertegenwoordigers van beide partijen.

10.2 Toepasselijke Wetgeving. Deze DPA wordt beheerd door de toepasselijke wetgeving, zoals wordt vermeld in de Overeenkomst.

TEN BLIJKE WAARVAN, de betrokken partijen deze Overeenkomst hebben ondertekend op de Ingangsdatum.

GEGEVENSVERANTWOORDELIJKE: IVANTI

Handtekening:   Handtekening:              

Naam:   Naam:                 

Functie:   Functie:                

Datum:   Datum:                

Lijst van Aanhangsels:

Aanhangsel 1: Beschrijving van de Verwerking

AAHANGSEL 1

Beschrijving van de Verwerking

Ivanti Contactinformatie:

Ivanti

00000 Xxxxx Xxxxxx Xxxxxxx Xxxxx 000

Xxxxx Xxxxxx, Xxxx 00000

DPO Contact: xxxxxxx@xxxxxx.xxx

Grondslag

De grondslag van de Verwerking:

Verlening van IT-softwarelicenties, ondersteunende diensten en implementatie, op locatie of als een gehoste SaaS- oplossing, voor het beheren en faciliteren van essentiële bedrijfsprocessen op het gebied van geïntegreerd endpoint management, IT-servicemanagement, IT-assetmanagement, beveiliging, rapportage en data-analyse, en supplychain.

IT-services omvatten het gebruik van software als een installatie op locatie of een SaaS-oplossing, inclusief installatie van modules (waaronder onder meer modules voor incident-, verander-, asset-, configuratie- en releasemanagement); selfservice- en servicecatalogi; support en onderhoud waaronder, onder meer, remote access; en patches, appcontrole, endpoint/mobiele beveiliging en privileged management.

Verwerkingsfrequentie:

Permanent.

Duur

Duur van de Verwerking:

Als vermeld in de Overeenkomst.

Omvang, Type en Doeleinde van de Verwerking

De omvang, het type en het doeleinde van de Verwerking is als volgt:

Zoals vermeld in de Overeenkomst.

Betrokkenen

De Verwerking van Persoonsgegevens kan betrekking hebben op de volgende categorieën van Betrokkenen: Klanten, potentiële klanten, werknemers, leveranciers, verkoopvertegenwoordigers; contacten; contractors (inclusief contractanten); vrijwilligers; tijdelijk personeel en oproepkrachten; freelancers, agenten, consultants en andere zakelijke respondenten, en hun respectievelijke rechthebbenden, begunstigden en noodcontacten; toekomstige werknemers en tijdelijk personeel van klanten; indieners van klachten, correspondenten en aanvragers; adviseurs, consultants en andere beroepsdeskundigen; werknemers of contactpersonen van potentiële klanten, klanten, businesspartners en verkopers van gegevensexporteur; businesspartners en verkopers van gegevensexporteur (natuurlijke personen); en bevoegde gebruikers van gegevensexporteur die door laatstgenoemde worden toegestaan de software en verwante services te gebruiken.

Gegevenscategorieën

De Verwerkte Persoonsgegevens kunnen betrekking hebben op de volgende categorieën van gegevens: Klantgegevens die worden geüpload naar de Services in verband met de services en accounts van de Klant.

Technische en Organisatorische Maatregelen

Hieronder volgt een beschrijving van de door de Verwerker ingevoerde technische en organisatorische veiligheidsmaatregelen:

Opleiding Veiligheidsbesef

De Verwerker organiseert een opleiding inzake veiligheidsbesef, die een verplichte veiligheidstraining omvat over het omgaan met en veiligstellen van vertrouwelijke informatie en gevoelige informatie zoals persoonlijke identificeerbare gegevens, financiële accountgegevens, en gezondheidsgegevens, in overeenstemming met toepasselijke wet- en regelgeving, alsmede periodieke communicatie- en veiligheidstrainingen over veiligheidsbesef, gericht op het bewustzijn van eindgebruikers.

Veiligheidsbeleid en -Procedures

De Verwerker hanteert beleidsregels omtrent gegevensbeveiliging, datagebruik en datamanagement die de handelingen voorschrijven van werknemers en contractors ten aanzien van passend gebruik, toegang tot en opslag van vertrouwelijke en gevoelige informatie; beperkte toegang tot vertrouwelijke en gevoelige informatie voor personeelsleden van de Verwerker die dergelijke informatie nodig hebben om hun taken te vervullen; belet de toegang tot gegevens van de Verwerker aan werknemers waarvan het dienstverband is opgezegd of beëindigd; en legt disciplinaire maatregelen op bij veronachtzaming van dergelijke voorschriften. Weigering van systeemtoegang tot hulpbronnen van Verwerker, tenzij expliciet beoordeeld en verlening van toegang. De Verwerker voert controles uit naar de achtergrond van zijn werknemers vóór hun aanstelling, een en ander binnen de grenzen van de wet.

Fysieke Toegangscontrole en Omgevingscontrole

De Verwerker beperkt de fysieke toegang tot zijn informatiesystemen en installaties door middel van fysieke controles (bijv. gecodeerde toegangspas), die een redelijke mate van zekerheid geven dat de toegang tot zijn datacenters beperkt blijft tot bevoegde personen en maakt gebruik van camera- of videobewakingssystemen op kritieke interne en externe toegangspunten. De Verwerker maakt gebruik van luchttemperatuur- en luchtvochtigheidscontroles voor zijn datacenters en voorziet in bescherming tegen verlies als gevolg van stroomuitval.

Logische Toegangscontrole

De Verwerker maakt gebruik van logging- en bewakingstechnologie die een bijdrage levert aan het opsporen en verhinderen van pogingen ongeoorloofd toegang te verwerven tot zijn netwerken en productiesystemen. De bewaking van de Verwerker omvat het analyseren van veranderingen die van invloed zijn op de manier waarop het systeem omgaat met authentificeren, autoriseren en auditen; geprivilegieerde toegang tot de productiesystemen van de Verwerker.

Encryptiecontrole

De Verwerker voert bedrijfsspecifieke encryptiecontroles uit op onze producten. De Verwerker beoordeelt en past in-transit en at-rest encryptie toe, waarbij gebruik wordt gemaakt van de beste versleutelingstechnieken van de sector. Best practices worden toegepast voor het lifecyclemanagement van encryptiesleutels, inclusief generatie, opslag, toegangscontrole, en rotatie.

Vulnerability Management

De Verwerker voert regelmatig scans uit om inzicht te verwerven in de kwetsbaarheid en behandelt opgespoorde kwetsbaarheden naargelang hun risicoprofiel. Ook de producten van de Verwerker worden onderworpen aan periodieke kwetsbaarheidsbeoordelingen en indringingstests.

Rampenbestrijding en Back-upcontrole

De Verwerker maakt periodiek back-ups van productiebestandssystemen en databases volgens een vastgestelde planning en hanteert een officieel rampenbestrijdingsplan voor het productie-clouddatacenter, inclusief het regelmatig uitvoeren van testen.

Responsplan voor Cyberincidenten

De Verwerker maakt gebruikt van een responsplan voor het beheren en minimaliseren van de effecten van ongeplande cyber-gebeurtenissen, met inbegrip van te volgen procedures in het geval van een actueel of potentieel veiligheidslek, waaronder: een intern incident-responsteam met een responsleider; een onderzoeksteam dat (hoofd)oorzaakanalyses uitvoert en aangetaste onderdelen identificeert; interne rapportage- en meldingsprocessen; documenteren van responsacties en herstelplannen; en een post-incident-evaluatie.

Veiligheid van Opslag en Doorgifte

De Verwerker voert technische beveiligingsmaatregelen in tegen ongeoorloofde toegang tot gegevens van de Verwerker die zijn doorgegeven via een openbaar elektronisch communicatienetwerk of elektronisch worden bewaard.

Veilige Verwijdering

De Verwerker hanteert beleidsregels en procedures met betrekking tot de verwijdering van materiële en immateriële eigendommen die gegevens van de Verwerker bevatten, zodat deze gegevens in de praktijk niet kunnen worden afgelezen of gereconstrueerd.

Risico-identificatie en Risicobeoordeling

De Verwerker maakt gebruik van een risicobeoordelingsprogramma dat een bijdrage levert aan het identificeren van voorzienbare interne en externe risico’s waaraan de informatiehulpbronnen van de Verwerker worden blootgesteld. Het programma bepaalt of huidige controles, beleidsregels en procedures toereikend zijn om de waargenomen risico’s effectief te bestrijden.

Verkopers en Dienstverleners

Externe dienstverleners of verkopers (gezamenlijk "Leveranciers" genoemd) met toegang tot vertrouwelijke informatie van de Verwerker worden onderworpen aan risicobeoordelingen om een inschatting te maken van de gevoeligheid van de door de Verwerker gedeelde informatie. Van Leveranciers wordt verwacht dat ze essentiële contractvoorwaarden met betrekking tot de veiligheid van gegevens van de Verwerker naleven, en toepasselijke voorschriften of procedures van de Verwerker in acht nemen. De Verwerker kan een Leverancier van tijd tot tijd verzoeken zijn beveiligingsstatus te herbeoordelen om aan de voorschriften te blijven voldoen.