Gebruiksvoorwaarden

voor erkende servicepartners voor B2B Connect Seller Center en WebParts Dealer Client

tussen Mercedes-Benz Nederland (Mercedes-Benz Nederland BV – Ravenswade, 4 – 3439 LD Nieuwegein - Nederland) (hierna 'MB Nederland' genoemd) en de erkende servicepartner (naam en adres) (hierna 'Partner' genoemd) van MB Nederland die deelneemt aan B2B Connect en bijbehorende diensten (B2B Connect Seller Center en WebParts Dealer Client), hierna gezamenlijk 'B2B Connect' genoemd.

Klanten in deze context zijn business-to-business, onafhankelijke ondernemingen die reparatie- en onderhoudsdiensten met betrekking tot motorvoertuigen uitvoeren (zoals individuele dienstverleners en fleetklanten) (hierna ook 'Klant' genoemd).

MB Nederland en Partner worden hierna ook 'Partijen' genoemd.

Preambule

B2B Connect wordt aangeboden door MB Nederland. B2B Connect is een technisch ecosysteem dat de verkoop van originele Mercedes- Benz-onderdelen via B2B Connect Seller Center omvat (zoals beschikbaar in het ecosysteem voor aftersales van Mercedes-Benz), evenals reparatie- en onderhoudsoplossingen, voor zover beschikbaar in de betreffende markt, aangeboden aan Klanten via andere subsystemen. Voor Partners worden de diensten omtrent B2B Connect aangeboden via WebParts Dealer Client en B2B Connect Seller Center. Functies van WebParts Dealer Client zullen bijgevolg naar B2B Connect Seller Center overgebracht worden.

De Klant krijgt toegang tot B2B Connect door zich te registreren, en kan zelf zijn gegevens bijwerken. Originele Mercedes-Benz- onderdelen kan hij echter pas via B2B Connect bestellen nadat de Partner hem in WebParts Dealer Client heeft aanvaard en geactiveerd (ook na migratie naar B2B Connect Seller Center).

Het doel van de huidige WebParts Dealer Client en B2B Connect Seller Center is om de Partner een klantgerichte, systemische oplossing te bieden op het internet, als een marketinginstrument in Aftersales (over-the-counter-business), alsook om de competitiviteit en rentabiliteit van Aftersales te verhogen. De bepalingen van de Overeenkomst inzake Erkende Services zijn ook van toepassing op deze Gebruiksvoorwaarden.

De Klantgegevens voor het bestelproces worden weergegeven aan de Partner via WebParts Dealer Client en in de toekomst via B2B Connect Seller Center, en kunnen worden geïmporteerd in het beheersysteem van de Partner.

§ 1 Systeemvereisten

Om de beschikbaarheid van onderdelen bij de Partner weer te geven aan de klant, moet de Partner verbonden zijn met de Logistikbus, die door MB Nederland in samenwerking met MBAG ter beschikking wordt gesteld. Anders is de beschikbare informatie beperkt.

§ 2 Diensten van MB Nederland, sluiten van contracten, wijziging, deelname en 5*Rater

B2B Connect Seller Center en WebParts Dealer Client stellen de Klanten van de Partner in staat om online originele onderdelen te bestellen, en wordt door MB Nederland ter beschikking gesteld aan de Partner.

Met B2B Connect Seller Center en WebParts Dealer Client, verstrekt door MB Nederland, kan de Partner:

- geactiveerde Klanten zien;

- catalogusprijzen aanpassen;

- kortingspercentages bepalen;

- eigen kortingscodes voor Klanten bepalen;

- de geselecteerde kortingscode voor de Klant toewijzen;

- eigen kortingsgroepen bepalen;

- op verzoek van de Klant informatie over de geschatte leveringstermijn verstrekken;

- feedback van Klanten krijgen over zijn producten, diensten en algemene prestaties via 5*Rater;

- op maat gemaakte campagnevoorstellen en campagneondersteunende diensten ontvangen op basis van informatie over transacties die via B2B Connect met Klanten worden uitgevoerd (d.w.z. de naam van de klant, informatie over bestellingen enz.);

- bestelaanvragen en transacties met Klanten in B2B Connect en PartsLink24 verwerken.

Bij deelname aan B2B Connect kunnen Klanten de producten, diensten en algemene prestaties van de Partner beoordelen via 5*Rater. Door deelname en gebruik van B2B Connect Seller Center en WebParts Dealer Client erkent en aanvaardt de Partner dat Klanten feedback geven en dat MB Nederland deze informatie in geaggregeerde vorm zal ontvangen (die geen informatie bevat met betrekking tot bepaalde transacties) en het recht heeft om deze informatie te gebruiken voor de beoordeling van de markt- en partnerprestaties en voor het sturen van de algemene prestaties en samenwerking met de Partner. Verdere details met betrekking tot het gebruik van persoonsgegevens in deze context worden uiteengezet in Aanhangsel 1 bij deze Gebruiksvoorwaarden.

Op basis van de door de Klant ingevoerde gegevens kan de Klant via het internet bestellen bij de Partner, waarbij de klantspecifieke prijs en de beschikbaarheid van het originele Mercedes-Benz- onderdeel worden weergegeven. Voorwaarde hiervoor is dat de Klant zich heeft geregistreerd voor B2B Connect en dat de Partner de Klant heeft geactiveerd in WebParts Dealer Client. De bestelling van de Klant wordt via B2B Connect doorgegeven aan de Partner. Die kan door de Partner worden uitgelezen via een standaard exportformaat en kan in het beheersysteem van de Partner worden geïmporteerd.

Het staat de Partner vrij om te kiezen of hij bestellingen aanvaardt en welke van de ontvangen bestellingen hij wil aanvaarden. Als de Partner en een Klant geen andersluidende overeenkomst hebben gesloten, wordt een overeenkomst geacht tot stand te zijn gekomen op het ogenblik dat de Partner de bestelling van een Klant aanvaardt door een orderacceptatie door te sturen. De uitvoering van contracten via B2B Connect valt onder de uitsluitende verantwoordelijkheid van de respectieve Partner. Met betrekking tot contracten die via B2B Connect worden uitgevoerd, aanvaardt MB Nederland geen enkele garantie voor de uitvoering van contracten tussen de Partner en de Klanten via B2B Connect. MB Nederland zal geen enkele verplichting hebben om de uitvoering van de contracten tussen de Partner en de Klanten te garanderen.

MB Nederland heeft het recht om de functies die worden aangeboden via B2B Connect te wijzigen indien een dergelijke wijziging geen wijziging van deze Gebruiksvoorwaarden vereist. Tenzij anders overeengekomen zal MB Nederland de Partner minstens één maand voor een dergelijke wijziging schriftelijk (bv. e- mail) op de hoogte brengen.

Tenzij anders overeengekomen, is MB Nederland gerechtigd deze Gebruiksvoorwaarden te wijzigen voor zover een dergelijke wijziging op elk moment neutraal of voordelig is voor de Partner. Xxxxxx zal MB Nederland de Partner ten minste zes (6) weken voor een dergelijke wijziging schriftelijk op de hoogte brengen. Indien de Partner binnen vier (4) weken na ontvangst van een dergelijke kennisgeving geen schriftelijk bezwaar maakt tegen dergelijke wijzigingen, worden de voorgestelde wijzigingen zes (6) weken na de kennisgeving bindend voor de partijen. MB Nederland zal samen met een dergelijke kennisgeving aan de Partner laten weten wat de gevolgen zijn als hij geen bezwaar maakt tegen dergelijke wijzigingen. De Partner heeft het recht om bezwaar te maken tegen dergelijke wijzigingen. Indien de Partner bezwaar maakt, heeft MB Nederland het recht om het gebruik door de Partner van de diensten waarop een dergelijke wijziging betrekking heeft, te beëindigen wegens dringende reden.

In het geval dat MB Nederland WebParts Dealer Client rechtstreeks

in B2B Connect Seller Center integreert, blijven deze Gebruiksvoorwaarden van toepassing, behoudens noodzakelijke wijzigingen van deze Gebruiksvoorwaarden die in deze context overeenkomstig de bovenstaande bepalingen kunnen worden doorgevoerd.

§ 3 Gebruik van B2B Connect Seller Center en WebParts Dealer Client

De Partner krijgt via WebParts Dealer Client geïnteresseerde Klanten binnen die hij kan activeren voor onlinebestellingen. De activering moet zonder onnodige vertraging plaatsvinden.

De Partner is verantwoordelijk voor de naleving van de contractuele verkoopbeperkingen (in het bijzonder de Overeenkomst inzake Erkende Service en de Normen).

De mastergegevens, bv. bepaling van kortingspercentages voor zelf bepaalde kortingscategorieën van Klanten, toewijzing van originele Mercedes-Benz-onderdelen aan zelf bepaalde kortingsgroepen of campagnes enz. moeten door de Partner zelf in het systeem worden ingevoerd.

De Partner is vrij in zijn prijsstelling, in het toekennen van kortingen en in het labelen van kortingen voor Klanten. De prijzen, kortingen, kortingscodes voor Klanten of campagnes die in het systeem zijn opgeslagen of door de Partner zijn ingevoerd, worden aan de Klant getoond wanneer deze laatste zijn bestelling plaatst. Het is de verantwoordelijkheid van de Partner om ervoor te zorgen dat de gegevens up-to-date zijn.

De Partner is verplicht zijn algemene voorwaarden en zijn regelgeving inzake gegevensbescherming voor zijn Klanten in WebParts Dealer Client te plaatsen (en indien nodig de respectieve aanvaarding te verkrijgen). De algemene voorwaarden van de Partner moeten voldoende duidelijk aangeven dat de Partner de verkoper is van de originele onderdelen. De regelgeving inzake gegevensbescherming moet voldoende duidelijk aangeven dat de Partner verantwoordelijk is voor de verwerking van zijn klantengegevens met betrekking tot de uitvoering van een bestelling. Bovendien moet de regelgeving inzake gegevensbescherming van de Partner de toepasselijke wetgeving inzake gegevensbescherming (met inbegrip van informatieverplichtingen) naleven, in het bijzonder die van de Algemene Verordening Gegevensbescherming (AVG). Indien de Partner op enig moment tijdens de duur van deze Gebruiksvoorwaarden geen originele onderdelen kan aanbieden in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming, zal de Partner MB Nederland hiervan op de hoogte brengen. De Partner zal dan de mogelijkheid hebben om binnen een redelijke, door MB Nederland opgegeven termijn, een oplossing voor te stellen. Indien een door de Partner voorgestelde oplossing niet redelijkerwijs aanvaardbaar is voor MB Nederland, heeft MB Nederland het recht om deze Gebruiksvoorwaarden met onmiddellijke ingang geheel of gedeeltelijk te beëindigen.

Het doel van B2B Connect is de online presentatie van de aanbiedingen van de Partner met betrekking tot originele onderdelen. Klanten mogen B2B Connect alleen voor dit doel gebruiken.

Het gebruik van B2B Connect verleent, naast het gebruiksrecht overeenkomstig deze Gebruiksvoorwaarden, geen rechten aan B2B Connect, de gebruikte URL’s of de bijbehorende documenten (handleiding, rondleiding enz.).

De Partner verbindt zich ertoe ervoor te zorgen dat de door hem gebruikte hardware en software voor het gebruik van B2B Connect Seller Center en WebParts Dealer Client (voor zover van toepassing), met inbegrip van werkstations, routers, datacommunicatiesystemen enz. vrij zijn van virussen, wormen, Trojaanse paarden enz. Met betrekking tot alle door de Partner geüploade gegevens verbindt Partner zich ertoe ervoor te zorgen dat hij houder is van alle rechten op de geüploade gegevens en vrij kan beschikken over het gebruik ervan, met inbegrip van het feit dat dergelijke geüploade gegevens niet zijn bezwaard met rechten van derden, die een dergelijk gebruik verbieden.

De Partner kan Klanten via het B2B Connect Seller Center ondersteunen met klachten gericht aan MB Nederland, of andere verzoeken met betrekking tot B2B Connect op vraag van de Klant. Dergelijke ondersteuning is gratis (geen recht om vergoeding of terugbetaling van kosten of uitgaven te eisen tegen MB Nederland) en zal uitsluitend gebeuren onder de eigen verantwoordelijkheid en relatie van de Partner ten opzichte van de Klant en zonder dat MB Nederland enige verantwoordelijkheid aanvaardt voor het gebruik van het B2B Connect Seller Center door de Partner of bijkomende ondersteuning aan de Klanten. Dit is ook van toepassing op andere informatie in verband met transacties die de Partner verstrekt aan Klanten (bv. informatie over de geschatte leveringstermijn) in WebParts Dealer Client.

§ 4 Gegevensstroom

De Klant voert zijn gegevens in via zelfregistratie op B2B Connect. Deze gegevens worden geauthentiseerd en bewaard door de provider MB Nederland.

Deze gegevens worden ook aan de Partner verstrekt op B2B Connect Seller Center.

§ 5 Vertrouwelijkheid

De Partijen zullen alle technische en economische informatie vertrouwelijk behandelen, met inbegrip van gebruiksgegevens van Klanten, die tijdens de duur van deze Gebruiksvoorwaarden rechtstreeks of onrechtstreeks voor hen toegankelijk zal zijn in verband met het gebruik van B2B Connect. Deze gegevens zullen door MB Nederland enkel toegankelijk worden gemaakt voor derden indien dit noodzakelijk is voor de contractuele uitvoering of op andere wijze zoals hierin bepaald, en indien er een overeenkomstige geheimhoudingsovereenkomst met deze derden bestaat. Gegevens over Klanten die door de Partner worden geactiveerd of gebruiksgegevens van Klanten zullen enkel door MB Nederland worden gebruikt voor de uitvoering van deze Gebruiksvoorwaarden, en zullen door Mercedes-Benz AG worden geanonimiseerd voor de ontwikkeling van het platform.

Informatie en documenten die niet als vertrouwelijke informatie zijn geclassificeerd,

- zijn algemeen bekende informatie of informatie die bekend wordt zonder inbreuk op de verplichtingen vervat in deze Gebruiksvoorwaarden,

- informatie die een Partij op aantoonbare wijze heeft aangemaakt of verkregen in het kader van zijn eigen werkzaamheden, of

- informatie die MB Nederland op aantoonbare wijze rechtmatig van derden heeft ontvangen.

Een Partij is vrijgesteld van de verplichting om informatie vertrouwelijk te behandelen indien die Partij de informatie moet bekendmaken op grond van wettelijke voorschriften of beschikkingen van de bevoegde autoriteiten.

§ 6 Gegevensbescherming

Met betrekking tot de verkoop en het verkoopproces van originele onderdelen/diensten via B2B Connect zijn de Partijen van plan de relevante persoonsgegevens uit te wisselen tussen onafhankelijke verwerkingsverantwoordelijken, terwijl MB Nederland verantwoordelijk is voor de verwerking van persoonsgegevens met het oog op de werking van B2B Connect. Tenzij anders bepaald, zijn de Partijen doorgaans niet van plan een gezamenlijke gegevensverwerkingsinstantie op te richten met betrekking tot hun individuele verwerking van de persoonsgegevens van de Klant. Voor zover de relatie tussen MB Nederland, Mercedes-Benz AG (en/of zijn verbonden ondernemingen) en/of Partner in aanmerking komt of gekwalificeerd is als gezamenlijke verwerkingsverantwoordelijken overeenkomstig artikel 26 van de Algemene Verordening Gegevensbescherming (AVG), komen de Partijen overeen om met de gezamenlijke verwerkingsverantwoordelijken passende overeenkomsten te sluiten waarin de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken in overeenstemming met artikel 26 van de AVG zijn vastgelegd.

Desalniettemin verwerkt MB Nederland als verwerkingsverantwoordelijke persoonsgegevens van de Partner en de Klanten van de Partner (i) namens de Partner als verwerker, en

(ii) bij het gebruik van persoonsgegevens in de 5*Rater, voor ondersteuning via B2B Connect Seller Center, of voor bedrijfsanalyses en marketingcampagnes. De tussen de Partijen overeengekomen bepalingen inzake gegevensbescherming worden uiteengezet in Aanhangsel 1 bij deze Gebruiksvoorwaarden.

§ 7 Gegevenskwaliteit, verplichtingen van Partner

De Partner is verantwoordelijk voor het up-to-date houden van de nodige informatie die vereist is voor het aanbieden/weergeven van de originele onderdelen via WebParts Dealer Client (prijzen, kortingen, beschikbaarheid, leveringstermijnen enz.).

De Partner zal regelmatig online of na kennisgeving langs elektronische weg controleren of Klanten originele onderdelen hebben besteld. De Partner zal deze bestellingen exporteren naar het Dealer Management System en ze blijven verwerken. De Partner zal de bestellingen binnen een redelijke termijn verwerken en de Klant informeren over de status van de bestelling. Aan de Klant moet op de conventionele wijze bevestigd worden of de gevraagde leveringstermijnen kunnen worden nagekomen.

MB Nederland voorziet in een geschikt toegangsbeveiligingssysteem en verleent de Partner op verzoek toegangsrechten. De Partner verbindt zich ertoe te zorgen voor een correct gebruik van het systeem door zijn werknemers, met inbegrip van het gebruik van de juiste applicaties bij de toegang tot het systeem. De Partner verbindt zich ertoe de hem toegewezen toegangsautorisatie niet aan een onbevoegde persoon bekend te maken.

De Partner verbindt zich ertoe inkomende verzoeken tot aanvaarding van de registratie van Klanten binnen een redelijke termijn te beantwoorden en in coördinatie met MB Nederland

eerste- en tweedelijnsondersteuning te bieden voor WebParts Dealer Client. MB Nederland sluit elke aansprakelijkheid uit voor misbruik van gebruikersnaam en wachtwoord in de organisatorische eenheid van de Partner en zijn Klanten.

MB Nederland behoudt zich het recht voor om de betrokken gebruiker te blokkeren bij tekenen van oneigenlijk gebruik. De Partner wordt hiervan rechtstreeks op de hoogte gebracht.

B2B Connect is een wereldwijd beschikbare technische oplossing. De Partner is verantwoordelijk voor het regelmatig controleren van de toepasselijke wettelijke randvoorwaarden in zijn land met betrekking tot de verkoop en het verkoopproces van originele onderdelen op B2B Connect, terwijl MB Nederland verantwoordelijk blijft voor het regelmatig controleren van de toepasselijke wettelijke randvoorwaarden voor de werking van B2B Connect.

De Partner moet zich er in het bijzonder van vergewissen dat aan alle vereisten (waaronder noodzakelijke toestemmingen en informatie) voldaan is in verband met de bestelling van de Klant om de diensten te kunnen verlenen zoals uiteengezet in deze Gebruiksvoorwaarden.

In elk geval is het reglement van het Mercedes-Benz-platform zoals opgenomen in Aanhangsel 2 van toepassing, samen met deze Gebruiksvoorwaarden.

§ 8 Beschikbaarheid

Door de huidige stand van de technologie kunnen het aanbieden en gebruik van B2B Connect ook worden beïnvloed door bepaalde beperkingen en onnauwkeurigheden buiten de controle van MB Nederland. Dat geldt in het bijzonder voor de beschikbaarheid van een internetverbinding. Storingen kunnen ook worden veroorzaakt door overmacht, waaronder stakingen, lock-outs of bevelen van autoriteiten, of ze kunnen het gevolg zijn van technische of andere maatregelen (zoals herstellingen, onderhoud, software-updates en verbeteringen) die moeten worden uitgevoerd aan systemen van MB Nederland of op systemen van dienstverleners, die noodzakelijk zijn om te garanderen dat B2B Connect juist wordt geleverd of verbeterd.

§ 9 Aansprakelijkheid, vrijwaring

De Partner is verplicht MB Nederland te vrijwaren voor alle schade, verliezen, aansprakelijkheden, vorderingen (met inbegrip van vorderingen van derden) en kosten (met inbegrip van de gepaste juridische kosten) die voortvloeien uit een toerekenbare schending van deze voorwaarden en de hierin bedoelde transacties (met inbegrip van, maar niet beperkt tot het gebruik door de Partner van het Seller Center).

§ 10 Duur en beëindiging van de Gebruiksvoorwaarden

Deze Gebruiksvoorwaarden vervangen met ingang van […] 2023 de vorige Gebruiksvoorwaarden met betrekking tot hetzelfde onderwerp en beginnen bij de aanvaarding ervan.

Beide Partijen kunnen deze Gebruiksvoorwaarden schriftelijk beëindigen (de schriftvorm volstaat voor alle beëindigingen onder

§ 10) met een opzegtermijn van drie maanden tot het einde van een maand. Deze Gebruiksvoorwaarden eindigen in elk geval met de beëindiging van de Overeenkomst inzake Erkende Services tussen de Partijen.

Na beëindiging van de Gebruiksvoorwaarden blijven de bepalingen inzake gegevensbescherming en vertrouwelijkheid vermeld in § 4, 5 en 6 bestaan.

In geval van ernstige inbreuken op deze Gebruiksvoorwaarden, zoals de overdracht van gegevens die een inbreuk vormt op de geheimhoudingsplicht krachtens § 5, kan elke Partij deze Gebruiksvoorwaarden zonder kennisgeving beëindigen. In geval van beëindiging wegens een ernstige wanprestatie van een Partij, behoudt de andere Partij zich het recht voor verdere schade te

vorderen.

Beëindiging in geval van stopzetting van de hoofdlicentie: de rechten van MB Nederland om WebParts Dealer Client en B2B Connect Seller Center aan de Partner te leveren, komen voort uit een overeenkomst tussen MBAG en MB Nederland. MB Nederland kan deze Gebruiksvoorwaarden beëindigen na voorafgaande schriftelijke kennisgeving aan de Partner indien zijn eigen rechten om WebParts Dealer Client en B2B Connect Seller Center te leveren worden beëindigd/niet worden voortgezet door MBAG.

§ 11 Belastingen

Indien MB Nederland verplicht is om belastingen en douanerechten te betalen die naar behoren kunnen worden toegewezen aan de verkoop van producten die door de Partner op WebParts Dealer Client en B2B Connect Seller Center zijn geplaatst, of aan diensten die door de Partner op WebParts Dealer Client en B2B Connect Seller Center zijn geplaatst en aan de Klant worden geleverd, zoals

belastingen op digitale diensten, zal de Partner alle kosten van MB Nederland dekken die voortvloeien uit dergelijke belastingen en douanerechten. Hetzelfde geldt voor belasting over de toegevoegde waarde die verschuldigd en niet betaald is door de Partner, waarvoor MB Nederland aansprakelijk werd gesteld.

§ 12 Bevoegde rechtbank

Deze Gebruiksvoorwaarden zijn onderworpen aan het Nederlandse recht. Uitsluitend de rechtbanken van het rechtsgebied Utrecht zijn bevoegd voor geschillen die voortvloeien uit deze Voorwaarden.

Aanhangsels bij deze Gebruiksvoorwaarden

Aanhangsel 1 – Gegevensbeschermingsovereenkomst Aanhangsel 2 – Platformreglement

Aanhangsel 1: Gegevensbeschermingsovereenkomst

B2B Connect-platform en verbonden diensten tussen

[MPC/GD]

[Mercedes-Benz Nederland BV] ('MB Nederland')

Erkende Servicepartner ('ESP')

(elk een 'Partij', en samen de 'Partijen').

ACHTERGROND

(A) Overwegende dat MB BeLux een onderneming van de Mercedes-Benz-groep is en de activiteiten van Mercedes-Benz AG ondersteunt met betrekking tot zijn Concessiehouders ('Concessiehouders' inclusief ISP-Klanten ('ISP') en Erkende Servicepartners) in Duitsland, Europa (EU) en de rest van de wereld ('Rest van de wereld') door bepaalde diensten in verband met aftersales en marketing aan te bieden ('Diensten', zoals hieronder gedefinieerd);

(B) Overwegende dat het aanbieden en leveren van de Diensten gepaard gaat met de overdracht en verwerking van Persoonsgegevens aan en door MB BeLux om de Diensten te verlenen aan ESP’s;

(C) Overwegende dat de Europese en lokale wetgeving inzake gegevensbescherming voorziet in bepaalde vereisten met betrekking tot, onder andere, het overdragen en verwerken van Persoonsgegevens binnen bedrijfsgroepen of distributie- of aftersalesnetwerken;

(D) Overwegende dat deze Overeenkomst bedoeld is om adequate waarborgen en bescherming te bieden in de loop van nationale, grensoverschrijdende, EU-brede en wereldwijde overdracht en verwerking van Persoonsgegevens krachtens de Toepasselijke Wetgeving inzake Gegevensbescherming zoals hieronder gedefinieerd;

(E) Derhalve sluiten de Partijen de volgende Overeenkomst (hierna 'Overeenkomst' genoemd).

1. DEFINITIES

1.1 In deze overeenkomst hebben de hiernavolgende termen de volgende betekenis:

(a) 'Persoonsgegevens', 'Verwerkingsverantwoordelijke', 'Verwerker, 'verwerken/verwerking', 'betrokkene', 'technische en organisatorische maatregelen' en 'toezichthoudende autoriteit/autoriteit' worden geïnterpreteerd in overeenstemming met de AVG of gelijkwaardige terminologie krachtens de Toepasselijke Wetgeving inzake Gegevensbescherming. Subverwerker heeft dezelfde betekenis als 'een andere verwerker' in de AVG of gelijkwaardige terminologie volgens de Toepasselijke Wetgeving inzake Gegevensbescherming.

(b) 'Overeenkomst' betekent deze Gegevensbeschermingsovereenkomst.

(c) 'Toepasselijke Wetgeving inzake Gegevensbescherming' betekent de AVG, alle lokale wetten inzake gegevensbescherming die van toepassing zijn in een lidstaat, of alle andere toepasselijke wetten inzake gegevensbescherming die van toepassing zijn op elk van de Partijen – gezamenlijk of afzonderlijk – bij het verrichten of gebruiken van de Diensten. Het feit dat een Partij deze Overeenkomst dienovereenkomstig heeft uitgevoerd, heeft niet tot gevolg dat de wetgeving inzake gegevensbescherming die van toepassing is op de ene Partij automatisch van toepassing is op de andere Partij(en) en vice versa. Behoudens de voorwaarden van deze Overeenkomst, wordt de toepasselijkheid van de Toepasselijke Wetgeving inzake Gegevensbescherming voor elk van de Partijen bepaald door de respectieve wetten. Derhalve, en behoudens verdere bepalingen en verplichtingen van de Partijen zoals uiteengezet in deze Overeenkomst, leeft elke Partij de Toepasselijke Wetgeving inzake Gegevensbescherming na indien en voor zover deze uitsluitend op haar van toepassing is. Ter verduidelijking en bij wijze van voorbeeld, wanneer wordt verwezen naar de wettelijke rechten van betrokkenen onder artikel 12 tot 22 van de AVG, of de wettelijke vereisten voor gegevensverwerking namens een verwerkingsverantwoordelijke onder artikel 28 van de AVG, zijn dergelijke rechten of vereisten alleen van toepassing op verwerkingsverantwoordelijken die onder de AVG vallen.

(d) 'Adequaat land' betekent elk land buiten de EER dat door de Europese Commissie wordt erkend als een land dat een passend niveau van privacybescherming biedt op grond van haar nationale wetgeving of de internationale verplichtingen die zij is aangegaan.

(e) 'Gegevensverwerking namens een Verwerkingsverantwoordelijke' betekent de verwerking van Persoonsgegevens die moet worden uitgevoerd namens een Verwerkingsverantwoordelijke en zal worden geïnterpreteerd in overeenstemming met artikel 28 van de AVG.

(f) 'MBAG' betekent Mercedes-Benz AG, Xxxxxxxxxxxxxx 000, 00000 Xxxxxxxxx, Xxxxxxxxx.

(g) 'MB Nederland' betekent Mercedes-Benz Nederland.

(h) 'Clausules' betekent gezamenlijk de Clausules inzake Gegevensverwerking namens een Verwerkingsverantwoordelijke en de Clausules tussen Verwerkingsverantwoordelijken.

(i) 'Clausules inzake Gegevensverwerking namens een Verwerkingsverantwoordelijke' betekent de bepalingen zoals uiteengezet in deel B.

(j) 'Clausules inzake Gezamenlijke Verwerkingsverantwoordelijkheid' betekent de bepalingen zoals uiteengezet in Deel A. Clausules inzake Gezamenlijke Verwerkingsverantwoordelijkheid regelen de overdracht en het gebruik van Persoonsgegevens tussen MB BeLux en de ESP waarbij de Partijen elk optreden als Verwerkingsverantwoordelijken of Gezamenlijke Verwerkingsverantwoordelijken indien dat voor elk van hen voorzien is krachtens de Toepasselijke Wetgeving inzake Gegevensbescherming.

(k) 'AVG' is de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).

(l) 'Gezamenlijke Verantwoordelijkheid' betekent de verwerking van Persoonsgegevens wanneer het doel van die verwerking gezamenlijk wordt bepaald tussen twee of meer Verwerkingsverantwoordelijken en zal worden geïnterpreteerd in overeenstemming met artikel 26 van de AVG.

(m) 'Lidstaat' verwijst naar een land dat een lidstaat van de EU is.

(n) 'Diensten' betekent de diensten in verband met aftersales zoals verder beschreven in de gerelateerde afzonderlijke contracten en Delen van deze Overeenkomst.

1.2 In deze Overeenkomst:

(a) hebben verwijzingen naar een wettelijke bepaling ook betrekking op ondergeschikte wetgeving die van tijd tot tijd op grond van die bepaling wordt vastgesteld;

(b) omvatten verwijzingen naar deze Overeenkomst, de Bijlagen en Aanhangsels;

(d) indien zich binnen deze Overeenkomst een conflict of inconsistentie voordoet, wordt het conflict of de inconsistentie opgelost door de Xxxxxxxxx die voorrang hebben.

2. REIKWIJDTE

2.1 De Clausules zijn van toepassing tussen de Partijen in hun rol als Verwerkingsverantwoordelijke (of Gezamenlijke Verwerkingsverantwoordelijke) of Verwerker met betrekking tot de relevante Persoonsgegevens die worden verwerkt zoals verder gedefinieerd in de Bijlagen bij Deel A en B.

2.2 Aangezien de Partijen een passend beschermingsniveau wensen te waarborgen in verband met de verwerking van Persoonsgegevens met betrekking tot de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van de betrokkenen, zijn de in Deel A uiteengezette principes van toepassing op alle verwerking tussen Verwerkingsverantwoordelijken zoals daarin beschreven, ongeacht of een verwerking al dan niet wordt beschouwd als een verwerking door Gezamenlijke Verwerkingsverantwoordelijken.

2.3 Elke Partij zal, in haar hoedanigheid van Verwerkingsverantwoordelijke of Verwerker, (eventuele) subverwerkers verplichten om ten minste een vergelijkbaar beschermingsniveau te bieden, en garandeert verder dat de subverwerker de veiligheids- en privacyrichtlijnen en -vereisten van MB BeLux zal naleven alvorens een passende overeenkomst met een subverwerker te sluiten.

3. WIJZIGINGEN EN AANPASSINGEN

De Partijen kunnen deze Overeenkomst bijwerken of aanvullen, in overeenstemming met het mechanisme dat is overeengekomen in de onderliggende overeenkomst (Gebruiksvoorwaarden_ESP_B2B Connect).

4. LOOPTIJD EN BEËINDIGING

4.1 Deze Overeenkomst treedt in werking vanaf de ondertekening door beide Partijen door het elektronisch aanvaarden van deze voorwaarden (als onderdeel van de respectieve algemene voorwaarden). Elke Partij bij deze Overeenkomst zal gebonden zijn door de in de Overeenkomst opgenomen voorwaarden vanaf de datum waarop die Partij de Overeenkomst naar behoren heeft ondertekend.

4.2 Deze Overeenkomst zal van kracht zijn tot de contractuele relatie (waarvan deze Overeenkomst deel uitmaakt) tussen de Partijen wordt beëindigd of de Diensten niet langer worden verleend, afhankelijk van welke gebeurtenis verder in de toekomst ligt, met dien verstande dat de verplichtingen van de Partijen onder deze Overeenkomst zullen blijven bestaan zolang de Persoonsgegevens van de ene Partij door de andere Partij worden verwerkt.

5. KENNISGEVINGEN

Elke kennisgeving krachtens deze Overeenkomst ('Kennisgeving') moet schriftelijk gebeuren.

6. TOEWIJZING

De ESP mag geen rechten of verplichtingen onder deze Overeenkomst toewijzen of overdragen zonder de voorafgaande schriftelijke toestemming van MB BeLux.

7. Aansprakelijkheid

De Partijen zullen tegenover elkaar aansprakelijk zijn voor vorderingen van derden of andere verliezen of schade waarvoor zij verantwoordelijk zijn (in het bijzonder voor schade die zich heeft voorgedaan binnen hun respectieve invloedssfeer) en die voortvloeien uit de schending van hun verplichtingen krachtens deze Overeenkomst en/of andere schendingen van de Toepasselijke Wetgeving inzake Gegevensbescherming, tenzij de andere Partij niet op de hoogte is gebracht van dergelijke verplichtingen. Indien een van de Partijen krachtens de Toepasselijke Wetgeving inzake Gegevensbescherming verplicht is om de geleden schade aan een betrokkene volledig te vergoeden en dit ook heeft gedaan, heeft die Partij het recht om van de andere Partij het deel van de vergoeding terug te vorderen dat overeenkomt met het aandeel van de andere Partij in de verantwoordelijkheid voor de schade.

8. SCHEIDBAARHEID

8.1 Indien een bepaling in deze Overeenkomst geheel of gedeeltelijk als onwettig, ongeldig of onafdwingbaar wordt beschouwd, wordt de wettigheid, geldigheid en afdwingbaarheid van de rest van deze Overeenkomst niet aangetast.

8.2 De Partijen komen overeen de ongeldige bepaling te vervangen door een bepaling waarvan de uitwerking zo dicht mogelijk het economische doel benadert dat door de Partijen werd nagestreefd met de ongeldige bepaling. Bovenstaande bepalingen zijn mutatis mutandis van toepassing indien de Overeenkomst onvolledig is.

9. TOEPASSELIJK RECHT EN BEVOEGDE RECHTBANK

De plaats van uitvoering is Ravenswade, 4 – 3439 LD Nieuwegein – Nederland en de rechtbanken van het rechtsgebied van Nederland/Utrecht zijn bevoegd. Het Nederlandse recht is van toepassing, met uitsluiting van alle collisieregels. De Partijen komen overeen om de toepassing van de eenvormige wet van de Verenigde Naties (VN) inzake koopovereenkomsten op basis van het Verdrag der Verenigde Naties inzake internationale koopovereenkomsten betreffende roerende zaken van 11 april 1980 uit te sluiten.

10. VERBAND MET AFZONDERLIJKE OVEREENKOMSTEN

10.1 Deze Overeenkomst vervangt alle eerder tussen de Partijen bestaande gegevensbeschermingsregels met betrekking tot de gegevensverwerkingsactiviteiten die hierin uitdrukkelijk worden geregeld.

10.2 Alle zaken die hierin niet uitdrukkelijk worden behandeld, met inbegrip van de aansprakelijkheid van de Partijen bij het leveren of gebruiken van respectieve Diensten of het overdragen van respectieve gegevens voor de aangegeven doeleinden, worden beheerst door de voorwaarden van alle verdere bestaande overeenkomsten (die voortvloeien uit de contractuele relatie zoals uiteengezet in Artikel 4.2 tussen de Partijen.

10.3 In geval van tegenstrijdigheden tussen de voorwaarden van deze Overeenkomst en dergelijke andere overeenkomsten zoals vermeld in Artikel 10.2, prevaleren de voorwaarden van deze Overeenkomst.

DEEL A

CLAUSULES INZAKE GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKHEID

Preambule

In het kader van hun zakelijke samenwerking op het vlak van B2B Connect, wensen de Partijen persoonsgegevens te delen voor bepaalde zakelijke doeleinden, en die te verwerken als verwerkingsverantwoordelijken in de zin van de wetgeving inzake gegevensbescherming (hierna 'Samenwerking' genoemd).

In deze clausules (hierna de 'Overeenkomst' genoemd), zetten de Partijen de rechten en plichten van de Partijen uiteen wat betreft de verwerking van persoonsgegevens in het kader van de Samenwerking en de respectieve verantwoordelijkheden betreffende de naleving van de relevante verplichtingen inzake gegevensbescherming.

Tegen deze achtergrond komen de Partijen het volgende overeen:

1. Doel van de Overeenkomst

Deze Overeenkomst regelt de rechten en plichten van de Partijen (hierna ook 'Verwerkingsverantwoordelijken' genoemd) wanneer ze persoonsgegevens verwerken als gezamenlijke verwerkingsverantwoordelijken.

2. Reikwijdte van de Gezamenlijke Verwerkingsverantwoordelijkheid

2.1 Gedurende de volledige Samenwerking verwerken de Partijen persoonsgegevens als Gezamenlijke Verwerkingsverantwoordelijken in de zin van artikel 26 van de AVG. De bepalingen van deze Overeenkomst zijn van toepassing op alle verwerkingsactiviteiten uitgevoerd onder een gezamenlijke verwerkingsverantwoordelijkheid, waarbij werknemers van de verwerkingsverantwoordelijken of de verwerkers aangesteld door hen, persoonsgegevens verwerken in naam van de verwerkingsverantwoordelijken. De reikwijdte van de Gezamenlijke Verwerkingsverantwoordelijkheid, waaronder de respectieve rollen, verantwoordelijkheden en competenties, evenals verdere details over de verwerking, wordt uiteengezet in Bijlage 1.

2.2 De informatie in Bijlage 1 wordt gestaafd door de proces- en activiteitenbeschrijvingen in de contracten die de partijen daarnaast hebben gesloten (zoals servicecontracten), inclusief de informatieve teksten die daarbij verstrekt worden en waarnaar wordt verwezen.

3. Taken van de Verwerkingsverantwoordelijken

3.1 De Verwerkingsverantwoordelijken zullen persoonsgegevens verwerken in overeenstemming met de relevante bepalingen van de Toepasselijke Wetgeving inzake Gegevensbescherming, en zullen gezamenlijk verantwoordelijk zijn voor de naleving van de bepalingen in de AVG die relevant zijn voor Gezamenlijke Verwerkingsverantwoordelijken wat betreft de verwerkingsactiviteiten waarop deze Overeenkomst van toepassing is. Ze zullen er in het bijzonder voor zorgen dat enkel de persoonsgegevens noodzakelijk voor de verwerkingsactiviteiten en -doeleinden zoals beschreven in Bijlage 1 worden verzameld. Bovendien zullen de Verwerkingsverantwoordelijken de principes van gegevensminimalisering (zie artikel 5, lid 1, punt c) van de AVG) naleven.

3.2 Elke Verwerkingsverantwoordelijke is intern verantwoordelijk voor de rechtmatigheid van het verzamelen en verwerken van Persoonsgegevens in het kader van de taken en verantwoordelijkheden die hem worden toegewezen onder en in Bijlage 1.

3.3 De Verwerkingsverantwoordelijken zullen ervoor zorgen dat alle personen betrokken bij de verwerking van persoonsgegevens in het kader van de Samenwerking gebonden zijn of zullen zijn door verplichtingen inzake vertrouwelijkheid en geheimhouding van gegevens voordat zij toegang krijgen tot dergelijke gegevens, zowel tijdens hun activiteiten als na de beëindiging van hun activiteiten. Ze zullen ervoor zorgen dat de relevante personen voorgelicht zijn over de bepalingen inzake gegevensbescherming die voor hen relevant zijn.

3.4 Verwerkingsverantwoordelijken zullen persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm

bewaren. Persoonsgegevens moeten juist zijn en zo nodig worden bijgewerkt. De Verwerkingsverantwoordelijken zullen daartoe maatregelen treffen.

3.5 Verwerkingsverantwoordelijken zullen elkaar onmiddellijk en volledig op de hoogte stellen als ze fouten of onregelmatigheden in verband met bepalingen inzake gegevensbescherming opmerken tijdens de herziening van verwerkingsactiviteiten.

3.6 Elke Partij zal documentatie bijhouden die dient als bewijsmateriaal voor de juiste verwerking (zie artikel 5, lid 2 van de AVG) in overeenstemming met haar wettelijke bevoegdheden en verplichtingen na het einde van de Overeenkomst.

4. Technische en organisatorische maatregelen

4.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, nemen de Verwerkingsverantwoordelijken passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder, waar passend, de volgende:

• het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en - diensten in verband met de verwerking voortdurend te waarborgen;

• het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens snel te herstellen in geval van een fysiek of technisch incident;

• een procedure voor de periodieke herziening, beoordeling en evaluatie van de doeltreffendheid van technische en organisatorische maatregelen om de veiligheid van de verwerking te verzekeren; en

• een procedure voor de correcte naleving van de beginselen van gegevensbescherming door middel van technologie en gegevensbeschermingsvriendelijke standaardinstellingen op grond van artikel 25 van de AVG.

De Verwerkingsverantwoordelijken mogen afzonderlijk nog verdere vereisten specificeren.

4.2 De Verwerkingsverantwoordelijken zullen alle noodzakelijke technische en organisatorische maatregelen treffen om ervoor te zorgen dat de rechten van de betrokkenen, met name krachtens artikel 12 tot 22 van de AVG, te allen tijde uitgeoefend kunnen worden in overeenstemming met de wettelijke vereisten. Indien nodig maken de Verwerkingsverantwoordelijken afspraken over de concrete opzet van de maatregelen, en beslissen ze samen over de toepassing ervan.

4.3 De uitrol, afstelling en bediening van de systemen wordt uitgevoerd in overeenstemming met de vereisten van de Toepasselijke Wetgeving inzake Gegevensbescherming, en in het bijzonder in overeenstemming met de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Bovendien worden gepaste technische en organisatorische maatregelen toegepast overeenkomstig de stand van techniek.

5. Verantwoordelijkheid voor de naleving van de wetgeving inzake gegevensbescherming en de rechten van betrokkenen

5.1 Betrokkenen mogen de rechten waarop ze aanspraak kunnen maken op grond van artikel 12 tot 22 van de AVG uitoefenen jegens de Verwerkingsverantwoordelijken, die in principe verantwoordelijk blijven voor het vervullen van de respectieve rechten in de externe relatie.

5.2 Tenzij anders bepaald in Bijlage 1 of in een andere context, blijft de Verwerkingsverantwoordelijke die de betreffende persoonsgegevens oorspronkelijk bij de betrokkene heeft verzameld alvorens deze voor verdere verwerking aan de andere Verwerkingsverantwoordelijke over te dragen, of die een rechtstreekse contractuele relatie met de betrokkene had of heeft, het centrale contactpunt voor de betrokkenen. Hij zal de Verantwoordelijke die onderworpen is aan de AVG ondersteunen in zijn verantwoordelijkheden om de rechten van de betrokkenen uit hoofde van artikel 12 tot 22 van de AVG te vervullen in de interne relatie. Dergelijke ondersteuning wordt op zodanige wijze verleend dat de andere Verwerkingsverantwoordelijke die rechten volledig kan vervullen.

5.3 De Verwerkingsverantwoordelijken zullen elkaar in passende mate ondersteunen bij het vervullen van de rechten van de betrokkenen, elkaar informeren over overeenkomstige verzoeken, en elkaar tijdig alle benodigde informatie verstrekken.

Als persoonsgegevens moeten worden verwijderd, stellen de partijen elkaar daarvan tijdig en vooraf op de hoogte. De andere Partij kan bezwaar maken tegen de verwijdering om een legitieme reden, bijvoorbeeld als ze wettelijk verplicht is om de gegevens te bewaren.

5.4 Betrokkenen krijgen informatie over de verwerking, in overeenstemming met artikel 13 en 14 van de AVG. De Verwerkingsverantwoordelijken ondersteunen elkaar bij het nakomen van de informatieverplichtingen, en verstrekken elkaar de nodige informatie over de betreffende gegevensverwerkingsactiviteiten.

5.5 Tenzij anders bepaald in Bijlage 1 of in een andere context, blijft de Verwerkingsverantwoordelijke die de betreffende persoonsgegevens oorspronkelijk bij de betrokkene heeft verzameld alvorens deze voor verdere verwerking aan de andere Verwerkingsverantwoordelijke over te dragen, of die een rechtstreekse contractuele relatie met de betrokkene had of heeft, de verantwoordelijkheid dragen om de betrokkenen te informeren over de belangrijkste inhoud van deze voorschriften. Daartoe kan de Verwerkingsverantwoordelijke op verzoek de bepalingen van deze sectie 6 voorleggen aan de betrokkenen.

5.6 Bij een inbreuk in verband met persoonsgegevens geldt voor elk van de Verwerkingsverantwoordelijken, voor hun respectieve verantwoordelijkheidsgebied, een meldings- en kennisgevingsverplichting jegens de toezichthoudende autoriteit en de betrokkenen die getroffen worden door de inbreuk in verband met persoonsgegevens (zie artikel 33 en 34 van de AVG). In het geval van een te melden incident met betrekking tot de verwerkingsactiviteiten die onder deze Overeenkomst vallen, informeren de Verwerkingsverantwoordelijken elkaar onverwijld, en voordat zij het incident melden aan een toezichthoudende autoriteit of voordat ze betrokkenen inlichten. De Verwerkingsverantwoordelijken ondersteunen elkaar zo goed mogelijk om de feiten op te helderen en passende maatregelen te treffen om de betrokkenen te beschermen. De beslissing over de noodzaak, inhoud en reikwijdte van de te treffen maatregelen wordt genomen door de respectieve Verwerkingsverantwoordelijke die verplicht is hiervan kennis te geven.

5.7 De Partijen helpen elkaar, indien nodig en op verzoek, bij het opstellen van een gegevensbeschermingseffectbeoordeling (zie artikel 35 van de AVG) of de raadpleging van de autoriteit (zie artikel 36 van de AVG). De Partijen zullen elkaar tijdig voorzien van de benodigde informatie uit hun respectieve werkvelden.

5.8 Elke Verwerkingsverantwoordelijke moet een register bijhouden van de verwerkingsactiviteiten onder zijn verantwoordelijkheid. De Verwerkingsverantwoordelijken zullen elkaar de nodige informatie geven om een gepast register van de verwerkingsactiviteiten bij te houden.

5.9 Beide Partijen bewaren ook na het einde van de contractuele relatie de documenten die dienen als bewijs van correcte gegevensverwerking (zie artikel 5.6). De Verwerkingsverantwoordelijken zorgen ervoor dat ze voldoen aan alle bestaande wettelijke verplichtingen om de betreffende persoonsgegevens te bewaren.

5.10 Tenzij anders overeengekomen, draagt elke Verwerkingsverantwoordelijke zijn eigen kosten, indien van toepassing, die worden gemaakt bij het nakomen van zijn verplichtingen uit hoofde van deze Overeenkomst, zonder dat hij aanspraak kan maken op enige vergoeding van de andere Verwerkingsverantwoordelijke voor het nakomen van dergelijke verplichtingen.

6. Verwerker

6.1 Elke Verwerkingsverantwoordelijke heeft het recht om verwerkers te gebruiken.

6.2 Indien de Verwerkingsverantwoordelijke een verwerker inschakelt voor de verwerkingsactiviteiten die onder deze Overeenkomst vallen, gebeurt dit alleen voor zover aan de vereisten van de Toepasselijke Wetgeving inzake Gegevensbescherming is voldaan.

6.3 De Verwerkingsverantwoordelijken zullen op verzoek elkaar een lijst verstrekken van de verwerkers die betrokken zijn bij de verwerkingsactiviteiten in het kader van deze Overeenkomst. De Verwerkingsverantwoordelijke zal op verzoek de andere Verwerkingsverantwoordelijke inlichten over voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van andere verwerkers.

6.4 Dit is niet van toepassing wanneer de Verwerkingsverantwoordelijken nevendiensten uitbesteden aan derden. Die omvatten, maar zijn niet beperkt tot, post-, telecommunicatie-, verzend- en ontvangstdiensten, en diensten in verband met facility management. Verwerkingsverantwoordelijken blijven verplicht om passende contractuele afspraken en verplichtingen met de respectieve dienstverleners te implementeren in overeenstemming met de toepasselijke wettelijke vereisten, en om te voorzien in passende controlemaatregelen met betrekking tot de beveiliging van persoonsgegevens.

7. Verwerking binnen en buiten de Europese Economische Ruimte

In principe vindt de verwerking plaats in een lidstaat van de Europese Unie, in een land van de Europese Economische Ruimte (EER) of in een land met een passend beschermingsniveau. Verwerkingsactiviteiten in andere landen buiten de EER zijn toegestaan, op voorwaarde dat wordt voldaan aan de toepasselijke voorschriften voor internationale overdracht van persoonsgegevens.

8. Aansprakelijkheid

8.1 De Verwerkingsverantwoordelijken zijn aansprakelijk jegens betrokkenen op grond van wettelijke bepalingen.

8.2 De Verwerkingsverantwoordelijken zijn aansprakelijk in de interne relatie voor zover elk van hen een deel van de verantwoordelijkheid draagt voor de oorzaak die aanleiding geeft tot aansprakelijkheid. Dat geldt ook voor een geldboete die aan een Verwerkingsverantwoordelijke wordt opgelegd wegens een inbreuk op de bepalingen inzake gegevensbescherming, mits de Verwerkingsverantwoordelijke aan wie de geldboete wordt opgelegd eerst alle rechtsmiddelen tegen het officiële besluit heeft uitgeput. Indien een Verwerkingsverantwoordelijke vervolgens toch een geldboete krijgt die niet overeenstemt met zijn interne aandeel in de verantwoordelijkheid voor de inbreuk, dan is de respectieve andere Verwerkingsverantwoordelijke verplicht om de betreffende Verwerkingsverantwoordelijke te vergoeden voor de geldboete voor zover hij verantwoordelijkheid draagt voor de inbreuk die door de geldboete wordt bestraft.

8.3 Eventuele aansprakelijkheidsbeperkingen die in aanvullende contracten voor de betreffende diensten zijn overeengekomen, zijn dienovereenkomstig van toepassing.

9. Volmacht

9.1 MB BeLux is door MBAG gemachtigd om deze Clausules inzake Gezamenlijke Verwerkingsverantwoordelijkheid ook in naam en voor rekening van MBAG uit te voeren en dus van MBAG een partij bij deze Clausules inzake Gezamenlijke Verwerkingsverantwoordelijkheid te maken als een andere Verwerkingsverantwoordelijke met de rol zoals vermeld in Bijlage 1. Indien MBAG niet is aangeduid als Verwerkingsverantwoordelijke in Bijlage 1 hieronder, zal MBAG in dit opzicht geen Partij worden bij deze Overeenkomst. De ESP bevestigt en stemt ermee in dat MBAG een Partij wordt die krachtens deze Overeenkomst alle rechten en verplichtingen krijgt als Verwerkingsverantwoordelijke krachtens dit Deel A met inbegrip van zijn Bijlagen (met uitzondering van andere delen van de Overeenkomst tenzij hierin anders bepaald) en dus een Verwerkingsverantwoordelijke wordt krachtens deze Overeenkomst.

9.2 MB BeLux heeft het recht om MBAG op de hoogte te brengen van de ESP’s met wie de respectieve contractuele relaties zijn gevestigd, met inbegrip van de bedrijfsnaam, het adres en de inhoud van de respectieve overeenkomst, en zal op verzoek van MBAG daarvan voldoende bewijs leveren, bv. door kopieën van de ondertekende overeenkomst en dit Deel A in het bijzonder te bezorgen.

Bijlage 1: Rollen, taken en reikwijdte van de samenwerking

1. Verwerkingsactiviteiten i.v.m. Business Analytics

Procedure	Doel/Reikwijdte	Rollen en taken	Gegevenscategorieën en betrokkenen
Ondersteuning bij tickets for ISP's in het Seller Center	ESP's de optie bieden om ISP's te ondersteunen bij tickets in het Seller Center en verzoeken om een account aan te maken.	MB BeLux: Verwerkingsverantwoordelijke Biedt ESP de optie om ISP's te ondersteunen bij tickets in het Seller Center, en maakt informatie over tickets en verzoeken beschikbaar voor de ESP na kennisgeving aan de ISP; is verantwoordelijk voor de technische verwerking van ticketinformatie	ISP-gegevens: bedrijfsnaam ISP, gebruikersnaam, gebruikers-ID, adres, e-mail, telefoon, details over ticket of verzoek (datum, onderwerp) ESP-gegevens: bedrijfsnaam, gebruikersnaam, gebruikers-ID, adres, e-mail, telefoon
		ESP: Verwerkingsverantwoordelijke
		Biedt de ISP ondersteuning bij tickets/verzoeken in samenwerking met de ISP, is verantwoordelijk voor het correct hanteren en verwerken van de verstrekte informatie
Business Analytics	Verkoopgegevens die door middel van het B2B Connect- platform worden verkregen, moeten worden gebruikt om de bedrijfsactiviteiten te analyseren en geaggregeerde rapporten te verstrekken aan MBAG, MB BeLux en de ESP. Rapporten worden meestal aangemaakt door geautomatiseerde berekeningen (applicatiegebaseerd).	MBAG: Verwerkingsverantwoordelijke Doet aan bedrijfslogica en hosting van een databank met bedrijfsgegevens, creëert geaggregeerde evaluaties/rapporten op basis van de verstrekte gegevens voor zichzelf, MB BeLux en de ESP. MB BeLux: Verwerkingsverantwoordelijke	ISP-gegevens: ISP-bedrijfsnaam, gebruikersnaam, gebruikers-ID, adres, e-mail, telefoon, bestelgegevens (datum van bestelling, bestelde onderdelen/diensten, bestelde hoeveelheid, verkoop, niet- geplaatste bestellingen (gemiste verkoop), gebruiksfrequentie van het B2B Connect-platform en diensten verbonden aan aftersales, leveringstermijnen)
	In uitzonderlijke gevallen worden de gegevens samengevoegd met gegevens uit andere bronnen (bv. een andere database van een andere MBAG-afdeling) om een verdere analyse te maken.	Maakt het mogelijk om transactiegerelateerde gegevens van het B2B-platform te gebruiken voor bovenstaande processen; ontvangt geaggregeerde rapporten	ESP-gegevens: bedrijfsnaam, gebruikersnaam, gebruikers-ID, adres, e-mail, telefoon
	MBAG en zijn werknemers werken strikt volgens het need- to-know-principe.	ESP: Verwerkingsverantwoordelijke Maakt het mogelijk om transactiegerelateerde gegevens van het B2B-platform te gebruiken voor bovenstaande processen; ontvangt geaggregeerde rapporten

2. Ontvangers

Beperkte personen met een specifieke functie aan wie persoonsgegevens alleen worden bekendgemaakt op een need-to-know- basis, zoals vereist om hun respectieve managementverantwoordelijkheden uit te voeren (bv. contractanten, inclusief die voor hr, IT en financiën (indien van toepassing)); groepsentiteiten, consultants, auditors, accountants; financiële organisaties; wetshandhavingsinstanties, overheidsinstanties, regelgevende instanties.

DEEL B

Clausules inzake Gegevensverwerking namens een Verwerkingsverantwoordelijke

Preambule

Deze Clausules inzake Gegevensverwerking namens een Verwerkingsverantwoordelijke ('Clausules Deel B') specificeren de verplichtingen van de Partijen met betrekking tot gegevensbescherming die voortvloeien uit de Gegevensverwerking namens een Verwerkingsverantwoordelijke zoals hieronder beschreven. Deze Clausules in Deel B zijn van toepassing op elke activiteit die verband houdt met deze verwerkingsactiviteiten en waarbij werknemers van de Verwerker of derden in opdracht van de Verwerker toegang zouden kunnen hebben tot de Persoonsgegevens van de Verwerkingsverantwoordelijke. Deze Clausules zullen in hun toepassing echter beperkt zijn tot omstandigheden waarbij één van de Partijen optreedt als Verwerker in de zin van Art. 28 van de AVG ten aanzien van de andere Partij. Buiten deze reikwijdte zijn deze Clausules niet van toepassing.

1. Rollen en verantwoordelijkheden

De Verwerkingsverantwoordelijke vertrouwt op de verwerking van Persoonsgegevens om zijn aftersalesactiviteiten uit te voeren. Daartoe levert de Verwerker diensten aan de Verwerkingsverantwoordelijke zoals beschreven in Bijlage 1.

2. Onderwerp en verantwoordelijkheid

De Verwerker verwerkt Persoonsgegevens namens de Verwerkingsverantwoordelijke. Het voorwerp van de opdracht zijn activiteiten zoals hieronder gespecificeerd of in het kader van een bijkomende dienstverleningsovereenkomst of bestelbon. In het kader van deze Clausules Deel B zal de Verwerkingsverantwoordelijke als enige verantwoordelijk zijn voor de naleving van de Toepasselijke Wetgeving inzake Gegevensbescherming, in het bijzonder de rechtmatigheid van de overdracht van gegevens aan de Verwerker, de verwerking van de gegevens via de Verwerker en een eventuele daaropvolgende verwerking van gegevens in de loop van de Diensten, terwijl de Verwerker verantwoordelijk zal zijn voor de naleving van de wettelijke bepalingen inzake gegevensbescherming die van toepassing zijn voor verwerkers.

3. Specificatie van de opdracht

3.1 Doel, type en reikwijdte van de in opdracht gegeven verzameling, verwerking en/of gebruik van Persoonsgegevens worden nader beschreven in Bijlage 1.

3.2 Het type en de categorieën van de verzamelde en/of gebruikte Persoonsgegevens en de categorie van betrokkenen die onderworpen zijn aan de verwerking van Persoonsgegevens in het kader van deze opdracht worden nader beschreven in Bijlage 1.

4. Recht van de Verwerkingsverantwoordelijke om instructies te geven

4.1 In het kader van de opdracht behoudt de Verwerkingsverantwoordelijke zich het recht voor instructies te geven over het type, de omvang en de procedure van de gegevensverwerking die hij kan specificeren door individuele instructies te geven. Deze worden definitief bepaald en moeten worden uitgevoerd via de instellingen en functies zoals voorzien door de aangeboden applicaties en systemen. Instructies die leiden tot wijzigingen van het overeengekomen onderwerp van de verwerking en de procedures moeten worden overeengekomen en vervolgens gedocumenteerd.

4.2 De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte brengen van elke instructie die hij in strijd acht met de vereisten inzake gegevensbescherming. De verwerker kan vervolgens de uitvoering van de relevante instructie uitstellen tot deze schriftelijk wordt bevestigd of gewijzigd door de Verwerkingsverantwoordelijke (incl. via e-mail).

4.3 Behoudens andersluidende schriftelijke overeenkomst tussen de Partijen, is het management van de Verwerkingsverantwoordelijke of een andere gemachtigde vertegenwoordiger enkel gemachtigd om instructies te geven aan de kant van de Verwerkingsverantwoordelijke die schriftelijk (incl. via e-mail) moeten worden opgesteld.

4.4 Aan de kant van de Verwerker is het de 'Gegevensbeschermingscoördinator voor […]' die gemachtigd is om instructies te krijgen en die kan worden gecontacteerd via […].

5. Verplichtingen van de Verwerker

5.1 De Verwerker verzamelt of verwerkt alleen gegevens in opdracht van de Verwerkingsverantwoordelijke en in overeenstemming met de instructies van de Verwerkingsverantwoordelijke, tenzij de Verwerker hiertoe verplicht is krachtens de wet van de Europese Unie of de Lidstaat, of een andere Toepasselijke Wetgeving inzake Gegevensbescherming die op de Verwerker van toepassing is; in een dergelijk geval stelt de Verwerker de Verwerkingsverantwoordelijke vóór de verwerking in kennis van die wettelijke vereiste, tenzij die wet dergelijke informatie om gewichtige redenen van algemeen belang verbiedt.

De Verwerker zal de gegevens die namens de Verwerkingsverantwoordelijke worden verwerkt alleen corrigeren, verwijderen of blokkeren zoals opgedragen door de Verwerkingsverantwoordelijke. Als een betrokkene contact opneemt met de Verwerker voor een verzoek om correctie of verwijdering van zijn gegevens, stuurt de Verwerker het verzoek door naar de Verwerkingsverantwoordelijke.

5.2 Tenzij dit verboden is door de toepasselijke wetgeving of een juridisch bindend verzoek tot wetshandhaving, stelt de Verwerker de Verwerkingsverantwoordelijke onmiddellijk in kennis van elk verzoek van een toezichthoudende autoriteit voor gegevensbescherming, een wetshandhavingsautoriteit of een andere overheidsinstantie om toegang te krijgen tot of beslag te leggen op Persoonsgegevens. Bovendien zal de Verwerker, voor zover wettelijk toegestaan, alle redelijkerwijs beschikbare maatregelen gebruiken om zich tegen een dergelijke vordering te verweren of de Verwerkingsverantwoordelijke toe te staan dit te doen in plaats van en namens de Verwerker, en indien hij dit verkiest, een conservatoir bevel vragen of de Verwerkingsverantwoordelijke toestaan dit namens de Verwerker te doen. In elk geval zal de Verwerker redelijkerwijze met de Verwerkingsverantwoordelijke samenwerken bij deze verdediging.

5.3 Alvorens toegang te verlenen tot Persoonsgegevens zal de Verwerker personen die werkzaam zijn bij de verwerking van Persoonsgegevens, verplichten tot geheimhouding en vertrouwelijkheid van gegevens en hen vertrouwd maken met de bepalingen zoals uiteengezet in deze Clausules Deel B en de verplichtingen inzake gegevensbescherming die op hen van toepassing zijn. Voor zover de Verwerker Persoonsgegevens verwerkt die vallen onder het beroepsgeheim of andere bijzondere geheimhoudingsplichten (bv. gegevens die vallen onder het telecommunicatiegeheim), omvat deze verplichting ook deze specifieke omstandigheden en gerelateerde verplichtingen.

5.4 Voor zover vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming zal de Verwerker een functionaris voor gegevensbescherming aanstellen en zijn contactgegevens doorgeven aan de Verwerkingsverantwoordelijke, en zal hij zonder onnodige vertraging alle wijzigingen en updates tijdens de duur van deze Overeenkomst melden aan de Verwerkingsverantwoordelijke.

5.5 De Verwerker stelt de Verwerkingsverantwoordelijke zonder onnodige vertraging in kennis van schendingen van instructies of van bepalingen voor de bescherming van de Persoonsgegevens van de Verwerkingsverantwoordelijke door de Verwerker of een persoon die door de Verwerker wordt tewerkgesteld.

De Verwerker erkent dat de Verwerkingsverantwoordelijke verplicht is inbreuken op de bescherming van Persoonsgegevens te documenteren en, indien nodig, de toezichthoudende autoriteit, respectievelijk de betrokkene, binnen 72 uur in kennis te stellen van een dergelijke inbreuk. Indien en voor zover deze inbreuken zijn vastgesteld, zal de Verwerker de Verwerkingsverantwoordelijke bijstaan in overeenstemming met artikel 28, lid 3, onder f van de AVG met betrekking tot de naleving van zijn rapportageverplichtingen op een correcte manier zodat de Verwerkingsverantwoordelijke zijn verplichtingen krachtens deze overeenkomst tijdig kan nakomen. De Verwerker zal de Verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte brengen van de inbreuk en ten minste de volgende informatie verstrekken indien en voor zover beschikbaar voor de Verwerker: (a) een beschrijving van het soort inbreuk, de categorie en het geschatte aantal betrokkenen en gegevensverzamelingen, (b) naam en contactgegevens van een contactpersoon voor nadere informatie, (c) een beschrijving van de waarschijnlijke gevolgen van de inbreuk, (d) een beschrijving van de maatregelen die zijn genomen om de inbreuk te verhelpen of te beperken.

Bovendien moet de Verwerker de Verwerkingsverantwoordelijke onverwijld op de hoogte brengen van ernstige verstoringen van de normale bedrijfsvoering, vermoedens van inbreuken op de gegevensbescherming, of andere onregelmatigheden bij de verwerking van de gegevens van de Verwerkingsverantwoordelijke.

5.6 De Verwerker brengt de Verwerkingsverantwoordelijke op de hoogte van alle toezichtactiviteiten en maatregelen die door de toezichthoudende autoriteit worden genomen met betrekking tot de verwerking van Persoonsgegevens van de Verwerkingsverantwoordelijke.

5.7 De Verwerker staat de Verwerkingsverantwoordelijke bij in overeenstemming met artikel 28, lid 3, punt e) van de AVG met passende technische en organisatorische maatregelen, voor zover dat mogelijk en redelijk is, om te voldoen aan de verplichting van de Verwerkingsverantwoordelijke ten aanzien van betrokkenen (inclusief krachtens Hoofdstuk II van de AVG), bv. de informatie aan en toegang van de betrokkenen, rectificatie en verwijdering van gegevens, beperking van de verwerking of het recht op gegevensoverdraagbaarheid en recht van bezwaar, indien van toepassing.

5.8 De Verwerker helpt volgens artikel 28, lid 3, punt f) van de AVG bij de voorbereiding van een gegevensbeschermingseffectbeoordeling overeenkomstig artikel 35 van de AVG en helpt, waar passend, bij de voorafgaande raadpleging van de toezichthoudende autoriteit overeenkomstig artikel 36 van de AVG. Op verzoek van de Verwerkingsverantwoordelijke maakt de Verwerker de vereiste informatie en documenten bekend aan de Verwerkingsverantwoordelijke.

5.9 De Partijen komen tot een overeenkomst over eventuele bijkomende kosten die worden gemaakt in overeenstemming met

5.7 en 5.8 hierboven. De kosten van deze door MB BeLux te leveren diensten, waartoe MB BeLux gehouden is of zou zijn, zullen niet moeten worden gedragen ongeacht het bestaan van deze opdracht op grond van wettelijke bepalingen.

5.10 De Verwerker zal tijdens de uitvoering van de opgedragen gegevensverwerking toezien op de naleving van de hierboven vermelde verplichtingen.

5.11 De Verwerker houdt een register bij van de verwerkingsactiviteiten die namens de Verwerkingsverantwoordelijke worden uitgevoerd.

6. Beveiliging van de Verwerking

6.1 De Verwerker treft alle passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, en helpt de Verwerkingsverantwoordelijke bij het waarborgen van de naleving van de Toepasselijke Wetgeving inzake Gegevensbescherming.

Bijgevolg zal de Verwerker binnen zijn verantwoordelijkheidsgebied zijn interne organisatie opzetten in overeenstemming met alle toepasselijke vereisten inzake gegevensbescherming en gegevensbeveiliging. De Verwerker neemt, handhaaft en controleert technische en organisatorische maatregelen om een passende bescherming van de gegevens van de Verwerkingsverantwoordelijken te waarborgen tegen misbruik en verlies in overeenstemming met de vereisten conform de toepasselijke wetgeving.

6.2 In dit verband moet de Verwerker zorgen voor een op het risico afgestemd beveiligingsniveau, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, alsook met het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen. Dit omvat passende maatregelen inzake bijvoorbeeld toegangscontrole (fysiek en tot IT-systemen), gebruikerscontrole, overdrachtscontrole, invoercontrole, jobcontrole, beschikbaarheidscontrole en scheiding per doel en, waar van toepassing, pseudonimisering en versleuteling van persoonsgegevens, het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen, het vermogen om de beschikbaarheid en toegang tot persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident en een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

6.3 Verdere specificaties over de technische en organisatorische maatregelen vloeien voort uit Bijlage 2.

6.4 Technische en organisatorische maatregelen zijn onderhevig aan technische vooruitgang en ontwikkeling. De Verwerker kan passende alternatieve maatregelen nemen. Deze mogen echter niet afwijken van het veiligheidsniveau dat door de genoemde maatregelen wordt geboden. Eventuele materiële wijzigingen moeten echter worden gedocumenteerd.

7. Rechten en verplichtingen van de Verwerkingsverantwoordelijke

7.1 De Verwerkingsverantwoordelijke en de Verwerker zijn elk verantwoordelijk voor de naleving van de respectieve wettelijke voorschriften inzake gegevensbescherming zoals die van toepassing zijn op de ene of de andere met betrekking tot de Persoonsgegevens die krachtens deze Overeenkomst moeten worden verwerkt.

7.2 Betrokkenen hebben verschillende rechten met betrekking tot de Persoonsgegevens die door de Verwerkingsverantwoordelijke (en de Verwerker namens hem) worden bewaard. Aangezien het in ieder geval ook de Verwerkingsverantwoordelijke is die een rechtstreekse relatie heeft met de betrokkene, moet de Verwerkingsverantwoordelijke zorgen voor de correcte uitvoering van de relevante rechten van de betrokkenen, in het

bijzonder om de betrokkenen correct te informeren over de rollen en taken die de partijen uitvoeren in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming, bv. door klanten toegang te geven tot de actuele versie van het relevante privacybeleid.

7.3 De Verwerkingsverantwoordelijke dient de maatregelen te specificeren voor het teruggeven van de overhandigde gegevensmedia en/of het wissen van de geregistreerde gegevens na de beëindiging van de opdracht. Indien geen specificaties worden opgesteld, moeten de gegevens aan de Verwerkingsverantwoordelijke worden overhandigd of moeten ze worden vernietigd. Voor zover de gegevens worden gewist in overeenstemming met bijzondere specificaties, moet de Verwerker deze verwijdering op verzoek van de Verwerkingsverantwoordelijke bevestigen aan de Verwerkingsverantwoordelijke, met vermelding van de datum waarop die verwijdering plaatsvond.

8. Audit

8.1 De Verwerkingsverantwoordelijke of zijn aangestelde vertegenwoordiger heeft het recht om de naleving van alle instructies en vereisten te controleren die voortvloeien uit deze Overeenkomst of uit de Toepasselijke Wetgeving inzake Gegevensbescherming, met inbegrip van regelmatige controles. De Verwerker verbindt zich ertoe dergelijke controles toe te staan en de Verwerkingsverantwoordelijke te ondersteunen en deze de nodige informatie te verstrekken.

8.2 De Verwerkingsverantwoordelijke zal hoofdzakelijk zijn controleverplichtingen nakomen door interne controles te vragen, uitgevoerd door de functionaris voor gegevensbescherming van de gegevensbeschermingsorganisatie van de Verwerker en/of certificeringen van onafhankelijke auditors. De Verwerkingsverantwoordelijke behoudt zich het recht voor om indien nodig bijkomende inspecties ter plaatse uit te voeren in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming.

8.3 Controles door de Verwerkingsverantwoordelijke in overeenstemming met artikel 8.1 en 8.2 hierboven moeten plaatsvinden tijdens de normale kantooruren, mogen de interne standaardactiviteiten niet verstoren en moeten redelijk van tevoren worden gemeld.

8.4 Op schriftelijk verzoek van de Verwerkingsverantwoordelijke verstrekt de Verwerker aan de Verwerkingsverantwoordelijke binnen een redelijke termijn alle informatie en stelt hij de documentatie ter beschikking zoals nodig voor de controle.

9. Subverwerkers

9.1 De Verwerker mag subverwerkers gebruiken om zijn contractuele verplichtingen na te komen.

9.2 De Verwerker moet ervoor zorgen dat hij door het aangaan van overeenkomsten met subverwerkers ten minste substantieel dezelfde verplichtingen oplegt aan subverwerkers die de Verwerker overeenkomstig deze Clausules Deel B heeft overgenomen voordat de subverwerker tijdens de uitvoering toegang krijgt tot de Persoonsgegevens van de Verwerkingsverantwoordelijke.

9.3 Voor zover de Verwerker subverwerkers betrekt, bevat Bijlage 1 per procedure verdere informatie over de betrokken subverwerkers. Daarnaast worden betrokken subverwerkers opgesomd in Bijlage 3. De Verwerker moet de Verwerkingsverantwoordelijke op de hoogte brengen van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van andere subverwerkers, waardoor de Verwerkingsverantwoordelijke de mogelijkheid krijgt bezwaar te maken tegen dergelijke wijzigingen, terwijl de hij redelijke gronden voor een dergelijk bezwaar moet aanvoeren. Als de Verwerkingsverantwoordelijke nog steeds geen nieuwe subverwerker goedkeurt, dan kunnen de Verwerkingsverantwoordelijke en de Verwerker de getroffen onderdelen van de Diensten zonder boete opzeggen door een schriftelijke kennisgeving van beëindiging te verstrekken.

9.4 Deze sectie 9 is niet van toepassing in gevallen waarin de Verwerker nevendiensten uitbesteedt aan derden; deze nevendiensten omvatten, maar zijn niet beperkt tot post-, communicatie-, verzend- en ontvangstdiensten en bewakingsdiensten.

10. Territorium en internationale gegevensoverdrachten

10.1 Als algemene regel geldt dat de verwerking plaatsvindt in een lidstaat van de Europese Unie, in een land van de Europese Economische Ruimte of in een Toereikend land. Verwerkingsactiviteiten in een ander land ('Derde land') zijn toegestaan als wordt voldaan aan de toepasselijke vereisten voor internationale overdracht van Persoonsgegevens.

10.2 Voor zover internationale gegevensoverdrachten (eventueel inclusief gegevensoverdrachten met betrekking tot subverwerkers) niet onder de Mercedes-Benz Gegevensbeschermingsrichtlijn EU A 17.4 vallen, zullen de Partijen (ook met betrekking tot subverwerkers) indien nodig de respectieve standaardcontractbepalingen van de EU sluiten.

10.3 Indien van toepassing zullen de voorwaarden uit de standaardcontractbepalingen van de EU (met inbegrip van de Bijlagen ervan) voorrang hebben op alle tegenstrijdige clausules in de rest van deze Clausules Deel B en de volledige Overeenkomst. Voor alle duidelijkheid: de bepalingen in de rest van deze Clausules Deel B en de volledige Overeenkomst die verder gaan dan de voorwaarden uit de standaardcontractbepalingen van de EU zonder ze tegen te spreken, blijven geldig.

11. Aansprakelijkheid

Onverminderd artikel 7 van het hoofdonderdeel van deze Overeenkomst is de Verwerkingsverantwoordelijke aansprakelijk voor schade en vrijwaart hij de Verwerker voor alle vorderingen van derden of andere schade en aansprakelijkheden, met inbegrip van de gevolgen van bevelen of boetes van de toezichthoudende autoriteit als gevolg van (i) de schending door de Verwerkingsverantwoordelijke van zijn verplichtingen uit hoofde van deze Overeenkomst en/of andere schendingen van de toepasselijke wetgeving inzake gegevensbescherming, en/of (ii) de schending door de Verwerker van de toepasselijke wetgeving inzake gegevensbescherming, voor zover deze gebaseerd zijn op de goede uitvoering van de bepalingen van deze Overeenkomst of andere instructies van de Verwerkingsverantwoordelijke. Dit geldt niet indien de Verwerkingsverantwoordelijke niet verantwoordelijk is voor de omstandigheden die aanleiding geven tot aansprakelijkheid.

Bijlage 1: Rollen, taken en reikwijdte van de samenwerking

1. Verwerkingsactiviteiten in verband met het B2B Connect-platform

Procedure

Doel/Reikwijdte

Rollen en taken

Gegevenscategorieën en betrokkenen

Systeemondersteuning voor de

diensten van het B2B Connect- platform

Gebruikersondersteuning bieden

aan medewerkers van de ESP (via Ticketing Tool/Call Center)

MB BeLux: Verwerker (MBAG:

Subverwerker)

Biedt ondersteuning aan de respectieve ESP's

ESP:

Verwerkingsverantwoordelijke

WebParts gebruiken inclusief gebruikersondersteuning

ESP-gegevens: accountgegevens

waaronder naam van de klant/bedrijfsnaam, naam van de werknemer van de klant en contactgegevens van de klant, adres van de klant, informatie over het support ticket/incident, informatie over het gebruik van het systeem voor aftersales- diensten waaronder transactionele en gerelateerde ISP-gegevens waaronder ISP- bedrijfstitel, namen van werknemers of gegevens met betrekking tot aankooporders (indien nodig)

2. Business Analytics

Procedure

Doel/Reikwijdte

Rollen en taken

Gegevenscategorieën en betrokkenen

Weergave, rapportage en analyse

ISP-transactiegegevens

weergeven in B2B Connect Seller Center met rapporten en analyses

MB BeLux: Verwerker (MBAG:

Subverwerker)

ISP-transactiegegevens weergeven in B2B Connect Seller Center met rapporten en analyses op verzoek van ESP

ESP:

Verwerkingsverantwoordelijke

WebParts gebruiken, inclusief gegevens weergeven, rapporteren en analyseren

ISP-gegevens: ISP-bedrijfsnaam,

gebruikersnaam, gebruikers-ID, bestelgegevens (datum van bestelling, bestelde onderdelen/diensten, bestelde hoeveelheid, verkoop, niet- geplaatste bestellingen (gemiste verkoop), gebruiksfrequentie van het B2B Connect-platform en diensten verbonden aan aftersales, leveringstermijnen), analyses en rapporten gebaseerd op de bovenstaande verkoopcijfers

ESP-gegevens: bedrijfsnaam, gebruikersnaam, gebruikers-ID

Diensten voor

campagnevoorstellen (indien een dergelijke dienst wordt aangevraagd door MB BeLux en/of de ESP; anders niet van toepassing)

MBAG en MB BeLux (indien van

toepassing) gebruiken verstrekte gegevens om bedrijfsanalyses uit te voeren en gerelateerde marketingcampagnes voor MB BeLux en ESP’s te creëren en om marketingcampagnes te ondersteunen.

Dit houdt doorgaans in dat MBAG marketingmateriaal inclusief ISP- lijsten (bv. met leads) verstrekt aan MB BeLux of ESP’s om hen in

MBAG: Verwerker

Staat in voor de hosting van een databank met gegevens over bedrijfsanalyses; runt applicaties en maakt marketingcampagnes op basis van de aangeleverde gegevens voor MB BeLux en ESP’s om hen in staat te stellen contact op te nemen met ISP’s via verschillende direct- marketingkanalen. Stuurt hiervoor marketingmateriaal +

ISP-gegevens: ISP-bedrijfsnaam,

gebruikersnaam, gebruikers-ID, adres, e-mail, telefoon, bestelgegevens (datum van bestelling, bestelde onderdelen/diensten, bestelde hoeveelheid, verkoop, niet- geplaatste bestellingen (gemiste verkoop), gebruiksfrequentie van het B2B Connect-platform of diensten verbonden aan aftersales, leveringstermijnen)

	staat te stellen contact op te nemen met ISP’s via verschillende direct- marketingkanalen (indien van toepassing op de specifieke markt), waaronder het verzenden van marketingmateriaal + dealerlijsten naar MB BeLux of ESP’s voor dit doel.	ISP-lijsten door naar MB BeLux en/of ESP’s. MB BeLux: Verwerkingsverantwoordelijke Ontvangt ISP-lijsten + marketingmateriaal voor marketingcampagnes (marketingcampagnes zullen worden beheerd door MB BeLux onder zijn uitsluitende verantwoordelijkheid, indien van toepassing)	ESP-gegevens: bedrijfsnaam, gebruikersnaam, gebruikers-ID, adres, e-mail, telefoon
		Kan soortgelijke diensten verlenen aan ESP’s (in dit geval ook als verwerker optreden bij ESP’s)
		ESP: Verwerkingsverantwoordelijke
		Ontvangt ISP-lijsten + marketingmateriaal voor marketingcampagnes (marketingcampagnes zullen worden beheerd door de ESP onder zijn uitsluitende verantwoordelijkheid)
Diensten voor direct- marketingcampagnes (indien een dergelijke dienst wordt aangevraagd door de ESP; anders niet van toepassing)	Optioneel kan MB BeLux, indien besteld door een ESP, het verzenden van marketingmateriaal naar klanten ondersteunen door een specifieke webservice aan te bieden waarmee ESP’s contactgegevens van eindklanten kunnen uploaden en waarmee MB BeLux campagnes kan verspreiden in naam en voor rekening van de ESP; MB BeLux kan de ESP ook marketingondersteuning bieden door via het callcenter van MB contact op te nemen met ISP	MB BeLux: Verwerker MB BeLux mag marketingcampagnes (e-mails) sturen in naam en voor rekening van de ESP (of daarbij MBAG of een andere subverwerker betrekken). In dat geval zal MB BeLux een interface voorzien via dewelke de ESP gegevens van eindklanten (namen, e-mailadres) kan doorsturen naar MB BeLux. MB BeLux verwerkt dan de doorgestuurde gegevens om marketingmails te verzenden (ook via externe dienstverleners van MB BeLux). Optioneel kan MB XxXxx contact opnemen met ISP's via het MB callcenter en hun vorige bedrijfstransacties opvolgen.	ESP-gegevens: bedrijfsnaam, naam van werknemer, gebruikers-ID, adres, e-mail, telefoon ISP-gegevens: bedrijfsnaam, contactgegevens, namen van werknemers, e-mail, bestelgegevens (datum van bestelling, bestelde onderdelen/diensten, bestelhoeveelheid, verkoop, niet- geplaatste bestellingen (gemiste verkoop), gebruiksfrequentie van het B2B Connect-platform of diensten in verband met aftersales, bijkomende informatie over leads
		ESP: Verwerkingsverantwoordelijke
		Voert marketingcampagnes uit

3. Ontvangers

Bijlage 2: Technische en organisatorische maatregelen

De volgende technische en organisatorische maatregelen weerspiegelen de maatregelen die geïmplementeerd zijn in de individuele functionele componenten van de relevante omgeving. Afhankelijk van de subfunctie en toepassing kunnen niet alle hieronder vermelde maatregelen volledig geïmplementeerd worden (bv. speciale toegangscontrolemaatregelen voor toepassingen die al geëxploiteerd worden in speciaal beschermde omgevingen, zoals speciaal beschermde gegevenscentra). Specifieke gedetailleerde beschrijvingen van de technische en organisatorische maatregelen die voor elke productencomponent, deelfunctie of (gedeeltelijke) toepassing zijn genomen, zullen op verzoek beschikbaar worden gesteld.

Voor B2B Connect-gerelateerde verwerkingsactiviteiten (inclusief Business Analytics en Campaign/Marketing Support) gelden de volgende TOM’s:

1. Toegangscontrole (fysiek)	Ja	Neen	Niet van toepassing
De ruimten met systemen waar applicaties persoonsgegevens verwerken zijn onderverdeeld in verschillende beveiligingszones	☒	☐	☐
Specificatie van bevoegde personen, met inbegrip van de reikwijdte van de bevoegdheid met betrekking tot fysieke toegang tot relevante ruimten of zones	☒	☐	☐
Uitgegeven ID's voor het verlenen van toegang	☒	☐	☐
Regels en voorschriften voor bezoekers	☒	☐	☐
Regels en voorschriften voor de gebruikte sleutels	☒	☐	☐
Alle personen geregistreerd bij aankomst en vertrek	☒	☐	☐
Fysieke bescherming van bedrijfsterreinen (bv. omheining, buitenmuren, controlepunten)	☒	☐	☐
Beveiligde toegang (bv. vergrendelingssysteem, badgelezer)	☒	☐	☐
Inbraakwerende ramen	☒	☐	☐
Bewakingsinstallatie (bv. alarmsysteem, bewakingscamera)	☒	☐	☐
Scheidingssysteem (bv. tourniquets, systeem met dubbele deuren)	☒	☐	☐
Documentatie van fysieke beschermingsmaatregelen	☒	☐	☐

2. Toegangscontrole (systemen)	Ja	Neen	Niet van toepassing
Gedocumenteerd beveiligingsconcept voor toegang (login) tot de toepassing	☒	☐	☐
Gebruik van de Global Authentication Service (GAS)	☒	☐	☐
Regelmatige synchronisatie met Corporate Directory	☒	☐	☐
Gebruik van de Secure Application Gateway (SAGW/WCP)	☐	☐	☒
Toegangsautoriteit gespecificeerd en gecontroleerd	☒	☐	☐
Gebruiker geïdentificeerd en autorisatie geverifieerd	☒	☐	☐
Gebruikersidentiteitsbeheersysteem geïmplementeerd	☒	☐	☐
Speciaal verificatieproces (bv. chipkaarten, biometrische toegangscontrole)	☐	☐	☒
Gepaste wachtwoordbeveiliging (bindende vereisten voor beveiligde wachtwoorden, gecodeerde opslag)	☒	☐	☐
Bewaakte toegangspogingen, inclusief reactie op beveiligingsproblemen	☒	☐	☐
Isolatie van intern netwerk (bv. door gebruik van VPN, firewalls)	☒	☐	☐
Onmiddellijke verwijdering van accounts van ex-werknemers	☐	☒	☐
Speciale beveiligingssoftware (bv. anti-malware, intrusiedetectie)	☒	☐	☐
Regels en voorschriften voor bezoekers	☒	☐	☐
Regels en voorschriften voor toegang op afstand	☒	☐	☐

3. Toegangscontrole (gebruikersrechten)	Ja	Neen	Niet van toepassing
Autorisatie- en rolconcept geïmplementeerd voor applicaties	☒	☐	☐
Gebruikersaccounts vereist voor gegevenstoegang	☒	☐	☐
Regelmatige toetsing van autorisaties	☐	☒	☐
Opgelegde toegangsbeperkingen (gebaseerd op principes van need-to-know en least privilege)	☒	☐	☐
Bijkomende wachtwoorden (gebaseerd op het 4-ogen-principe) voor bijzonder belangrijke functies (bv. systeembeheerder)	☒	☐	☐
Verzekering van de capaciteit van het systeem voor meerdere klanten	☒	☐	☐
Gescheiden databanken met meerdere cliënten	☒	☐	☐
Scheiding van ontwikkelings-, test-, integratie- en productieomgeving	☒	☐	☐
Scheiding van productie- en archiefomgeving	☒	☐	☐
Leestoegang geregistreerd	☒	☐	☐
Schrijftoegang geregistreerd	☒	☐	☐
Onbevoegde toegangspogingen geregistreerd	☒	☐	☐
Implementatie van bewaartermijnen voor gegevens	☒	☐	☐

4. Controle op openbaarmaking	Ja	Neen	Niet van toepassing
Gegevensoverdracht versleuteld	☒	☐	☐
Gegevensbewaring versleuteld	☐	☒	☐
Mobiele terminals versleuteld (bv. versleuteling van de harde schijf)	☐	☐	☒
Doorsturen of overdracht van gegevens geregistreerd	☒	☐	☐
Formulieren voor het doorsturen van gegevens volledig gedocumenteerd (bv. afdruk, gegevensdragers, geautomatiseerde overdracht)	☐	☐	☒
Interfaces gedocumenteerd	☒	☐	☐
Beperking van rechten voor gegevensoverdracht	☒	☐	☐
Plausibiliteit, volledigheid en nauwkeurigheid van gegevens worden gecontroleerd	☒	☐	☐
Deactivering van USB-interface	☐	☐	☒
Voorschriften voor het gebruik van mobiele toestellen geïmplementeerd	☐	☐	☒
Voorschriften voor de verwijdering van gegevensdragers geïmplementeerd	☒	☐	☐
Bescherming tegen gegevensmanipulatie (bescherming tegen malware)	☒	☐	☐

5. Invoercontrole	Ja	Neen	Niet van toepassing
Systeemregistratie/logging verzekerd	☒	☐	☐
Regelmatige evaluatie van logbestanden/protocollen	☐	☒	☐
Scheiding van taken (SoD) verzekerd (SoD-matrix gedefinieerd en procedures geïmplementeerd)	☒	☐	☐
Toestemming om gedocumenteerde gegevens in te voeren, te wijzigen of te verwijderen	☒	☐	☐
Invoer/wijziging van gegevens volledig gelogd/geregistreerd	☐	☐	☒
Invoer/wijziging van gegevens gedeeltelijk gelogd/geregistreerd	☒	☐	☐
Wijziging/verwijdering van gegevens verboden	☒	☐	☐

Elektronische handtekening om de authenticiteit van de gegevenswijziging te waarborgen

☐

☒

6. Taakbeheersing	Ja	Neen	Niet van toepassing
De standaardovereenkomst van Mercedes-Benz inzake gegevensverwerking namens een andere partij is ondertekend	☒	☐	☐
De standaardovereenkomst van de gegevensverwerker inzake gegevensverwerking namens een andere partij is ondertekend	☒	☐	☐
Er zijn standaardcontractbepalingen van de Europese Commissie overeengekomen voor gegevensverwerking namens verwerkers in derde landen	☒	☐	☐
De verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker zijn strikt gereglementeerd/gescheiden	☒	☐	☐
Regels zijn vastgelegd voor het aanpassen/wijzigen van instructies die aan de gegevensverwerker worden gegeven	☒	☐	☐
Controles ter plaatse zijn uitgevoerd en gedocumenteerd door de verwerkingsverantwoordelijke	☐	☒	☐
Gegevensverwerker heeft zelfevaluaties ingediend	☐	☒	☐
Gegevensverwerker heeft goedgekeurde certificeringen ingediend	☐	☒	☐
Gegevensverwerker heeft lijst van onderaannemers ingediend	☒	☐	☐
Controle op onderaannemers door verwerker	☐	☒	☐

7. Beschikbaarheidscontrole	Ja	Neen	Niet van toepassing
Systeemconditie regelmatig gecontroleerd (monitoring)	☒	☐	☐
Back-up- en herstelplan aanwezig (regelmatige gegevensback-ups)	☒	☐	☐
Strategie voor gegevensarchivering geïmplementeerd	☒	☐	☐
Gedocumenteerde noodplannen (bedrijfscontinuïteit, noodherstel)	☒	☐	☐
Noodplannen regelmatig getest	☐	☒	☐
Aanwezigheid van redundante IT-systemen beoordeeld (servers, opslag, enz.)	☒	☐	☐
Volledig operationele fysieke beveiligingssystemen aanwezig (brandbeveiliging, energie, airco)	☒	☐	☐

8. Procedures voor de regelmatige herziening, beoordeling en evaluatie van de doeltreffendheid van de genomen technische en organisatorische maatregelen	Ja	Neen	Niet van toepassing
Regelmatige controle van de systeemstatus (monitoring)	☒	☐	☐
Herziening van de uitvoering van de beschreven maatregelen	☒	☐	☐
Beschrijving van toepasselijke eisen inzake gegevensbescherming in bindende richtlijnen en instructies voor actie	☒	☐	☐
Betrokkenheid van de functionaris voor gegevensbescherming bij relevante nieuwe gegevensverwerkingsprocedures	☒	☐	☐

Voor WebParts-gerelateerde verwerkingsactiviteiten (inclusief Business Analytics en Campaign/Marketing Support) gelden de volgende TOM’s:

1. Toegangscontrole (fysiek)	Ja	Neen	Niet van toepassing
De ruimten met systemen waar applicaties persoonsgegevens verwerken zijn onderverdeeld in verschillende beveiligingszones	☒	☐	☐
Specificatie van bevoegde personen, met inbegrip van de reikwijdte van de bevoegdheid met betrekking tot fysieke toegang tot relevante ruimten of zones	☒	☐	☐
Uitgegeven ID's voor het verlenen van toegang	☒	☐	☐
Regels en voorschriften voor bezoekers	☒	☐	☐
Regels en voorschriften voor de gebruikte sleutels	☒	☐	☐
Alle personen geregistreerd bij aankomst en vertrek	☒	☐	☐
Fysieke bescherming van bedrijfsterreinen (bv. omheining, buitenmuren, controlepunten)	☒	☐	☐
Beveiligde toegang (bv. vergrendelingssysteem, badgelezer)	☒	☐	☐
Inbraakwerende ramen	☐	☐	☒
Bewakingsinstallatie (bv. alarmsysteem, bewakingscamera)	☒	☐	☐
Scheidingssysteem (bv. tourniquets, systeem met dubbele deuren)	☒	☐	☐
Documentatie van fysieke beschermingsmaatregelen	☒	☐	☐

2. Toegangscontrole (systemen)	Ja	Neen	Niet van toepassing
Gedocumenteerd beveiligingsconcept voor toegang (login) tot de toepassing	☐	☒	☐
Gebruik van de Global Authentication Service (GAS)	☒	☐	☐
Regelmatige synchronisatie met Corporate Directory	☒	☐	☐
Gebruik van de Secure Application Gateway (SAGW/WCP)	☒	☐	☐
Toegangsautoriteit gespecificeerd en gecontroleerd	☒	☐	☐
Gebruiker geïdentificeerd en autorisatie geverifieerd	☒	☐	☐
Gebruikersidentiteitsbeheersysteem geïmplementeerd	☒	☐	☐
Speciaal verificatieproces (bv. chipkaarten, biometrische toegangscontrole)	☐	☒	☐
Gepaste wachtwoordbeveiliging (bindende vereisten voor beveiligde wachtwoorden, gecodeerde opslag)	☒	☐	☐
Bewaakte toegangspogingen, inclusief reactie op beveiligingsproblemen	☒	☐	☐
Isolatie van intern netwerk (bv. door gebruik van VPN, firewalls)	☒	☐	☐
Onmiddellijke verwijdering van accounts van ex-werknemers	☒	☐	☐
Speciale beveiligingssoftware (bv. anti-malware, intrusiedetectie)	☒	☐	☐
Regels en voorschriften voor bezoekers	☒	☐	☐
Regels en voorschriften voor toegang op afstand	☒	☐	☐

3. Toegangscontrole (gebruikersrechten)	Ja	Neen	Niet van toepassing
Autorisatie- en rolconcept geïmplementeerd voor applicaties	☒	☐	☐
Gebruikersaccounts vereist voor gegevenstoegang	☒	☐	☐
Regelmatige toetsing van autorisaties	☒	☐	☐

Opgelegde toegangsbeperkingen (gebaseerd op principes van need-to-know en least privilege)	☒	☐	☐
Bijkomende wachtwoorden (gebaseerd op het 4-ogen-principe) voor bijzonder belangrijke functies (bv. systeembeheerder)	☐	☒	☐
Verzekering van de capaciteit van het systeem voor meerdere klanten	☒	☐	☐
Gescheiden databanken met meerdere cliënten	☐	☒	☐
Scheiding van ontwikkelings-, test-, integratie- en productieomgeving	☒	☐	☐
Scheiding van productie- en archiefomgeving	☒	☐	☐
Leestoegang geregistreerd	☒	☐	☐
Schrijftoegang geregistreerd	☒	☐	☐
Onbevoegde toegangspogingen geregistreerd	☐	☐	☒
Implementatie van bewaartermijnen voor gegevens	☐	☒	☐

4. Controle op openbaarmaking	Ja	Neen	Niet van toepassing
Gegevensoverdracht versleuteld	☒	☐	☐
Gegevensbewaring versleuteld	☒	☐	☐
Mobiele terminals versleuteld (bv. versleuteling van de harde schijf)	☐	☐	☒
Doorsturen of overdracht van gegevens geregistreerd	☒	☐	☐
Formulieren voor het doorsturen van gegevens volledig gedocumenteerd (bv. afdruk, gegevensdragers, geautomatiseerde overdracht)	☒	☐	☐
Interfaces gedocumenteerd	☒	☐	☐
Beperking van rechten voor gegevensoverdracht	☒	☐	☐
Plausibiliteit, volledigheid en nauwkeurigheid van gegevens worden gecontroleerd	☒	☐	☐
Deactivering van USB-interface	☐	☐	☒
Voorschriften voor het gebruik van mobiele toestellen geïmplementeerd	☐	☐	☒
Voorschriften voor de verwijdering van gegevensdragers geïmplementeerd	☐	☐	☒
Bescherming tegen gegevensmanipulatie (bescherming tegen malware)	☐	☐	☒

5. Invoercontrole	Ja	Neen	Niet van toepassing
Systeemregistratie/logging verzekerd	☒	☐	☐
Regelmatige evaluatie van logbestanden/protocollen	☒	☐	☐
Scheiding van taken (SoD) verzekerd (SoD-matrix gedefinieerd en procedures geïmplementeerd)	☒	☐	☐
Toestemming om gedocumenteerde gegevens in te voeren, te wijzigen of te verwijderen	☐	☐	☒
Invoer/wijziging van gegevens volledig gelogd/geregistreerd	☐	☒	☐
Invoer/wijziging van gegevens gedeeltelijk gelogd/geregistreerd	☒	☐	☐
Wijziging/verwijdering van gegevens verboden	☐	☐	☒
Elektronische handtekening om de authenticiteit van de gegevenswijziging te waarborgen	☐	☒	☐

6. Taakbeheersing

Neen

Niet van

toepassing

De standaardovereenkomst van Mercedes-Benz inzake gegevensverwerking namens een andere partij is ondertekend

☐

☒

☐

De standaardovereenkomst van de gegevensverwerker inzake gegevensverwerking namens een andere partij is ondertekend	☐	☒	☐
Er zijn standaardcontractbepalingen van de Europese Commissie overeengekomen voor gegevensverwerking namens verwerkers in derde landen	☐	☒	☐
De verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker zijn strikt gereglementeerd/gescheiden	☒	☐	☐
Regels zijn vastgelegd voor het aanpassen/wijzigen van instructies die aan de gegevensverwerker worden gegeven	☒	☐	☐
Controles ter plaatse zijn uitgevoerd en gedocumenteerd door de verwerkingsverantwoordelijke	☐	☒	☐
Gegevensverwerker heeft zelfevaluaties ingediend	☐	☒	☐
Gegevensverwerker heeft goedgekeurde certificeringen ingediend	☐	☒	☐
Gegevensverwerker heeft lijst van onderaannemers ingediend	☒	☐	☐
Controle op onderaannemers door verwerker	☐	☐	☒

7. Beschikbaarheidscontrole	Ja	Neen	Niet van toepassing
Systeemconditie regelmatig gecontroleerd (monitoring)	☒	☐	☐
Back-up- en herstelplan aanwezig (regelmatige gegevensback-ups)	☒	☐	☐
Strategie voor gegevensarchivering geïmplementeerd	☒	☐	☐
Gedocumenteerde noodplannen (bedrijfscontinuïteit, noodherstel)	☒	☐	☐
Noodplannen regelmatig getest	☐	☒	☐
Aanwezigheid van redundante IT-systemen beoordeeld (servers, opslag, enz.)	☒	☐	☐
Volledig operationele fysieke beveiligingssystemen aanwezig (brandbeveiliging, energie, airco)	☒	☐	☐

8. Procedures voor de regelmatige herziening, beoordeling en evaluatie van de doeltreffendheid van de genomen technische en organisatorische maatregelen	Ja	Neen	Niet van toepassing
Regelmatige controle van de systeemstatus (monitoring)	☒	☐	☐
Herziening van de uitvoering van de beschreven maatregelen	☒	☐	☐
Beschrijving van toepasselijke eisen inzake gegevensbescherming in bindende richtlijnen en instructies voor actie	☒	☐	☐
Betrokkenheid van de functionaris voor gegevensbescherming bij relevante nieuwe gegevensverwerkingsprocedures	☒	☐	☐

Bijlage 3: Subverwerkers

Subverwerker van MB BeLux

inclusief adres/locatie

Voorwerp en aard van de

verwerking

Looptijd

Mercedes-Benz Group AG

Technische werking van B2B-

platform +

gebruikersondersteuning

Tijdens de looptijd maakt de

ESP gebruik van B2B

Aanhangsel 2: Platformreglement

1. Algemeen platformreglement

MB Nederland behoudt zich het recht voor om Partners of Klanten (hierna gezamenlijk 'Gebruikers' of 'Gebruiker' genoemd) te blokkeren of andere gepaste maatregelen te treffen bij tekenen van oneigenlijk gebruik van B2B Connect, of van gebruik dat de toepasselijke bepalingen in het contract schenden. In het bijzonder wordt een dergelijk gebruik als oneigenlijk beschouwd indien de Gebruiker B2B Connect of de daarin aangeboden informatie voor andere doeleinden gebruikt dan waarvoor deze bedoeld is, voor illegale doeleinden gebruikt, of de rechten van MB Nederland of derden schendt, of B2B Connect gebruikt in strijd met andere richtlijnen van MB Nederland.

De Gebruiker garandeert dat alle informatie verstrekt aan MB Nederland en andere Gebruikers te allen tijde juist, accuraat en compleet is en overeenstemt met alle wettelijke vereisten en toepasselijke contractuele bepalingen. De Gebruiker verbindt zich ertoe MB Nederland onverwijld op de hoogte te stellen van toekomstige materiële wijzigingen in de informatie verstrekt aan MB Nederland die relevant zijn voor de contractuele of gebruiksrelatie.

In het bijzonder mag B2B Connect niet worden gebruikt voor de verspreiding van informatie die aan de volgende criteria voldoet: racistische, onmenselijke slogans; het verstrekken van valse of anderszins onjuiste informatie; informatie die beledigend, kwetsend, intimiderend, haatdragend, obsceen, bedreigend of anderszins verwerpelijk is; informatie die in strijd is met wettelijke voorschriften of waarbij toepasselijke voorschriften onvoldoende worden nageleefd of geïmplementeerd (bijvoorbeeld in het geval van etiketterings- of transparantieverplichtingen); informatie waarvan de verstrekking of verspreiding een misdrijf of overtreding vormt; informatie waarvan de verstrekking of verspreiding een strafbaar feit of een administratieve overtreding vormt.

Als de verstrekte informatie in strijd is met de toepasselijke gebruiksvoorwaarden van B2B Connect, en MB Nederland er kennis van neemt (bv. via een rapport van een Klant of andere derde partij), dan behoudt MB Nederland zich het recht voor om de betreffende inhoud onmiddellijk (indien nodig slechts tijdelijk) te blokkeren of te verwijderen en alle verdere noodzakelijke stappen te ondernemen.

Indien nodig of gepast zullen de volgende maatregelen genomen worden, afhankelijk van de ernst, frequentie en het aantal van de overtredingen:

• inhoud tijdelijk of permanent verwijderen;

• het account of de toegang van een Gebruiker blokkeren;

• het account of de toegang van een Gebruiker deactiveren voor drie maanden;

• het account van de Gebruiker en alle bijbehorende inhoud permanent blokkeren;

• het account van de Gebruiker en alle bijbehorende inhoud blokkeren, evenals de toegangsgegevens, in het bijzonder het gespecificeerde e-mailadres en andere mastergegevens om de Gebruiker op een zwarte lijst te zetten, waardoor de Gebruiker geen nieuw account of inhoud meer kan aanmaken.

Voor zover wettelijk verplicht is, zal de Gebruiker ingelicht worden over de beslissing van MB Nederland en de kans krijgen om te reageren. Na verdere opmerkingen (of bij gebrek aan opmerkingen), zal MB Nederland het besluit heroverwegen en definitief beslissen hoe het zal omgaan met de getroffen inhoud. Afhankelijk van het geval zullen aanvullende maatregelen tot matiging toegepast worden zoals beschreven in de betreffende gebruiksvoorwaarden voor B2B Connect. De Gebruiker zal een melding/e-mail ontvangen over de genomen beslissing tot matiging, inclusief een toelichting.

Opmerkingen of vragen over een beslissing tot matiging onder de Digitaledienstenverordening kunnen gericht worden aan de contactpersonen vermeld in sectie 3.2. De Gebruiker moet specificeren over welke beslissing hij/zij het heeft (bv. door de datum, het onderwerp en/of bestandsnummer te vermelden), waar hij/zij bezwaar tegen maakt in de beslissing of waarover hij/zij meer uitleg zou willen.

Klachten die niet kunnen worden opgelost via de hierboven beschreven procedures, kunnen worden ingediend bij en verwerkt door een gecertificeerd buitengerechtelijk orgaan voor geschillenbeslechting. Waar nodig wordt informatie over de toegang tot een buitengerechtelijk orgaan voor geschillenbeslechting beschikbaar gesteld op de B2B-website onder

'juridische informatie'. Ongeacht de betrokkenheid van een dergelijk orgaan, is het altijd mogelijk om een beroep te doen op de bevoegde rechtbanken.

2. Identificatie van commerciële en reclame-inhoud

Wanneer Gebruikers informatie verstrekken aan andere Gebruikers binnen B2B Connect, dienen ze commerciële aanbiedingen en reclame aan te geven in overeenstemming met de toepasselijke wetgeving.

In het kader van reclameaanbiedingen moeten Gebruikers transparante informatie verstrekken over de adverteerder. Die omvat bijvoorbeeld in wiens naam de advertentie wordt weergegeven, en wie voor de advertentie betaald heeft.

Als er reclameaanbiedingen worden getoond aan verschillende Gebruikers of Gebruikersgroepen op basis van het gedrag van de Gebruiker of Gebruikersgroep of iets dergelijks (met name in geval van targeting of profilering), moet de Gebruiker transparante informatie verstrekken over relevante parameters waarmee wordt bepaald welke informatie aan andere Gebruikers of Gebruikersgroepen wordt getoond. De Gebruiker moet alle informatie te allen tijde up-to-date houden.

MB Nederland zal, in de mate van het mogelijke, technische maatregelen en mogelijkheden ter beschikking stellen binnen B2B Connect waarmee de Gebruiker aan de betreffende verplichtingen kan voldoen. Indien niet wordt voorzien in dergelijke maatregelen, of indien deze maatregelen vanuit het oogpunt van de Gebruiker ontoereikend zijn, stelt de Gebruiker MB Nederland hiervan onmiddellijk op de hoogte en treffen de Partijen onmiddellijk en in samenspraak de overeenkomstige maatregelen.

3. Aanspreekpunten

Voor vragen over de inhoud op B2B Connect kan de Gebruiker zich wenden tot de aanspreekpunten die hij/zij kan vinden onder 'Dienstverlener/Gegevensbescherming' op de B2B-website. Wanneer de Xxxxxxxxx contact opneemt met MB Nederland, dient hij/zij altijd zijn/haar vraag te specificeren door te vermelden waarover zijn/haar vraag gaat, waarom de Gebruiker daarvoor contact opneemt met MB Nederland, en hoe MB Nederland de Gebruiker kan helpen met zijn/haar vraag.

3.1 Illegale inhoud

Indien de Gebruiker illegale inhoud of een schending van de toepasselijke gebruiksvoorwaarden van B2B Connect wenst te melden, dan kan dat via het contactformulier onder 'Dienstverlener/Gegevensbescherming' op de B2B-website.

Wanneer de Xxxxxxxxx contact opneemt met MB Nederland, moet hij/zij altijd zijn/haar vraag specificeren door bijvoorbeeld uit te leggen waarom hij/zij vindt dat bepaalde inhoud illegaal is of bepaalde regels schendt, waar die inhoud te vinden is, wanneer de Gebruiker die vond, enz.

3.2 Klachten en vragen over een beslissing

Indien de Xxxxxxxxx contact wenst op te nemen met MB Nederland in verband met een klacht over een beslissing die tegen hem/haar is genomen zoals hierboven beschreven, dan kan dat via het contactformulier onder 'Dienstverlener/Gegevensbescherming' op de B2B-website.

***

Document Metadata

Table of Contents

Gebruiksvoorwaarden

Document Metadata