Privacy- en Gegevensbeschermingsvereisten voor Leveranciers

Privacy- en Gegevensbeschermingsvereisten voor Leveranciers

Bijgewerkt: 15 februari 2018

1. Definities

1.1 “Agreement” means the master services agreement, purchase order terms and conditions or other contract under which Service Provider is providing services to Customer.

1.1 “Overeenkomst” betekent de master dienstenovereenkomst, voorwaarden voor aankooporders en elk ander contract waaronder de Dienstverlener diensten verleent aan de Klant.

1.2 “Dienstverlener” betekent de dienstverlener of leverancier die de diensten verleent uit hoofde van de Overeenkomst.

1.3 “Klant” betekent de onderneming RELX Group die de diensten ontvangt die uit hoofde van de Overeenkomst worden verleend.

1.4 “Persoonlijke Informatie” betekent de persoonlijke informatie of persoonsgegevens die de Dienstverlener Verwerkt namens de Klant uit hoofde van de Overeenkomst.

1.5 “Verwerking” betekent elke verwerking of andere toegang tot, of bewerking of geheel van bewerkingen die wordt uitgevoerd op Persoonlijke Informatie, en “Verwerken” en “Verwerkt” hebben overeenkomstige betekenissen.

1.6 “Wetgeving inzake Gegevensbescherming” betekent alle wet- en regelgeving, besluiten, bevelen of andere mandaten die van toepassing zijn op de bescherming of verwerking van Persoonlijke Informatie, waaronder voor zover van toepassing Verordening (EU) 2016/679 van het Europees Parlement en van de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (“AVG”) van 25 mei 2018 en elke wet, regel of regelgeving die daarvan een invoering, afleiding of daaraan verwant is van de Europese Unie (de “Unie”), een lidstaat van de Unie (“Lidstaat”) of het Verenigd Koninkrijk.

1.7 De termen in kleine letters “persoonsgegevens”, “betrokkene”, “verwerking”, “verwerkingsverantwoordelijke”, “verwerker”, “inbreuk in verband met persoonsgegevens” en “toezichthoudende autoriteit” hebben dezelfde betekenissen als daaraan zijn toegekend in de Wetgeving inzake Gegevensbescherming en waar de Wetgeving inzake Gegevensbescherming de termen ‘persoonlijke informatie’, ‘verwerkingsverantwoordelijke’ of ‘gegevensverwerker’ gebruiken, dient dit te worden gelezen als respectievelijk persoonsgegevens, verantwoordelijke, en verwerker.

2. Omschrijving van Verwerking

De aard en het doel van de Verwerkingsactiviteiten die door de Dienstverlener namens de Klant worden uitgevoerd, dienen verbonden te zijn aan de verlening van de diensten onder de Overeenkomst. De tijdsduur van de Verwerking is de duur van het recht van de Klant om de diensten

te ontvangen of te gebruiken, met inachtneming van onderstaand artikel 15. De categorieën van betrokkenen zijn de eindgebruikers, klanten, toekomstige klanten, zakenpartners, leveranciers, opdrachtnemers, werknemers, agenten en adviseurs van de Klant, en/of andere personen over wie Persoonlijke Informatie worden verstrekt aan de Dienstverlener door of op instructies van de Klant in het kader van de diensten. Het soort Persoonlijke Informatie omvat contactgegevens, professionele details, profielinformatie, unieke identificatiemiddelen en andere soorten persoonsgegevens als gespecificeerd in de Wetgeving inzake Gegevensbescherming en/of documenten, beelden, of andere content die Persoonlijke Informatie bevat die aan de Dienstverlener wordt verstrekt door of op instructies van de Klant in het kader van de diensten.

Eventuele aanvullende details over de Verwerkingsactiviteiten die de Dienstverlener uitvoert namens de Klant en de Verwerkingsinstructies van de Klant voor de Dienstverlener zullen beschreven staan in een werkopdracht, bestelling of ander addendum bij de Overeenkomst.

3. Beperkingen op de verwerking

De Dienstverlener zal de Persoonlijke Informatie uitsluitend Verwerken voor zover noodzakelijk (i) ten behoeve van het nakomen van haar verplichtingen uit hoofde van de Overeenkomst en (ii) anderszins in overeenstemming met de gedocumenteerde instructies van de Klant, tenzij de Unie, een Lidstaat of ander toepasselijk recht dat op de Dienstverlener van toepassing is dit vereist; in dat geval zal de Dienstverlener de Klant vóór de Verwerking op de hoogte stellen van dit wettelijke vereiste, tenzij die wet deze mededeling verbiedt op grond van een zwaarwegend algemeen belang.

4. Personeel

De Dienstverlener zal er zorg voor dragen dat personen die bevoegd zijn om de Persoonlijke Informatie te Verwerken zich gebonden hebben aan geheimhouding of onder een passende wettelijke verplichting tot geheimhouding verplicht zijn en de Persoonlijke Informatie niet zullen Verwerken anders dan op instructie van de Klant, tenzij het toepasselijk recht van de Unie, een Lidstaat of ander toepasselijk recht hen daartoe verplicht.

5. Beveiliging

De Dienstverlener zal passende technische en organisatorische maatregelen invoeren en onderhouden, waaronder die aangegeven in de Overeenkomst, op zodanige wijze dat haar Verwerking van Persoonlijke Informatie zal voldoen aan de vereisten van de AVG (waaronder alle verplichte maatregelen uit hoofde van artikel 32 van de AVG) voor zover van toepassing, de bescherming van de rechten van betrokkenen garanderen, en een beschermingsnorm hanteren die ten minste vergelijkbaar is met de vereiste bescherming uit hoofde van Wetgeving inzake Gegevensbescherming.

6. Klanten op de hoogte stellen van verzoeken

De Dienstverlener zal, voor zover wettelijk toegestaan, de Klant onverwijld schriftelijk op de hoogte stellen van elk verzoek van een betrokkene, toezichthoudende autoriteit of andere derde, of van elke dagvaarding of ander gerechtelijk of administratief bevel of verzoek van een overheidsinstantie of procedure die de Dienstverlener ontvangt, waarin om toegang tot of openbaarmaking van

Persoonlijke Informatie wordt verzocht. De Klant heeft het recht om verweer te voeren of zich te stellen in die procedure of dat verzoek te behandelen op eigen kosten in de plaats van en namens de Dienstverlener, tenzij dit bij wet verboden is. De Dienstverlener zal haar redelijke medewerking verlenen aan de Klant in een dergelijke procedure.

7. Bijstaan van de Klant

7.1 Rekening houdend met de aard van de Verwerking zal de Dienstverlener de Klant bijstaan met passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor het voldoen aan de verplichting van de Klant om te reageren op verzoeken tot het uitoefenen van de rechten van de betrokkene zoals bepaald in de Wetgeving inzake Gegevensbescherming (waaronder

Hoofdstuk III van de AVG voor zover van toepassing).

7.2 De Dienstverlener zal de Klant bijstaan bij het waarborgen van de naleving van gegevensbeveiliging, het melden van inbreuken in verband met persoonsgegevens en andere verplichtingen volgens de Wetgeving inzake Gegevensbescherming (waaronder Artikelen 32 tot en met 36 van de AVG voor zover van toepassing) rekening houdend met de aard van de Verwerking en de voor de Dienstverlener beschikbare informatie.

8. Inbreuk in verband met persoonsgegevens

De Dienstverlener zal de Klant onverwijld informeren na kennis te hebben genomen van een inbreuk in verband met Persoonlijke Informatie en zal redelijke inspanningen verrichten om de Klant bij te staan bij het onderzoek naar en herstel van die inbreuk in verband met persoonsgegevens.

9. Verantwoordingsplicht

9.1 De Dienstverlener zal de Klant alle informatie ter beschikking stellen die nodig is om aan te tonen dat hij voldoet aan de Wetgeving inzake Gegevensbescherming (waaronder de verplichtingen als bepaald in artikel 28 van de AVG voor zover van toepassing) en zal audits, waaronder inspecties toestaan en daaraan bijdragen die worden uitgevoerd door de Klant of door een andere auditor in opdracht handelend van de Klant die gebonden is aan een passende vertrouwelijkheidsplicht.

9.2 De Dienstverlener zal de Klant onmiddellijk informeren als naar zijn oordeel, een instructie inbreuk maakt op de AVG of op andere bepalingen inzake gegevensbescherming van de Unie of een Lidstaat.

10. Subverwerkers

10.1 De Dienstverlener zal geen andere verwerker inschakelen om Persoonlijke Informatie te Verwerken zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Klant. In het geval van een algemene schriftelijke toestemming informeert de Dienstverlener de Klant over voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van andere verwerkers, waardoor de Klant in de gelegenheid wordt gesteld zich redelijkerwijs tegen deze wijzigingen te verzetten.

10.2 In het geval de Dienstverlener een andere verwerker inschakelt voor het uitvoeren van specifieke Verwerkingsactiviteiten namens de Klant, zullen dezelfde verplichtingen inzake gegevensbescherming als bepaald hierin, in de Overeenkomst of andere rechtshandeling tussen partijen worden opgelegd aan die andere verwerker door middel van een contract of een andere rechtshandeling krachtens het recht van de Unie, een Lidstaat of ander toepasselijk recht. In het geval dat die andere verwerker niet voldoet aan zijn verplichtingen inzake gegevensbescherming blijft de Dienstverlener volledig aansprakelijk voor de nakoming van de verplichtingen van die andere verwerker.

10.3 De Klant machtigt hierbij de Dienstverlener om andere verwerkers in te schakelen om Persoonlijke Informatie te Verwerken. De Dienstverlener zal de Klant informeren over beoogde wijzigingen in verwerkers via haar website of het mechanisme voor kennisgeving als bepaald in de Overeenkomst.

11. Locatie van Verwerking

Persoonlijke Informatie kan worden doorgegeven naar elk land waar de Dienstverlener en de verwerkers die zij inschakelt voorzieningen onderhouden die voldoen aan passende waarborgen zoals beschreven in de Wetgeving inzake Gegevensbescherming (waaronder artikel 46 van de AVG voor zover van toepassing).

12. Privacy Shield verdere doorgiften

Indien de Klant een Amerikaanse entiteit is die zelf-gecertificeerd is in het kader van een Privacy Shield (xxx.xxxxxxxxxxxxx.xxx) en ontvangen persoonlijke informatie volgens haar Privacy Shield certificering verder doorgeeft (zoals gedefinieerd in Privacy Shield) aan de Dienstverlener ter verwerking (zoals gedefinieerd in Privacy Shield) als haar agent, stemt de Dienstverlener ermee in: (i) om ten minste hetzelfde niveau van bescherming te bieden aan die persoonlijke informatie als vereist volgens de Privacy Shield Principles en de toepasselijke Supplemental Principles; (ii) om de Klant op de hoogte te stellen indien zij oordeelt dat zij niet langer aan haar verplichting kan voldoen om hetzelfde niveau van bescherming te bieden als deze Principles vereisen; (iii) om na kennisgeving, waaronder uit hoofde van lid (ii) hierboven, redelijke en passende maatregelen nemen om de verwerking te staken en elke onbevoegde verwerking van de persoonlijke informatie te herstellen; en (iv) dat de Klant op verzoek een kopie van dit document en relevante bepalingen van de Overeenkomst kan verstrekken aan het Amerikaanse Ministerie van Handel (U.S. Department of Commerce) of een andere toezichthouder die tot toegang gerechtigd is in verband met de handhaving van Privacy Shield.

13. Training

De Dienstverlener zal passende training in privacy verzorgen (waaronder als eventueel vereist volgens Wetgeving inzake Gegevensbescherming) aan personeel dat Persoonlijke Informatie Verwerkt.

14. Vorderingen

In geval de Klant geconfronteerd wordt met een daadwerkelijke of dreigende vordering die voortvloeit uit of verband houdt met schending van de Wetgeving inzake Gegevensbescherming (bijvoorbeeld artikel 82 van de AVG) met betrekking tot de diensten die de Dienstverlener verleent onder de Overeenkomst, zal de Dienstverlener onmiddellijk alle materiaal en informatie verschaffen die relevant is voor het verweer tegen die vordering en de onderliggende omstandigheden betreffende de vordering.

15. Verwijdering

Onmiddellijk na het einde van de verlening van diensten met betrekking tot de Verwerking van Persoonlijke Informatie, of op een eerder moment indien de Klant hierom verzoekt, zal de Dienstverlener, ter keuze van de Klant, alle Persoonlijke Informatie verwijderen of deze aan de Klant of zijn aangewezen partij teruggeven (in een gegevensopmaak zoals de Klant redelijk kan aangeven) en bestaande kopieën verwijderen, tenzij de wet van de Unie of een Lidstaat of andere toepasselijke wetgeving de opslag van de Persoonlijke Informatie voorschrijft. Op verzoek van de Klant zal de Dienstverlener een schriftelijke verklaring overleggen waaruit die verwijdering blijkt.