GEGEVENSVERWERKINGSOVEREENKOMST (“GVO”)

GEGEVENSVERWERKINGSOVEREENKOMST (“GVO”)

I) Algemeen

1. Bereik

De GVO is door middel van verwijzing opgenomen in en vormt een integraal onderdeel van de Overeenkomst (zoals gedefinieerd in de Algemene Voorwaarden), tenzij de partijen een afzonderlijke gegevensverwerkingsovereenkomst aangaan als onderdeel van specifieke overeenkomsten. In geval van inconsistentie tussen de GVO en andere voorwaarden van de Overeenkomst, heeft de GVO voorrang.

Deze GVO is van toepassing wanneer TD SYNNEX, handelend in een hoedanigheid van verwerker, persoonlijke gegevens verwerkt namens en in overeenstemming met de instructies van de Koper, handelend namens zichzelf of namens zijn klanten

of hun eindgebruikers (“Klanten”) in een hoedanigheid van een Verwerkingsverantwoordelijke. Het is ook van toepassing in het geval dat de Koper, handelend in een hoedanigheid van verwerker, persoonlijke gegevens moet verwerken namens en in overeenstemming met de instructies van TD SYNNEX die handelt [namens zichzelf of namens een derde partij] in een hoedanigheid van Verwerkingsverantwoordelijke.

Deze GVO is niet van toepassing op TD SYNNEX en Koper die persoonlijke gegevens met elkaar delen als afzonderlijke of samengevoegde Verwerkingsverantwoordelijken.

TD SYNNEX fungeert meestal als een afzonderlijke Verwerkingsverantwoordelijke als:

(a) hij persoonlijke gegevens verzamelt in verband met de activiteiten van de Koper (zoals persoonlijke gegevens met betrekking tot werknemers van de Koper);

(b) TD SYNNEX verwerkt persoonlijke gegevens van eindgebruikers die door de klant van de Koper zijn verstrekt voor:

(i) het uitvoeren van fraude, anti-witwassen, sancties en andere controles, waaronder screenings op lijsten met geweigerde partijen, en het onderzoeken en vervolgen van fraude, witwassen van geld of sanctieschendingen in verband met het aangaan en onderhouden van een klantrelatie en het verlenen van diensten;

(ii) naleving van wettelijke en regelgevende verplichtingen;

(iii) anonimisering en/of gegevensanalyse; en

(iv) de nakoming van de Overeenkomst, inclusief drop shipments en, indien nodig voor de nakoming van de Overeenkomst, de overdracht van dergelijke

persoonlijke gegevens aan derde partijen die optreden als Verwerkingsverantwoordelijke, zoals vervoerders, fabrikanten of externe dienstverleners.

2. Definities

Elke term die niet in deze GVO of in andere delen van de Overeenkomst wordt gedefinieerd, heeft de betekenis die eraan wordt toegekend onder de Algemene Verordening Gegevensbescherming (EU 2016/679) (“AVG”). Verwijzingen naar artikelen van de AVG hierin [Art. AVG] zijn alleen

van toepassing voor zover de verwerking onderworpen is aan de AVG – voor alle andere relevante rechtsgebieden zijn de overeenkomstige toepasselijke wetgeving inzake gegevensbescherming van toepassing.

“Derde land” betekent elk land dat geen lidstaat van de Europese Unie (”EU”) of de Europese Economische Ruimte (“EER”) is, noch door de Europese Commissie wordt bevestigd dat het voldoende bescherming biedt voor persoonlijke gegevens overeenkomstig artikel 45(3) AVG.

“Verwerking van EER-persoonlijke gegevens” in het belang van deze GVO betekent de verwerking van persoonlijke gegevens die binnen het toepassingsgebied van de AVG of de privacywetgeving van het Verenigd Koninkrijk of Zwitserland valt.

“Standaardcontractbepalingen” of “SCC’s” - betekent de standaardcontractbepalingen voor de overdracht van persoonlijke gegevens aan derde landen met betrekking tot het

Uitvoeringsbesluit van de Commissie (EU) 2021/914 van 4 juni 2021 of een opvolgende of aanvullende beslissing;

“Privacywetgeving” betekent alle toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonlijke gegevens en privacy die kunnen bestaan in de relevante rechtsgebieden, voor lidstaten van de EU of EER, waaronder de AVG;

“TOM’s” betekent de technische en organisatorische maatregelen in de zin van privacywetgeving;

“Subverwerker” of “Sub-(sub)verwerker” betekent derde partijen die krachtens deze GVO bevoegd zijn om logische toegang te hebben tot persoonlijke gegevens en deze te verwerken in overeenstemming met de Overeenkomst;

“Gegevensoverdracht” betekent elke partij die persoonlijke gegevens verzendt of toegang geeft tot persoonlijke gegevens.

“Exporteur” betekent een partij van een Gegevensoverdracht die zich bevindt in de EER, het Verenigd Koninkrijk of Zwitserland.

II) Speciale voorwaarden voor TD SYNNEX als Verwerker

Dit artikel II is van toepassing wanneer TD SYNNEX, handelend in een hoedanigheid van verwerker, persoonlijke gegevens verwerkt namens en gebonden aan de instructies van de Koper, handelend namens zichzelf of namens de Klanten in een hoedanigheid van Verwerkingsverantwoordelijke. Het is van toepassing in aanvulling op deel III hieronder. In geval van een inconsistentie tussen de secties II en III, prevaleert deze sectie II.

1. Elektronische communicatie. TD SYNNEX kan de Koper elektronisch informatie en kennisgevingen verstrekken in het kader van deze GVO, inclusief via

e-mail, via de standaardwebsite van TD SYNNEX of via een website die TD SYNNEX identificeert.

2. Details van verwerking. Door gebruik te maken van de Diensten, stemt de Koper in met de details van de verwerking, inclusief aard, doel en onderwerp van de verwerking, categorieën van betrokkenen, soorten persoonlijke gegevens, speciale categorieën van

persoonlijke gegevens, TOM‘s en andere verwerkers - waar relevant - zoals gedefinieerd in de Overeenkomst (inclusief deze GVO) en zoals anderszins elektronisch beschikbaar gesteld en gecommuniceerd door TD SYNNEX, inclusief via e-mail, via de standaardwebsite van TD SYNNEX, of via een website die door TD SYNNEX wordt geïdentificeerd.

3. Standaardcontractbepalingen. SCC‘s, indien van toepassing tussen TD SYNNEX en de Koper, zijn te vinden op de standaardwebsite van TD SYNNEX of via een website die TD SYNNEX identificeert.

4. Verplichtingen van TD SYNNEX en Koper.

4.1. TD SYNNEX zal voldoen aan alle privacywetgeving die op haar van toepassing is in haar rol als verwerker. TD SYNNEX is niet verantwoordelijk voor het naleven van wetten of voorschriften die van toepassing zijn op de industrie van Koper of zijn Klanten en die niet algemeen van toepassing zijn op leveranciers van de respectieve

Producten. TD SYNNEX bepaalt niet of de gegevens van de Koper of zijn Klanten informatie bevatten die onderhevig is aan specifieke wet- of regelgeving.

4.2. De Koper beoordeelt en bepaalt de geschiktheid en compliance van het gebruik van de Producten door de Koper of zijn Klanten met wet- en regelgeving, inclusief privacywetten, met name met betrekking tot de TOM‘s, andere betrokken verwerkers, de locatie van het datacenter en relevante overdracht van gegevens zoals beschreven in de Overeenkomst, inclusief de GVO en de details van de verwerking.

4.3. Als de Xxxxx zelf niet de Verwerkingsverantwoordelijke is van de persoonlijke gegevens, maar persoonlijke gegevens verwerkt namens Klanten, garandeert de Koper dat hij alle contracten heeft afgesloten en alle benodigde machtigingen en machtigingen van Klant(en) heeft:

- te handelen met betrekking tot TD SYNNEX als de Verwerkingsverantwoordelijke onder deze GVO en alle rechten als Verwerkingsverantwoordelijke uit te oefenen ten opzichte van TD SYNNEX en haar andere verwerkers met betrekking tot de GVO;

- om TD SYNNEX als verwerker te gebruiken om persoonlijke gegevens te verwerken, zoals uiteengezet in de Overeenkomst, inclusief deze GVO en de details van de verwerking;

- om het enige contactpunt te zijn voor TD SYNNEX voor alle instructies, kennisgevingen, informatie en

communicatie in verband met deze GVO en om relevante communicatie tussen Klanten en TD SYNNEX te communiceren, indien wettelijk vereist. TD SYNNEX zal

worden vrijgesteld van elke verplichting om een Klant te informeren of op de hoogte te stellen wanneer TD SYNNEX dergelijke informatie of kennisgeving aan de

Xxxxx heeft verstrekt. TD SYNNEX zal dienen als een enkel contactpunt met het oog op de andere verwerkers van TD SYNNEX.

- om de rechten van de Exporteur uit te oefenen volgens de Standaardcontractbepalingen – indien van toepassing

– ten aanzien van (i) TD SYNNEX en/of (ii) zijn andere verwerkers via TD SYNNEX namens de Exporteur.

III) Algemene verwerkingsvoorwaarden

Deze sectie III is van toepassing in aanvulling op sectie II waar TD SYNNEX, handelend in de hoedanigheid van

een verwerker, persoonlijke gegevens verwerkt namens en gebonden aan de instructies van Koper, handelend namens zichzelf of namens Klanten in de hoedanigheid van een Verwerkingsverantwoordelijke. Het is ook van toepassing in het geval dat de Koper, handelend in een hoedanigheid van verwerker, persoonlijke gegevens moet verwerken namens en in overeenstemming met de instructies van TD SYNNEX die handelt [namens zichzelf of namens een derde partij] in een hoedanigheid van Verwerkingsverantwoordelijke.

1. Verplichtingen van de Verwerkingsverantwoordelijke

1.1. De Verwerkingsverantwoordelijke is als enige verantwoordelijk voor de naleving van alle wettelijke verplichtingen van een Verwerkingsverantwoordelijke met het oog op de verwerking volgens de Privacywetgeving.

De Verwerkingsverantwoordelijke zal, bij beëindiging of afloop van de Overeenkomst en door middel van het geven van een instructie, de maatregelen bepalen om gegevensdragermedia inclusief persoonlijke gegevens

terug te sturen of om opgeslagen persoonlijke gegevens te verwijderen, en zal de verwerker onverwijld op de hoogte stellen van eventuele fouten of onregelmatigheden waarvan hij kennis vergaart in verband met de verwerking van persoonlijke gegevens door de verwerker.

1.2. De Verwerkingsverantwoordelijke zal de Producten niet gebruiken in combinatie met persoonlijke gegevens voor zover dit in strijd is met de Privacywetgeving en zijn Klanten dienovereenkomstig zal verplichten.

2. Verplichtingen van de Verwerker

2.1. Naleving van de verplichtingen van de Verwerker. De Verwerker zal voldoen aan alle verplichtingen die van toepassing zijn op verwerkers volgens de EER-wetgeving inzake gegevensbescherming. De Verwerker is niet verantwoordelijk voor het bepalen van de vereisten van wetten die van toepassing zijn op het bedrijf of de branche van de Verwerkingsverantwoordelijke of Klant of dat de levering van de Producten door de verwerker voldoet aan de vereisten van dergelijke wetten.

2.2. Instructies. De Verwerker zal persoonlijke gegevens uitsluitend verwerken in overeenstemming met de schriftelijke instructies van de Verwerkingsverantwoordelijke, die zijn gedefinieerd

in de Overeenkomst, inclusief deze GVO en de bijlagen

ervan, - indien van toepassing - het geautoriseerde gebruik en de configuratie van de Producten door de Verwerkingsverantwoordelijke of anderszins schriftelijk. De verwerker zal de Verwerkingsverantwoordelijke onmiddellijk op de hoogte brengen als de

verwerker van mening is dat de instructie van de Verwerkingsverantwoordelijke in strijd is met de toepasselijke wetgeving inzake gegevensbescherming en/of met contractuele verplichtingen uit hoofde van de Overeenkomst, inclusief deze GVO. De Verwerker heeft het recht om de implementatie van een dergelijke instructie op te schorten totdat deze door de Verwerkingsverantwoordelijke is onderzocht en als

gevolg daarvan is bevestigd of gewijzigd. Verwerker mag persoonlijke gegevens verwerken zonder de instructie van de Verwerkingsverantwoordelijke indien dit vereist is door de wet van de EU of haar lidstaten waaraan de verwerker onderworpen is; in een dergelijk geval zal de verwerker de Verwerkingsverantwoordelijke op de hoogte stellen van die wettelijke vereiste voorafgaand aan de verwerking, tenzij die wet dergelijke informatie om belangrijke redenen van algemeen belang verbiedt.

2.3. Openbaarmaking/toegang. Verwerker zal geen persoonlijke gegevens bekendmaken aan derde partijen, tenzij gemachtigd door de Verwerkingsverantwoordelijke of vereist door de wetgeving van de EU of haar lidstaten. Als een dergelijke wet vereist dat een derde partij, of een overheid, rechtbank of toezichthoudende autoriteit op basis van een dergelijke wet toegang tot persoonlijke gegevens eist, zal de verwerker de Verwerkingsverantwoordelijke voorafgaand aan de openbaarmaking hiervan op de

hoogte stellen, tenzij dit om belangrijke redenen van algemeen belang wettelijk verboden is. Tenzij verplicht door de wet van de EU of haar lidstaten, zal de verwerker geen persoonlijke gegevens bekendmaken of vrijgeven als reactie op een dergelijk verzoek aan de verwerker zonder eerst met de Verwerkingsverantwoordelijke

te overleggen. Wanneer de persoonlijke gegevens van de Verwerkingsverantwoordelijke tijdens de

verwerking worden onderworpen aan doorzoeking en inbeslagname, inbeslagname tijdens faillissements- of insolventieprocedures of soortgelijke gebeurtenissen of maatregelen door derde partijen, stelt de verwerker de Verwerkingsverantwoordelijke onverwijld op de hoogte.

2.4. Verplichting tot vertrouwen. De Verwerker vereist dat al zijn personeel en personen die belast zijn met

de verwerking van persoonlijke gegevens, zich tot vertrouwelijkheid verbinden - tenzij een passende wettelijke verplichting tot vertrouwelijkheid van toepassing is - en dergelijke persoonlijke gegevens niet verwerken voor enig ander doel, behalve op instructies van de Verwerkingsverantwoordelijke of anderszins vereist door de wet van de EU of haar lidstaten.

2.5. Rechten van Betrokkenen. De Verwerker zal de Verwerkingsverantwoordelijke redelijkerwijs bijstaan op verzoek van de Verwerkingsverantwoordelijke en zoals wettelijk vereist, bij het verstrekken van toegang aan betrokkenen en om te reageren op verzoeken, klachten of andere mededelingen van een betrokkene, inclusief verzoeken van betrokkenen die hun rechten onder de privacywetgeving willen uitoefenen. Indien een dergelijk

verzoek, klacht of communicatie wordt ontvangen door of anderszins gedaan aan de verwerker, de verwerker de Verwerkingsverantwoordelijke onverwijld in kennis stelt, als de verwerker in staat is om de gegevens die

onderworpen zijn aan de Verwerkingsverantwoordelijke te correleren.

2.6. Gegevensinbreuk. De Verwerker zal de Verwerkingsverantwoordelijke onverwijld op de hoogte stellen nadat hij kennis heeft genomen van een inbreuk in verband met persoonlijke gegevens

(“Gegevensinbreuk”) die van invloed is op de persoonlijke gegevens van de Verwerkingsverantwoordelijke. De Verwerker zal de maatregelen en acties nemen die redelijk zijn om de gevolgen van de Inbreuk in verband met persoonlijke gegevens te verhelpen of te beperken

en zal de Verwerkingsverantwoordelijke helpen bij het waarborgen van de compliance van zijn verplichtingen onder de toepasselijke privacywetgeving om de Inbreuk in verband met persoonlijke gegevens te melden aan toezichthoudende autoriteiten en betrokkenen, rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor de verwerker. Vooral verwerkers werken samen met de Verwerkingsverantwoordelijke door regelmatige updates en andere redelijkerwijs gevraagde informatie te verstrekken. Elk persbericht, kennisgeving, openbare of regelgevende aankondiging

of communicatie met betrekking tot een Inbreuk in verband met persoonlijke gegevens wordt door de Verwerkingsverantwoordelijke naar eigen goeddunken van de Verwerkingsverantwoordelijke gedaan, tenzij anders vereist door de toepasselijke wetgeving.

2.7. Assistentie bij verplichtingen van de Verwerkingsverantwoordelijke. De Verwerker zal de Verwerkingsverantwoordelijke op verzoek van de Verwerkingsverantwoordelijke redelijkerwijs helpen, met de verplichtingen van de Verwerkingsverantwoordelijke met betrekking tot de beveiliging van de verwerking, gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingen, rekening houdend met de

informatie die beschikbaar is voor TD SYNNEX en de aard van de verwerking. De Verwerker zal assistentie verlenen in verband met audits van een bevoegde toezichthoudende autoriteit voor zover een dergelijke audit betrekking heeft op de verwerking van persoonlijke gegevens door de

Verwerker onder deze Overeenkomst en zoals redelijkerwijs verzocht door de Verwerkingsverantwoordelijke. De assistentie van de Verwerker kan onderhevig zijn aan redelijke kosten, tenzij de assistentie van de Verwerker al dienovereenkomstig in de Overeenkomst is behandeld.

2.8. Einde van het contract. De Verwerker zal, naar keuze van de Verwerkingsverantwoordelijke, alle persoonlijke gegevens na ontslag of afloop van de Overeenkomst verwijderen of teruggeven aan de Verwerkingsverantwoordelijke, en bestaande kopieën verwijderen, tenzij de verwerker volgens de wetgeving van de EU of een lidstaat de opslag van de persoonlijke gegevens vereist.

3. Technische en organisatorische beveiligingsmaatregelen

3.1. Verwerker en Verwerkingsverantwoordelijke zullen TOM‘s implementeren en onderhouden zoals vereist door de toepasselijke privacywetgeving. Dit omvat het implementeren en onderhouden van TOM‘s om een beveiligingsniveau te garanderen dat geschikt is voor de risico‘s of schade aan persoonlijke gegevens, geschikt is voor de schade die het gevolg kan zijn van de ongeoorloofde of onwettige verwerking of onopzettelijk verlies, vernietiging of schade en de

aard van de te beschermen gegevens, gezien de stand van de technologische ontwikkeling en de kosten

van de tenuitvoerlegging van maatregelen (deze maatregelen kunnen omvatten, waar van toepassing, het pseudonimiseren en versleutelen van persoonlijke

gegevens, het garanderen van vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van haar systemen en diensten).

3.2. XXX‘x zijn onderhevig aan technische vooruitgang en verdere ontwikkeling. De Verwerker behoudt zich het recht voor om de geïmplementeerde maatregelen en waarborgen te wijzigen, op voorwaarde dat de functionaliteit en veiligheid van de Producten niet worden aangetast. Alle substantiële beveiligingsgerelateerde beslissingen over

de organisatie van gegevensverwerking en de toegepaste procedures worden aan de Verwerkingsverantwoordelijke gemeld.

3.3. Door het gebruik van een Product erkent de Verwerkingsverantwoordelijke de TOM‘s zoals uiteengezet in de Overeenkomst en/of verstrekt door de Verwerker en bevestigt de TOM‘s om een adequaat beschermingsniveau te bieden met betrekking tot de risico‘s die verbonden zijn aan de verwerking van persoonlijke gegevens.

4. Documentatie en auditverplichtingen

4.1. Op verzoek van de Verwerkingsverantwoordelijke zal de verwerker informatie beschikbaar stellen aan de Verwerkingsverantwoordelijke of een geautoriseerde

derde partij die namens de Verwerkingsverantwoordelijke handelt, die nodig is voor de Verwerkingsverantwoordelijke of de cliënten om te voldoen aan hun eigen auditverplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming of het verzoek van een toezichthoudende autoriteit, en zal deze toelaten en bijdragen aan beoordelingen en audits, inclusief inspecties zoals hieronder bepaald.

4.2. De Verwerkingsverantwoordelijke kan de verwerker verzoeken om relevante informatie over de TOM‘s te verstrekken, waaronder – indien beschikbaar – certificaten van de auditor, rapporten of uittreksels uit rapporten van onafhankelijke instanties (bijv. auditor, functionaris voor gegevensbescherming, IT-beveiligingsafdeling, auditor voor gegevensbescherming, kwaliteitsauditor).

4.3. Voor zover het niet mogelijk is om anderszins te voldoen aan een auditverplichting die is opgelegd door de toepasselijke privacywetgeving, kan de Verwerkingsverantwoordelijke of zijn gemachtigde

auditor persoonlijke audits ter plaatse uitvoeren op kosten

van de Verwerkingsverantwoordelijke op individuele basis, meestal niet vaker dan eenmaal per jaar, tijdens normale kantooruren, met redelijke verstoring van de activiteiten van de verwerker en na redelijke voorafgaande kennisgeving. De Verwerker kan bepalen dat dergelijke audits en inspecties onderworpen zijn aan de uitvoering van een geheimhoudingsplicht ter bescherming van de gegevens van andere klanten en de vertrouwelijkheid van de TOM‘s en de geïmplementeerde waarborgen.

4.4. De Verwerkingsverantwoordelijke zal de Verwerker onverwijld op de hoogte stellen van eventuele fouten of onregelmatigheden die tijdens een audit worden ontdekt.

5. Subverwerker

5.1. De Verwerkingsverantwoordelijke machtigt de verwerker hierbij om persoonlijke gegevens over te dragen of om toegang te verlenen tot persoonlijke gegevens aan andere verwerkers die door hem worden ingeschakeld (en staat andere verwerkers toe dit te doen in overeenstemming met dit Artikel 5) met als doel het leveren van de Producten die onderworpen zijn aan de verplichtingen van de Verwerkingsverantwoordelijke op grond van

dit Artikel 5. De bovenstaande toestemming vormt de voorafgaande schriftelijke toestemming van de

Verwerkingsverantwoordelijke voor de betrokkenheid van andere verwerkers door de verwerker als dergelijke toestemming vereist is onder de standaard contractbepalingen of privacywetgeving. De Verwerker blijft verantwoordelijk voor de naleving door de andere verwerkers van de verplichtingen van deze GVO. De Verwerker stelt de Verwerkingsverantwoordelijke een actuele lijst van andere verwerkers ter beschikking, bijvoorbeeld op een website van een verwerker.

5.2 De Verwerkingsverantwoordelijke heeft het recht om binnen 10 dagen na kennisgeving bezwaar te maken tegen het inschakelen van een nieuwe verwerker. Anders wordt de Verwerkingsverantwoordelijke geacht een dergelijke nieuwe opdracht of wijziging te hebben goedgekeurd. Wanneer er een wezenlijk belangrijke reden voor een bezwaar bestaat en er geen minnelijke oplossing van deze zaak door de partijen is, heeft

de Verwerkingsverantwoordelijke het recht om de Overeenkomst met betrekking tot het betreffende Product te beëindigen.

5.3 De Verwerker gaat schriftelijke overeenkomsten aan met elkaar, omdat hij niet minder beschermend is dan de overeenkomsten die in deze GVO zijn vastgelegd. Een dergelijk contract biedt met name voldoende garanties om passende TOM‘s te implementeren.

6. Internationale gegevensoverdracht

6.1. De Verwerkingsverantwoordelijke machtigt de Verwerker hierbij om de persoonlijke gegevens over te dragen of toegang te verlenen in het kader van de diensten zoals uiteengezet in de Overeenkomst, de details van de verwerking en/of de SCC‘s – indien relevant.

6.2. Elke verwerking van persoonlijke gegevens buiten het land of de regio waar de Verwerkingsverantwoordelijke zich bevindt, is onderworpen aan een adequaat mechanisme

voor gegevensoverdracht indien en zoals vereist door de privacywetgeving.

6.3. Voor internationale gegevensoverdrachten in het kader van de verwerking van EER-persoonlijke gegevens moeten SCC‘s worden uitgevoerd tussen TD SYNNEX en de

Koper als de partij die persoonlijke gegevens verzendt of toegang geeft, zich in de EER, het Verenigd Koninkrijk of Zwitserland bevindt en de andere partij die toegang heeft tot dergelijke gegevens zich in een derde land bevindt. De voorwaarden van deze GVO zijn niet bedoeld om de SCC‘s te wijzigen of aan te passen, maar om duidelijkheid te verschaffen in termen van processen en procedures voor de naleving van de SCC‘s. In het geval van een conflict tussen de voorwaarden van deze GVO en de SCC‘s, hebben de SCC‘s voorrang.

6.4. Voor Gegevensoverdrachten in verband met de verwerker die andere verwerkers inschakelt, gaat de verwerker

de toepasselijke Standaardcontractbepalingen (tussen Verwerkers) aan met de andere verwerkers en verplicht de andere verwerkers overeenkomstig met betrekking tot verdere overdracht.

7. Vertrouwelijkheid

Partijen zullen geen vertrouwelijke informatie openbaar maken die wordt gedeeld in verband met deze GVO, behalve

(i) zoals vereist in deze GVO of instructies van partijen, (ii) zoals vereist door de wet, (iii) in reactie op een bevoegde autoriteit of regelgevende of overheidsinstantie, en (iv) voor openbaarmaking aan haar werknemers, agenten en aannemers die gebonden zijn door vertrouwelijkheid op basis van een need-to-know.