RBI AVG ADDENDUM GEGEVENSVERWERKING

RBI AVG ADDENDUM GEGEVENSVERWERKING

1. WERKINGSSFEER

1.1. Dit AVG Addendum Gegevensverwerking (“AAG”) is van toepassing op de verwerking van persoonsgegevens door RBI namens de Klant onder deze Overeenkomst. Met betrekking tot deze verwerking is de Klant de verwerkingsverantwoordelijke van de persoonsgegevens en RBI de verwerker van de persoonsgegevens. Deze AAG is niet van toepassing ingeval RBI de verwerkingsverantwoordelijke van persoonsgegevens is.

2. Definities

2.1. De termen “verwerkingsverantwoordelijke”, “betrokkene”, “persoonsgegevens”, “inbreuk op persoonsgegevens”, “verwerking”, en “verwerker” hebben de betekenissen als daaraan toegekend in de Wetgeving inzake Gegevensbescherming en ingeval de relevante Wetgeving inzake Gegevensbescherming de term ‘gegevensverwerkingsverantwoordelijke’ of ‘gegevensverwerker’ gebruikt dient dit te worden gelezen als verwerkingsverantwoordelijke, respectievelijk verwerker. “Wetgeving inzake gegevensbescherming” betekent alle wet- en regelgeving inzake gegevensbescherming, waaronder die van het Verenigd Koninkrijk (“VK”), Zwitserland, Europese Economische Ruimte (“EER”) en de Europese Unie (“Unie”), die van toepassing is op de verwerking van persoonsgegevens onder de Overeenkomst, waaronder de Verordening 2016/679 van het Europees Parlement en van de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (“AVG”) van 25 mei 2018.

2.2. “RBI-producten” betekent in deze AAG de producten, diensten of materialen die door RBI aan de Klant onder de Overeenkomst tussen RBI en de Klant worden geleverd, ongeacht de naam of merknaam van deze producten, diensten of materialen.

2.3. “Gelicentieerde Gebruikers” betekent in deze AAG de gebruikers die door de Overeenkomst bevoegd zijn om de RBI-producten te gebruiken in overeenstemming met de voorwaarden van de Overeenkomst, ongeacht de in de Overeenkomst gebruikte definities.

2.4. “RBI” betekent in deze AAG Reed Business Information Limited of een van de aan haar Gelieerde Ondernemingen zoals aangegaan in de Overeenkomst met de Klant.

2.5. “Klant” betekent in deze AAG de ondertekenaar van deze AAG en omvat aan de Klant Gelieerde Ondernemingen voor zover de partijen bij de Overeenkomst zijn overeengekomen dat deze in de Overeenkomst zijn opgenomen.

2.6. “Gelieerde Onderneming” betekent een entiteit die direct of indirect zeggenschap uitoefent over, wordt bestuurd door of onder gezamenlijke zeggenschap staat van de betrokken entiteit. “Zeggenschap,” in de zin van deze definitie betekent direct of indirect eigendom van of zeggenschap over meer dan 50% van de stembelangen van de betrokken entiteit.

2.7. “Overeenkomst” betekent de overeenkomst tussen RBI en de Klant tot levering van de RBI-producten, ongeacht de aanduiding die in de Overeenkomst wordt gebruikt om de producten te beschrijven.

3. Algemene bepalingen

3.1. De Klant erkent dat bij het proces van toegang tot en gebruik van de RBI-producten hij en de Gelicentieerde Gebruikers persoonsgegevens zullen verstrekken. De Klant verklaart en garandeert dat hij en de Gelicentieerde Xxxxxxxxxx aan alle toepasselijke verplichtingen uit hoofde van de Wetgeving inzake Gegevensbescherming hebben voldaan bij het verstrekken van persoonsgegevens aan RBI, met inbegrip van het verstrekken van de vereiste kennisgevingen en het verkrijgen van de vereiste toestemmingen en autorisaties voor de verwerking van deze persoonsgegevens door RBI, en dat hij verantwoordelijk is voor zijn beslissingen en handelingen met betrekking tot het gebruik en andere verwerking van de persoonsgegevens.

3.2. Voor zover RBI namens de Klant optreedt als verwerker van persoonsgegevens, zal RBI deze persoonsgegevens verwerken in overeenstemming met deze AAG.

3.3. De Klant erkent en gaat ermee akkoord dat de diensten die RBI levert onder de Overeenkomst om RBI-producten te verstrekken, kan omvatten (i) het verzamelen van statistische en andere informatie met betrekking tot de prestaties, de werking en het gebruik van de RBI-producten, en (ii) gebruik van de gegevens in geaggregeerde en/of geanonimiseerde vorm ten behoeve van de veiligheid en de bedrijfsvoering of voor onderzoeks- en ontwikkelingsdoeleinden of andere zakelijke doeleinden, op voorwaarde dat dergelijke informatie en gegevens de Klant of een betrokkene niet identificeren of dienen om deze te identificeren.

3.4. RBI-producten geven analyse en inzicht, de Klant alleen is verantwoordelijk voor alle beslissingen die hij neemt op basis van inzichten uit RBI-producten als één van de verschillende factoren. De Klant is derhalve verantwoordelijk voor de naleving van eventuele vereisten krachtens artikel 21 (“Recht van bezwaar”) of 22 AVG (“Geautomatiseerde individuele besluitvorming, waaronder profilering”) voor zover deze zich kunnen voordoen en voor het reageren op eventuele verzoeken van een betrokkene (dit met inachtneming van artikel 6 van de AAG “Rechten van Betrokkenen”).

4. VERWERKING

4.1. RBI zal geen andere verwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Klant. In het geval van algemene schriftelijke toestemming informeert RBI de Klant over voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van andere verwerkers, waardoor de Klant in de gelegenheid wordt gesteld zich tegen deze wijzigingen te verzetten op de meer specifiek hierin beschreven wijze.

4.2. De verwerking door RBI is aan deze AAG onderworpen krachtens het recht van de Unie of van een lidstaat, zoals in de Overeenkomst bepaald. RBI zal in het bijzonder:

a) de persoonsgegevens alleen verwerken op gedocumenteerde instructies van de Klant, inclusief met betrekking tot de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie, tenzij de wetgeving van de Unie of een lidstaat die op dergelijke persoonsgegevens van toepassing is daartoe verplicht; in dat geval zal RBI de Klant vóór de verwerking van die wettelijke verplichting op de hoogte stellen, tenzij deze wetgeving dergelijke informatie verbiedt om belangrijke redenen van openbaar belang;

b) ervoor zorgen dat personen die bevoegd zijn om de persoonsgegevens te verwerken zich gebonden hebben aan geheimhouding of onder een passende wettelijke verplichting tot geheimhouding vallen;

c) alle maatregelen nemen die vereist zijn op grond van artikel 32 (“Beveiliging van de verwerking”) van de AVG;

d) voldoen aan de in de artikelen 4.1 en 4.3 genoemde voorwaarden voor het inschakelen van een andere verwerker;

e) rekening houdend met de aard van de verwerking, de Klant bijstaan met passende technische en organisatorische maatregelen voor zover dit mogelijk is voor het voldoen aan de verplichting van de Klant om te reageren op verzoeken tot het uitoefenen van de rechten van de betrokkene zoals bepaald in Hoofdstuk III van de AVG;

f) de Klant bijstaan bij het waarborgen van de naleving van de verplichtingen uit hoofde van artikelen 32 tot en met 36 van de AVG, met inachtneming van de aard van de verwerking en de informatie die RBI beschikbaar heeft;

g) naar keuze van de Klant en/of bij het aflopen of beëindigen van de Overeenkomst, alle persoonsgegevens verwijderen of aan de Klant teruggeven na het einde van de verstrekking van RBI-producten met betrekking tot de verwerking en bestaande kopieën verwijderen, tenzij de Unie of een lidstaat of andere toepasselijke wetgeving de opslag van de persoonsgegevens voorschrijft (wat, voor alle duidelijkheid, niet van toepassing is op geaggregeerde of geanonimiseerde gegevens);

h) de Klant alle informatie ter beschikking stellen die nodig is om aan te tonen dat hij voldoet aan de in artikel 28 van de AVG neergelegde verplichtingen en om door de Klant of door een andere door de Klant aan te stellen auditor uitgevoerde audits, waaronder inspecties, mogelijk te maken en eraan bij te dragen;

i) de Klant onmiddellijk informeren als, naar het oordeel van RBI, een instructie van de Klant aan RBI inbreuk maakt op de AVG of op andere bepalingen van de Unie of een lidstaat inzake gegevensbescherming.

4.3. In het geval dat RBI een andere verwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens de Klant, worden dezelfde verplichtingen inzake gegevensbescherming als in deze AAG genoemd opgelegd op die andere verwerker door middel van een contract of een andere rechtshandeling krachtens het recht van de Unie of een lidstaat welke met name voldoende garanties biedt om passende technische en organisatorische maatregelen ten uitvoer te leggen op zodanige wijze dat de verwerking zal voldoen aan de eisen van de AVG. In het geval dat de andere verwerker niet voldoet aan deze verplichtingen inzake gegevensbescherming blijft RBI (met inachtneming van het bepaalde in de Overeenkomst) volledig aansprakelijk jegens de Klant voor de nakoming van de verplichtingen van die andere verwerker.

4.4. Het onderwerp van de verwerking door RBI zijn de verstrekte persoonsgegevens die verwant zijn aan de RBI-producten onder de Overeenkomst. De duur van de verwerking is de duur van de verstrekking van de RBI-producten onder de Overeenkomst. De aard en het doel van de verwerking houdt verband met de verstrekking van de RBI-producten onder de Overeenkomst. De soorten verwerkte persoonsgegevens zijn zoals uiteengezet in de Overeenkomst, inclusief documenten die behoren tot de Overeenkomst, zoals werkopdrachten, bestelformulieren of

andere documenten en andere soorten persoonsgegevens die aan de RBI-producten verbonden zijn. De categorieën van betrokkenen zijn Gelicentieerde Xxxxxxxxxx, werknemers van de Klant of van diens Gelieerde Ondernemingen, vertegenwoordigers, cliënten, toekomstige klanten, leveranciers, zakenpartners en anderen wiens persoonsgegevens aan de RBI-producten verbonden zijn.

4.5. De Overeenkomst en deze AAG zijn de volledige en definitieve gedocumenteerde instructies van de Klant aan RBI voor de verwerking van persoonsgegevens. Aanvullende of alternatieve instructies dienen afzonderlijk door partijen te worden overeengekomen. RBI zal ervoor zorgen dat haar personeel dat zich bezighoudt met de verwerking van persoonsgegevens alleen persoonsgegevens zal verwerken volgens de gedocumenteerde instructies van de Klant, tenzij de Unie, een lidstaat of andere toepasselijke wetgeving dit vereist.

5. Sub-verwerking

5.1. De Klant geeft RBI hierbij algemene toestemming om andere verwerkers in te schakelen voor de verwerking van persoonsgegevens in overeenstemming met deze AAG. RBI zal een lijst van deze verwerkers bijhouden, welke lijst RBI van tijd tot tijd kan actualiseren. RBI zal deze lijst beschikbaar stellen op xxx.xxxxxxxxxxxx.xxx. Ten minste 14 dagen voordat een nieuwe verwerker toestemming krijgt om persoonsgegevens te verwerken, zal RBI de lijst op de website van RBI actualiseren en de Klant een mechanisme ter beschikking stellen om kennisgeving van die update te krijgen.

5.2. De Klant kan zonder boete bezwaar maken tegen de wijziging door RBI hiervan binnen 14 dagen na ontvangst van de kennisgeving van RBI in kennis te stellen. RBI zal zich redelijkerwijs inspannen om de betreffende RBI-producten of Gelicentieerde Materialen te wijzigen, te veranderen of te verwijderen om verwerking van persoonsgegevens door een dergelijke nieuwe verwerker waartegen de Klant redelijkerwijs bezwaar maakt, te vermijden.

5.3. RBI zal de Klant berichten in het geval dat RBI niet in staat is om de RBI-producten aan de Klant te blijven leveren zonder van de sub-verwerkers te veranderen als die waarin was voorzien en of dit van invloed is op alle RBI-producten onder de Overeenkomst of op slechts een deel daarvan. Onverminderd de bepalingen ten aanzien van beëindiging of terugbetaling in de Overeenkomst kan elke partij, gedurende een periode van negentig (90) dagen na deze kennisgeving, de Overeenkomst beëindigen door kennisgeving aan de ander ter zake van de betreffende RBI-producten, en zal RBI de Klant dan een pro rata restitutie van vooruitbetaalde vergoedingen voldoen voor wat betreft de resterende looptijd van de Overeenkomst met betrekking tot de betreffende RBI-producten.

6. Rechten van Betrokkenen

6.1. RBI zal, voor zover wettelijk is toegestaan, de Klant onverwijld op de hoogte stellen van verzoeken van betrokkene die RBI ontvangt en in redelijkheid met de Klant samenwerken om aan de verplichtingen van de Klant op grond van de AVG met betrekking tot deze verzoeken te voldoen. De Klant is verantwoordelijk voor de redelijke kosten die voortvloeien uit de door RBI gegeven bijstand aan de Klant om aan dergelijke verplichtingen te voldoen.

7. Doorgifte

7.1. RBI draagt er zorg voor dat voor zover persoonsgegevens afkomstig uit de VK, Zwitserland of de EER door RBI worden doorgegeven aan een andere verwerker in een land of grondgebied buiten de VK, Zwitserland of de EER waarvoor de Europese Commissie of de bevoegde nationale gegevensbeschermingsautoriteit geen bindend adequaatheidsbesluit heeft genomen, een dergelijke doorgifte onderworpen is aan een passend doorgiftemechanisme dat een passend beschermingsniveau overeenkomstig de AVG biedt.

8. Beveiliging van de verwerking

8.1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treffen de partijen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder, onder meer, als passend wordt beschouwd:

a) de pseudonimisering en versleuteling van persoonsgegevens;

b) het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en herstellingsvermogen van verwerkingssystemen en -diensten te waarborgen;

c) het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch voorval; en

d) een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

8.2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de risico's die naar voren komen doorverwerking, in het bijzonder als gevolg van de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig

8.3. Partijen nemen maatregelen om ervoor te zorgen dat een natuurlijke persoon die handelt onder het gezag van een van beide partijen die toegang heeft tot persoonsgegevens, deze niet verwerkt anders dan op instructie van de Klant, tenzij de wetgeving van de Unie of de lidstaten hem of haar daartoe verplicht.

9. Inbreuk op persoonsgegevens

9.1. RBI zal de Klant onverwijld na kennis te hebben genomen van een inbreuk op persoonsgegevens informeren en zal op redelijke wijze reageren op verzoeken van de Klant om nadere informatie, teneinde de Klant bijstand te verlenen bij het voldoen aan de verplichtingen van de Klant uit hoofde van artikelen 33 en 34 van de AVG.

10. Verslagen van Verwerkingsactiviteiten

10.1. Op grond van artikel 30(2) van de AVG zal RBI registers bijhouden en, voorzover van toepassing op de verwerking van persoonsgegevens namens de Klant, deze desgewenst aan de Klant beschikbaar stellen.

11. Audit

11.1. Audits:

a) Zijn uitsluitend beperkt tot verwerking van persoonsgegevens door RBI onder de Overeenkomst en naleving van deze AAG;

b) Worden uitgevoerd door een onafhankelijke gerenommeerde derde-auditor;

c) Zijn onderworpen aan de uitvoering van passende geheimhoudingsverbintenissen;

d) Worden niet meer dan eenmaal per jaar uitgevoerd, tenzij er een redelijk vermoeden bestaat dat de Overeenkomst niet wordt nageleefd, mits hiervan binnen dertig (30) dagen schriftelijk kennisgeving is gedaan en een plan voor deze beoordeling is ingediend; en

e) Worden uitgevoerd op een onderling overeengekomen tijdstip en op een overeengekomen wijze.

12. Strijdigheid

12.1. In geval van strijdigheid of tegenstrijdigheid tussen de voorwaarden van deze AAG en de Overeenkomst, zullen de voorwaarden van deze AAG, voor zover door de wet vereist, leidend zijn. In andere gevallen zal in geval van een dergelijk conflict of tegenstrijdigheid de Overeenkomst leidend zijn.

Overeengekomen namens ……………

Handtekening: ………………………………………………………………………

Naam: ……………………………………………………………………………

Functie: ………………………………………………………………………..

Datum: ……………………………………………………………………………..

Overeengekomen namens Reed Business Information Ltd en diens Gelieerde Ondernemingen

Handtekening:

Naam: Xxx Xxxxxxx

Functie: Group Managing Director Datum: 18 april 2018