ADDENDUM OVER GEGEVENSVERWERKING VAN CITRIX

ADDENDUM OVER GEGEVENSVERWERKING VAN CITRIX

Versie: 27 mei 2020

1. Xxxxxx, volgorde van prioriteit en partijen

Dit Addendum over Gegevensverwerking ('Addendum') is van toepassing op de Verwerking van Persoonsgegevens door Citrix namens U bij de levering van Citrix Cloud-services, technische ondersteuningsservices of adviesservices ('Services'). De Services worden beschreven in de betreffende Citrix-licentie- en/of servicesovereenkomst en de toepasselijke bestelling voor Services (samen de 'Overeenkomst'). Bij een conflict tussen de voorwaarden van de Overeenkomst en dit Addendum, zijn de voorwaarden van dit Addendum van toepassing. Bij een conflict tussen de voorwaarden van de Overeenkomst en de Modelcontractbepalingen van de Europese Unie zijn de voorwaarden van de Modelcontractbepalingen van de Europese Unie van toepassing.

Dit Addendum wordt afgesloten tussen de eindklant ('U') en de contracterende Citrix-entiteit ('Citrix') en wordt door middel van verwijzing in de Overeenkomst opgenomen. Uw locatie bepaalt de Citrix-entiteit zoals geïdentificeerd op xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxxx-xxxxxxxx.xxxx.

2. Definities

Onder 'U' wordt verstaan de eindklant die is gespecificeerd in dit Addendum.

Onder 'Geaffilieerde' wordt verstaan een dochteronderneming van Citrix Systems, Inc. die Citrix kan bijstaan bij de verwerking van uw Persoonsgegevens op grond van dit Addendum.

Onder 'Geaggregeerde gegevens' wordt informatie verstaan die is gerelateerd aan een groep of categorie van individuen, waarvan de identiteit is verwijderd zodat de informatie niet is gekoppeld of niet kan worden gekoppeld aan een individu dat onderworpen is aan Toepasselijke gegevensbeschermingswetten.

Onder 'Toepasselijke gegevensbeschermingswetten' wordt verstaan (i) de Algemene verordening gegevensbescherming van de Europese Unie 2016/679 ('VGA') en wetten en regelgeving die de VGA implementeren of aanvullen; en (ii) andere internationale, federale, staatkundige, provinciale en lokale privacy- of gegevensbeschermingswetten, -regels, -reguleringen, -richtlijnen en overheidsvereisten, die momenteel van kracht zijn en wanneer deze van kracht worden, die van toepassing zijn op de Verwerking van Persoonsgegevens op grond van deze Overeenkomst.

Onder 'Klantinhoud' wordt verstaan gegevens die voor opslag naar uw account zijn geüpload of gegevens in uw computeromgeving waarvoor toegang is verleend aan Citrix om Services uit te voeren.

Onder 'Europese Economische Zone' wordt verstaan de Europese Economische Ruimte, Zwitserland en de Verenigde Staten en het Verenigd Koninkrijk voor het doel van dit Addendum.

Onder 'Modelcontractbepalingen van de Europese Unie' wordt verstaan de contractuele bepalingen die zijn bijgevoegd bij Richtlijn 2010/87 van de Europese Commissie of daaropvolgende bepalingen die zijn goedgekeurd door de Europese Commissie.

Onder 'Persoonsgegevens' wordt verstaan Klantinhoud die wordt verwerkt in verband met de prestaties van Services en die een uniek individu, rechtstreeks of onrechtstreeks, kan identificeren, in het bijzonder door verwijzing naar een identificator zoals een naam, een identiteitsnummer, locatiegegevens, een online identificator of een of meer factoren die specifiek zijn voor de fysieke, psychologische, genetische, mentale, economische, culturele of sociale identiteit van individuen of als dergelijke informatie op een andere wijze is gedefinieerd onder de Toepasselijke gegevensbeschermingswetten.

Onder 'Inbreuk in verband met persoonsgegevens' wordt verstaan een schending van de beveiliging die leidt tot accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van, of toegang tot, Persoonsgegevens die worden overgezet, opgeslagen of anders verwerkt om de Services uit te voeren waarmee de beveiliging van de persoonsgegevens is geschonden.

Onder 'Subverwerker' wordt verstaan een derde partij die is ingehuurd om assistentie te verlenen bij de Verwerking van Persoonsgegevens voor de prestaties van Services onder de Overeenkomst.

Termen die worden gebruikt maar niet zijn gedefinieerd in dit Addendum (bijv. 'Bedrijfsdoel, Consument, Verwerkingsverantwoordelijke, Betrokkene, Verwerken/Verwerking, Verwerker') hebben dezelfde betekenis als is beschreven in de Overeenkomst of Toepasselijke gegevensbeschermingswetten.

3. Rollen als Verwerkingsverantwoordelijke en Gegevensverwerker

Voor de doelstellingen van dit Addendum bent U de Verwerkingsverantwoordelijke van de Persoonsgegevens die door Citrix worden verwerkt tijdens de uitvoering van de Services onder de bepalingen van de Overeenkomst. U bent verantwoordelijk voor de naleving van uw verplichtingen als Verwerkingsverantwoordelijke op grond van de Toepasselijke gegevensbeschermingswetten waaraan uw levering van Persoonsgegevens aan Citrix voor de prestaties van de Services is onderworpen, inclusief maar niet beperkt tot het krijgen van toestemmingen, het verstrekken van kennisgevingen, of anders de vereiste rechtsgrondslag te vestigen. Tenzij bepaald in de Overeenkomst verleent U Citrix geen toegang tot Persoonsgegevens waaruit specifieke gegevensbeschermingsvereisten voortvloeien die hoger zijn dan de vereisten die zijn overeenkomen in de Overeenkomst en dit Addendum, en U zult de toegang van Citrix tot Persoonsgegevens beperken zoals nodig is om de Services uit te voeren.

Citrix is de Gegevensverwerker en serviceprovider met betrekking tot dergelijke Persoonsgegevens. Wanneer U als Verwerker van Persoonsgegevens fungeert, is Citrix de Subverwerker. Citrix is verantwoordelijk om te voldoen aan zijn verplichtingen onder Toepasselijke gegevensbeschermingswetten waaraan zijn Verwerking van Persoonlijke gegevens onder de Overeenkomst en dit Addendum zijn onderworpen.

4. Verwerkingsdoel van Citrix

Citrix en personen die handelen in opdracht van Citrix op grond van dit Addendum, inclusief Subverwerkers en Geaffilieerden zoals beschreven in Sectie 6, verwerken Persoonsgegevens voor de doelstellingen van de Services in overeenstemming met uw schriftelijke instructies zoals gespecificeerd in de Overeenkomst, dit Addendum en in overeenstemming met de Toepasselijke gegevensbeschermingswetten. Citrix zal Persoonsgegevens niet openbaar maken om te voldoen aan een dagvaarding, een gerechtelijk of administratief bevel of een ander bindend instrument (een 'Vordering') tenzij dit wettelijk verplicht is. Citrix zal U onmiddellijk op de hoogte stellen van elke Vordering tenzij de wet dit verbiedt en U redelijke hulp bieden om tijdig op de Vordering te kunnen reageren. Citrix kan Persoonsgegevens ook aggregeren als onderdeel van de Services om Citrix-producten -services te leveren, te beveiligen en uit te breiden. Aanvullende informatie gerelateerd aan de Verwerkingsactiviteiten van Citrix kan worden gespecificeerd in de Overeenkomst en bepaalde extra servicebeschrijvingen zijn beschikbaar op xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxx-xxxxxxx-xxxxxxxxxxxx.xxxx.

Citrix kan Persoonsgegevens verstrekken aan Geaffilieerden in verband met een verwachte of werkelijke fusie, overname, verkoop, faillissement of andere reorganisatie van het hele bedrijf of een deel ervan, onderworpen aan de verplichting om Persoonsgegevens te beschermen overeenkomstig de bepalingen van dit Addendum.

5. Betrokkenen en categorieën van Persoonsgegevens

U bepaalt de Persoonsgegevens waarvoor U toegang verleent aan Citrix om de Services te kunnen uitvoeren. Dit kan de Verwerking van Persoonsgegevens inhouden voor de volgende categorieën van uw Betrokkenen:

 Medewerkers en sollicitanten

 Klanten en eindgebruikers

 Leveranciers, vertegenwoordigers en contractanten

De Verwerking van uw Persoonsgegevens kan ook de volgende categorieën Persoonsgegevens inhouden:

 Rechtstreekse identificatoren zoals voornaam, achternaam, geboortedatum en thuisadres

 Communicatiegegevens zoals het vaste nummer, het mobiele nummer, het e-mailadres, het postadres en het faxnummer

 Informatie over familiale en andere persoonlijke omstandigheden, zoals leeftijd, geboortedatum, burgerlijke staat, echtgenoot/echtgenote of partner, het aantal en de namen van kinderen

 Arbeidsinformatie zoals werkgever, werkadres, zakelijke e-mail en telefoon, functie, salaris, manager, werknemersnummer, gebruikersnamen en wachtwoorden in het systeem, informatie over prestaties, CV- gegevens

 Andere gegevens zoals financiële informatie, aangeschafte goederen of services, apparaat-ID's, online profielen en gedrag en IP-adres

 Andere Persoonsgegevens waarvoor U toegang aan Citrix verleent in verband met de levering van Producten of Services

6. Subverwerking

Onderhevig aan de voorwaarden van dit Addendum autoriseert U Citrix om Subverwerkers en Geaffilieerden in te huren voor de Verwerking van Persoonsgegevens. Deze Subverwerkers en Geaffilieerden zijn gebonden aan schriftelijke overeenkomsten waarvoor zij ten minste het gegevensbeschermingsniveau moeten opgeven dat wordt vereist van Citrix door de Overeenkomst en dit Addendum. U kunt Citrix vragen om een audit van een Subverwerker uit te voeren of een bestaand auditrapport van een derde partij te krijgen dat is gerelateerd aan de activiteit van de Subverwerker om naleving van deze vereisten te controleren. U kunt ook kopieën aanvragen van de voorwaarden voor gegevensbescherming die Citrix heeft voor Subverwerkers of Geaffilieerden die zijn betrokken bij het leveren van de Services. Citrix blijft te allen tijde verantwoordelijk voor de naleving door dergelijke Subverwerkers en Geaffilieerden van de vereisten van de Overeenkomst, dit Addendum en Toepasselijke gegevensbeschermingswetten.

Een lijst met Subverwerkers en Geaffilieerden, evenals een mechanisme om kennisgevingen over updates voor de lijst te ontvangen, zijn beschikbaar op xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxxxxxxxxxx-xxxx.xxxx. Citrix werkt de lijst met Subverwerkers en Geaffilieerden bij ten minste veertien (14) kalenderdagen voordat nieuwe Subverwerkers worden geautoriseerd om toegang te krijgen tot Persoonsgegevens. Waar Citrix een Verwerker (en geen Subverwerker) is, zijn de volgende voorwaarden van toepassing:

 Als U, op basis van gegronde redenen gerelateerd aan de onmogelijkheid van dergelijke Subverwerkers of Geaffilieerden om Persoonsgegevens te beschermen, een nieuwe Subverwerker of Geaffilieerde niet goedkeurt, kunt U abonnementen voor de betreffende Service zonder boete opzeggen door, vóór het einde van de kennisgevingsperiode, een schriftelijke kennisgeving van opzegging te verstrekken die uitleg van de redenen voor niet-goedkeuring bevat.

 Als de betreffende Service onderdeel is van een pakket (of soortgelijke afzonderlijke aankoop van Services), is dergelijke opzegging van toepassing op het hele pakket.

 Na dergelijke opzegging blijft U verplicht om alle betalingen uit te voeren die vereist zijn op grond van inkooporders of andere contractuele verplichtingen met de ELA Reseller en/of Citrix en hebt U geen recht op restitutie of terugbetaling door de ELA Reseller en/of Citrix.

7. Internationale doorgifte van Persoonsgegevens

Afhankelijk van de Services kunt U met Citrix overeenkomen op welke locatie Persoonsgegevens worden opgeslagen. Niettegenstaande het voorgaande kan Citrix Persoonsgegevens doorgeven naar de Verenigde Staten en/of andere derde landen voor zover dit nodig is om de Services uit te voeren, en U wijst Citrix aan om dergelijke doorgifte uit te voeren om Persoonsgegevens te verwerken voor zover nodig om de Services te leveren. Citrix volgt de vereisten van dit Addendum ongeacht waar dergelijke Persoonsgegevens worden opgeslagen of verwerkt.

Als de Verwerking de internationale doorgifte van Persoonsgegevens betreft onder Toepasselijke gegevensbeschermingswetten in de Europese Economische Zone aan Citrix, Geaffilieerden of Subverwerkers in een rechtsgebied (i) dat door de Europese Commissie niet wordt geacht een adequaat niveau van gegevenbescherming te bieden, en (ii) er geen andere legitieme grondslag is voor de internationale doorgifte van dergelijke Persoonsgegevens, zijn dergelijke doorgiften onderworpen aan de Modelcontractbepalingen van de Europese Unie of andere geldige doorgiftemechanismen die beschikbaar zijn onder Toepasselijke gegevensbeschermingswetten. Voor internationale doorgiften die onderworpen zijn aan de Modelcontractbepalingen van de Europese Unie, nemen de partijen door middel van verwijzing niet-aangepaste Modelcontractbepalingen op die beschikbaar zijn in het Citrix Trust Center op xxxxx://xxx.xxxxxx.xxx/xx-xx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx, die van toepassing zijn tussen U en Citrix Systems, Inc., ongeacht uw locatie. Voor dergelijke doeleinden fungeert U als Gegevensexporteur namens uzelf en namens elk van uw entiteiten, fungeert Citrix als Gegevensimporteur namens zichzelf en namens zijn Geaffilieerden, en fungeren eventuele Subverwerkers als Subcontractanten onder Bepaling 11 van de Modelcontractbepalingen van de Europese Unie. U kunt de opgenomen Modelcontractbepalingen van de Europese Unie die beschikbaar zijn in het Trust Center naar keuze formeel uitvoeren.

Als de Verwerking de internationale doorgifte van Persoonsgegevens aan Citrix, Geaffilieerden of Subverwerkers betreft op grond van andere Toepasselijke gegevensbeschermingswetten, zijn dergelijke doorgiften onderworpen aan de gegevensbeschermingsvoorwaarden die zijn gespecificeerd in dit Addendum en Toepasselijke gegevensbeschermingswetten.

8. Aanvragen van Betrokkenen

Citrix stelt U de Persoonsgegevens van uw Betrokkenen ter beschikking, evenals de mogelijkheid om aanvragen door Xxxxxxxxxxx om een of meer van hun rechten onder Toepasselijke gegevensbeschermingswetten uit te oefenen in overeenstemming de rol van Citrix als Gegevensverwerker. Citrix biedt dergelijke redelijke bijstand om U te helpen bij uw reactie.

Als Citrix een aanvraag rechtstreeks van uw Betrokkene ontvangt om een of meer van zijn rechten onder Toepasselijke gegevensbeschermingswetten uit te oefenen, zal Citrix de Betrokkene doorverwijzen naar U tenzij dit wettelijk is verboden.

9. Beveiliging

Citrix zal geschikte technische en organisatorische procedures implementeren en onderhouden die zijn ontworpen om Persoonsgegevens te beschermen tegen misbruik of accidentele of onwettige vernietiging, verlies, aanpassing, ongeautoriseerde openbaar maken of toegang tot Persoonsgegevens. Dergelijke beveiligingsprocedures zijn uiteengezet in het Beveiligingsdocument voor Citrix-services, dat beschikbaar is op xxxxx://xxx.xxxxxx.xxx/xx- nl/buy/licensing/citrix-services-security-exhibit.html. Citrix werkt continu aan de versterking en verbetering van de beveiligingsprocedures en behoudt zich het recht voor om de hierin beschreven controles te wijzigen. Eventuele wijzigingen doen geen afbreuk aan het beveiligingsniveau tijdens de betreffende termijn van Services.

Medewerkers van Citrix zijn gebonden aan de betreffende vertrouwelijkheidsovereenkomsten en zijn vereist om regelmatig training in gegevensbescherming te volgen en de procedures en beleidsregels van Citrix op het gebied van privacy en beveiliging na te leven.

10. Inbreuk in verband met persoonsgegevens

Citrix zal U zonder onnodig uitstel op de hoogte stellen nadat een Inbreuk in verband met persoonsgegevens is gedetecteerd met betrekking tot Persoonsgegevens in het bezit van, in opslag bij of onder controle van Citrix. Dergelijke kennisgeving zal ten minste: (i) de aard van de Inbreuk in verband met persoonsgegevens beschrijven met inbegrip van, voor zover mogelijk, de categorieën en een geschat aantal van uw Betrokkenen en de categorieën en het geschatte aantal van Persoonsgegevensrecords die zijn getroffen; (ii) de naam en contactgegevens van de Functionaris voor gegevensbescherming of een andere contactpersoon waarvan meer informatie kan worden gekregen; en (iii) de maatregelen beschrijven die zijn genomen of voorgesteld om te worden genomen om de Inbreuken in verband met persoonsgegevens aan te pakken met inbegrip van, voor zover mogelijk, maatregelen om de mogelijke schadelijke gevolgen ervan te beperken. U bepaalt samen met Citrix de inhoud van openbare verklaringen of vereiste kennisgevingen aan individuen en/of toezichthoudende autoriteiten.

11. Uw instructies en informatie- en bijstandsverstrekking

U kunt aanvullende informatie verstrekken aan Citrix die is gerelateerd aan de Verwerking van Persoonsgegevens die nodig zijn voor U en Citrix om als Verwerkingsverantwoordelijke en Gegevensverwerker te voldoen aan onze respectieve verplichtingen onder Toepasselijke gegevensbeschermingswetten. Citrix zal uw instructies zonder extra kosten opvolgen, op voorwaarde dat als uw instructies kosten voor Citrix met zich meebrengen die buiten het bereik vallen van de Services onder de Overeenkomst, de partijen akkoord gaan te goeder trouw te onderhandelen om de extra kosten te bepalen. Citrix informeert U meteen als wordt gemeend dat uw instructies niet in overeenkomst zijn met de Toepasselijke gegevensbeschermingswetten, op voorwaarde dat Citrix niet zal worden verplicht om uw Verwerking van Persoonsgegevens te inspecteren en te verifiëren.

Citrix verstrekt U de informatie die redelijkerwijs nodig kan worden geacht om U te helpen uw verplichtingen onder Toepasselijke gegevensbeschermingswetten na te komen, met inbegrip van, maar niet beperkt tot, de verplichtingen van Citrix op grond van de Algemene verordening gegevensbescherming van de Europese Unie om passende gegevensbeschermingsmaatregelen te nemen, een effectbeoordeling van de gegevensbescherming uit te voeren en de bevoegde toezichthoudende autoriteit te raadplegen (rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor Citrix), en zoals nader is gespecificeerd in dit Addendum.

12. Retourneren en verwijderen van Persoonsgegevens

Citrix zal na afloop van de levering alle Persoonsgegevens van de Services retourneren of U de mogelijkheid bieden deze op te vragen en bestaande kopieën te verwijderen. Met betrekking tot Cloud Services hebt U na beëindiging van de Overeenkomst dertig (30) kalenderdagen de tijd om uw Persoonsgegevens te downloaden en moet U contact opnemen met de technische ondersteuning van Citrix voor downloadtoegang en instructies. Indien U voor dit doel niet binnen 30 kalenderdagen na afloop van de verlening van Services contact opneemt met de technische ondersteuning van Citrix, zal Citrix uw Persoonsgegevens onmiddellijk verwijderen zodra deze Persoonsgegevens niet langer toegankelijk zijn voor U, met uitzondering van (i) back-ups die volgens de normale bedrijfsvoering worden verwijderd en (ii) het bewaren van de gegevens zoals vereist door de toepasselijke wetgeving. In het geval van (i) of

(ii) zal Citrix blijven voldoen aan de relevante bepalingen van dit Addendum tot dergelijke gegevens zijn verwijderd.

13. Audit

Indien de informatie die U op grond van Sectie 11 hierboven bij Citrix aanvraagt, niet voldoet aan uw verplichtingen op grond van de Toepasselijke gegevensbeschermingswetten, kunt U maximaal één keer per jaar, of zoals anders wordt vereist door Toepasselijke gegevensbeschermingswetten, een audit uitvoeren van de Verwerking van uw Persoonsgegevens door Citrix of zoals anders is vereist door toepasselijke wetgeving inzake gegevensbescherming. Om een audit aan te vragen, moet U Citrix drie weken van tevoren een voorstel doen voor een gedetailleerd auditplan. Citrix zal met U te goeder trouw samenwerken om tot een definitief schriftelijk plan te komen. Een dergelijke controle wordt op uw eigen kosten uitgevoerd, tijdens de normale kantooruren, zonder onderbreking van

de activiteiten van Citrix en in overeenstemming met de beveiligingsregels en -vereisten van Citrix. Citrix verbindt zich er voorafgaand aan elke audit toe om U redelijkerwijs aangevraagde informatie en bijbehorend bewijsmateriaal te verstrekken om aan uw auditverplichtingen te voldoen, en U verbindt zich ertoe deze informatie te controleren alvorens een onafhankelijke audit uit te voeren. Indien delen van het bereik van de audit worden gedekt door een auditrapport dat in de voorafgaande twaalf maanden door een gekwalificeerde externe auditor aan Citrix is verstrekt, komen de partijen overeen dat het bereik van uw audit dienovereenkomstig zal worden beperkt.

U mag met toestemming van Citrix gebruikmaken van een externe auditor, die niet op onredelijke gronden zal worden geweigerd. Voorafgaand aan elke audit door een derde partij is dergelijke auditor verplicht een passende geheimhoudingsovereenkomst met Citrix af te sluiten. Indien de derde partij uw toezichthouder is en het toepasselijke recht deze in staat stelt Citrix rechtstreeks te controleren, zal Citrix samenwerken met en redelijke bijstand verlenen aan de toezichthouder in overeenstemming met het toepasselijke recht.

U verstrekt Citrix een kopie van elk eindrapport, tenzij dit verboden is op grond van Toepasselijke gegevensbeschermingswetten, behandelt de bevindingen als vertrouwelijke informatie in overeenstemming met de voorwaarden van de Overeenkomst (of de vertrouwelijkheidsovereenkomst die door U en Citrix is afgesloten) en gebruikt deze uitsluitend om te beoordelen of Citrix zich houdt aan de voorwaarden van de Overeenkomst, dit Addendum en de Toepasselijke gegevensbeschermingswetten.

14. Functionaris voor gegevensbescherming

U kunt contact opnemen met de wereldwijde Functionaris voor gegevensbescherming van c/o Citrix Systems, Inc., 00 Xxxxxxx Xxxxx, Xxxxxxxxxx XX 00000, Xxxxxxxxx Xxxxxx. Als U een Functionaris voor gegevensbescherming hebt aangesteld, kunt U zijn contactgegevens opnemen in uw bestelling van de Services.

15. Termijn

Deze Overeenkomst wordt van kracht op het moment dat U de Services aanschaft.