GEGEVENSBESCHERMINGSOVEREENKOMST

Voor overeenkomsten die van 31 maart 2019 tot 20 november 2019 zijn afgesloten:

BIJLAGE

GEGEVENSBESCHERMINGSOVEREENKOMST

1. DEFINITIES

1. Adequaatheidsbesluit Een ‘Adequaatheidsbesluit’ is een besluit dat door de Europese Commissie is uitgevaardigd en dat stelt dat een land of gebied of een categorie van ontvangers in een dergelijk land of gebied een ‘adequaat’ gegevensbeschermingsniveau biedt.

2. Dochteronderneming Een ‘Dochteronderneming’ is een entiteit die zeggenschap heeft over of onder (gezamenlijke) zeggenschap staat van de betrokken partij.

3. Inbreuk op de gegevensbescherming. Een ‘Inbreuk op de gegevensbescherming’ is de onopzettelijke of onrechtmatige vernietiging, verlies, aanpassing, ongeautoriseerde openbaarmaking van, toegang tot, verwerving van Seagate-persoonsgegevens, of andere ongeautoriseerde Verwerking van Seagate-persoonsgegevens.

4. Wetgeving inzake gegevensbescherming. ‘Wetgeving inzake gegevensbescherming’ is (a) de Algemene verordening gegevensbescherming (‘AVG’) en alle toepasselijke wetgeving en regelgeving inzake gegevensbescherming van lidstaten van de Europese Unie (‘EU’) of de Europese Economische Ruimte (‘EER’) en (b) alle toepasselijke wetgeving en regelgeving van enig ander rechtsgebied inzake de Verwerking of bescherming van persoonsgegevens.

5. Betrokkene. Een ‘Betrokkene’ is een geïdentificeerde of identificeerbare natuurlijke persoon van wie Seagate-persoonsgegevens mogen worden verwerkt in het kader van deze Gegevensbeschermingsovereenkomst (GBO).

6. Seagate-persoonsgegevens. ‘Seagate-persoonsgegevens’ zijn alle gegevens met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon, gecreëerd door, in eigendom van of geleverd door Seagate of voor Seagate, waartoe de Leverancier toegang heeft of die de Leverancier verkrijgt, gebruikt, onderhoudt of verwerkt in verband met enige overeenkomst(en) tussen de partijen en/of hun Dochterondernemingen.

7. Verwerking. ‘Verwerken’ of ‘Verwerking’ betekent, zonder beperking, handelingen uitgevoerd op Seagate-persoonsgegevens, al dan niet via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, wijzigen, gebruiken, openen, openbaar maken, verspreiden, kopiëren, overdragen, opslaan, verwijderen, aligneren, combineren, afschermen, aanpassen, ophalen, raadplegen, vernietigen of wissen van Persoonsgegevens.

8. Privacyschild. ‘Privacyschild’ betekent het EU-VS Privacyschildkader ontwikkeld door het U.S. Department of Commerce en de Europese Commissie en het Zwitsers-VS Privacyschildkader ontwikkeld door het U.S. Department of Commerce en Zwitserland, waaronder Privacyschildbeginselen en Aanvullende beginselen beschikbaar op: xxxxx://xxx.xxxxxxxxxxxxx.xxx/XX-XX- Framework.

9. Gevoelige gegevens zijn alle volgende typen Seagate-persoonsgegevens:

(i) burgerservicenummer, belastingidentificatienummer, paspoortnummer, rijbewijsnummer of een ander door de overheid uitgegeven identificatienummer;

(ii) creditcard- of betaalkaartgegevens of bankrekeningnummer, met of zonder code of wachtwoord die toegang verlenen tot bank- of kredietgeschiedenis;

of (iii) gegevens over ras, religie, etniciteit, seksleven of -praktijken of seksuele gerichtheid, medische of gezondheidsinformatie, genetische of biometrische gegevens, biometrische sjablonen, politieke of filosofische overtuigingen, lidmaatschap van politieke partijen of vakbonden, antecedentenonderzoeksinformatie of juridische gegevens zoals een strafblad of informatie over andere juridische of administratieve procedures.

10. Standaardbepalingen. ‘Standaardbepalingen’ zijn de standaard contractuele clausules voor de overdracht van persoonsgegevens naar Verwerkers die in derde landen zijn gevestigd die geen passend beschermingsniveau bieden (Besluit van de Commissie 2010/87/EU of een recentere versie), en waaruit facultatieve bepalingen zijn verwijderd.

11. Subverwerkers. Een ‘Subverwerker’ is elke derde partij die door de Leverancier of door een andere Subverwerker wordt ingeschakeld en toegang heeft tot Seagate-persoonsgegevens of deze ontvangt of anderszins Verwerkt.

12. Personeel van de Leverancier. ‘Personeel van de Leverancier’ is elke werknemer, aannemer, Subverwerker of vertegenwoordiger die door de Leverancier is geautoriseerd om Seagate-persoonsgegevens te Verwerken.

13. De termen ‘Verwerkingsverantwoordelijke’, ‘Verwerker’ en ‘Toezichthoudende autoriteit’ hebben dezelfde betekenis als in de AVG, en hun verwante termen worden dienovereenkomstig geïnterpreteerd.

14. Het woord ‘omvatten’ wordt opgevat als zijnde met inbegrip van en zonder beperking. Verwante termen worden dienovereenkomstig geïnterpreteerd.

2. GEGEVENSBEVEILIGING EN -BESCHERMING

1. Status van de partijen. Met betrekking tot de Seagate-persoonsgegevens erkennen de partijen en gaan zij ermee akkoord dat Seagate de Verwerkingsverantwoordelijke is en dat de Leverancier de Verwerker is.

2. Niet-openbaarmaking van Xxxxxxx-persoonsgegevens. De Leverancier zal Seagate-persoonsgegevens op geen enkele wijze openbaar maken aan derde partijen zonder voorafgaande schriftelijke toestemming van Seagate, tenzij hieronder in Paragraaf 2.5 anders is bepaald.

3. Beperkingen op Verwerking. De Leverancier zal geen Seagate- persoonsgegevens Verwerken of toestaan dat deze worden Verwerkt tenzij dit noodzakelijk is om services te leveren aan Seagate in overeenstemming met enige overeenkomst(en) tussen de partijen en/of hun Dochterondernemingen or andere schriftelijke instructies van Seagate.

4. Informatiebeveiligingsprogramma. De Leverancier zal een uitgebreid schriftelijk informatiebeveiligingsprogramma implementeren, onderhouden, monitoren en, waar nodig, bijwerken. Dat programma bevat geschikte administratieve, technische en fysieke veiligheidsmaatregelen om Seagate- persoonsgegevens te beschermen tegen verwachte bedreigingen of gevaren voor de veiligheid, vertrouwelijkheid of integriteit ervan (zoals ongeautoriseerd openen, verzamelen, gebruiken, kopiëren, wijzigen, verwijderen of openbaar maken en ongeautoriseerd, onrechtmatig of onopzettelijk verliezen, vernietigen, verwerven of beschadigen of enige andere ongeautoriseerde vorm van Verwerking) (‘Informatiebeveiligingsprogramma’). Het Informatiebeveiligingsprogramma bevat de maatregelen die vermeld zijn in de Beveiligingsstandaarden, die als Bijvoegsel 2 zijn bijgesloten.

5. Beperkingen op Subverwerkers. De Leverancier kan Seagate- persoonsgegevens openbaar maken aan Subverwerkers waar dit nodig is om zijn services te leveren voor Seagate, behoudens de voorwaarden die vermeld zijn in deze Paragraaf 2.5. De Leverancier onderhoudt een lijst van de Subverwerkers aan wie de Leverancier Seagate-gegevens openbaar maakt, en overhandigt deze lijst op verzoek van Seagate aan Seagate. De Leverancier stelt aan Seagate een actuele lijst van de Subverwerker(s) van de Leverancier beschikbaar vanaf de ingangsdatum van deze GBO. Alvorens een Subverwerker aan de lijst toe te voegen, stelt de Leverancier Seagate hiervan ten minste 30 werkdagen van tevoren op de hoogte via xxxx.xxxxxxxxxx.xxxxxxxxx@xxxxxxx.xxx. Indien Seagate binnen 30 werkdagen na ontvangst van de kennisgeving geen bezwaar maakt

tegen de voorgestelde Subverwerker, wordt de Subverwerker geacht goedgekeurd te zijn. Indien Seagate bezwaar maakt tegen de toegang van een Subverwerker tot Seagate-persoonsgegevens, zal de Leverancier geen Seagate- persoonsgegevens openbaar maken aan de Subverwerker. Indien een van de partijen op enig moment van mening is dat een Subverwerker onvoldoende garantie op veiligheid biedt in verhouding tot het risico dat verbonden is aan de Verwerking van Seagate-persoonsgegevens, kan Seagate naar eigen inzicht de Subverwerker van de lijst verwijderen. Wanneer Xxxxxxx bezwaar maakt tegen een Subverwerker of deze verwijdert, beschikt de Leverancier over een redelijke termijn om de Subverwerker te vervangen. Indien de Leverancier de services niet kan leveren zonder openbaarmaking van Seagate-persoonsgegevens aan de Subverwerker tegen wie bezwaar is gemaakt, kan Seagate elke toepasselijke overeenkomst tussen de partijen en/of hun Dochterondernemingen beëindigen zonder kosten of aansprakelijkheid jegens de Leverancier.

6. Naleving en schending door Subverwerker. Het gebruik van Subverwerkers door de Leverancier vermindert de verplichting tot naleving van deze GBO of toepasselijke Wetgeving inzake gegevensbescherming door de Leverancier niet. De Leverancier is aansprakelijk jegens Seagate voor de levering van de services, Inbreuk op de gegevensbescherming en schendingen van deze GBO en toepasselijke Wetgeving inzake gegevensbescherming door zijn Subverwerkers in dezelfde mate als bij schending door de Leverancier.

7. Verplichtingen van Personeel van de Leverancier en Subverwerkers.

De Leverancier garandeert dat elke persoon of Subverwerker die toegang heeft tot Seagate-persoonsgegevens gebonden is aan schriftelijke privacy- en gegevensbeschermingsbepalingen die ten minste net zo streng zijn als deze GBO. De Leverancier garandeert dat alle verplichtingen op het gebied van privacy- en gegevensbescherming ook na de Verwerking ervan voor Seagate

geldig blijven. Deze verplichting blijft eeuwigdurend van kracht, of ten minste tot de Leverancier heeft gecertificeerd dat alle Seagate-persoonsgegevens verwijderd, vernietigd en onherstelbaar zijn.

8. Beperkte toegang. De leverancier beperkt de toegang tot Seagate- persoonsgegevens tot Personeel van de Leverancier of Subverwerkers die toegang nodig hebben om de Leverancier zijn verplichtingen te laten naleven krachtens enige overeenkomst(en) tussen de partijen en/of hun Dochterondernemingen of schriftelijke instructie van Xxxxxxx, die (a) opgeleid zijn in gegevensbeschermings- en beveiligingsvereisten, en die (b) akkoord zijn gegaan om tijdens en na afloop van hun Verwerking voor Seagate vereisten voor gegevensvertrouwelijkheid na te leven die ten minste net zo streng zijn als die van Seagate.

9. Melding van verzoeken of klachten. Tenzij wettelijk verboden, stelt de Leverancier Seagate binnen 2 werkdagen via xxxx.xxxxxxxxxx.xxxxxxx@xxxxxxx.xxx op de hoogte van de ontvangst van een verzoek of klacht inzake de Verwerking van Seagate- persoonsgegevens, waaronder:

1. verzoeken van een Betrokkene tot het overdragen van gegevens, verzoeken tot toegang, wijzigen, verwijderen of beperken, en soortgelijke verzoeken; of

2. klachten of beschuldigingen dat de Verwerking inbreuk maakt op de rechten van een Betrokkene.

10. Reacties van Leverancier. De Leverancier reageert niet op verzoeken of klachten, tenzij dit in Paragraaf 2.9 uitdrukkelijk is toegestaan door Seagate. De Leverancier werkt samen met Xxxxxxx aan maatregelen inzake verzoeken of klachten. De Leverancier streeft ernaar geschikte processen (waaronder technische en organisatorische maatregelen) te implementeren om Seagate te ondersteunen bij het reageren op verzoeken of klachten, tenzij dit wettelijk verboden is.

11. Verzoeken tot openbaarmaking. Tenzij wettelijk verboden, stelt de Leverancier Seagate onmiddellijk op de hoogte indien de Leverancier een document ontvangt met het verzoek, of dat ogenschijnlijk verzoekt, om Seagate-persoonsgegevens (zoals mondelinge vragen, vragenlijsten, verzoeken om informatie of documenten tijdens gerechtelijke procedures, dagvaardingen, civielrechtelijke verzoeken of andere soortgelijke verzoeken of processen; gezamenlijk ‘Verzoeken tot openbaarmaking’). Indien een Verzoek tot openbaarmaking niet bindend is, reageert de Leverancier niet. Indien een Verzoek tot openbaarmaking bindend is, zal de Leverancier, tenzij dit wettelijk verboden is, Seagate ten minste 48 uur voordat de Leverancier reageert op de hoogte stellen, zodat Seagate gebruik kan maken van zijn rechten om de openbaarmaking te voorkomen of beperken. De Leverancier zal alle redelijke maatregelen nemen om openbaarmakingen te voorkomen en te beperken en om de vertrouwelijkheid van Seagate- persoonsgegevens te waarborgen. De Leverancier werkt samen met Xxxxxxx aan maatregelen die worden genomen in reactie op een Verzoek tot openbaarmaking, waaronder samenwerking om het juiste conservatoir bevel of andere garantie te bemachtigen om de vertrouwelijkheid van de Seagate-persoonsgegevens te waarborgen.

12. Samenwerking. De Leverancier ondersteunt Seagate bij het voldoen aan zijn verplichtingen inzake de Wetgeving inzake gegevensbescherming met betrekking tot (a) registratie en melding; (b) aansprakelijkheid; (c) het garanderen van de veiligheid van Seagate-persoonsgegevens; en (d) het uitvoeren van effectbeoordelingen inzake privacy en gegevensbescherming en gerelateerde raadplegingen van Toezichthoudende autoriteiten.

13. Deelname aan onderzoeken van toezichthouders. . De Leverancier helpt en ondersteunt Seagate bij elk onderzoek door een Toezichthoudende autoriteit voor zover het onderzoek gerelateerd is aan Seagate-persoonsgegevens die verwerkt zijn door de Leverancier of de Subverwerker van de Leverancier.

14. Melding van mogelijke schendingen of onvermogen tot naleving. De Leverancier zal Seagate onmiddellijk op de hoogte stellen indien:

1. de Leverancier van mening is dat instructies van Seagate inzake het Verwerken van Seagate-persoonsgegevens in strijd zijn met toepasselijke wetgeving;

2. de Leverancier van mening is dat hij niet kan voldoen aan zijn verplichtingen uit hoofde van deze GBO of Wetgeving inzake gegevensbescherming en hij dit onvermogen niet binnen een redelijke termijn kan verhelpen; of

3. de Leverancier op de hoogte is van omstandigheden of wetswijzigingen waardoor hij niet kan voldoen aan zijn verplichtingen uit hoofde van deze GBO.

15. Stopzetten of aanpassingen voor naleving. Seagate kan de Verwerking van Seagate-persoonsgegevens door de Leverancier of Subverwerkers stopzetten ter voorkoming van mogelijke schendingen of niet-naleving van toepasselijke wetgeving, deze GBO, of andere toepasselijke overeenkomst(en) tussen de partijen en/of hun Dochterondernemingen met betrekking tot privacy of gegevensbescherming. De Leverancier werkt samen met Seagate om de Verwerking aan te passen om mogelijke schendingen en niet-naleving te verhelpen. Indien aanpassingen niet mogelijk zijn, kan Seagate elke geldende overeenkomst tussen de partijen en/of hun Dochterondernemingen beëindigen, zonder kosten of aansprakelijkheid jegens de Leverancier.

3. GEGEVENSOVERDRACHTEN

1. Standaardbepalingen Europese Economische Ruimte. Indien de Leverancier Persoonsgegevens die binnen de Europese Economische Ruimte (EER) ontvangen zijn, doorgeeft aan een ontvanger buiten de EER die niet onder een Adequaatheidsbesluit valt, zal de Leverancier Standaardbepalingen aangaan, die afzonderlijk worden verstrekt. De Leverancier garandeert dat alle Subverwerkers ook de Standaardbepalingen naleven, waar dit van toepassing is.

2. Privacyschildcertificering. Indien de Leverancier gecertificeerd is voor het Privacyschild, zal de Leverancier de certificering voor het Privacyschild behouden gedurende de duur van de Overeenkomst(en) tussen de partijen en/of hun Dochterondernemingen. De Leverancier zal met alle Subverwerkers een toepasselijke doorgeefovereenkomst sluiten voordat wordt overgegaan tot openbaarmaking. Indien de Leverancier vaststelt dat hij niet meer kan voldoen aan zijn verplichting om het beschermingsniveau te bieden dat vereist is door het Privacyschild, zal de Leverancier Seagate onmiddellijk schriftelijk op de hoogte stellen en alle ontvangen Seagate-persoonsgegevens retourneren of vernietigen in overeenstemming met zijn Privacyschildcertificering.

3. Overige juridische bepalingen. Waar dit van toepassing is, zal de Leverancier voldoen aan de Vereisten voor specifieke rechtsgebieden, die als Bijvoegsel 1 zijn bijgesloten.

4. NALEVING EN AANSPRAKELIJKHEID

1. Compliance. De Leverancier zal garanderen dat de Verwerking van Seagate- persoonsgegevens door de Leverancier en de Subverwerker voldoet aan alle toepasselijke wetgeving, zelfregulerende kaders en contractuele verplichtingen die van toepassing zijn op de Leverancier en de Subverwerker. De Leverancier zal de werkwijzen van de Leverancier en Subverwerkers jaarlijks beoordelen om te garanderen dat zij voldoen aan deze GBO en aan alle toepasselijke wetgeving. De Leverancier zal voor eigen rekening medewerking verlenen aan de verzoeken van Seagate dat de Leverancier aantoont te voldoen aan de gegevensbeschermings- en beveiligingsbepalingen waarnaar in deze GBO wordt verwezen.

2. Register van Verwerkingsactiviteiten. De Leverancier houdt een actueel overzicht bij van de gegevens van de vertegenwoordiger van de Leverancier en de functionaris voor gegevensbescherming, uitgevoerde categorieën van verwerkingsactiviteiten, informatie met betrekking tot grensoverschrijdende gegevensoverdracht, een algemene beschrijving van de beveiligingsmaatregelen die geïmplementeerd zijn ten aanzien van de Verwerkte gegevens, de naam, contactgegevens en Verwerkingsdetails van iedere Subverwerker van Seagate-persoonsgegevens, en, waar van toepassing, elke vertegenwoordiger en functionaris voor gegevensbescherming van de Subverwerkers. Op verzoek zal de Leverancier een historische en actuele kopie van dit overzicht aan Seagate verstrekken.

3. Audit. De Leverancier zal aan Xxxxxxx, op schriftelijk verzoek, alle informatie ter beschikking stellen die nodig is om de naleving van deze GBO aan te tonen, en zal audits, waaronder on-site inspecties, door Seagate of een door Seagate gemachtigde onafhankelijke derde controleur met betrekking tot de Verwerking van Seagate-persoonsgegevens, mogelijk maken en hiertoe bijdragen. Elk van

deze onafhankelijke derde controleurs zal een vertrouwelijkheidsovereenkomst met de partijen moeten sluiten. De Leverancier zal niet-naleving binnen een redelijke termijn verhelpen. Indien verhelpen niet mogelijk is, kan Seagate elke geldende overeenkomst tussen de partijen en/of hun Dochterondernemingen beëindigen, zonder kosten of aansprakelijkheid jegens de Leverancier.

5. VERANTWOORDELIJKHEDEN VAN LEVERANCIER NA EEN INBREUK OP DE GEGEVENSBESCHERMING

1. Kennisgeving van Inbreuk op de gegevensbescherming. De Leverancier stelt Seagate schriftelijk op de hoogte van een bekende of vermoedelijke Inbreuk op de gegevensbescherming binnen 24 uur nadat hij op de hoogte is van de mogelijke Inbreuk op de gegevensbescherming, en zal onmiddellijk:

1. Seagate op de hoogte stellen van de Inbreuk op de gegevensbescherming via xxxx.xxxxxxxxxx.xxxxxxx@xxxxxxx.xxx;

2. de Inbreuk op de gegevensbescherming onderzoeken of de vereiste ondersteuning bieden bij het onderzoek;

3. Seagate gedetailleerde informatie over de Inbreuk op de gegevensbescherming verstrekken, met inbegrip van, maar niet beperkt tot, de categorieën, locatie en het geraamde aantal Betrokkenen en de categorieën, locatie en het geraamde aantal Seagate-persoonsgegevens, en Seagate onverwijld aanvullende gegevens over de Inbreuk op de gegevensbescherming blijven verstrekken zodra deze beschikbaar zijn;

4. alle commercieel redelijke stappen nemen om de gevolgen van de Inbreuk op de gegevensbescherming te beperken, of Seagate hierbij te ondersteunen; en

5. een herstelplan implementeren, onder voorbehoud van goedkeuring door Xxxxxxx, en het oplossen van inbreuken en kwetsbaarheden met betrekking tot Inbreuken op de gegevensbescherming van Seagate- persoonsgegevens monitoren om te garanderen dat de juiste herstelmaatregelen tijdig genomen worden.

2. Opvangen en verhelpen. De Leverancier zal Inbreuken op de gegevensbescherming onmiddellijk opvangen en verhelpen en verdere Inbreuk op de gegevensbescherming voorkomen. De Leverancier zal ook alle maatregelen nemen die noodzakelijk zijn om te voldoen aan de toepasselijke Wetgeving inzake gegevensbescherming en industrienormen om de Inbreuk op de gegevensbescherming op te vangen.

3. Communicatie. De Leverancier zal zonder voorafgaande toestemming van Seagate geen communicaties publiceren inzake een Inbreuk op de gegevensbescherming op een manier die de identiteit van Xxxxxxx zou onthullen of waarschijnlijk zou onthullen.

4. Behoud van bewijsmateriaal. De Leverancier houdt een noodplan voor incidenten bij. Na de vaststelling van een Inbreuk op de gegevensbescherming houdt de Leverancier het bewijsmateriaal bij dat verband houdt met de Inbreuk op de gegevensbescherming en houdt deze een duidelijke commandostructuur aan volgens een noodplan voor incidenten van de Leverancier.

5. Samenwerking. De Leverancier werkt samen met Xxxxxxx bij rechtszaken, onderzoeken of andere door Seagate vereiste maatregelen om de rechten van Seagate inzake gebruik, openbaarmaking, bescherming en onderhoud van Seagate-persoonsgegevens te beschermen. De Leverancier stemt verder ook in met het bieden van redelijke bijstand en samenwerking die door Seagate en/of de door Seagate aangewezen vertegenwoordigers wordt aangevraagd, ter bevordering van het corrigeren of verhelpen van of het onderzoek naar een Inbreuk op de gegevensbescherming en/of het beperken van enige mogelijke schade, met inbegrip van alle kennisgevingen die Seagate geschikt acht om naar de Betrokkenen, toezichthouders of derden te verzenden, en/of het verlenen van een kredietrapportageservice die Seagate geschikt acht om aan de betreffende Betrokkenen te leveren. De Leverancier is verantwoordelijk voor de redelijke kosten van Seagate die verband houden met een Inbreuk op de gegevensbescherming door een Leverancier, met inbegrip van, maar niet beperkt tot, onderzoeken, verhelpen en kennisgeven.

6. RETOURNERING EN VEILIGE VERWIJDERING VAN SEAGATE- PERSOONSGEGEVENS

1. Gegevensintegriteit De Leverancier voldoet aan alle instructies van Seagate om gegevensintegriteit te behouden, inclusief (a) het verwijderen van Seagate-

persoonsgegevens die onderhouden worden door Leverancier maar die niet meer noodzakelijk zijn voor het leveren van Services; (b) het garanderen dat alle Seagate-persoonsgegevens gecreëerd door de Leverancier namens Seagate nauwkeurig en up-to-date zijn; en (c) op verzoek van Xxxxxxx, Seagate toegang geven tot alle Seagate-persoonsgegevens, in overeenstemming met toepasselijke wetgeving.

2. Retournering en verwijdering van Seagate-persoonsgegevens. (a) Op verzoek van Seagate of, indien die omstandigheid zich eerder voordoet, (b) na afloop of vervroegde beëindiging van de overeenkomst(en) tussen de partijen en/of hun Dochterondernemingen, met betrekking tot de Verwerking van Seagate- persoonsgegevens, zal, naar eigen inzicht van Seagate, de Leverancier de Seagate-persoonsgegevens exporteren, of zijn Subverwerkers hiertoe de opdracht geven, of Seagate of zijn aangewezen derde partij de mogelijkheid bieden om alle Seagate-persoonsgegevens te exporteren in een door computers leesbaar en compatibel formaat, bepaald door Seagate. De Leverancier houdt de Seagate-

persoonsgegevens bij zolang Seagate dit noodzakelijk acht, zodat Seagate kosteloos de Seagate-persoonsgegevens volledig kan openen en exporteren. Elke partij wijst een contactpersoon aan om de Seagate-persoonsgegevens te migreren en zal snel, nauwgezet en te goeder trouw werken om een spoedige overdracht mogelijk te maken. Binnen 90 dagen nadat Xxxxxxx (a) bevestigt dat Seagate- persoonsgegevens ontvangen en correct gemigreerd zijn, of (b) de Leverancier inlicht over zijn keuze om de Seagate-persoonsgegevens niet te migreren, zullen de Leverancier en zijn Subverwerkers alle Seagate-persoonsgegevens veilig vernietigen, alle werkplekidentifiers van Seagate loskoppelen en de Seagate- persoonsgegevens overschrijven met nieuwe gegevens of anderszins vernietigen door middel van een goedgekeurde opschoonmethode.

3. Vernietiging van Seagate-persoonsgegevens. Indien de Leverancier papieren, elektronische of andere media met Seagate-persoonsgegevens afvoert, zal de Leverancier hiervoor de nodige redelijke stappen nemen (op basis van de gevoeligheid van de Seagate-persoonsgegevens) om Seagate-persoonsgegevens als volgt te vernietigen: (a) versnipperen; (b) permanent wissen en verwijderen; (c) demagnetiseren; of (d) de Seagate-persoonsgegevens in dergelijke media anderszins wijzigen om deze onleesbaar, onherstelbaar en onontcijferbaar te maken. Indien de Leverancier een harde schijf die een kopie van Seagate- persoonsgegevens bevat, buiten bedrijf stelt of op andere wijze uit bedrijf neemt, dient de Leverancier de harde schijf veilig te versnipperen of te vernietigen, zodat de Seagate-persoonsgegevens onleesbaar en vernietigd worden conform de norm NIST 800-88, revisie 1. De Leverancier certificeert schriftelijk dat de harde schijf is versnipperd of vernietigd en dat de Seagate-persoonsgegevens niet gelezen, opgehaald of anderszins hersteld kunnen worden.

4. Melding van retentie. Indien de Leverancier wettelijk verplicht is om Seagate- persoonsgegevens langer te bewaren dan de door deze GBO toegestane termijn, stelt de Leverancier Seagate schriftelijk op de hoogte van zijn verplichting, en zal hij Seagate-persoonsgegevens zo spoedig mogelijk na afloop van de wettelijk vereiste retentieperiode retourneren of vernietigen. Deze GBO blijft van kracht tot de Leverancier geen Seagate-persoonsgegevens meer in bewaring of beheer heeft, noch er toegang toe heeft.

5. Documentatie. De Leverancier documenteert de bewaring en verwijdering van Seagate-persoonsgegevens in overeenstemming met deze GBO. Op verzoek van Xxxxxxx documenteert de Leverancier de bewaring en verstrekt hij een schriftelijke certificering dat Seagate-persoonsgegevens veilig vernietigd zijn in overeenstemming met deze GBO.

7. DIVERSEN

1. Looptijd Deze GBO blijft van kracht tot (i) er tussen de partijen geen actieve overeenkomsten meer zijn en tot (ii) de Leverancier geen Seagate- persoonsgegevens meer in bewaring of beheer heeft, noch er toegang toe heeft.

2. Rangorde. In het geval van verschillen tussen deze GBO en enige overeenkomst(en) tussen de partijen en/of hun Dochterondernemingen, prevaleren de bepalingen van deze GBO met uitzondering van eventuele discrepanties die betrekking hebben op Bijvoegsel 2 (Beveiligingsstandaarden). In dergelijke gevallen prevaleren de andere overeenkomsten. Deze GBO begrenst, noch beperkt de Standaardbepalingen, en wordt geacht alleen te worden opgevat als een aanvulling van de Standaardbepalingen.

3. Updates De partijen zullen in redelijkheid samenwerken om deze GBO indien nodig bij te werken bij onderlinge schriftelijke overeenkomst om de naleving van toepasselijke wet- en regelgeving te waarborgen

4. Externe begunstigden. De Dochterondernemingen van Seagate zijn aangewezen externe begunstigden van deze GBO; en zij mogen de bepalingen van deze GBO handhaven alsof zij een ondertekenaar zijn van deze GBO. Seagate mag ook de bepalingen van deze GBO handhaven namens zijn Dochterondernemingen, in plaats van zijn Dochterondernemingen apart een rechtsvordering te laten instellen tegen de Leverancier.

5. Openbaarmaking van GBO aan Toezichthoudende autoriteit. Seagate kan een samenvatting of kopie van deze GBO aan een Toezichthoudende autoriteit verstrekken.

6. Scheidbaarheid Indien een van de bepalingen van deze GBO niet van kracht of nietig is, is dit niet van invloed op de overige bepalingen. De partijen zullen de niet van kracht zijnde of ongeldige bepaling vervangen door een wettige bepaling die het doel van de niet van kracht zijnde of ongeldige bepaling weergeeft. Indien een noodzakelijke bepaling ontbreekt, voegen de partijen te goeder trouw een geschikte bepaling toe.

7. Exemplaren. Deze GBO kan elektronisch zijn ondertekend, en dergelijke elektronische handtekeningen zullen worden beschouwd als een originele handtekening, ook voor bewijsvoeringsdoeleinden. Deze GBO kan worden ondertekend in twee of meer exemplaren, waarvan geen exemplaar de handtekeningen van beide partijen hoeft te bevatten, en die elk als een origineel worden beschouwd en die samen één en hetzelfde instrument vormen.

8. Interpretatie. De titels in deze GBO zijn alleen bestemd voor referentiedoeleinden en hebben geen invloed op de interpretatie van deze overeenkomst.

BIJVOEGSEL 1 GEGEVENSBESCHERMINGVEREISTEN VOOR SPECIFIEKE RECHTSGEBIEDEN

De volgende vereisten zijn van toepassing op de aangegeven rechtsgebieden:

1. AUSTRALIË

1. Toepasbaarheid. De bepalingen van deze Paragraaf 1 zijn van toepassing waar (a) de Leverancier Seagate-persoonsgegevens ontvangt of er toegang toe krijgt vanuit een Dochteronderneming van Seagate in Australië; of waar (b) Seagate de Leverancier in kennis stelt van het feit dat Seagate- persoonsgegevens onderworpen zijn aan deze vereisten.

2. Lidmaatschap van een beroepsgroep of handelsorganisatie De term ‘Gevoelige gegevens’ omvat ook Persoonsgegevens over het lidmaatschap van een lid van een beroepsgroep of handelsorganisatie.

3. Australische xxxxxxxxxxxxxxxxx.Xx Leverancier moet voldoen aan alle toepasselijke verplichtingen van de Privacy Xxx 0000 (Cth), met inbegrip van de Australische privacybeginselen, wanneer hij Seagate-persoonsgegevens verwerkt of anderszins de services levert in overeenstemming met deze GBO.

4. Opmerking van gebruik of openbaarmaking voor handhavingsdoeleinden. Indien de Leverancier Persoonsgegevens gebruikt of openbaar maakt voor een of meer handhavingsactiviteiten, uitgevoerd door of namens een handhavingsinstantie, bewaart de Leverancier een schriftelijk verslag van het gebruik en de openbaarmaking en overhandigt de Leverancier zo spoedig mogelijk een kopie van dit verslag aan Seagate, tenzij dit wettelijk verboden is.

5. Australische overheid en gerelateerde identificatiemiddelen Waar de Persoonsgegevens identificatiemiddelen van de Australische overheid bevat, zal de Leverancier (a) het identificatiemiddel van de Australische overheid voor een individu niet gebruiken als zijn eigen identificatiemiddel voor het individu tenzij uitdrukkelijk hiertoe opdracht gegeven door Xxxxxxx; en (b) het identificatiemiddel van de Australische overheid niet gebruiken of openbaar maken behalve daar waar redelijkerwijs noodzakelijk om de identiteit van het individu te verifiëren, of anderzijds uitdrukkelijk hiertoe opdracht is gegeven door Seagate.

6. Verzamelen van Persoonsgegevens. Indien de Leverancier volgens de instructies van Seagate namens Seagate persoonsgegevens moet verzamelen, moet (a) de Leverancier instructies inwinnen bij Seagate met betrekking tot (i) alle gegevens die moeten worden verstrekt aan de Betrokkene in verband met het verzamelen van de persoonsgegevens van de Betrokkene; en (ii) alle vereiste ‘opt-in’-toestemmingen voor directmarketingdoeleinden; en mag de Leverancier

geen Gevoelige gegevens verzamelen, noch zonder de toestemming van de Betrokkene.

7. Leveranciersovereenkomsten met de Australische overheid. Indien Seagate een gecontracteerde dienstverlener is voor een Australische overheidsinstantie op federaal, deelstaat- of territoriaal niveau en voor zover Seagate op grond van een overeenkomst met de desbetreffende overheidsinstantie gebonden is te voldoen aan aanvullende verplichtingen inzake gegevensbescherming, zal Seagate gelijkwaardige verplichtingen opleggen aan de Leverancier, zoals vereist volgens de toepasselijke Australische wetgeving. Seagate en de Leverancier gaan ermee akkoord aanvullende overeenkomsten te sluiten, indien vereist, waarin deze verplichtingen tot uiting komen.

2. JAPAN

1. Toepasbaarheid. De bepalingen van deze Paragraaf 2 zijn van toepassing op Seagate-persoonsgegevens die de Leverancier ontvangt of waartoe de Leverancier toegang heeft vanuit een Seagate-Dochteronderneming in Japan.

2. Personeel van de Leverancier. De Leverancier is verantwoordelijk voor het toezicht op de naleving van de DPA door het Personeel van de Leverancier.

3. Dienstverbandmanagementmaatregelen. De Leverancier beschermt Seagate- persoonsgegevens inzake dienstverbandmanagement zoals uiteengezet in de dienstverbandmanagementrichtlijnen van het Japanse ministerie van Gezondheid, Arbeid en Welzijn.

4. Persoonsgegevens waarvan is kennisgenomen tijdens dienstverband. De Leverancier garandeert dat zijn werknemers de Seagate-persoonsgegevens waarvan zij hebben kennisgenomen tijdens hun dienstverband niet openbaar maken of misbruiken.

5. Toestemming voorafgaand aan overdracht of openbaarmaking. De Leverancier verkrijgt schriftelijke toestemming van Seagate voorafgaand aan het openbaar maken of overdragen van burgerservicenummers aan derden (inclusief Dochterondernemingen) die geen onderdeel uitmaken van deze GBO, met inbegrip van alle Subverwerkers.

6. Retourneren of vernietigen nadat doelstelling behaald is. De Leverancier stopt de Verwerking en retourneert of vernietigt Seagate-persoonsgegevens in zijn bezit nadat het doel waarvoor ze verzameld zijn, behaald is.

7. Back-updoeleinden. De Leverancier kopieert of reproduceert Seagate- persoonsgegevens alleen voor back-updoeleinden.

3. ZUID-KOREA

1. Toepasbaarheid. De bepalingen van deze Paragraaf 3 zijn van toepassing op Seagate-persoonsgegevens die de Leverancier ontvangt of waartoe de Leverancier toegang heeft vanuit een Seagate-Dochteronderneming in Zuid-Korea.

2. Beperkte toegang. De Leverancier beperkt de toegang tot Seagate- persoonsgegevens tot Personeel van de Leverancier dat redelijkerwijs dergelijke toegang vereist in het kader van de Verwerking.

3. Vereiste veiligheidsmaatregelen. De Leverancier ontwikkelt en onderhoudt veiligheidsmaatregelen, inclusief:

1. interne procedures voor de veilige verwerking van Seagate- persoonsgegevens;

2. technische veiligheidsmaatregelen zoals firewalls, antivirus- en antimalwaresoftware;

3. fysieke toegangsbeperking zoals sloten;

4. maatregelen om aanpassing of vervalsing van toegangslogs of bewijs van Verwerking te voorkomen;

5. maatregelen om Seagate-persoonsgegevens veilig op te slaan en te verzenden, zoals versleuteling van Seagate-persoonsgegevens waar vereist door de Personal Information Protection Act (PIPA), de Enforcement Regulations van PIPA, de Act on Promotion of Information and Communications Network Utilization and Protection of Information (PICNU), de Enforcement Regulations van PICNU (‘PICNU Regulations’), de Utilization and Protection of Credit Information Act (UPCIA) of andere Koreaanse wetgeving, waar van toepassing.

4. Versleuteling van bepaalde identificatiegegevens. De Leverancier versleutelt burgerregistratienummers, rijbewijsnummers en paspoortnummers indien:

1. verzonden via een informatie- of communicatienetwerk;

2. opgeslagen op draagbare opslagmedia of randapparaten;

3. opgeslagen op externe computernetwerken, of in een gedemilitariseerde zone, of op persoonlijke of mobiele computers; of

4. opgeslagen op het interne netwerk van de Leverancier indien de systemen van de Leverancier niet voldoen aan door Seagate gespecificeerde risicocriteria.

5. Versleuteling van wachtwoorden en biometrische gegevens. De Leverancier versleutelt alle wachtwoorden en biometrische gegevens die zijn opgeslagen.

6. Informatie voorafgaand aan openbaarmaking. Voorafgaand aan openbaarmaking of overdracht van Seagate-persoonsgegevens aan een externe Verwerker van gegevens, informeert de Leverancier tijdig Seagate hierover. Op verzoek van Xxxxxxx overhandigt de Leverancier de volgende informatie: (a) de Verwerkingsactiviteiten die uitbesteed gaan worden; (b) de identiteit van de externe Verwerker van gegevens; en (c) wijzigingen aan (a) of (b).

7. Training. De Leverancier neemt deel aan alle trainingen die Seagate besluit beschikbaar te stellen aan de Leverancier om Seagate-persoonsgegevens te beschermen tegen diefstal, lekken, wijzigingen of beschadigingen tijdens de Verwerking van dergelijke Seagate-persoonsgegevens.

4. TAIWAN

1. Toepasbaarheid. De bepalingen van deze Paragraaf 4 zijn van toepassing op Seagate-persoonsgegevens die de Leverancier ontvangt of waartoe de Leverancier toegang heeft vanuit een Seagate-Dochteronderneming in Taiwan.

2. Subverwerkers. Onverminderd Paragraaf 2.4 van de GBO, zal de Leverancier geen Seagate-persoonsgegevens openbaar maken aan of overdragen aan, of toegang verschaffen tot Seagate-persoonsgegevens aan een Subverwerker zonder de uitdrukkelijke schriftelijke toestemming van Seagate.

3. Beperkte verwerkingsduur. De Leverancier Verwerkt de Seagate- persoonsgegevens alleen gedurende de termijn die nodig is om het doel van de Verwerking te realiseren, tenzij partijen een andere termijn zijn overeengekomen.

4. Bewaring van toegangsgegevens. De Leverancier bewaart toegangsgegevens zolang dit nodig is om te garanderen dat zij periodiek gecontroleerd worden op mogelijk ongeautoriseerde toegang.

BIJVOEGSEL 2 BEVEILIGINGSSTANDAARDEN

Dit Bijvoegsel vertegenwoordigt de minimale beveiligingsvereisten die de Leverancier in acht moet nemen. Als voor enige overeenkomst(en) tussen de partijen de Leverancier een hoger niveau van beveiligingsmaatregelen moet toepassen of uitgebreidere beveiligingsmaatregelen moet nemen, zal de Leverancier aan die voorwaarden voldoen. De Leverancier moet verschillende beleidslijnen, normen en processen bijhouden en handhaven die ontworpen zijn om Seagate- persoonsgegevens en andere gegevens te beveiligen conform industriestandaarden, zoals het Cyber Security Framework van NIST en ISO 27001 of 27002, waartoe werknemers van de Leverancier toegang wordt verleend.

1. Beleid en standaarden voor gegevensbeveiliging. De Leverancier moet voor het Personeel van de Leverancier en alle onderaannemers, leveranciers of vertegenwoordigers die toegang hebben tot Seagate-persoonsgegevens beveiligingsmaatregelen implementeren die voor deze doeleinden zijn ontworpen:

1. Voorkomen dat ongeautoriseerde personen toegang krijgen tot systemen die Seagate-persoonsgegevens Verwerken (fysieke toegangscontrole);

2. Voorkomen dat systemen die Seagate-persoonsgegevens Verwerken zonder toestemming worden gebruikt (logische toegangscontrole);

3. Controleren of personen die toestemming hebben om een systeem dat Seagate-persoonsgegevens Verwerkt te gebruiken, alleen toegang kunnen krijgen tot dergelijke Seagate-persoonsgegevens waartoe zij toegang mogen hebben in overeenstemming met hun goedgekeurde toegangsrechten en of Seagate-persoonsgegevens bij de Verwerking of het gebruik en na de opslag niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd (gegevenstoegangscontrole);

4. Controleren of Seagate-persoonsgegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd bij elektronische overdracht, transport of opslag, en of de doelentiteiten voor elke overdracht van Seagate-persoonsgegevens door middel van voorzieningen voor gegevensoverdracht kunnen worden vastgesteld en geverifieerd (gegevensoverdrachtcontrole);

5. Controleren of een audittrail wordt gecreëerd om te documenteren of en door wie Seagate-persoonsgegevens zijn ingevoerd, gewijzigd, overgedragen of verwijderd bij de Verwerking van Seagate- persoonsgegevens (invoercontrole);

6. Controleren of Seagate-persoonsgegevens uitsluitend volgens de instructies worden Verwerkt (controle van instructies);

7. Controleren of Seagate-persoonsgegevens beschermd zijn tegen onopzettelijke vernietiging of onopzettelijk verlies (beschikbaarheidscontrole); en

8. Controleren of Seagate-persoonsgegevens die voor verschillende doeleinden worden verzameld apart kunnen worden verwerkt (scheidingscontrole).

De Leverancier zal periodieke risicobeoordelingen uitvoeren en zijn informatiebeveiligingspraktijken onderzoeken en, indien van toepassing, aanpassen en dit ten minste jaarlijks of bij elke materiële wijziging van de handelspraktijken van de Leverancier die redelijkerwijs van invloed kunnen zijn op de beveiliging, vertrouwelijkheid of integriteit van Seagate-persoonsgegevens, op voorwaarde dat de Leverancier zijn informatiebeveiligingspraktijken niet zodanig wijzigt dat de vertrouwelijkheid, beschikbaarheid of integriteit van de Seagate-persoonsgegevens afneemt of in gevaar wordt gebracht.

2. Fysieke beveiliging. De Leverancier moet commercieel redelijke beveiligingssystemen in stand houden op alle locaties van de Leverancier waar zich een informatiesysteem bevindt dat Seagate-persoonsgegevens gebruikt of bevat. De

Leverancier beperkt de toegang tot dergelijke Seagate-persoonsgegevens op redelijke en gepaste wijze.

3. Organisatorische beveiliging.

1. Wanneer media moeten worden afgevoerd of hergebruikt, moeten procedures worden geïmplementeerd om te voorkomen dat Seagate- persoonsgegevens die op de media zijn opgeslagen, later worden opgevraagd voordat ze uit de inventaris worden verwijderd. Wanneer als gevolg van onderhoudswerkzaamheden media de gebouwen moeten verlaten waarin de bestanden zich bevinden, moeten procedures worden geïmplementeerd om te voorkomen dat Seagate-persoonsgegevens die erin zijn opgeslagen onrechtmatig worden opgevraagd.

2. De Leverancier moet beveiligingbeleidslijnen en -procedures implementeren om middelen met Gevoelige gegevens te classificeren, de verantwoordelijkheden op het gebied van veiligheid verduidelijken en de bewustwording van werknemers bevorderen.

3. Alle beveiligingsincidenten met Seagate-persoonsgegevens moeten worden beheerd in overeenstemming met de procedures van een geschikt noodplan.

4. De Leverancier moet alle Gevoelige gegevens bij verzending en in rust versleutelen met behulp van industriestandaard versleutelingstools.

4. Netwerkbeveiliging. De Leverancier moet de netwerkbeveiliging in stand houden met behulp van commercieel beschikbare apparatuur en industriestandaard technieken, met inbegrip van firewalls, systemen voor indringingsdetectie en - preventie, toegangscontrolelijsten en routeringsprotocollen.

5. Toegangscontrole.

1. De Leverancier moet geschikte toegangscontroles in stand houden, met inbegrip van, maar niet beperkt tot, de beperking van toegang tot Seagate- persoonsgegevens tot het minimum aantal leden van het Personeel van de Leverancier dat dergelijke toegang nodig heeft.

1. Alleen bevoegd personeel mag de toegang tot een informatiesysteem dat Seagate-persoonsgegevens gebruikt of bevat, verlenen, wijzigen of herroepen. De Leverancier moet de juiste toegangsgegevens bijhouden en deze op verzoek van Seagate aan Seagate voorleggen.

2. Gebruikersbeheerprocedures moeten gebruikersrollen definiëren, alsook hun rechten en hoe toegang wordt verleend, gewijzigd en beëindigd; in een passende scheiding van taken voorzien en de vereisten en mechanismen voor logging/monitoring bepalen.

3. Alle werknemers van de Leverancier moeten een uniek gebruikers-id toegewezen krijgen.

4. Toegangsrechten moeten worden geïmplementeerd volgens de methode ‘alleen strikt noodzakelijke rechten’.

5. De Leverancier moet commercieel redelijke fysieke en elektronische beveiliging implementeren om wachtwoorden te creëren en te beveiligen.

6. Virus- en malwarecontroles. De Leverancier moet op het systeem de recentste software ter bescherming tegen virussen en malware installeren en in stand houden. De Leverancier moet ook beschikken over geplande malwaremonitoring en systeemscans om Seagate-persoonsgegevens te beschermen tegen verwachte bedreigingen of gevaren en bescherming bieden tegen ongeautoriseerde toegang tot of ongeautoriseerd gebruik van Seagate-persoonsgegevens.

7. Personeel. Alvorens het Personeel van de Leverancier toegang te verlenen tot Seagate- persoonsgegevens, moet de Leverancier ervoor zorgen dat het Personeel van de Leverancier voldoet aan het informatiebeveiligingsprogramma van de Leverancier. De Leverancier moet een bewustmakingsprogramma voor beveiliging implementeren om het Personeel van de Leverancier op te leiden over hun beveiligingsverplichtingen. Dit programma bevat een training over gegevensclassificatieverplichtingen, fysieke beveiligingscontroles, beveiligingspraktijken en rapportage van beveiligingsincidenten. De Leverancier heeft duidelijk omschreven rollen en verantwoordelijkheden voor de werknemers. Screening wordt geïmplementeerd vóór de tewerkstelling en de voorwaarden en bepalingen van de tewerkstelling worden adequaat toegepast. Werknemers van de Leverancier moeten de vastgelegde beleidsregels en procedures strikt naleven. Indien werknemers een Inbreuk op de gegevensbescherming plegen, moet een disciplinaire procedure worden toegepast.

8. Bedrijfscontinuïteit. De Leverancier implementeert geschikte plannen voor back-ups, noodherstel en bedrijfshervatting. De Leverancier herziet de plannen voor bedrijfscontinuïteit en risicobeoordeling regelmatig. Plannen voor bedrijfscontinuïteit worden regelmatig getest en bijgewerkt om ervoor te zorgen dat ze up-to-date en doeltreffend zijn.

9. Hoofdbeveiligingsbeheerder. De Leverancier moet Xxxxxxx in kennis stellen van zijn aangeduide hoofdbeveiligingsbeheerder. De beveiligingsbeheerder is verantwoordelijk voor het beheer en de coördinatie van de prestaties van de verplichtingen van de Leverancier die vastgelegd zijn in het informatiebeveiligingsprogramma van de Leverancier en in deze GBO.

10. Audit. Seagate behoudt zich het recht voor om een audit uit te voeren van de verbintenissen van de Leverancier zoals vermeld in dit Bijvoegsel 2, in overeenstemming met Paragraaf 4.4 ‘Audit’ van deze GBO.

11. Inbreuk. Als wordt vastgesteld dat de Leverancier een inbreuk heeft gepleegd op deze GBO, moet de Leverancier een dergelijke inbreuk zonder onnodige vertraging en in ieder geval binnen 30 kalenderdagen verhelpen. Elke bekende of vermoede Inbreuk op de gegevensbescherming wordt beheerst door Paragraaf 5 ‘Verantwoordelijkheden van Leverancier na een Inbreuk op de gegevensbescherming’ van deze GBO.