ADDENDUM OVER GEGEVENSVERWERKING VAN CITRIX

ADDENDUM OVER GEGEVENSVERWERKING VAN CITRIX

Versie: 11 maart 2022

1. Xxxxxx, volgorde van prioriteit en partijen

Dit Addendum over Gegevensverwerking ('Addendum') is van toepassing op de Verwerking van Persoonsgegevens door Citrix namens U bij de levering van Citrix Cloud-services, technische ondersteuningsservices of adviesservices ('Services'). De Services worden beschreven in de betreffende Citrix-licentie- en/of servicesovereenkomst en de toepasselijke bestelling voor Services (samen de 'Overeenkomst'). Bij een conflict tussen de voorwaarden van de Overeenkomst en dit Addendum, zijn de voorwaarden van dit Addendum van toepassing. In geval van tegenstrijdigheid tussen de voorwaarden van dit Addendum en de standaardcontractbepalingen van de Europese Unie en/of het VK SCC-addendum (indien van toepassing), hebben de voorwaarden van de standaardcontractbepalingen van de Europese Unie en/of het VK SCC-addendum (indien van toepassing) voorrang.

Dit Addendum wordt afgesloten tussen de eindklant ('U') en de contracterende Citrix-entiteit ('Citrix') en wordt door middel van verwijzing in de Overeenkomst opgenomen. Uw locatie bepaalt de Citrix-entiteit zoals geïdentificeerd op xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxxx-xxxxxxxx.xxxx.

2. Definities

Onder 'U' wordt verstaan de eindklant die is gespecificeerd onder dit Addendum.

Onder 'Geaffilieerde' wordt verstaan een dochteronderneming van Citrix Systems, Inc. die Citrix kan bijstaan bij de verwerking van uw Persoonsgegevens onder dit Addendum.

Onder 'Geaggregeerd' wordt informatie verstaan die is gerelateerd aan een groep of categorie van individuen, waarvan de identiteit is verwijderd zodat de informatie niet is gekoppeld of niet kan worden gekoppeld aan een individu dat onderworpen is aan de Toepasselijke gegevensbeschermingswetten.

Onder 'Toepasselijke gegevensbeschermingswetten' wordt verstaan (i) de Algemene verordening gegevensbescherming van de Europese Unie 2016/679 ('VGA') en wetten en regelgeving die de VGA implementeren of aanvullen; en (ii) andere internationale, federale, staatkundige, provinciale en lokale privacy- of gegevensbeschermingswetten, -regels, -reguleringen, -richtlijnen en overheidsvereisten, die momenteel van kracht zijn en wanneer deze van kracht worden, die van toepassing zijn op de Verwerking van Persoonsgegevens op grond van deze Overeenkomst.

Onder 'Klantinhoud' wordt verstaan gegevens die voor opslag naar uw account zijn geüpload of gegevens in uw computeromgeving waarvoor toegang is verleend aan Citrix om Services uit te voeren.

Onder 'Europese Economische Zone' wordt verstaan de Europese Economische Ruimte, Zwitserland en het Verenigd Koninkrijk voor het doel van dit Addendum.

Onder 'Modelcontractbepalingen van de Europese Unie van 2021' of 'EU-SCB van 2021' wordt verstaan de contractbepalingen die als bijlage bij Besluit 2021/914/EU van de Commissie van de EU zijn gevoegd, of eventuele vervolgbepalingen die door de Commissie van de EU zijn goedgekeurd.

Onder 'Persoonsgegevens' wordt verstaan Klantinhoud die wordt verwerkt in verband met de prestaties van Services en die een uniek individu, rechtstreeks of onrechtstreeks, kan identificeren, in het bijzonder door verwijzing naar een identificator zoals een naam, een identiteitsnummer, locatiegegevens, een online identificator of een of meer factoren die specifiek zijn voor de fysieke, psychologische, genetische, mentale, economische, culturele of sociale

identiteit van individuen of als dergelijke informatie op een andere wijze is gedefinieerd onder de Toepasselijke gegevensbeschermingswetten.

Onder 'Inbreuk in verband met persoonsgegevens' wordt verstaan een schending van de beveiliging die leidt tot accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van, of toegang tot, Persoonsgegevens die worden overgedragen, opgeslagen of anders verwerkt om de Services uit te voeren waarmee de beveiliging van de persoonsgegevens is geschonden.

Onder 'Subverwerker' wordt verstaan elke derde die is ingehuurd om assistentie te verlenen bij de Verwerking van Persoonsgegevens voor de prestaties van Services onder de Overeenkomst.

Onder 'VK SCC-addendum' wordt verstaan het Addendum met betrekking tot internationale gegevensoverdracht van de Modelcontractbepalingen van de Europese Unie (vB1.0 of een daaropvolgende versie) zoals uitgegeven door de Britse Information Commissioner's Office.

Termen die worden gebruikt maar niet zijn gedefinieerd in dit Addendum (bijv. 'Bedrijfsdoel, Consument, Verwerkingsverantwoordelijke, Betrokkene, Verwerken/Verwerking, Verwerker') hebben dezelfde betekenis als is beschreven in de Overeenkomst of Toepasselijke gegevensbeschermingswetten.

3. Rollen als Verweringsverantwoordelijke en als Gegevensverwerker

Voor de doelstellingen van dit Addendum bent U de Verwerkingsverantwoordelijke van de Persoonsgegevens die door Citrix worden verwerkt tijdens de uitvoering van de Services onder de bepalingen van de Overeenkomst. U bent verantwoordelijk voor de naleving van uw verplichtingen als Verwerkingsverantwoordelijke op grond van de Toepasselijke gegevensbeschermingswetten waaraan uw levering van Persoonsgegevens aan Citrix voor de prestaties van de Services is onderworpen, met inbegrip van maar niet beperkt tot het verkrijgen van toestemmingen, het verstrekken van kennisgevingen, of anders de vereiste rechtsgrondslag te vestigen. Tenzij anders gespecificeerd in de Overeenkomst, zult u Citrix geen toegang verschaffen tot Persoonsgegevens die specifieke vereisten voor gegevensbescherming opleggen die verder gaan dan die welke zijn overeengekomen in de Overeenkomst en dit Addendum, en zult u de toegang van Citrix tot Persoonsgegevens beperken voor zover dit noodzakelijk is voor het uitvoeren van de Services.

Citrix is de Gegevensverwerker en serviceprovider met betrekking tot dergelijke Persoonsgegevens. Wanneer U als Verwerker van Persoonsgegevens fungeert, is Citrix de Subverwerker. Citrix is verantwoordelijk om te voldoen aan zijn verplichtingen onder Toepasselijke gegevensbeschermingswetten waaraan zijn Verwerking van Persoonlijke gegevens onder de Overeenkomst en dit Addendum zijn onderworpen.

4. Het Verwerkingsdoel van Citrix

Citrix en alle personen die onder haar gezag krachtens dit Addendum handelen, inclusief Subverwerkers en Geaffilieerden zoals beschreven in Sectie 6, zullen Persoonsgegevens uitsluitend verwerken ten behoeve van het uitvoeren van de Services in overeenstemming met uw schriftelijke instructies zoals gespecificeerd in de Overeenkomst, dit Addendum en in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming. Citrix zal Persoonsgegevens niet openbaar maken om te voldoen aan een dagvaarding, een gerechtelijk of administratief bevel of een ander bindend instrument (een 'Vordering') tenzij dit wettelijk verplicht is. Citrix zal U onmiddellijk op de hoogte stellen van elke Vordering tenzij de wet dit verbiedt en U redelijke hulp bieden om tijdig op de Vordering te kunnen reageren. Citrix kan Persoonsgegevens ook aggregeren als onderdeel van de Services om Citrix-producten en -services te leveren, te beveiligen en te verbeteren. Aanvullende details met betrekking tot de Verwerkingsactiviteiten van Citrix kunnen worden gespecificeerd in de Overeenkomst en bepaalde aanvullende beschrijvingen van Services zijn beschikbaar op xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxx-xxxxxxx- descriptions.html.

Citrix kan Persoonsgegevens verstrekken aan Geaffilieerden in verband met een verwachte of werkelijke fusie, overname, verkoop, faillissement of andere reorganisatie van het hele bedrijf of een deel ervan, onderworpen aan de verplichting om Persoonsgegevens te beschermen overeenkomstig de bepalingen van dit Addendum.

5. Betrokkenen en categorieën van Persoonsgegevens

U bepaalt de Persoonsgegevens waarvoor U toegang verleent aan Citrix om de Services te kunnen uitvoeren. Dit kan de Verwerking van Persoonsgegevens inhouden voor de volgende categorieën van uw Betrokkenen:

• Werknemers en sollicitanten;

• Klanten en eindgebruikers;

• Leveranciers, vertegenwoordigers en aannemers.

De Verwerking van uw Persoonsgegevens kan ook de volgende categorieën Persoonsgegevens inhouden:

• Directe identificatoren zoals voornaam, achternaam, geboortedatum en huisadres;

• Communicatiegegevens zoals het vaste telefoonnummer thuis, het mobiele nummer, het e-mailadres, het postadres en het faxnummer;

• Informatie over familiale en andere persoonlijke omstandigheden, zoals leeftijd, geboortedatum, burgerlijke staat, echtgenoot/echtgenote of partner, het aantal en de namen van kinderen;

• Arbeidsinformatie zoals werkgever, werkadres, zakelijke e-mail en telefoon, functie, salaris, manager, werknemersnummer, gebruikersnamen en wachtwoorden in het systeem, informatie over prestaties en CV-gegevens;

• Andere gegevens zoals financiële informatie, aangeschafte goederen of services, apparaat-ID's, online profielen en gedrag en IP-adres;

• Andere Persoonsgegevens waarvoor U toegang aan Citrix verleent in verband met de levering van producten of Services.

6. Subverwerking

Onderhevig aan de voorwaarden van dit Addendum autoriseert U Citrix om Subverwerkers en Geaffilieerden in te huren voor de Verwerking van Persoonsgegevens. Deze Subverwerkers en Geaffilieerden zijn gebonden aan schriftelijke overeenkomsten waarvoor zij ten minste het gegevensbeschermingsniveau moeten bieden dat wordt vereist van Citrix door de Overeenkomst en dit Addendum. U kunt Citrix vragen om een audit van een Subverwerker uit te voeren of een bestaand auditrapport van een derde partij te krijgen dat is gerelateerd aan de activiteit van de Subverwerker om de naleving van deze vereisten te controleren. U kunt ook kopieën aanvragen van de voorwaarden voor gegevensbescherming die Citrix heeft voor Subverwerkers of Geaffilieerden die zijn betrokken bij het leveren van de Services. Citrix blijft te allen tijde verantwoordelijk voor de naleving door dergelijke Subverwerkers en Geaffilieerden van de vereisten van de Overeenkomst, dit Addendum en Toepasselijke gegevensbeschermingswetten.

Een lijst met Subverwerkers en Geaffilieerden, evenals een methode om kennisgevingen over updates van de lijst te ontvangen, zijn beschikbaar op xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxxxxxxxxxx-xxxx.xxxx. Citrix werkt de lijst met Subverwerkers en Geaffilieerden bij ten minste veertien (14) kalenderdagen voordat nieuwe Subverwerkers worden geautoriseerd om toegang te krijgen tot Persoonsgegevens. Waar Citrix een Verwerker (en geen Subverwerker) is, zijn de volgende voorwaarden van toepassing:

• Als U, op basis van gegronde redenen gerelateerd aan de onmogelijkheid van dergelijke Subverwerkers of Geaffilieerden om Persoonsgegevens te beschermen, een nieuwe Subverwerker of Geaffilieerde niet goedkeurt, kunt U abonnementen voor de betreffende Service zonder boete opzeggen door, vóór het einde van de kennisgevingsperiode, een schriftelijke kennisgeving van opzegging te verstrekken die uitleg van de redenen voor het niet-goedkeuren bevat.

• Als de betreffende Service onderdeel is van een pakket (of soortgelijke afzonderlijke aankoop van Services), is dergelijke opzegging van toepassing op het gehele pakket.

• Na dergelijke opzegging blijft U verplicht om alle betalingen uit te voeren die vereist zijn op grond van inkooporders of andere contractuele verplichtingen met de ELA Reseller en/of Citrix en hebt U geen recht op restitutie of terugbetaling door de ELA Reseller en/of Citrix.

7. Internationale overdracht van persoonsgegevens

Afhankelijk van de Services kunt U met Citrix overeenkomen op welke locatie Persoonsgegevens worden opgeslagen. Niettegenstaande het voorgaande kan Citrix Persoonsgegevens overdragen naar de Verenigde Staten en/of andere derde landen voor zover dit nodig is om de Services uit te voeren, en U wijst Citrix aan om een dergelijke overdracht uit te voeren om Persoonsgegevens te verwerken voor zover nodig om de Services te leveren. Citrix volgt de vereisten van dit Addendum ongeacht waar dergelijke Persoonsgegevens worden opgeslagen of verwerkt.

Als de Verwerking de internationale overdracht van Persoonsgegevens betreft onder Toepasselijke gegevensbeschermingswetten in de Europese Economische Zone aan Citrix, Geaffilieerden of Subverwerkers in een rechtsgebied (i) dat door de Europese Commissie niet wordt geacht een adequaat niveau van gegevensbescherming te bieden, en (ii) er geen andere legitieme grondslag is voor de internationale overdracht van dergelijke Persoonsgegevens, zijn dergelijke overdrachten onderworpen aan de standaardcontractbepalingen van de Europese Unie van 2021 en/of aan het VK SCC-addendum (zoals van toepassing) of andere geldige overdrachtsmechanismen die beschikbaar zijn onder Toepasselijke gegevensbeschermingswetten. Voor internationale overdracht onderhavig aan:

• de EU-SCB van 2021, nemen de partijen hierbij de EU-SCB van 2021 in ongewijzigde vorm door middel van verwijzing op (Module Twee wanneer u een Verwerkingsverantwoordelijke bent en Citrix een Verwerker is of Module Drie wanneer zowel u als Citrix een Verwerker zijn, zoals van toepassing).

• het VK SCC-addendum, nemen de partijen hierbij het VK SCC-addendum in ongewijzigde vorm bij verwijzing op.

De EU-SCB van 2021 en het VK SCC-addendum zijn beschikbaar in het Citrix Trust Center op xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx, en gelden tussen U en Citrix Systems, Inc., ongeacht uw locatie. Voor dergelijke doeleinden treedt U op als de Gegevensexporteur namens U en namens elk van Uw entiteiten, en treedt Citrix op als de Gegevensimporteur namens haarzelf en/of namens haar Geaffilieerden. Voor de toepassing van bepaling 7 van de EU-SCB van 2021 zal elke toetredende entiteit haar rechten via U doen gelden. U kunt de opgenomen EU-SCB van 2021 of en het VK SCC-addendum die beschikbaar zijn in het Citrix Trust Center naar keuze formeel uitvoeren.

Als de Verwerking de internationale doorgifte van Persoonsgegevens aan Citrix, Geaffilieerden of Subverwerkers betreft op grond van andere Toepasselijke gegevensbeschermingswetten, zijn dergelijke overdrachten onderworpen aan de gegevensbeschermingsvoorwaarden die zijn gespecificeerd in dit Addendum en Toepasselijke gegevensbeschermingswetten.

8. Aanvragen van Betrokkenen

Citrix zal de Persoonsgegevens van Uw Betrokkenen aan U ter beschikking stellen en de mogelijkheid bieden om verzoeken van Xxxxxxxxxxx in te willigen om een of meer van hun rechten onder de Toepasselijke Gegevensbeschermingswetgeving uit te oefenen op een wijze die in overeenstemming is met de rol van Citrix als Gegevensverwerker. Citrix biedt dergelijke redelijke bijstand om U te helpen bij uw reactie.

Als Citrix een aanvraag rechtstreeks van uw Betrokkene ontvangt om een of meer van zijn rechten onder Toepasselijke gegevensbeschermingswetten uit te oefenen, zal Citrix de Betrokkene doorverwijzen naar U tenzij dit wettelijk is verboden.

9. Beveiliging

Citrix zal geschikte technische en organisatorische procedures implementeren en onderhouden die zijn ontworpen om Persoonsgegevens te beschermen tegen misbruik of accidentele of onwettige vernietiging, verlies, aanpassing, ongeautoriseerd openbaar maken of toegang tot Persoonsgegevens. Dergelijke beveiligingsprocedures zijn uiteengezet in het Beveiligingsdocument voor Citrix-services, dat beschikbaar is op xxxxx://xxx.xxxxxx.xxx/xx- nl/buy/licensing/citrix-services-security-exhibit.html. Citrix werkt continu aan de versterking en verbetering van de beveiligingsprocedures en behoudt zich het recht voor om de hierin beschreven controles te wijzigen. Eventuele wijzigingen doen geen afbreuk aan het beveiligingsniveau tijdens de betreffende termijn van de Services.

Medewerkers van Citrix zijn gebonden aan de betreffende vertrouwelijkheidsovereenkomsten en zijn vereist om regelmatig training in gegevensbescherming te volgen en de procedures en beleidsregels van Citrix op het gebied van privacy en beveiliging na te leven.

10. Inbreuk in verband met persoonsgegevens

Citrix zal U zonder onnodige vertraging op de hoogte stellen nadat zij op de hoogte is geraakt van een Inbreuk in verband met persoonsgegevens in het bezit, de bewaring of het beheer van Citrix. Deze kennisgeving moet ten minste: (i) een beschrijving van de aard van de Inbreuk in verband met persoonsgegevens omvatten, waaronder, indien mogelijk, de betrokken categorieën en het geschatte aantal Betrokkenen en de betrokken categorieën en het geschatte aantal opgeslagen Persoonsgegevens; (ii) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon waar meer informatie kan worden verkregen; en (iii) een beschrijving van de maatregelen die zijn genomen of worden voorgesteld om de Inbreuk in verband met persoonsgegevens aan te pakken, waaronder, indien van toepassing, maatregelen om de mogelijke schadelijke gevolgen ervan te beperken. U bepaalt samen met Citrix de inhoud van openbare verklaringen of vereiste kennisgevingen aan individuen en/of toezichthoudende autoriteiten.

11. Uw instructies en informatie- en bijstandsverstrekking

U kunt Citrix aanvullende informatie verstrekken die is gerelateerd aan de Verwerking van Persoonsgegevens die nodig zijn voor U en Citrix om als Verwerkingsverantwoordelijke en Gegevensverwerker te voldoen aan onze respectieve verplichtingen onder Toepasselijke gegevensbeschermingswetten. Citrix zal uw instructies zonder extra kosten opvolgen, op voorwaarde dat als uw instructies kosten voor Citrix met zich meebrengen die buiten het bereik van de Services onder de Overeenkomst vallen, de partijen akkoord gaan te goeder trouw te onderhandelen om de extra kosten te bepalen. Citrix informeert U onmiddellijk als wordt gemeend dat uw instructies niet in overeenkomst zijn met de Toepasselijke gegevensbeschermingswetten, op voorwaarde dat Citrix niet zal worden verplicht om uw Verwerking van Persoonsgegevens te inspecteren en te verifiëren.

Citrix zal U redelijkerwijs de informatie verstrekken die nodig is om U te helpen bij het nakomen van Uw verplichtingen onder de Toepasselijke Gegevensbeschermingswetgeving, waaronder, zonder beperking, de verplichtingen van Citrix onder de Algemene Verordening Gegevensbescherming van de E.U. om passende gegevensbeveiligingsmaatregelen te implementeren, een gegevensbeschermingseffectbeoordeling uit te voeren en de bevoegde toezichthoudende autoriteit te raadplegen (rekening houdend met de aard van de Verwerking en de informatie waarover Citrix beschikt), en zoals verder gespecificeerd in dit Addendum.

12. Retourneren en verwijderen van Persoonsgegevens

Citrix zal na afloop van de levering alle Persoonsgegevens van de Services retourneren of U de mogelijkheid bieden deze op te vragen en bestaande kopieën te verwijderen. Met betrekking tot cloudservices hebt U na beëindiging van de Overeenkomst dertig (30) kalenderdagen de tijd om uw Persoonsgegevens te downloaden en moet U contact opnemen met de technische ondersteuning van Citrix voor downloadtoegang en instructies. Indien U voor dit doel niet binnen 30 kalenderdagen na afloop van de verlening van Services contact opneemt met de technische

ondersteuning van Citrix, zal Citrix uw Persoonsgegevens onmiddellijk verwijderen zodra deze Persoonsgegevens niet langer toegankelijk zijn voor U, met uitzondering van (i) back-ups die volgens de normale bedrijfsvoering worden verwijderd en (ii) het bewaren van de gegevens zoals vereist door de toepasselijke wetgeving. In het geval van (i) of

(ii) zal Citrix blijven voldoen aan de relevante bepalingen van dit Addendum tot dergelijke gegevens zijn verwijderd.

13. Audit

In het geval dat de informatie die u Citrix onder Sectie 11 hierboven hebt gevraagd niet voldoet aan uw verplichtingen onder de Toepasselijke Gegevensbeschermingswetgeving, kunt u maximaal één keer per jaar of zoals anderszins vereist door de Toepasselijke Gegevensbeschermingswetgeving een audit uitvoeren van de Verwerking van uw Persoonsgegevens door Citrix. Om een audit aan te vragen, moet U Citrix drie weken van tevoren een voorstel doen voor een gedetailleerd auditplan. Citrix zal met U te goeder trouw samenwerken om tot een definitief schriftelijk plan te komen. Een dergelijke audit zal worden uitgevoerd op uw eigen kosten, tijdens normale kantooruren, zonder verstoring van de activiteiten van Citrix, en in overeenstemming met de beveiligingsregels en - vereisten van Citrix. Voorafgaand aan elke audit, verbindt Citrix zich ertoe om U redelijkerwijs gevraagde informatie en bijbehorend bewijsmateriaal te verstrekken om aan uw auditverplichtingen te voldoen, en U verbindt zich ertoe deze informatie te controleren alvorens een onafhankelijke audit uit te voeren. Indien delen van het bereik van de audit worden gedekt door een auditrapport dat in de voorafgaande twaalf maanden door een gekwalificeerde externe auditor aan Citrix is verstrekt, komen de partijen overeen dat het bereik van uw audit dienovereenkomstig zal worden beperkt.

U kunt een auditor van derden gebruiken met toestemming van Citrix, welke niet op onredelijke grond zal worden geweigerd. Voorafgaand aan elke audit door een derde is dergelijke auditor verplicht een passende geheimhoudingsovereenkomst met Citrix af te sluiten. Indien de derde uw Toezichthoudende autoriteit is en het toepasselijke recht deze in staat stelt Citrix rechtstreeks te controleren, zal Citrix samenwerken met en redelijke bijstand verlenen aan de Toezichthoudende autoriteit in overeenstemming met Toepasselijke gegevensbeschermingswetten.

U zult Citrix voorzien van een kopie van elk eindrapport, tenzij verboden door Toepasselijke gegevensbeschermingswetten, de bevindingen behandelen als vertrouwelijke informatie in overeenstemming met de voorwaarden van de Overeenkomst (of een vertrouwelijkheidsovereenkomst die tussen U en Citrix is gesloten), en het uitsluitend gebruiken om te beoordelen of Citrix zich houdt aan de voorwaarden van de Overeenkomst, dit Addendum en de Toepasselijke gegevensbeschermingswetten.

14. Functionaris voor de gegevensbescherming

U kunt contact opnemen met de wereldwijde Functionaris voor gegevensbescherming van c/o Citrix Systems, Inc., 00 Xxxxxxx Xxxxx, Xxxxxxxxxx XX 00000, Xxxxxxxxx Xxxxxx. Als U een Functionaris voor gegevensbescherming hebt aangesteld, kunt U zijn contactgegevens opnemen in uw bestelling van de Services.

15. Termijn

Deze Overeenkomst wordt van kracht op het moment dat U de Services aanschaft.