Addendum voor gegevensverwerking

1. Introductie

ULTEH is toegewijd aan het waarborgen van de privacy, de veiligheid en de naleving van klantgegevens. Dit Addendum voor Gegevensverwerking (DPA) beschrijft de voorwaarden die bepalen hoe wij persoonsgegevens verwerken, opslaan en beschermen in overeenstemming met de toepasselijke wet- en regelgeving inzake gegevensbescherming. Deze DPA is een aanvulling op onze hoofdovereenkomst met klanten en is van toepassing wanneer ULTEH Verwerkt persoonsgegevens namens de Klant als verwerker. Het stelt duidelijke verantwoordelijkheden vast voor beide partijen met betrekking tot de verwerking van gegevens en zorgt voor naleving van de relevante privacywetgeving. Door gebruik van ULTEH, Klanten erkennen en gaan akkoord met de voorwaarden zoals vastgelegd in deze DPA. Als u voor compliance‑doeleinden een ondertekende kopie van deze overeenkomst nodig heeft, neem dan contact met ons op.

2. Definities

Affiliate Verwijst naar elke entiteit die een partij direct of indirect controleert, door een partij gecontroleerd wordt of onder gemeenschappelijke controle staat met een partij. 'Controle' betekent het directe of indirecte eigendom van ten minste 50% van de stemgerechtigde aandelen, kapitaalbelangen of soortgelijke rechten in de entiteit, waardoor de mogelijkheid ontstaat om het bestuur en het beleid te beïnvloeden. Gelieerde ondernemingen worden geacht gebonden te zijn aan de in deze DPA uiteengezette verplichtingen en verantwoordelijkheden voor zover zij betrokken zijn bij de verwerking van Persoonsgegevens.

Geautoriseerde subverwerker betekent elke derde partij leverancier, dienstverlener of opdrachtnemer die door de Dienstverlener is ingeschakeld om de Persoonsgegevens van de Klant uitsluitend namens en onder instructies van de Dienstverlener te verwerken. Geautoriseerde subverwerkers helpen bij het nakomen van verplichtingen op grond van deze DPA en de hoofdovereenkomst. Alle subverwerkers moeten voldoen aan dezelfde gegevensbeschermingsverplichtingen en zorgen voor beveiliging, vertrouwelijkheid en naleving van regelgeving.

Accountgegevens verwijst naar alle bedrijfsgerelateerde informatie die door de Dienstverlener wordt verzameld, opgeslagen en verwerkt in verband met zijn contractuele relatie met de Klant. Dit omvat, maar is niet beperkt tot, de namen, e-mailadressen, telefoonnummers, betalingsgegevens en toegangsgegevens van personen die door de Klant gemachtigd zijn om hun account op het platform van de Dienstverlener te beheren en te bedienen. Accountgegevens worden uitsluitend gebruikt voor administratieve, facturerings- en ondersteuningsdoeleinden.

Wetten inzake gegevensbescherming omvatten alle toepasselijke wetten, voorschriften en kaders die het verzamelen, verwerken, opslaan, overdragen en beschermen van Persoonsgegevens regelen. Dit omvat, maar is niet beperkt tot, de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, de UK GDPR die van toepassing is in het Verenigd Koninkrijk, de California Consumer Privacy Act (CCPA) en andere nationale of internationale privacywetten die relevant zijn voor de gegevensverwerkingsactiviteiten op grond van deze Overeenkomst. Naleving van deze wetten zorgt ervoor dat Persoonsgegevens op een rechtmatige, transparante en veilige manier worden behandeld.

Persoonlijke gegevens verwijst naar alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ('betrokkene'). Een identificeerbaar persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door verwijzing naar identificatoren zoals naam, e‑mailadres, telefoonnummer, locatiegegevens, een online‑identificator (zoals een IP‑adres of cookies) of andere unieke factoren die zijn identiteit bepalen. Persoonsgegevens sluiten geanonimiseerde of geaggregeerde gegevens uit die niet kunnen worden gebruikt om een individu te identificeren.

Bezig met verwerken betekent elke bewerking of reeks van bewerkingen die op Persoonsgegevens wordt uitgevoerd, hetzij geautomatiseerd, hetzij handmatig. Dit omvat, maar is niet beperkt tot, het verzamelen, registreren, organiseren, structureren, opslaan, aanpassen, wijzigen, ophalen, raadplegen, gebruiken, bekendmaken, overdragen, beperken, wissen of vernietigen van Persoonsgegevens. Verwerking wordt uitgevoerd in overeenstemming met de instructies van de Klant en de toepasselijke wetgeving inzake gegevensbescherming.

Beveiligingsmaatregelen Verwijzen naar de technische en organisatorische waarborgen die zijn geïmplementeerd om de vertrouwelijkheid, integriteit en beschikbaarheid van Persoonsgegevens te waarborgen. Deze maatregelen omvatten versleuteling, toegangscontroles, firewalls, datamasking, pseudonimisering, regelmatige beveiligingsaudits en meldingsmechanismen bij datalekken. Beveiligingsmaatregelen zijn ontworpen om ongeautoriseerde toegang, accidenteel verlies of onrechtmatige verwerking van Persoonsgegevens te voorkomen.

Toezichthoudende autoriteit verwijst naar een onafhankelijke publieke autoriteit die verantwoordelijk is voor het toezicht op en de handhaving van naleving van de wetgeving op gegevensbescherming. Voorbeelden zijn de **European Data Protection Board (EDPB)** voor GDPR-gerelateerde zaken, het **UK Information Commissioner's Office (ICO)** voor de UK GDPR en de **California Privacy Protection Agency (CPPA)** voor handhaving van de CCPA. De toezichthoudende autoriteit heeft de wettelijke bevoegdheid om klachten te onderzoeken, richtlijnen te geven en sancties op te leggen bij niet-naleving.

Rechten van de betrokkene verwijzen naar de aan personen toegekende rechten krachtens de toepasselijke wetten inzake gegevensbescherming. Deze rechten kunnen het recht omvatten om toegang te verkrijgen tot, te rectificeren, te verwijderen, te beperken of te laten overdragen van hun persoonsgegevens, evenals het recht om bezwaar te maken tegen verwerking en klachten in te dienen bij een toezichthoudende autoriteit. De dienstverlener ondersteunt Klanten bij het vergemakkelijken van de uitoefening van deze rechten indien van toepassing.

3. Verwerking van gegevens

De klant kan optreden als één van de twee Verwerkingsverantwoordelijke of een Gegevensverwerker, afhankelijk van zijn relatie met de betrokkene en de doeleinden waarvoor persoonsgegevens worden verwerkt. In alle gevallen, ULTEH fungeert als Gegevensverwerker, verwerking van persoonsgegevens namens en volgens de instructies van de Klant.

De Klant is verantwoordelijk voor het waarborgen dat alle gegevensverwerkingsactiviteiten die met gebruik van onze Diensten worden uitgevoerd, voldoen aan Toepasselijke wetgeving inzake gegevensbescherming, inclusief, maar niet beperkt tot Algemene verordening gegevensbescherming (AVG/GDPR), UK GDPR, de California Consumer Privacy Act (CCPA) en andere toepasselijke privacyregelgeving. De Klant erkent dat hij de juridische grondslag heeft voor het verwerken van Persoonsgegevens en vrijwaart ons van alle vorderingen, aansprakelijkheden of schade die voortvloeien uit het niet naleven van deze wettelijke vereisten.

Wij zullen persoonsgegevens verwerken. alleen in overeenstemming met de schriftelijke instructies van de Klant en uitsluitend voor zover dit nodig is om de Diensten te leveren, tenzij anders vereist door wetgeving. Wij zullen Persoonsgegevens niet gebruiken, bekendmaken of delen voor andere doeleinden dan die door de Klant zijn toegestaan of die uitdrukkelijk in deze Overeenkomst zijn genoemd.

bij beëindiging van de overeenkomst of op verzoek van de klant, wij zullen, naar goeddunken van de Klant, ofwel: (a) Veilig verwijderen alle Persoonsgegevens die krachtens deze Overeenkomst worden verwerkt, waarbij wordt gegarandeerd dat er geen kopieën achterblijven, tenzij wettelijk vereist, of (b) Persoonsgegevens retourneren aan de Klant in een gestructureerd, veelgebruikt en machineleesbaar formaat vóór verwijdering. De Klant moet dergelijke verzoeken binnen een redelijke termijn vóór beëindiging indienen.

Als we wettelijk verplicht zijn om Persoonsgegevens ook na beëindiging te bewaren, zullen we de Klant informeren (tenzij dit wettelijk verboden is) en ervoor zorgen dat deze gegevens beschermd blijven in overeenstemming met de wetgeving inzake gegevensbescherming.

4. Beveiliging en vertrouwelijkheid

ULTEH zet zich in om de veiligheid en vertrouwelijkheid van Persoonsgegevens verwerkt namens Klant. Om de integriteit en beveiliging van gegevens te waarborgen, implementeren en onderhouden wij brancheleidende beveiligingsmaatregelen Ontworpen om ongeautoriseerde toegang, openbaarmaking, wijziging of vernietiging van persoonsgegevens te voorkomen.

Deze Beveiligingsmaatregelen omvatten, maar niet beperkt tot:

• Gegevensversleuteling: Persoonsgegevens worden zowel tijdens overdracht als in rust versleuteld met behulp van branchestandaard encryptieprotocollen om ongeautoriseerde toegang te voorkomen.
• Toegangscontroles: Strikte beleidsregels voor toegangsbeheer zorgen ervoor dat alleen gemachtigd personeel toegang heeft tot persoonsgegevens, op basis van het principe van minimale rechten.
• Netwerk- en systeembeveiliging: Firewalls, indringingsdetectiesystemen en continue monitoring helpen ongeautoriseerde toegang en cyberdreigingen te voorkomen.
• Anonimisering en pseudonimisering van gegevens: Indien van toepassing kunnen persoonsgegevens worden geanonimiseerd of gepseudonimiseerd om de risico's in verband met blootstelling van gegevens te verminderen.
• Regelmatige beveiligingsaudits: We voeren periodieke beveiligingsbeoordelingen, kwetsbaarheidstests en compliancecontroles uit om risico's te identificeren en te beperken.
• Plan voor reactie op incidenten: Een gestructureerd protocol voor incidentrespons zorgt ervoor dat elke beveiligingsinbreuk snel wordt geïdentificeerd, beperkt en gemeld in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

Elke persoon, inclusief werknemers, aannemers en geautoriseerde dienstverleners, die Persoonsgegevens namens ons verwerkt, is gebonden aan strikte geheimhoudingsverplichtingen. Dit omvat het ondertekenen van juridisch afdwingbare documenten overeenkomsten voor geheimhouding (NDA) en het naleven van interne beleidsregels voor gegevensverwerking om te voldoen aan de normen voor gegevensprivacy en -beveiliging.

Wij zullen de Klant onverwijld informeren over elke bevestigde beveiligingsinbreuk die kan leiden tot de toevallige of onrechtmatige vernietiging, het verlies, de wijziging, de ongeautoriseerde openbaarmaking of de toegang tot Persoonsgegevens. Dergelijke meldingen zullen details van het incident, de potentiële impact en de genomen herstelmaatregelen om risico's te beperken bevatten.

We herzien en actualiseren continu onze beveiligingsmaatregelen in overeenstemming met evoluerende industrienormen en regelgevende vereisten om de voortdurende bescherming van klantgegevens te waarborgen.

5. Subverwerkers

ULTEH kan interactie aangaan subverwerkers van derden om te helpen bij het leveren en onderhouden van de Diensten. Deze subverwerkers vervullen specifieke functies zoals gegevensopslag, infrastructuurhosting, analyses of klantenondersteuning. We zorgen ervoor dat alle ingeschakelde subverwerkers zich houden aan strikte verplichtingen inzake gegevensbescherming gelijk aan die welke in deze DPA zijn beschreven.

We houden een actuele lijst bij van subverwerkers, inclusief hun rollen en verwerkingslocaties. Klanten kunnen te allen tijde informatie opvragen over de huidige subverwerkers door contact met ons op te nemen.

Rechten en bezwaren van de klant:

• We zullen klanten op de hoogte stellen van eventuele **nieuwe inzet van subverwerkers** ten minste 10 dagen van tevoren.
• Klanten kunnen binnen deze periode van 10 dagen een schriftelijk bezwaar indienen tegen het inzetten van een nieuwe sub‑processor als zij gerechtvaardigde zorgen hebben over gegevensbescherming.
• Na ontvangst van een bezwaar zullen we in goed vertrouwen gesprekken voeren om de zorgen aan te pakken, wat onder meer het vinden van alternatieve oplossingen kan omvatten.
• Als er geen voor beide partijen aanvaardbare oplossing wordt bereikt, kan de Klant het recht hebben om de **betreffende Diensten te beëindigen** in overeenstemming met de Overeenkomst.

We blijven volledig verantwoordelijk en juridisch aansprakelijk voor de handelingen van onze subverwerkers en ervoor zorgen dat zij voldoen aan:

• Wetten inzake gegevensbescherming, inclusief de AVG, de CCPA en andere toepasselijke voorschriften.
• Overeenkomsten inzake vertrouwelijkheid om persoonsgegevens te beschermen
• Beveiligingsmaatregelen volgens industrienormen om ongeoorloofde toegang of misbruik van gegevens te voorkomen.

Wij behouden ons het recht voor om onze subverwerkers zo nodig **bij te werken of te vervangen**, met de nodige aandacht voor de zorgen van klanten en lopende nalevingsverplichtingen.

6. Overdracht van persoonsgegevens

ULTEH kan overdragen Persoonlijke gegevens buiten de Europese Economische Ruimte (EER), het Verenigd Koninkrijk (VK) of Zwitserland om de levering van Diensten te vergemakkelijken. Wanneer dergelijke overdrachten plaatsvinden, zorgen we ervoor dat passende waarborgen aanwezig zijn. juridische waarborgen Er zijn maatregelen opgezet om de overgedragen gegevens te beschermen in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

We vertrouwen op erkende mechanismen voor gegevensoverdracht, waaronder, maar niet beperkt tot:

• Standaardcontractbepalingen (SCCs): We passen door de Europese Commissie of andere bevoegde autoriteiten goedgekeurde standaardcontractbepalingen toe om wettelijke gegevensoverdrachten te waarborgen.
• Aanvullende maatregelen: Waar nodig passen we aanvullende technische, organisatorische en contractuele waarborgen toe om de gegevensbescherming te versterken.
• Bindende ondernemingsregels (BCRs): Indien van toepassing, houden onze gelieerde entiteiten zich aan bindende bedrijfsregels (BCR), waardoor een hoog niveau van gegevensbescherming wordt gegarandeerd in hun internationale activiteiten.
• Andere goedgekeurde overdrachtsmechanismen: We voldoen aan alle aanvullende kaders, certificeringen of juridische instrumenten die worden erkend voor rechtmatige grensoverschrijdende gegevensoverdrachten.

Klantenrechten en ondersteuning: Wij zetten ons in om de Klant te helpen bij het waarborgen van de naleving van rechten van betrokkenen krachtens de toepasselijke wetten inzake gegevensbescherming. Dit omvat, maar is niet beperkt tot:

• Toegangsverzoeken: Betrokkenen in staat stellen toegang te krijgen tot hun persoonsgegevens.
• Verzoeken om rectificatie: Mogelijkheid bieden om onjuiste of onvolledige gegevens te corrigeren.
• Verwijderingsverzoeken ('recht om vergeten te worden'): Hulp bij het verwijderen van persoonsgegevens op verzoek, wanneer dit wettelijk toegestaan is.
• Bezwaar en beperking van de verwerking: Ondersteuning van betrokkenen bij het uitoefenen van hun recht om bezwaar te maken tegen of het beperken van gegevensverwerkingen.
• Portabiliteit van gegevens: Het faciliteren van de overdracht van Persoonsgegevens aan een andere verwerkingsverantwoordelijke, indien van toepassing.

We houden continu de wereldwijde privacyregelgeving in de gaten om naleving van de vereisten voor grensoverschrijdende gegevensoverdracht te waarborgen en zullen de Klant informeren als wijzigingen in het wettelijke kader onze verplichtingen met betrekking tot gegevensverwerking beïnvloeden.

7. Rechten van de betrokkene

ULTEH Erkent en respecteert de rechten van **betrokkenen** op grond van de toepasselijke **wetten ter bescherming van persoonsgegevens**. Wij zullen de **Klant**, als verwerkingsverantwoordelijke, bijstaan bij het beantwoorden van verzoeken van personen met betrekking tot hun **persoonsgegevens**.

Betrokkenen kunnen de volgende rechten uitoefenen:

• Recht op inzage: De mogelijkheid om te verzoeken en bevestiging te krijgen of hun gegevens worden verwerkt, evenals toegang tot die gegevens.
• Recht op rectificatie: Het recht om onjuiste of onvolledige persoonsgegevens te corrigeren of bij te werken.
• Recht op wissing ('recht om te worden vergeten'): Het recht om verwijdering van Persoonsgegevens te verzoeken, onder voorbehoud van wettelijke en contractuele verplichtingen.
• Recht om de verwerking te beperken: De mogelijkheid om de verwerking van persoonsgegevens onder bepaalde voorwaarden te beperken.
• Recht op gegevensoverdraagbaarheid: De mogelijkheid om Persoonsgegevens te verkrijgen en over te dragen aan een andere dienstverlener wanneer dit technisch haalbaar is.
• Recht om bezwaar te maken: Het recht om bezwaar te maken tegen verwerking gebaseerd op gerechtvaardigde belangen, direct marketing of geautomatiseerde besluitvorming.
• Recht om toestemming in te trekken: Als de verwerking is gebaseerd op toestemming, kan de betrokkene zijn of haar toestemming te allen tijde intrekken.

Verantwoordelijkheden van de klant: De Klant, handelend als verwerkingsverantwoordelijke, is verantwoordelijk voor het afhandelen van verzoeken van betrokkenen. Op verzoek zullen wij redelijke ondersteuning bieden en ervoor zorgen dat reacties snel en in overeenstemming met de toepasselijke wetgeving worden behandeld.

Wij zullen niet rechtstreeks reageren op een verzoek van een betrokkene, tenzij wij hiertoe wettelijk verplicht zijn of uitdrukkelijk door de Klant gemachtigd zijn.

8. Melding van een datalek

ULTEH neemt beveiliging serieus en voert preventieve maatregelen uit om persoonsgegevens te beschermen. In het geval van een inbreuk op persoonsgegevens zullen we echter snel en transparant handelen.

Responsplan bij datalekken: Als wij kennis krijgen van een bevestigde inbreuk op persoonsgegevens die kan leiden tot ongeoorloofde toegang, verlies, wijziging of openbaarmaking van persoonsgegevens, zullen wij passende maatregelen nemen.:

• Beoordeel de impact van de inbreuk en neem onmiddellijk maatregelen om de risico's te beperken.
• Informeer de klant zonder onnodige vertraging (meestal binnen 48 uur na bevestiging).
• Geef details op, inclusief::
  • De aard en omvang van de inbreuk.
  • Type getroffen gegevens
  • Mogelijke gevolgen.
  • Maatregelen die zijn genomen of voorgesteld om de overtreding aan te pakken.
• De Klant helpen bij het naleven van eventuele wettelijke verplichtingen, waaronder, indien vereist, meldingen aan autoriteiten en aan de betrokkenen.
• Voer corrigerende maatregelen uit om toekomstige schendingen te voorkomen.

Verantwoordelijkheden van de klant: De Klant is verantwoordelijk voor het vaststellen of regelgevende autoriteiten en betrokkenen moeten worden geïnformeerd in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

We zullen alle schendingen documenteren en dossiers bijhouden van onze onderzoeken, mitigatie-inspanningen en herstelmaatregelen.

9. Bewaring en verwijdering van gegevens

ULTEH bewaart **Persoonsgegevens alleen zolang als nodig** om haar verplichtingen uit hoofde van deze Overeenkomst na te komen of voor zover dit door toepasselijke wetgeving vereist is.

Beleid voor gegevensbewaring:

• We volgen het principe van dataminimalisatie en zorgen ervoor dat gegevens alleen worden bewaard voor legitieme zakelijke doeleinden en compliance‑vereisten.
• Gegevens worden verwijderd of geanonimiseerd zodra ze niet langer nodig zijn voor verwerkingsdoeleinden.
• Bewaartermijnen kunnen variëren afhankelijk van wettelijke, contractuele of regelgevende vereisten.

Gegevensverwijdering onder controle van de klant:

• Klanten kunnen te allen tijde verzoeken om **verwijdering van persoonsgegevens**.
• Bij beëindiging van de dienstverlening zullen wij persoonsgegevens verwijderen of retourneren in overeenstemming met de instructies van de klant.
• Als er geen verzoek tot verwijdering wordt ingediend, zullen we Persoonsgegevens binnen een redelijke termijn **automatisch verwijderen**, tenzij we wettelijk verplicht zijn deze te bewaren.

Uitzonderingen op het verwijderen van gegevens: In bepaalde gevallen kunnen wij **persoonsgegevens bewaren** langer dan de afgesproken bewaartermijn, waaronder:

• Om te voldoen aan **wettelijke verplichtingen** (bijv. fiscale, audit- of regelgevende eisen).
• Voor **gerechtvaardigde belangen**, zoals fraudepreventie of veiligheidsonderzoeken.
• Wanneer dit vereist is door een bindend juridisch verzoek (bijv. een gerechtelijk bevel).

Wij zorgen ervoor dat **veilige verwijderingsprocedures** worden gevolgd, zodat ongeautoriseerde herstelpogingen of misbruik van Persoonsgegevens worden voorkomen.

10. Toepasselijk recht en geschillenbeslechting

Deze Bijlage gegevensverwerking (DPA) wordt beheerst door en uitgelegd in overeenstemming met dezelfde **wetten en jurisdictie** zoals gedefinieerd in de hoofdovereenkomst tussen ULTEH en de klant.

Procedure voor geschiloplossing: Indien er een geschil ontstaat met betrekking tot deze DPA, komen beide partijen overeen een gestructureerd geschiloplossingsproces te volgen, waaronder::

• Onderhandeling te goeder trouw: Partijen zullen eerst proberen geschillen te beslechten door middel van directe gesprekken en onderhandelingen.
• Mediation of arbitrage: Als onderhandelingen mislukken, kan het geschil worden verwezen naar bemiddeling of arbitrage, zoals bepaald in de hoofdovereenkomst.
• Juridische procedures: Als er geen oplossing wordt bereikt, kunnen geschillen worden beslecht via formele juridische procedures in de toepasselijke jurisdictie.

In het geval van een conflict tussen deze DPA en de hoofdovereenkomst, gaan de bepalingen van deze DPA uitsluitend met betrekking tot gegevensbescherming voor, waarmee wordt verzekerd dat wordt voldaan aan de toepasselijke wetgeving. Wetten inzake gegevensbescherming.

11. Slotbepalingen

Deze Bijlage voor Gegevensverwerking vormt een integraal onderdeel van de algemene overeenkomst tussen ULTEH en de Klant. Door het gebruik van de Diensten voort te zetten erkent en aanvaardt de Klant de voorwaarden van deze DPA.

Indien een bepaling van deze DPA ongeldig of onafdwingbaar wordt bevonden, blijven de overige bepalingen volledig van kracht. Partijen komen overeen om elke onafdwingbare bepaling te vervangen door een bepaling die de oorspronkelijke bedoeling zo nauwkeurig mogelijk weergeeft en tegelijk voldoet aan de toepasselijke wetgeving.

Wijzigingen en updates: Wij behouden ons het recht voor dit DPA te wijzigen of bij te werken om wijzigingen in toepasselijke gegevensbeschermingswetten, branchepraktijken of operationele behoeften te weerspiegelen. Klanten worden geïnformeerd over alle materiële wijzigingen en voortgezet gebruik van de Diensten houdt aanvaarding van de bijgewerkte voorwaarden in.

Contactgegevens: Voor vragen, zorgen of om een ondertekende kopie van deze DPA aan te vragen, kunnen klanten contact met ons opnemen via:: [email protected].