Addendum gegevensverwerking

1. Invoering

ULTEH zet zich in voor het waarborgen van de privacy, beveiliging en naleving van klantgegevens. Deze Data Processing Addendum (DPA) beschrijft de voorwaarden voor hoe wij persoonsgegevens verwerken, opslaan en beschermen in overeenstemming met de toepasselijke wet- en regelgeving inzake gegevensbescherming. Deze DPA is een uitbreiding van onze hoofdovereenkomst met Klanten en is van toepassing wanneer ULTEH Verwerkt persoonsgegevens namens de Klant als gegevensverwerker. Het stelt duidelijke verantwoordelijkheden vast voor beide partijen met betrekking tot de gegevensverwerking en waarborgt de naleving van de relevante privacywetgeving. Door gebruik te maken van ULTEH, Klanten erkennen en gaan akkoord met de voorwaarden zoals uiteengezet in deze DPA. Neem contact met ons op als u een ondertekend exemplaar van deze overeenkomst nodig heeft voor nalevingsdoeleinden.

2. Definities

Gelieerde onderneming Verwijst naar elke entiteit die direct of indirect zeggenschap heeft over, gecontroleerd wordt door, of onder gezamenlijke zeggenschap staat met een partij. "Zegschap" betekent het direct of indirect bezit van ten minste 50% van de stemgerechtigde aandelen, aandelenbelangen of soortgelijke rechten in de entiteit, waardoor invloed kan worden uitgeoefend op het management en beleid ervan. Gelieerde ondernemingen worden geacht gebonden te zijn aan de in deze Gegevensverwerkingsovereenkomst beschreven verplichtingen en verantwoordelijkheden voor zover zij betrokken zijn bij de verwerking van Persoonsgegevens.

Geautoriseerde subverwerker betekent elke externe leverancier, dienstverlener of contractant die door de Dienstverlener is ingeschakeld om de Persoonsgegevens van de Klant te verwerken, strikt namens en volgens de instructies van de Dienstverlener. Geautoriseerde Subverwerkers helpen bij het nakomen van verplichtingen onder deze Gegevensverwerkingsovereenkomst en de hoofdovereenkomst. Alle Subverwerkers moeten voldoen aan dezelfde verplichtingen inzake gegevensbescherming, beveiliging, vertrouwelijkheid en naleving van de regelgeving.

Accountgegevens Verwijst naar alle bedrijfsgerelateerde informatie die door de Dienstverlener wordt verzameld, opgeslagen en verwerkt in het kader van de contractuele relatie met de Klant. Dit omvat, maar is niet beperkt tot, de namen, e-mailadressen, telefoonnummers, betalingsgegevens en toegangsgegevens van personen die door de Klant zijn geautoriseerd om hun account op het platform van de Dienstverlener te beheren en te beheren. Accountgegevens worden uitsluitend gebruikt voor administratieve, facturerings- en ondersteuningsdoeleinden.

Wetten inzake gegevensbescherming omvatten alle toepasselijke wetten, regelgeving en kaders die de verzameling, verwerking, opslag, overdracht en bescherming van persoonsgegevens regelen. Dit omvat, maar is niet beperkt tot, de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, de Britse AVG die van toepassing is op het Verenigd Koninkrijk, de California Consumer Privacy Act (CCPA) en alle andere nationale of internationale privacywetten die relevant zijn voor gegevensverwerkingsactiviteiten onder deze Overeenkomst. Naleving van deze wetten garandeert dat persoonsgegevens rechtmatig, transparant en veilig worden verwerkt.

Persoonsgegevens verwijst naar alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon ("Betrokkene"). Een identificeerbare persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van identificatiegegevens zoals een naam, e-mailadres, telefoonnummer, locatiegegevens, een online-identificatie (zoals een IP-adres of cookies) of andere unieke factoren die zijn of haar identiteit bepalen. Persoonsgegevens omvatten geen geanonimiseerde of geaggregeerde gegevens die niet kunnen worden gebruikt om een individu te identificeren.

Verwerking betekent elke bewerking of reeks bewerkingen die met Persoonsgegevens wordt uitgevoerd, hetzij geautomatiseerd, hetzij handmatig. Dit omvat, maar is niet beperkt tot, het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen, wijzigen, opvragen, raadplegen, gebruiken, openbaar maken, doorzenden, afschermen, wissen of vernietigen van Persoonsgegevens. De verwerking vindt plaats in overeenstemming met de instructies van de Klant en de toepasselijke wetgeving inzake gegevensbescherming.

Veiligheidsmaatregelen Verwijst naar de technische en organisatorische waarborgen die zijn geïmplementeerd om de vertrouwelijkheid, integriteit en beschikbaarheid van Persoonsgegevens te waarborgen. Deze maatregelen omvatten encryptie, toegangscontroles, firewalls, gegevensmaskering, pseudonimisering, regelmatige beveiligingsaudits en mechanismen voor het melden van inbreuken. Beveiligingsmaatregelen zijn ontworpen om ongeautoriseerde toegang, onbedoeld verlies of onrechtmatige verwerking van Persoonsgegevens te voorkomen.

Toezichthoudende autoriteit Verwijst naar een onafhankelijke overheidsinstantie die verantwoordelijk is voor het toezicht op en de handhaving van de naleving van de wetgeving inzake gegevensbescherming. Voorbeelden hiervan zijn de European Data Protection Board (EDPB) voor AVG-gerelateerde zaken, het Information Commissioner's Office (ICO) van het Verenigd Koninkrijk voor de AVG en het California Privacy Protection Agency (CPPA) voor de handhaving van de CCPA. De toezichthoudende autoriteit heeft de wettelijke bevoegdheid om klachten te onderzoeken, richtlijnen uit te vaardigen en sancties op te leggen bij niet-naleving.

Rechten van betrokkenen Verwijzen naar de rechten die aan personen worden toegekend onder de toepasselijke wetgeving inzake gegevensbescherming. Deze rechten kunnen het recht omvatten om hun persoonsgegevens in te zien, te corrigeren, te verwijderen, te beperken of over te dragen, evenals het recht om bezwaar te maken tegen de verwerking en klachten in te dienen bij een toezichthoudende autoriteit. De Dienstverlener helpt Klanten bij het faciliteren van de uitoefening van deze rechten, indien van toepassing.

3. Verwerking van gegevens

De klant kan fungeren als een Gegevensbeheerder of een Gegevensverwerker, afhankelijk van de relatie met de betrokkene en de doeleinden waarvoor de persoonsgegevens worden verwerkt. In alle gevallen, ULTEH fungeert als een Gegevensverwerker, het verwerken van Persoonsgegevens namens en in opdracht van de Klant.

De Klant is verantwoordelijk voor het waarborgen dat alle gegevensverwerkingsactiviteiten die met behulp van onze Diensten worden uitgevoerd, voldoen aan Toepasselijke wetten inzake gegevensbescherming, inclusief maar niet beperkt tot de Algemene Verordening Gegevensbescherming (AVG), de Britse AVG, de California Consumer Privacy Act (CCPA) en andere toepasselijke privacyregelgeving. De Klant erkent dat hij een wettelijke basis heeft voor het verwerken van Persoonsgegevens en vrijwaart ons tegen alle vorderingen, aansprakelijkheden of schade die voortvloeien uit het niet naleven van deze wettelijke vereisten.

Wij verwerken Persoonsgegevens uitsluitend in overeenstemming met de schriftelijke instructies van de Klant en uitsluitend voor zover vereist om de Diensten te leveren, tenzij anders wettelijk verplicht. Wij zullen Persoonsgegevens niet gebruiken, openbaar maken of delen voor andere doeleinden dan die welke door de Klant zijn geautoriseerd of expliciet in deze Overeenkomst zijn uiteengezet.

Bij beëindiging van de Overeenkomst of het verzoek van de Klant, Wij zullen, naar goeddunken van de Klant, ofwel:: (a) Veilig verwijderen alle Persoonsgegevens die onder deze Overeenkomst worden verwerkt, waarbij ervoor wordt gezorgd dat er geen kopieën achterblijven, tenzij dit wettelijk vereist is, of (b) Geef de persoonlijke gegevens terug Aan de Klant worden verstrekt in een gestructureerde, gangbare en machineleesbare vorm vóór verwijdering. De Klant dient dergelijke verzoeken binnen een redelijke termijn vóór beëindiging in te dienen.

Indien wij wettelijk verplicht zijn om Persoonsgegevens na beëindiging van de overeenkomst te bewaren, zullen wij de Klant hiervan op de hoogte stellen (tenzij dit wettelijk verboden is) en ervoor zorgen dat dergelijke gegevens beschermd blijven in overeenstemming met de Wet bescherming persoonsgegevens.

4. Beveiliging en vertrouwelijkheid

ULTEH zet zich in voor de bescherming van de veiligheid en vertrouwelijkheid van Persoonsgegevens verwerkt namens de Klant. Om de integriteit en veiligheid van de gegevens te garanderen, implementeren en onderhouden we toonaangevende beveiligingsmaatregelen bedoeld om ongeoorloofde toegang, openbaarmaking, wijziging of vernietiging van Persoonsgegevens te voorkomen.

Deze veiligheidsmaatregelen omvatten, maar zijn niet beperkt tot:

• Gegevensversleuteling: Persoonlijke gegevens worden zowel tijdens het transport als wanneer ze opgeslagen zijn, versleuteld met behulp van industriestandaard encryptieprotocollen ter bescherming tegen ongeautoriseerde toegang.
• Toegangscontroles: Strikte toegangsbeheerregels zorgen ervoor dat alleen geautoriseerd personeel toegang heeft tot Persoonsgegevens, op basis van het principe van minimale privileges.
• Netwerk- en systeembeveiliging: Firewalls, inbraakdetectiesystemen en continue monitoring helpen ongeautoriseerde toegang en cyberdreigingen te voorkomen.
• Gegevensanonimisering en pseudonimisering: Indien van toepassing kunnen Persoonsgegevens worden geanonimiseerd of gepseudonimiseerd om de risico's die samenhangen met blootstelling van gegevens te beperken.
• Regelmatige beveiligingsaudits: Wij voeren periodieke beveiligingsbeoordelingen, kwetsbaarheidstests en nalevingscontroles uit om risico's te identificeren en te beperken.
• Incidentresponsplan: Een gestructureerd protocol voor incidentrespons zorgt ervoor dat eventuele beveiligingsinbreuken onmiddellijk worden geïdentificeerd, beperkt en gerapporteerd in overeenstemming met de toepasselijke wetten inzake gegevensbescherming.

Iedereen, inclusief werknemers, contractanten en geautoriseerde dienstverleners, die namens ons Persoonsgegevens verwerkt, is gebonden aan strikte geheimhoudingsverplichtingen. Dit omvat het ondertekenen van juridisch afdwingbare geheimhoudingsverklaringen (NDA's) en het naleven van interne beleidsregels voor gegevensverwerking om naleving van normen voor gegevensprivacy en -beveiliging te garanderen.

Wij zullen de Klant onmiddellijk op de hoogte stellen van elke **bevestigde inbreuk op de beveiliging** die kan leiden tot onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang tot Persoonsgegevens. Dergelijke meldingen bevatten details over het incident, de mogelijke impact en de genomen herstelmaatregelen om risico's te beperken.

Wij herzien en actualiseren onze beveiligingsmaatregelen voortdurend in overeenstemming met evoluerende industrienormen en wettelijke vereisten om de voortdurende bescherming van Klantgegevens te waarborgen.

5. Subverwerkers

ULTEH kan zich bezighouden derde-partij sub-processors om te helpen bij het leveren en onderhouden van de Diensten. Deze Subverwerkers voeren specifieke functies uit, zoals gegevensopslag, hosting van infrastructuur, analyse of klantenondersteuning. We zorgen ervoor dat alle ingeschakelde Subverwerkers zich houden aan strikte verplichtingen inzake gegevensbescherming gelijkwaardig zijn aan die welke in deze Gegevensbeschermingsovereenkomst zijn uiteengezet.

We houden een actuele lijst bij van subverwerkers, inclusief hun rollen en verwerkingslocaties. Klanten kunnen te allen tijde informatie opvragen over de huidige subverwerkers door contact met ons op te nemen.

Rechten en bezwaren van klanten:

• We zullen Klanten op de hoogte stellen van **nieuwe Sub-Processor opdrachten** ten minste 10 dagen van tevoren.
• Klanten kunnen binnen deze periode van 10 dagen schriftelijk **bezwaar** indienen tegen het gebruik van een nieuwe Subverwerker als zij legitieme **zorgen over gegevensbescherming** hebben.
• Wanneer we een bezwaar ontvangen, zullen we te goeder trouw in gesprek gaan om de bezwaren aan te pakken. Dit kan betekenen dat we op zoek gaan naar alternatieve oplossingen.
• Indien er geen wederzijds aanvaardbare oplossing wordt bereikt, heeft de Klant mogelijk het recht om de **betrokken Diensten** te beëindigen in overeenstemming met de Overeenkomst.

Wij blijven volledig verantwoordelijk en aansprakelijk voor de acties van onze subverwerkers en zorgen ervoor dat zij voldoen aan:

• Wetten inzake gegevensbescherming, inclusief AVG, CCPA en andere toepasselijke regelgeving.
• Vertrouwelijkheidsovereenkomsten om Persoonsgegevens te beschermen.
• Industriestandaard beveiligingsmaatregelen om ongeautoriseerde toegang tot of misbruik van gegevens te voorkomen.

Wij behouden ons het recht voor om onze subverwerkers indien nodig te **bijwerken of te vervangen**, waarbij we uiteraard rekening houden met de zorgen van de klant en de voortdurende nalevingsverplichtingen.

6. Overdracht van persoonsgegevens

ULTEH kan overdragen Persoonsgegevens buiten de Europese Economische Ruimte (EER), het Verenigd Koninkrijk (VK) of Zwitserland om de levering van Diensten te vergemakkelijken. Wanneer dergelijke overdrachten plaatsvinden, zorgen wij ervoor dat passende wettelijke waarborgen zijn er maatregelen getroffen om de overgedragen gegevens te beschermen in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

Wij vertrouwen op erkende mechanismen voor gegevensoverdracht, waaronder maar niet beperkt tot::

• Standaardcontractbepalingen (SCC's): Wij maken gebruik van SCC's die zijn goedgekeurd door de Europese Commissie of andere bevoegde autoriteiten om rechtmatige gegevensoverdracht te garanderen.
• Aanvullende maatregelen: Indien nodig passen wij aanvullende technische, organisatorische en contractuele waarborgen toe om de gegevensbescherming te verbeteren.
• Bindende bedrijfsvoorschriften (BCR's): Indien van toepassing, houden onze gelieerde entiteiten zich aan BCR's om een hoog niveau van gegevensbescherming te garanderen bij internationale activiteiten.
• Andere goedgekeurde overdrachtsmechanismen: Wij voldoen aan alle aanvullende kaders, certificeringen of wettelijke instrumenten die erkend zijn voor rechtmatige grensoverschrijdende gegevensoverdracht.

Rechten en assistentie van klanten: Wij streven ernaar de Klant te helpen bij het waarborgen van de naleving van de rechten van betrokkenen onder de toepasselijke wetgeving inzake gegevensbescherming. Dit omvat, maar is niet beperkt tot::

• Toegangsverzoeken: Betrokkenen toegang geven tot hun Persoonsgegevens.
• Verzoeken om rectificatie: Het mogelijk maken om onjuiste of onvolledige gegevens te corrigeren.
• Verzoeken om gegevenswissing ("Recht om vergeten te worden"): Op verzoek helpen bij het verwijderen van Persoonsgegevens, indien wettelijk toegestaan.
• Bezwaar en beperking van verwerking: Ondersteuning van betrokkenen bij het uitoefenen van hun rechten om bezwaar te maken tegen gegevensverwerking of om gegevensverwerkingsactiviteiten te beperken.
• Gegevensportabiliteit: Het vergemakkelijken van de overdracht van Persoonsgegevens naar een andere gegevensbeheerder, indien van toepassing.

Wij houden voortdurend toezicht op de wereldwijde privacyregelgeving om ervoor te zorgen dat we voldoen aan de **vereisten voor grensoverschrijdende gegevensoverdracht** en zullen de Klant op de hoogte stellen als er wijzigingen in het wettelijk kader van invloed zijn op onze verplichtingen inzake gegevensverwerking.

7. Rechten van betrokkenen

ULTEH erkent en respecteert de rechten van **betrokkenen** onder de toepasselijke **wetgeving inzake gegevensbescherming**. Wij zullen de **klant**, als verwerkingsverantwoordelijke, bijstaan bij het beantwoorden van verzoeken van personen met betrekking tot hun **persoonsgegevens**.

Betrokkenen kunnen de volgende rechten uitoefenen:

• Recht op toegang: De mogelijkheid om een bevestiging op te vragen en te krijgen of hun gegevens worden verwerkt, en om toegang te krijgen tot de gegevens.
• Recht op rectificatie: Het recht om onjuiste of onvolledige Persoonsgegevens te corrigeren of bij te werken.
• Recht op wissen ("Recht om vergeten te worden"): Het recht om te verzoeken om verwijdering van Persoonsgegevens, onder voorbehoud van wettelijke en contractuele verplichtingen.
• Recht om verwerking te beperken: De mogelijkheid om de verwerking van Persoonsgegevens onder bepaalde omstandigheden te beperken.
• Recht op gegevensportabiliteit: Het vermogen om Persoonsgegevens te verkrijgen en over te dragen aan een andere dienstverlener, voor zover dit technisch haalbaar is.
• Recht op bezwaar: Het recht om bezwaar te maken tegen verwerking op basis van legitieme belangen, direct marketing of geautomatiseerde besluitvorming.
• Recht om toestemming in te trekken: Indien de verwerking op toestemming is gebaseerd, kan de betrokkene zijn toestemming te allen tijde intrekken.

Verantwoordelijkheden van de klant: De Klant, die optreedt als Verwerkingsverantwoordelijke, is verantwoordelijk voor de afhandeling van verzoeken van Betrokkenen. Wij zullen op verzoek **redelijke assistentie** verlenen en ervoor zorgen dat reacties **snel en in overeenstemming** met de toepasselijke wetgeving worden afgehandeld.

Wij zullen niet rechtstreeks reageren op een verzoek van een betrokkene, tenzij wij daartoe wettelijk verplicht zijn of de klant hier expliciet toestemming voor heeft gegeven.

8. Melding van datalekken

ULTEH neemt beveiliging serieus en implementeert **preventieve maatregelen** om persoonsgegevens te beschermen. In geval van een **inbreuk op persoonsgegevens** zullen we echter **snel en transparant** handelen.

Plan voor reactie op datalekken: Als we ons bewust worden van een **bevestigde inbreuk op de persoonsgegevens** die kan leiden tot **ongeoorloofde toegang, verlies, wijziging of openbaarmaking** van persoonsgegevens, zullen we:

• **Beoordeel de impact** van de inbreuk en neem onmiddellijk maatregelen om de risico's te beperken.
• **De klant onverwijld op de hoogte stellen** (doorgaans binnen 48 uur na bevestiging).
• Geef details, waaronder::
  • De aard en omvang van de inbreuk.
  • Het type gegevens waarop het van toepassing is.
  • De mogelijke gevolgen.
  • Maatregelen die zijn genomen of voorgesteld om de inbreuk aan te pakken.
• **De Klant helpen** bij het nakomen van wettelijke verplichtingen, waaronder het melden aan autoriteiten en betrokken Betrokkenen, indien vereist.
• **Voer corrigerende maatregelen** uit om toekomstige overtredingen te voorkomen.

Verantwoordelijkheden van de klant: De Klant is verantwoordelijk voor het bepalen of hij toezichthoudende instanties en Betrokkenen op de hoogte moet stellen in overeenstemming met de toepasselijke Wetgeving inzake Gegevensbescherming.

Wij documenteren alle inbreuken en bewaren gegevens over ons **onderzoek, onze inspanningen om de inbreuken te beperken en onze herstelmaatregelen**.

9. Gegevensbehoud en verwijdering

ULTEH bewaart **Persoonsgegevens uitsluitend zolang als nodig** om aan haar verplichtingen onder deze Overeenkomst te voldoen of zoals vereist door de toepasselijke wetgeving.

Gegevensbewaarbeleid:

• Wij hanteren **principes voor gegevensminimalisatie** en zorgen ervoor dat gegevens alleen worden bewaard voor **legitieme bedrijfs- en nalevingsbehoeften**.
• Gegevens worden verwijderd of geanonimiseerd zodra ze **niet langer noodzakelijk** zijn voor verwerkingsdoeleinden.
• Bewaartermijnen kunnen variëren afhankelijk van **wettelijke, contractuele of reglementaire vereisten**.

Klantgestuurde gegevensverwijdering:

• Klanten kunnen op elk moment verzoeken om **verwijdering van Persoonsgegevens**.
• Bij beëindiging van de diensten zullen wij **Persoonsgegevens verwijderen of retourneren** in overeenstemming met de instructies van de Klant.
• Indien er geen verzoek tot verwijdering wordt ingediend, zullen wij de Persoonsgegevens automatisch binnen een redelijke termijn verwijderen, tenzij wij wettelijk verplicht zijn deze te bewaren.

Uitzonderingen op gegevensverwijdering: In bepaalde gevallen kunnen wij Persoonsgegevens langer bewaren dan de overeengekomen bewaartermijn, waaronder::

• Om te voldoen aan **wettelijke verplichtingen** (bijvoorbeeld belasting-, audit- of regelgevende vereisten).
• Voor **gerechtvaardigde belangen**, zoals fraudepreventie of veiligheidsonderzoeken.
• Wanneer dit vereist is door een **bindend juridisch verzoek** (bijv. een gerechtelijk bevel).

Wij zorgen ervoor dat er **veilige verwijderingsprocedures** worden gevolgd, waarmee ongeautoriseerd herstel of misbruik van Persoonsgegevens wordt voorkomen.

10. Toepasselijk recht en geschillenbeslechting

Deze Data Processing Addendum (DPA) wordt beheerst door en geïnterpreteerd in overeenstemming met **dezelfde wetten en jurisdictie** als gedefinieerd in de hoofdovereenkomst tussen ULTEH en de Klant.

Geschillenbeslechtingsproces: Indien er een geschil ontstaat met betrekking tot deze DPA, komen beide partijen overeen een gestructureerd oplossingsproces te volgen, inclusief:

• Onderhandeling te goeder trouw: Partijen zullen eerst proberen om geschillen op te lossen door middel van directe gesprekken en onderhandelingen.
• Mediation of arbitrage: Indien de onderhandelingen mislukken, kan het geschil worden voorgelegd aan bemiddeling of arbitrage, zoals beschreven in de hoofdovereenkomst.
• Juridische procedures: Indien er geen oplossing wordt bereikt, kunnen geschillen worden beslecht via een formele juridische procedure in het toepasselijke rechtsgebied.

In het geval van een conflict tussen deze DPA en de hoofdovereenkomst, **hebben de voorwaarden van deze DPA voorrang** uitsluitend met betrekking tot gegevensbeschermingskwesties, waarbij de naleving van de toepasselijke Wetten inzake gegevensbescherming.

11. Slotbepalingen

Dit Gegevensverwerkingsaddendum vormt een integraal onderdeel van de algemene overeenkomst tussen ULTEH en de Klant. Door gebruik te blijven maken van de Diensten, erkent en **accepteert de Klant de voorwaarden van deze DPA**.

Indien een bepaling van deze Gegevensverwerkingsovereenkomst **ongeldig of niet-afdwingbaar** blijkt te zijn, blijven de overige bepalingen volledig van kracht. Partijen komen overeen om elke niet-afdwingbare bepaling te vervangen door een bepaling die de oorspronkelijke bedoeling zo dicht mogelijk benadert en tegelijkertijd voldoet aan de toepasselijke wetgeving.

Wijzigingen en updates: Wij behouden ons het recht voor om deze DPA te wijzigen of bij te werken om wijzigingen in de toepasselijke wetgeving inzake gegevensbescherming, branchepraktijken of operationele behoeften te weerspiegelen. Klanten worden op de hoogte gesteld van materiële wijzigingen en voortgezet gebruik van de Diensten houdt in dat u akkoord gaat met de bijgewerkte voorwaarden.

Contactgegevens: Voor vragen, opmerkingen of om een ondertekend exemplaar van deze DPA aan te vragen, kunnen klanten contact met ons opnemen via: [email protected].