Verwerkersovereenkomst

1. Addendum gegevensverwerking

ULTEH zet zich in voor het waarborgen van de privacy, veiligheid en naleving van klantgegevens. Dit Addendum gegevensverwerking (DPA) beschrijft de voorwaarden voor de verwerking, opslag en bescherming van persoonsgegevens in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming. Dit DPA is een uitbreiding van onze hoofdovereenkomst met Klanten en is van toepassing wanneer ULTEH persoonsgegevens verwerkt namens de Klant als verwerker. Het stelt duidelijke verantwoordelijkheden vast voor beide partijen met betrekking tot gegevensverwerking en waarborgt naleving van relevante privacywetgeving. Door gebruik te maken van ULTEH erkennen en aanvaarden Klanten de voorwaarden van dit DPA. Als u een ondertekend exemplaar van deze overeenkomst nodig heeft voor nalevingsdoeleinden, neem dan contact met ons op.

2. Definities

Gelieerde onderneming verwijst naar elke entiteit die direct of indirect controleert, wordt gecontroleerd door, of onder gezamenlijke controle staat met een partij. “Controle” betekent het direct of indirect bezitten van ten minste 50% van de stemgerechtigde aandelen, eigendomsbelangen of vergelijkbare rechten in de entiteit, waarmee men invloed kan uitoefenen op het beheer en het beleid. Gelieerde ondernemingen worden geacht gebonden te zijn aan de verplichtingen en verantwoordelijkheden zoals uiteengezet in deze DPA, voor zover zij betrokken zijn bij de verwerking van Persoonsgegevens.

Geautoriseerde subverwerker betekent elke externe leverancier, dienstverlener of aannemer die door de Dienstverlener wordt ingeschakeld om de Persoonsgegevens van de Klant uitsluitend namens en volgens instructies van de Dienstverlener te verwerken. Geautoriseerde subverwerkers helpen bij het nakomen van verplichtingen onder deze DPA en de hoofd Overeenkomst. Alle subverwerkers moeten voldoen aan dezelfde verplichtingen inzake gegevensbescherming, en zorgen voor veiligheid, vertrouwelijkheid en naleving van regelgeving.

Accountgegevens verwijst naar alle bedrijfsgerelateerde informatie die door de Dienstverlener wordt verzameld, opgeslagen en verwerkt in verband met de contractuele relatie met de Klant. Dit omvat, maar is niet beperkt tot, de namen, e-mailadressen, telefoonnummers, betalingsgegevens en toegangsgegevens van personen die door de Klant zijn gemachtigd om hun account op het platform van de Dienstverlener te beheren en te gebruiken. Accountgegevens worden uitsluitend gebruikt voor administratieve, facturatie- en ondersteuningsdoeleinden.

Wetgeving inzake gegevensbescherming omvat alle toepasselijke wetten, regels en kaders die het verzamelen, verwerken, opslaan, overdragen en beschermen van Persoonsgegevens reguleren. Dit omvat onder andere de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, de UK GDPR die van toepassing is in het Verenigd Koninkrijk, de California Consumer Privacy Act (CCPA) en alle andere nationale of internationale privacywetten die relevant zijn voor gegevensverwerking onder deze Overeenkomst. Naleving van deze wetten zorgt ervoor dat Persoonsgegevens op een wettige, transparante en veilige manier worden behandeld.

Persoonsgegevens verwijst naar alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”). Een identificeerbaar persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van identificatoren zoals een naam, e-mailadres, telefoonnummer, locatiegegevens, een online identificatie (zoals IP-adres of cookies) of andere unieke kenmerken die zijn of haar identiteit bepalen. Persoonsgegevens omvatten geen geanonimiseerde of geaggregeerde gegevens die niet kunnen worden gebruikt om een individu te identificeren.

Verwerking betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonsgegevens, zowel geautomatiseerd als handmatig. Dit omvat onder andere het verzamelen, registreren, ordenen, structureren, opslaan, aanpassen, wijzigen, opvragen, raadplegen, gebruiken, openbaar maken, overdragen, beperken, wissen of vernietigen van Persoonsgegevens. Verwerking vindt plaats volgens de instructies van de Klant en de toepasselijke wetgeving inzake gegevensbescherming.

Beveiligingsmaatregelen verwijzen naar de technische en organisatorische waarborgen die zijn geïmplementeerd om de vertrouwelijkheid, integriteit en beschikbaarheid van Persoonsgegevens te waarborgen. Deze maatregelen omvatten versleuteling, toegangscontroles, firewalls, gegevensmaskering, pseudonimisering, regelmatige beveiligingsaudits en mechanismen voor het melden van datalekken. Beveiligingsmaatregelen zijn bedoeld om ongeautoriseerde toegang, onopzettelijk verlies of onrechtmatige verwerking van Persoonsgegevens te voorkomen.

Toezichthoudende autoriteit verwijst naar een onafhankelijke publieke instantie die verantwoordelijk is voor het toezicht op en de handhaving van de naleving van de Wetgeving inzake Gegevensbescherming. Voorbeelden zijn de European Data Protection Board (EDPB) voor GDPR-gerelateerde zaken, het Information Commissioner's Office (ICO) voor de Britse GDPR en de California Privacy Protection Agency (CPPA) voor de handhaving van de CCPA. De toezichthoudende autoriteit heeft de wettelijke bevoegdheid om klachten te onderzoeken, richtlijnen te geven en sancties op te leggen bij niet-naleving.

Rechten van de betrokkene verwijzen naar de rechten die individuen worden toegekend onder de toepasselijke wetgeving inzake gegevensbescherming. Deze rechten kunnen het recht omvatten om hun Persoonsgegevens in te zien, te corrigeren, te verwijderen, te beperken of over te dragen, evenals het recht om bezwaar te maken tegen verwerking en klachten in te dienen bij een Toezichthoudende autoriteit. De Dienstverlener ondersteunt Klanten bij het uitoefenen van deze rechten indien van toepassing.

3. Verwerking van gegevens

De Klant kan optreden als Verwerkingsverantwoordelijke of Verwerker, afhankelijk van de relatie met de betrokkene en het doel van de verwerking van persoonsgegevens. In alle gevallen treedt ULTEH op als Verwerker, die persoonsgegevens verwerkt namens en volgens de instructies van de Klant.

De Klant is verantwoordelijk voor het waarborgen dat alle gegevensverwerkingsactiviteiten die via onze Diensten worden uitgevoerd voldoen aan de Toepasselijke wetgeving inzake gegevensbescherming, waaronder onder andere de Algemene Verordening Gegevensbescherming (AVG), UK GDPR, de California Consumer Privacy Act (CCPA) en andere relevante privacyregelgeving. De Klant erkent dat hij een wettelijke basis heeft voor het verwerken van Persoonsgegevens en vrijwaart ons tegen eventuele claims, aansprakelijkheden of schade als gevolg van het niet naleven van deze wettelijke vereisten.

Wij verwerken Persoonsgegevens uitsluitend volgens de schriftelijke instructies van de Klant en alleen voor zover nodig om de Diensten te leveren, tenzij anders wettelijk vereist. Wij zullen Persoonsgegevens niet gebruiken, openbaar maken of delen voor andere doeleinden dan die door de Klant zijn toegestaan of expliciet in deze Overeenkomst zijn vastgelegd.

Bij beëindiging van de Overeenkomst of op verzoek van de Klant zullen wij, naar keuze van de Klant: (a) Alle Persoonsgegevens veilig verwijderen die onder deze Overeenkomst zijn verwerkt, waarbij geen kopieën achterblijven tenzij wettelijk vereist, of (b) De Persoonsgegevens retourneren aan de Klant in een gestructureerd, gangbaar en machineleesbaar formaat vóór verwijdering. De Klant dient dergelijke verzoeken tijdig vóór beëindiging in te dienen.

Indien wij wettelijk verplicht zijn om Persoonsgegevens na beëindiging te bewaren, zullen wij de Klant hiervan op de hoogte stellen (tenzij wettelijk verboden) en ervoor zorgen dat deze gegevens beschermd blijven volgens de Wetgeving Gegevensbescherming.

4. Beveiliging en vertrouwelijkheid

ULTEH zet zich in voor de bescherming van de veiligheid en vertrouwelijkheid van Persoonsgegevens die namens de Klant worden verwerkt. Om de integriteit en veiligheid van gegevens te waarborgen, implementeren en onderhouden wij toonaangevende beveiligingsmaatregelen die zijn ontworpen om ongeautoriseerde toegang, openbaarmaking, wijziging of vernietiging van Persoonsgegevens te voorkomen.

Deze beveiligingsmaatregelen omvatten onder andere:

• Gegevensversleuteling: Persoonsgegevens worden zowel tijdens verzending als opslag versleuteld met industriestandaard encryptieprotocollen om ongeautoriseerde toegang te voorkomen.
• Toegangsbeheer: Strikte toegangsbeheerbeleid zorgen ervoor dat alleen geautoriseerd personeel toegang heeft tot Persoonsgegevens, volgens het principe van minimale bevoegdheden.
• Netwerk- en systeembeveiliging: Firewalls, inbraakdetectiesystemen en continue monitoring helpen ongeautoriseerde toegang en cyberdreigingen te voorkomen.
• Gegevensanonimisering en pseudonimisering: Waar van toepassing kunnen persoonsgegevens geanonimiseerd of gepseudonimiseerd worden om de risico's van gegevensblootstelling te verkleinen.
• Regelmatige beveiligingsaudits: We voeren periodiek beveiligingsbeoordelingen, kwetsbaarheidstests en compliancecontroles uit om risico's te identificeren en te beperken.
• Incidentresponsplan: Een gestructureerd incidentresponsprotocol zorgt ervoor dat elke beveiligingsinbreuk snel wordt geïdentificeerd, beperkt en gemeld volgens de toepasselijke wetgeving inzake gegevensbescherming.

Iedereen die namens ons Persoonsgegevens verwerkt, waaronder medewerkers, contractanten en geautoriseerde dienstverleners, is gebonden aan strikte geheimhoudingsverplichtingen. Dit omvat het ondertekenen van juridisch bindende geheimhoudingsovereenkomsten (NDA's) en het naleven van interne gegevensverwerkingsbeleid om te voldoen aan de normen voor gegevensprivacy en -beveiliging.

Wij zullen de Klant direct op de hoogte stellen van elke bevestigde beveiligingsinbreuk die kan leiden tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of toegang tot Persoonsgegevens. Dergelijke meldingen bevatten details van het incident, de potentiële impact en de genomen maatregelen om risico's te beperken.

Wij beoordelen en actualiseren onze beveiligingsmaatregelen voortdurend volgens de voortdurend veranderende industrienormen en wettelijke vereisten om de voortdurende bescherming van klantgegevens te waarborgen.

5. Subverwerkers

ULTEH kan derde subverwerkers inschakelen om te helpen bij het leveren en onderhouden van de Diensten. Deze subverwerkers voeren specifieke taken uit, zoals gegevensopslag, infrastructuurhosting, analyses of klantenondersteuning. Wij zorgen ervoor dat alle ingeschakelde subverwerkers zich houden aan strikte verplichtingen inzake gegevensbescherming die gelijkwaardig zijn aan de bepalingen in deze DPA.

Wij houden een actuele lijst bij van subverwerkers, inclusief hun rollen en verwerkingslocaties. Klanten kunnen op elk moment informatie over de huidige subverwerkers opvragen door contact met ons op te nemen.

Rechten en bezwaren van de klant:

• Wij informeren klanten over nieuwe subverwerkers ten minste 10 dagen van tevoren.
• Klanten kunnen binnen deze periode van 10 dagen schriftelijk bezwaar maken tegen het gebruik van een nieuwe subverwerker als zij legitieme zorgen over gegevensbescherming hebben.
• Na ontvangst van een bezwaar gaan we in goed vertrouwen in gesprek om zorgen te bespreken, wat kan inhouden dat we naar alternatieve oplossingen zoeken.
• Als er geen voor beide partijen acceptabele oplossing wordt gevonden, kan de Klant het recht hebben om de betreffende Diensten te beëindigen volgens de Overeenkomst.

Wij blijven volledig verantwoordelijk en aansprakelijk voor de handelingen van onze Subverwerkers en zorgen ervoor dat zij voldoen aan:

• Wetgeving inzake gegevensbescherming, waaronder de AVG, CCPA en andere toepasselijke regelgeving.
• Geheimhoudingsovereenkomsten ter bescherming van Persoonsgegevens.
• Beveiligingsmaatregelen volgens industrienormen om ongeautoriseerde toegang of misbruik van gegevens te voorkomen.

Wij behouden ons het recht voor om onze subverwerkers indien nodig bij te werken of te vervangen, met inachtneming van de zorgen van klanten en voortdurende nalevingsverplichtingen.

6. Overdracht van persoonsgegevens

ULTEH kan persoonsgegevens buiten de Europese Economische Ruimte (EER), het Verenigd Koninkrijk (VK) of Zwitserland overdragen om de levering van diensten te faciliteren. Bij dergelijke overdrachten zorgen wij ervoor dat passende juridische waarborgen aanwezig zijn om de overgedragen gegevens te beschermen in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

Wij maken gebruik van erkende mechanismen voor gegevensoverdracht, waaronder maar niet beperkt tot:

• Standaardcontractbepalingen (SCC's): Wij hanteren SCC's die zijn goedgekeurd door de Europese Commissie of andere bevoegde autoriteiten om rechtmatige gegevensoverdrachten te waarborgen.
• Aanvullende maatregelen: Waar nodig passen wij extra technische, organisatorische en contractuele waarborgen toe om de gegevensbescherming te versterken.
• Bindende bedrijfsregels (BCR's): Waar van toepassing houden onze gelieerde ondernemingen zich aan BCR's om een hoog niveau van gegevensbescherming bij internationale activiteiten te waarborgen.
• Andere goedgekeurde overdrachtsmechanismen: Wij voldoen aan alle aanvullende kaders, certificeringen of juridische instrumenten die erkend zijn voor rechtmatige grensoverschrijdende gegevensoverdracht.

Klantenrechten en ondersteuning: Wij zetten ons in om de Klant te ondersteunen bij het waarborgen van de naleving van de rechten van betrokkenen onder de toepasselijke wetgeving inzake gegevensbescherming. Dit omvat onder andere:

• Toegangsverzoeken: Betrokkenen in staat stellen hun persoonsgegevens in te zien.
• Verzoek tot rectificatie: Maakt correctie van onjuiste of onvolledige gegevens mogelijk.
• Verzoeken tot verwijdering (“Recht om vergeten te worden”): Ondersteuning bij het verwijderen van Persoonsgegevens op verzoek, waar wettelijk toegestaan.
• Bezwaar en beperking van verwerking: Ondersteuning van betrokkenen bij het uitoefenen van hun recht om bezwaar te maken tegen of de verwerking van gegevens te beperken.
• Dataportabiliteit: Het mogelijk maken van de overdracht van Persoonsgegevens naar een andere verwerkingsverantwoordelijke, indien van toepassing.

Wij volgen wereldwijd de privacyregelgeving op de voet om te voldoen aan de eisen voor grensoverschrijdende gegevensoverdracht en zullen de Klant informeren als wijzigingen in het juridische kader onze verplichtingen voor gegevensverwerking beïnvloeden.

7. Rechten van betrokkenen

ULTEH erkent en respecteert de rechten van Betrokkenen op grond van de toepasselijke Gegevensbeschermingswetten. Wij zullen de Klant, als Verwerkingsverantwoordelijke, bijstaan bij het beantwoorden van verzoeken van personen met betrekking tot hun Persoonsgegevens.

Betrokkenen kunnen de volgende rechten uitoefenen:

• Recht van Inzage: De mogelijkheid om bevestiging te vragen en te verkrijgen of hun gegevens worden verwerkt, samen met toegang tot de gegevens.
• Recht op Rectificatie: Het recht om onjuiste of onvolledige Persoonsgegevens te corrigeren of bij te werken.
• Recht op Wissing ("Recht om Vergeten te worden"): Het recht om verwijdering van Persoonsgegevens te verzoeken, onder voorbehoud van wettelijke en contractuele verplichtingen.
• Recht op Beperking van de Verwerking: De mogelijkheid om de verwerking van Persoonsgegevens onder bepaalde voorwaarden te beperken.
• Recht op Gegevensoverdraagbaarheid: De mogelijkheid om Persoonsgegevens te verkrijgen en over te dragen aan een andere dienstverlener wanneer dit technisch haalbaar is.
• Recht van Bezwaar: Het recht om bezwaar te maken tegen verwerking op basis van gerechtvaardigde belangen, direct marketing of geautomatiseerde besluitvorming.
• Recht om Toestemming in te trekken: Als de verwerking gebaseerd is op toestemming, kan de Betrokkene de toestemming op elk moment intrekken.

Verantwoordelijkheden van de Klant: De Klant, handelend als Verwerkingsverantwoordelijke, is verantwoordelijk voor het afhandelen van verzoeken van Betrokkenen. Wij zullen op verzoek redelijke bijstand verlenen en ervoor zorgen dat antwoorden snel en in overeenstemming met de toepasselijke wetgeving worden afgehandeld.

Wij zullen niet rechtstreeks reageren op een verzoek van een Betrokkene, tenzij wettelijk verplicht of uitdrukkelijk gemachtigd door de Klant.

8. Melding van datalekken

ULTEH neemt beveiliging serieus en implementeert preventieve maatregelen om Persoonsgegevens te beschermen. In het geval van een Inbreuk op Persoonsgegevens zullen wij echter snel en transparant handelen.

Responsplan bij Datalekken: Als wij op de hoogte raken van een bevestigd Datalek dat kan leiden tot ongeoorloofde toegang, verlies, wijziging of openbaarmaking van Persoonsgegevens, zullen wij:

• De impact van het lek beoordelen en onmiddellijke stappen ondernemen om risico's te beperken.
• De Klant zonder onredelijke vertraging op de hoogte stellen (doorgaans binnen 48 uur na bevestiging).
• Details verstrekken waaronder:
  • De aard en omvang van het lek.
  • Het type getroffen gegevens.
  • De mogelijke gevolgen.
  • De maatregelen die zijn genomen of voorgesteld om het lek te verhelpen.
• De Klant bijstaan bij het nakomen van eventuele wettelijke verplichtingen, waaronder meldingen aan autoriteiten en getroffen Betrokkenen, waar vereist.
• Corrigerende maatregelen implementeren om toekomstige lekken te voorkomen.

Verantwoordelijkheden van de Klant: De Klant is verantwoordelijk voor het bepalen of toezichthouders en Betrokkenen moeten worden geïnformeerd in overeenstemming met de toepasselijke Gegevensbeschermingswetten.

Wij zullen alle lekken documenteren en registraties bijhouden van ons onderzoek, mitigerende maatregelen en herstellende acties.

9. Gegevensbewaring en -verwijdering

ULTEH bewaart Persoonsgegevens alleen zo lang als nodig is om te voldoen aan de verplichtingen uit deze Overeenkomst of zoals vereist door toepasselijke wetgeving.

Beleid voor gegevensbewaring:

• Wij hanteren het principe van dataminimalisatie en bewaren gegevens alleen voor legitieme zakelijke en compliance-doeleinden.
• Gegevens worden verwijderd of geanonimiseerd zodra ze niet langer nodig zijn voor verwerkingsdoeleinden.
• Bewaartermijnen kunnen variëren afhankelijk van wettelijke, contractuele of regelgevende vereisten.

Klantgestuurde gegevensverwijdering:

• Klanten kunnen op elk moment verwijdering van persoonsgegevens aanvragen.
• Na beëindiging van de diensten zullen wij Persoonsgegevens verwijderen of retourneren volgens de instructies van de Klant.
• Als er geen verzoek tot verwijdering wordt gedaan, zullen wij de Persoonsgegevens automatisch verwijderen binnen een redelijke termijn, tenzij wettelijk vereist om deze te bewaren.

Uitzonderingen op gegevensverwijdering: In bepaalde gevallen kunnen wij Persoonsgegevens langer bewaren dan de overeengekomen bewaartermijn, waaronder:

• Om te voldoen aan wettelijke verplichtingen (zoals fiscale, audit- of regelgevende vereisten).
• Voor gerechtvaardigde belangen, zoals fraudepreventie of veiligheidsonderzoeken.
• Wanneer vereist door een bindend juridisch verzoek (bijvoorbeeld een gerechtelijk bevel).

Wij zorgen ervoor dat veilige verwijderingsprocedures worden gevolgd, zodat ongeautoriseerd herstel of misbruik van Persoonsgegevens wordt voorkomen.

10. Toepasselijk recht en geschillenbeslechting

Deze Data Verwerking Addendum (DPA) wordt beheerst door en geïnterpreteerd volgens dezelfde wetten en jurisdictie als vastgelegd in de hoofd overeenkomst tussen ULTEH en de Klant.

Geschillenbeslechtingsproces: Indien er een geschil ontstaat over deze DPA, stemmen beide partijen ermee in een gestructureerd oplossingsproces te volgen, waaronder:

• Onderhandeling te goeder trouw: De partijen zullen eerst proberen geschillen op te lossen via directe gesprekken en onderhandelingen.
• Mediation of arbitrage: Als onderhandelingen mislukken, kan het geschil worden voorgelegd aan mediation of arbitrage zoals beschreven in de hoofd­overeenkomst.
• Juridische procedures: Indien geen oplossing wordt bereikt, kunnen geschillen worden beslecht via formele juridische procedures in het toepasselijke rechtsgebied.

In het geval van een conflict tussen deze DPA en de hoofd overeenkomst, hebben de bepalingen van deze DPA uitsluitend voor wat betreft gegevensbescherming voorrang, zodat wordt voldaan aan de toepasselijke Wetgeving inzake gegevensbescherming.

11. Slotbepalingen

Deze Data Verwerkingsovereenkomst maakt integraal deel uit van de totale overeenkomst tussen ULTEH en de Klant. Door de Diensten te blijven gebruiken, erkent en accepteert de Klant de voorwaarden van deze DPA.

Indien een bepaling van deze DPA ongeldig of niet-afdwingbaar wordt bevonden, blijven de overige bepalingen volledig van kracht. Partijen komen overeen om elke niet-afdwingbare bepaling te vervangen door een bepaling die zo dicht mogelijk bij de oorspronkelijke bedoeling blijft en voldoet aan de toepasselijke wetgeving.

Wijzigingen en updates: Wij behouden ons het recht voor om deze DPA te wijzigen of bij te werken om veranderingen in toepasselijke wetgeving inzake gegevensbescherming, branchepraktijken of operationele behoeften te weerspiegelen. Klanten worden op de hoogte gebracht van belangrijke wijzigingen en voortgezet gebruik van de Diensten betekent akkoord met de bijgewerkte voorwaarden.

Contactinformatie: Voor vragen, opmerkingen of om een ondertekend exemplaar van deze DPA aan te vragen, kunnen klanten contact met ons opnemen via: [email protected].