Data Verwerkingsaddendum

1. Dit zorgt voor duidelijkheid en volledigheid bij het definiëren van de wederzijdse verwachtingen en verplichtingen van beide partijen.

ULTEH zet zich in voor het waarborgen van privacy, veiligheid en compliance van klantgegevens. Dit Data Verwerkingsaddendum (DPA) beschrijft de voorwaarden die bepalen hoe we persoonsgegevens verwerken, opslaan en beschermen in overeenstemming met toepasselijke gegevensbeschermingswetten en -voorschriften. Deze DPA is een uitbreiding van onze hoofdovereenkomst met Klanten en is van toepassing wanneer ULTEH persoonsgegevens verwerkt namens de Klant als gegevensverwerker. Het stelt duidelijke verantwoordelijkheden vast voor beide partijen met betrekking tot gegevensverwerking, waarbij naleving van relevante privacywetten wordt gewaarborgd. Door gebruik te maken van ULTEH, erkennen en stemmen Klanten in met de voorwaarden in deze DPA. Als u een ondertekende kopie van deze overeenkomst nodig hebt voor nalevingsdoeleinden, neem dan contact met ons op.

2. Definities

Gelieerde onderneming verwijst naar elke entiteit die direct of indirect controle heeft over, gecontroleerd wordt door, of onder gemeenschappelijke controle staat met een partij. "Controle" betekent het directe of indirecte eigendom van ten minste 50% van de stemgerechtigde aandelen, aandelenbelangen of soortgelijke rechten in de entiteit, die de mogelijkheid geven om het management en beleid te beïnvloeden. Gelieerde ondernemingen worden geacht gebonden te zijn aan de verplichtingen en verantwoordelijkheden die in deze DPA worden beschreven, voor zover ze betrokken zijn bij de verwerking van Persoonsgegevens.

Geautoriseerde subverwerker betekent elke derde leverancier, dienstverlener of contractant die door de Dienstverlener is ingeschakeld om de Persoonsgegevens van de Klant te verwerken, strikt namens en onder de instructies van de Dienstverlener. Geautoriseerde Subverwerkers helpen bij het vervullen van verplichtingen onder deze DPA en de hoofdovereenkomst. Alle Subverwerkers moeten voldoen aan dezelfde gegevensbeschermingsverplichtingen, waarbij veiligheid, vertrouwelijkheid en naleving van regelgeving worden gehandhaafd.

Accountgegevens verwijst naar alle zakelijke informatie die door de Dienstverlener wordt verzameld, opgeslagen en verwerkt met betrekking tot zijn contractuele relatie met de Klant. Dit omvat, maar is niet beperkt tot, de namen, e-mailadressen, telefoonnummers, betalingsgegevens en toegangsreferenties van personen die door de Klant zijn geautoriseerd om hun account op het platform van de Dienstverlener te beheren en te bedienen. Accountgegevens worden uitsluitend gebruikt voor administratieve, facturerings- en ondersteuningsdoeleinden.

Gegevensbeschermingswetten omvatten alle toepasselijke wetten, voorschriften en kaders die de verzameling, verwerking, opslag, overdracht en bescherming van Persoonsgegevens regelen. Dit omvat, maar is niet beperkt tot, de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, de UK GDPR die van toepassing is op het Verenigd Koninkrijk, de California Consumer Privacy Act (CCPA), en alle andere nationale of internationale privacywetten die relevant zijn voor gegevensverwerkingsactiviteiten onder deze Overeenkomst. Naleving van deze wetten zorgt ervoor dat Persoonsgegevens rechtmatig, transparant en veilig worden behandeld.

Persoonsgegevens verwijst naar alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon ("Betrokkene"). Een identificeerbare persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door verwijzing naar identificatoren zoals een naam, e-mailadres, telefoonnummer, locatiegegevens, een online identificator (zoals IP-adres of cookies), of andere unieke factoren die hun identiteit definiëren. Persoonsgegevens sluiten geanonimiseerde of geaggregeerde gegevens uit die niet kunnen worden gebruikt om een individu te identificeren.

Verwerking betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonsgegevens, of het nu geautomatiseerd is of handmatig. Dit omvat, maar is niet beperkt tot, het verzamelen, vastleggen, organiseren, structureren, opslaan, aanpassen, wijzigen, opvragen, raadplegen, gebruiken, onthullen, verzenden, beperken, wissen of vernietigen van Persoonsgegevens. Verwerking wordt uitgevoerd in overeenstemming met de instructies van de Klant en toepasselijke Gegevensbeschermingswetten.

Beveiligingsmaatregelen verwijzen naar de technische en organisatorische waarborgen die zijn geïmplementeerd om de vertrouwelijkheid, integriteit en beschikbaarheid van Persoonsgegevens te waarborgen. Deze maatregelen omvatten encryptie, toegangscontroles, firewalls, gegevensmasking, pseudonimisering, regelmatige beveiligingsaudits en mechanismen voor het melden van inbreuken. Beveiligingsmaatregelen zijn ontworpen om ongeautoriseerde toegang, onbedoeld verlies of onwettige verwerking van Persoonsgegevens te voorkomen.

Toezichthoudende Autoriteit verwijst naar een onafhankelijke overheidsinstantie die verantwoordelijk is voor het monitoren en handhaven van de naleving van Gegevensbeschermingswetten. Voorbeelden zijn de Europese Gegevensbeschermingsraad (EDPB) voor AVG-gerelateerde zaken, het UK Information Commissioner's Office (ICO) voor UK GDPR, en de California Privacy Protection Agency (CPPA) voor CCPA-handhaving. De Toezichthoudende Autoriteit heeft de wettelijke bevoegdheid om klachten te onderzoeken, richtlijnen uit te vaardigen en sancties op te leggen voor niet-naleving.

Rechten van Betrokkenen verwijzen naar de rechten die aan individuen worden verleend onder toepasselijke Gegevensbeschermingswetten. Deze rechten kunnen het recht omvatten om toegang te krijgen tot, te rectificeren, te verwijderen, te beperken of hun Persoonsgegevens over te dragen, evenals het recht om bezwaar te maken tegen verwerking en klachten in te dienen bij een Toezichthoudende Autoriteit. De Dienstverlener ondersteunt Klanten bij het faciliteren van de uitoefening van deze rechten wanneer van toepassing.

3. Verwerking van Gegevens

De Klant kan optreden als hetzij een Verwerkingsverantwoordelijke of een Verwerker, , afhankelijk van zijn relatie met de Betrokkene en de doeleinden waarvoor Persoonsgegevens worden verwerkt. In alle gevallen handelt ULTEH als een Verwerker, , die Persoonsgegevens verwerkt namens en volgens de instructies van de Klant.

De Klant is verantwoordelijk voor het waarborgen dat alle gegevensverwerkingsactiviteiten die worden uitgevoerd met behulp van onze Services voldoen aan Toepasselijke Gegevensbeschermingswetten, , inclusief maar niet beperkt tot de Algemene Verordening Gegevensbescherming (AVG), UK GDPR, de California Consumer Privacy Act (CCPA), en andere toepasselijke privacyregels. De Klant erkent dat hij de wettelijke basis heeft om Persoonsgegevens te verwerken en vrijwaart ons tegen claims, aansprakelijkheden of schade die voortvloeit uit niet-naleving van deze wettelijke vereisten.

Wij zullen Persoonsgegevens verwerken alleen in overeenstemming met de schriftelijke instructies van de Klant en uitsluitend zoals vereist om de Services te leveren, tenzij anders vereist door de wet. We zullen Persoonsgegevens niet gebruiken, onthullen of delen voor enig ander doel dan die geautoriseerd door de Klant of expliciet uiteengezet in deze Overeenkomst.

Bij beëindiging van de Overeenkomst of op verzoek van de Klant, zullen wij, naar keuze van de Klant, ofwel: (a) Veilig verwijderen alle Persoonsgegevens die onder deze Overeenkomst zijn verwerkt, waarbij we ervoor zorgen dat er geen kopieën overblijven tenzij wettelijk vereist, of (b) De Persoonsgegevens retourneren aan de Klant in een gestructureerd, algemeen gebruikt en machineleesbaar formaat voordat ze worden verwijderd. De Klant moet dergelijke verzoeken binnen een redelijke termijn voor beëindiging indienen.

Als we wettelijk verplicht zijn om Persoonsgegevens na beëindiging te bewaren, zullen we de Klant op de hoogte stellen (tenzij wettelijk verboden) en ervoor zorgen dat dergelijke gegevens beschermd blijven in overeenstemming met Gegevensbeschermingswetten.

4. Beveiliging en Vertrouwelijkheid

ULTEH zet zich in voor het beschermen van de veiligheid en vertrouwelijkheid van Persoonsgegevens die worden verwerkt namens de Klant. Om de gegevensintegriteit en veiligheid te waarborgen, implementeren en onderhouden we toonaangevende beveiligingsmaatregelen in de sector ontworpen om ongeautoriseerde toegang, openbaarmaking, wijziging of vernietiging van Persoonsgegevens te voorkomen.

Deze beveiligingsmaatregelen omvatten, maar zijn niet beperkt tot:

• Gegevensversleuteling: Persoonsgegevens worden zowel tijdens transport als in rust versleuteld met behulp van industriestandaard versleutelingsprotocollen om te beschermen tegen ongeautoriseerde toegang.
• Toegangscontroles: Strikte toegangsbeheersbeleid zorgt ervoor dat alleen geautoriseerd personeel toegang heeft tot Persoonsgegevens op basis van het principe van minimale rechten.
• Netwerk- en Systeembeveiliging: Firewalls, inbraakdetectiesystemen en continue monitoring helpen ongeautoriseerde toegang en cyberbedreigingen te voorkomen.
• Gegevensanonimisering en Pseudonimisering: Waar van toepassing kunnen Persoonsgegevens worden geanonimiseerd of gepseudonimiseerd om risico's in verband met gegevensblootstelling te verminderen.
• Regelmatige Beveiligingsaudits: We voeren periodieke veiligheidsbeoordelingen, kwetsbaarheidstest en compliance-checks uit om risico's te identificeren en te beperken.
• Incidentresponsplan: Een gestructureerd incidentresponsprotocol zorgt ervoor dat elke beveiligingsinbreuk onmiddellijk wordt geïdentificeerd, beperkt en gemeld in overeenstemming met toepasselijke Gegevensbeschermingswetten.

Elke persoon, inclusief werknemers, contractanten en geautoriseerde dienstverleners, die Persoonsgegevens namens ons verwerkt, is gebonden aan strikte vertrouwelijkheidsverplichtingen. Dit omvat het ondertekenen van juridisch afdwingbare geheimhoudingsovereenkomsten (NDA's) en het naleven van interne gegevensverwerkingsbeleid om naleving van gegevensprivacy- en beveiligingsnormen te waarborgen.

We zullen de Klant onmiddellijk op de hoogte stellen van elke bevestigde beveiligingsinbreuk die kan leiden tot onbedoelde of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of toegang tot Persoonsgegevens. Dergelijke kennisgevingen zullen details bevatten van het incident, potentiële impact en genomen herstelmaatregelen om risico's te beperken.

We herzien en updaten voortdurend onze beveiligingsmaatregelen in overeenstemming met evoluerende industrienormen en regelgevingsvereisten om de voortdurende bescherming van klantgegevens te waarborgen.

5. Subverwerkers

ULTEH kan derde Subverwerkers inschakelen om te helpen bij het leveren en onderhouden van de Services. Deze Subverwerkers voeren specifieke functies uit zoals gegevensopslag, infrastructuurhosting, analyses of klantenondersteuning. We zorgen ervoor dat alle ingeschakelde Subverwerkers zich houden aan strikte gegevensbeschermingsverplichtingen gelijkwaardig aan die beschreven in deze DPA.

We houden een up-to-date lijst bij van Subverwerkers, inclusief hun rollen en verwerkingslocaties. Klanten kunnen op elk moment informatie opvragen over de huidige Subverwerkers door contact met ons op te nemen.

Klantrechten & Bezwaren:

• We zullen Klanten op de hoogte stellen van eventuele nieuwe Subverwerker-engagementen ten minste 10 dagen vooraf.
• Klanten kunnen binnen deze periode van 10 dagen een schriftelijk bezwaar indienen tegen het gebruik van een nieuwe Subverwerker als ze legitieme gegevensbeschermingszorgen hebben.
• Na ontvangst van een bezwaar zullen we te goeder trouw gesprekken aangaan om zorgen aan te pakken, wat kan inhouden dat we alternatieve oplossingen vinden.
• Als er geen wederzijds aanvaardbare oplossing wordt bereikt, kan de Klant het recht hebben om de betreffende Services te beëindigen in overeenstemming met de Overeenkomst.

Wij blijven volledig verantwoordelijk en aansprakelijk voor de acties van onze Subverwerkers en zorgen ervoor dat ze voldoen aan::

• Gegevensbeschermingswetten, , inclusief AVG, CCPA en andere toepasselijke voorschriften.
• Vertrouwelijkheidsovereenkomsten om Persoonsgegevens te beschermen.
• Industriestandaard beveiligingsmaatregelen om ongeautoriseerde toegang of misbruik van gegevens te voorkomen.

We behouden ons het recht voor om onze Subverwerkers bij te werken of te vervangen indien nodig, met gepaste aandacht voor de zorgen van de Klant en voortdurende nalevingsverplichtingen.

6. Overdrachten van Persoonsgegevens

ULTEH kan Persoonsgegevens overdragen buiten de Europese Economische Ruimte (EER), het Verenigd Koninkrijk (VK), of Zwitserland om de levering van Services te faciliteren. Wanneer dergelijke overdrachten plaatsvinden, zorgen we ervoor dat passende juridische waarborgen aanwezig zijn om de overgedragen gegevens te beschermen in overeenstemming met toepasselijke Gegevensbeschermingswetten.

We vertrouwen op erkende gegevensoverdrachtsmechanismen, waaronder maar niet beperkt tot::

• Standaard Contractuele Clausules (SCC's): We nemen SCC's op die zijn goedgekeurd door de Europese Commissie of andere bevoegde autoriteiten om rechtmatige gegevensoverdrachten te waarborgen.
• Aanvullende Maatregelen: Waar nodig passen we aanvullende technische, organisatorische en contractuele waarborgen toe om gegevensbescherming te verbeteren.
• Bindende Bedrijfsvoorschriften (BCR's): Wanneer van toepassing houden onze gelieerde entiteiten zich aan BCR's die een hoog niveau van gegevensbescherming waarborgen in internationale activiteiten.
• Andere Goedgekeurde Overdrachtsmechanismen: We voldoen aan eventuele aanvullende kaders, certificeringen of juridische instrumenten die erkend zijn voor rechtmatige grensoverschrijdende gegevensoverdrachten.

Klantrechten & Ondersteuning: We zijn toegewijd om de Klant te ondersteunen bij het waarborgen van de naleving van de rechten van Betrokkenen onder toepasselijke Gegevensbeschermingswetten. Dit omvat, maar is niet beperkt tot::

• Toegangsverzoeken: Betrokkenen in staat stellen toegang te krijgen tot hun Persoonsgegevens.
• Rectificatieverzoeken: Het mogelijk maken van correcties van onnauwkeurige of onvolledige gegevens.
• Verwijderingsverzoeken ("Recht om vergeten te worden"): Ondersteuning bij het verwijderen van Persoonsgegevens op verzoek, waar wettelijk toegestaan.
• Bezwaar & Beperking van Verwerking: Ondersteuning van Betrokkenen bij het uitoefenen van hun rechten om bezwaar te maken tegen of gegevensverwerkingsactiviteiten te beperken.
• Gegevensportabiliteit: Het faciliteren van de overdracht van Persoonsgegevens naar een andere verwerkingsverantwoordelijke, waar van toepassing.

We monitoren voortdurend wereldwijde privacyregels om naleving te waarborgen van vereisten voor grensoverschrijdende gegevensoverdracht en zullen de Klant op de hoogte stellen als wijzigingen in het juridische kader onze gegevensverwerkingsverplichtingen beïnvloeden.

7. Rechten van Betrokkenen

ULTEH erkent en respecteert de rechten van Betrokkenen onder toepasselijke Gegevensbeschermingswetten. We zullen de Klant, als de Verwerkingsverantwoordelijke, helpen bij het reageren op verzoeken van individuen betreffende hun Persoonsgegevens.

Betrokkenen kunnen de volgende rechten uitoefenen::

• Recht op Inzage: De mogelijkheid om bevestiging te vragen en te verkrijgen of hun gegevens worden verwerkt, samen met toegang tot de gegevens.
• Recht op Rectificatie: Het recht om onnauwkeurige of onvolledige Persoonsgegevens te corrigeren of bij te werken.
• Recht op Verwijdering ("Recht om Vergeten te Worden"): Het recht om verwijdering van Persoonsgegevens te verzoeken, onderhevig aan wettelijke en contractuele verplichtingen.
• Recht op Beperking van Verwerking: De mogelijkheid om de verwerking van Persoonsgegevens onder bepaalde voorwaarden te beperken.
• Recht op Gegevensportabiliteit: De mogelijkheid om Persoonsgegevens te verkrijgen en over te dragen naar een andere dienstverlener waar technisch haalbaar.
• Recht van Bezwaar: Het recht om bezwaar te maken tegen verwerking op basis van legitieme belangen, directe marketing of geautomatiseerde besluitvorming.
• Recht om Toestemming in te Trekken: Als verwerking is gebaseerd op toestemming, kan de Betrokkene de toestemming op elk moment intrekken.

Verantwoordelijkheden van de Klant: De Klant, handelend als de Verwerkingsverantwoordelijke, is verantwoordelijk voor het afhandelen van verzoeken van Betrokkenen. We zullen redelijke bijstand verlenen op verzoek, waarbij we ervoor zorgen dat reacties onmiddellijk en in overeenstemming met toepasselijke wetten worden afgehandeld.

We zullen niet direct reageren op een verzoek van een Betrokkene tenzij wettelijk verplicht of expliciet geautoriseerd door de Klant.

8. Melding van Gegevensinbreuken

ULTEH neemt beveiliging serieus en implementeert preventieve maatregelen om Persoonsgegevens te beschermen. In geval van een Persoonlijke Gegevensinbreuk zullen we echter snel en transparant handelen.

Respons Plan voor Gegevensinbreuken: Als we ons bewust worden van een bevestigde Persoonlijke Gegevensinbreuk die kan leiden tot ongeautoriseerde toegang, verlies, wijziging of openbaarmaking van Persoonsgegevens, zullen we::

• De impact van de inbreuk beoordelen en onmiddellijk stappen ondernemen om risico's te beperken.
• De Klant zonder onnodige vertraging op de hoogte stellen (doorgaans binnen 48 uur na bevestiging).
• Details verstrekken waaronder::
  • De aard en omvang van de inbreuk.
  • Het type gegevens dat is getroffen.
  • De potentiële gevolgen.
  • Genomen of voorgestelde maatregelen om de inbreuk aan te pakken.
• De Klant bijstaan bij het vervullen van eventuele wettelijke verplichtingen, inclusief meldingen aan autoriteiten en getroffen Betrokkenen, waar vereist.
• Corrigerende maatregelen implementeren om toekomstige inbreuken te voorkomen.

Verantwoordelijkheden van de Klant: De Klant is verantwoordelijk voor het bepalen of toezichthoudende autoriteiten en Betrokkenen moeten worden geïnformeerd in overeenstemming met toepasselijke Gegevensbeschermingswetten.

We zullen alle inbreuken documenteren en records bijhouden van ons onderzoek, mitigatie-inspanningen en herstelacties.

9. Gegevensbewaring en Verwijdering

ULTEH bewaart Persoonsgegevens alleen zolang als nodig om zijn verplichtingen onder deze Overeenkomst te vervullen of zoals vereist door toepasselijke wetten.

Gegevensbewaringsbeleid:

• We volgen principes van gegevensminimalisatie, waarbij we ervoor zorgen dat gegevens alleen worden bewaard voor legitieme zakelijke en nalevingsbehoeften.
• Gegevens worden verwijderd of geanonimiseerd zodra ze niet langer nodig zijn voor verwerkingsdoeleinden.
• Bewaartermijnen kunnen variëren afhankelijk van wettelijke, contractuele of regelgevende vereisten.

Door Klant Beheerde Gegevensverwijdering:

• Klanten kunnen op elk moment verwijdering van Persoonsgegevens aanvragen.
• Bij beëindiging van diensten zullen we Persoonsgegevens verwijderen of retourneren in overeenstemming met de instructies van de Klant.
• Als er geen verwijderingsverzoek wordt gedaan, zullen we Persoonsgegevens automatisch verwijderen binnen een redelijke termijn, tenzij wettelijk verplicht om ze te bewaren.

Uitzonderingen op Gegevensverwijdering: In bepaalde gevallen kunnen we Persoonsgegevens bewaren buiten de overeengekomen bewaartermijn, waaronder::

• Om te voldoen aan wettelijke verplichtingen (bijv. belasting-, audit- of regelgevingsvereisten).
• Voor legitieme belangen, zoals fraudepreventie of beveiligingsonderzoeken.
• Wanneer vereist door een bindend juridisch verzoek (bijv. gerechtelijk bevel).

We zorgen ervoor dat veilige verwijderingsprocedures worden gevolgd, waardoor ongeautoriseerd herstel of misbruik van Persoonsgegevens wordt voorkomen.

10. Toepasselijk Recht en Geschillenbeslechting

Dit Data Verwerkingsaddendum (DPA) wordt beheerst door en geïnterpreteerd in overeenstemming met dezelfde wetten en jurisdictie zoals gedefinieerd in de hoofdovereenkomst tussen ULTEH en de Klant.

Geschillenbeslechtingsproces: Als er een geschil ontstaat met betrekking tot deze DPA, komen beide partijen overeen om een gestructureerd oplossingsproces te volgen, waaronder::

• Onderhandeling te Goeder Trouw: De partijen zullen eerst proberen geschillen op te lossen door directe discussies en onderhandelingen.
• Bemiddeling of Arbitrage: Als onderhandeling mislukt, kan het geschil worden doorverwezen naar bemiddeling of arbitrage, zoals uiteengezet in de hoofdovereenkomst.
• Juridische Procedures: Als er geen oplossing wordt bereikt, kunnen geschillen worden beslecht via formele juridische procedures in de toepasselijke jurisdictie.

In geval van een conflict tussen deze DPA en de hoofdovereenkomst, hebben de voorwaarden van deze DPA voorrang uitsluitend met betrekking tot gegevensbeschermingszaken, waarbij naleving van toepasselijke Gegevensbeschermingswetten.

11. Slotbepalingen

Dit Data Verwerkingsaddendum vormt een integraal onderdeel van de algehele overeenkomst tussen ULTEH en de Klant. Door de Services te blijven gebruiken, erkent de Klant en accepteert hij de voorwaarden van deze DPA.

Als enige bepaling van deze DPA ongeldig of onuitvoerbaar blijkt te zijn, blijven de overige bepalingen volledig van kracht. De partijen komen overeen om elke onuitvoerbare bepaling te vervangen door een die de oorspronkelijke bedoeling zo dicht mogelijk benadert terwijl deze in overeenstemming blijft met toepasselijke wetten.

Wijzigingen & Updates: We behouden ons het recht voor om deze DPA te wijzigen of bij te werken om veranderingen in toepasselijke Gegevensbeschermingswetten, industriepraktijken of operationele behoeften te weerspiegelen. Klanten worden op de hoogte gesteld van eventuele materiële wijzigingen, en voortgezet gebruik van de Services vormt acceptatie van de bijgewerkte voorwaarden.

Contactinformatie: Voor vragen, zorgen of om een ondertekende kopie van deze DPA aan te vragen, kunnen Klanten contact met ons opnemen op:: [email protected].