Laatste update: januari 2024

ADDENDUM GEGEVENSVERWERKING

LET OP: Dit IS EEN KOPIE VAN DE VERWERKERSOVEREENKOMST.

Dit Addendum Gegevensverwerking, inclusief Bijlage 1, (hierna : "Verwerkersovereenkomst") is een addendum en maakt deel uit van de General Terms and Conditions of Service AdPage.io of een andere schriftelijke of elektronische overeenkomst tussen AdPage.io en Klant voor de aankoop van Server Side Tracking-diensten van AdPage.io (geïdentificeerd als "Diensten" of anderszins in de toepasselijke overeenkomst, en hierna gedefinieerd als "Diensten") (hierna : de “Overeenkomst") om de overeenkomst tussen de Partijen met betrekking tot de Verwerking van Persoonsgegevens vorm te geven. De klant gaat deze Verwerkersovereenkomst aan namens zichzelf en, voor zover vereist onder de toepasselijke wet- en regelgeving inzake gegevensbescherming. Tijdens het verlenen van de Diensten aan de Klant op grond van de Overeenkomst, kan AdPage.io Persoonsgegevens verwerken namens de Klant en de Partijen komen overeen de volgende bepalingen na te leven met betrekking tot Persoonsgegevens, waarbij elk redelijk en te goeder trouw handelt.

HOE DEZE VERWERKERSOVEREENKOMST UIT TE VOEREN:

  1. Deze Verwerkersovereenkomst bestaat uit twee delen: de hoofdtekst van de Verwerkersovereenkomst, Bijlage 1 en de bijbehorende bijlagen.
  2. Deze Verwerkersovereenkomst is vooraf ondertekend namens AdPage.io als verwerker. Bijlage I is vooraf ondertekend door AdPage.io als de gegevensimporteur.
  3. Om deze Verwerkersovereenkomst te voltooien, moet de Klant:De informatie aanvullen in het handtekening vak in en onderteken op pagina 5 en 19.Het document ondertekenen in het AdPage Tagging-portaal.

HOE DEZE VERWERKERSOVEREENKOMST VAN TOEPASSING IS

Tenzij uitdrukkelijk anders bepaald in de Overeenkomst, wordt deze Verwerkersovereenkomst wettelijk bindend na ontvangst door AdPage.io van de geldig ingevulde Verwerkersovereenkomst op support@adpage.io.

Om twijfel te voorkomen, wordt ondertekening van de Verwerkersovereenkomst op pagina 5 beschouwd als ondertekening en aanvaarding van de Standaard Contractuele Clausules, inclusief Bijlage II en Bijlage III. Als de Klant die deze Verwerkersovereenkomst ondertekent partij is bij de Overeenkomst, dan is deze Verwerkersovereenkomst een addendum bij en maakt deel uit van de Overeenkomst.  In dat geval is AdPage.io partij bij deze Verwerkersovereenkomst.

WORDT ALS VOLGT OVEREENGEKOMEN

1. Definities en interpretatie

1.1 In deze Verwerkersovereenkomst hebben de volgende termen de hieronder beschreven betekenis:

AdPage.io: is een handelsnaam van AdPage BV (KVK: 75440482), met als vestigingsadres: Velmolenweg 54 A 5404 LD, Uden Nederland. Ook aangeduid als "Verwerker".

Overeenkomst: betekent schriftelijke of elektronische overeenkomst tussen AdPage.io en Klant voor de aankoop van Server Side Tracking-diensten van AdPage.io.

Bepalingen: module twee (Doorgifte tussen verwerkingsverantwoordelijke en verwerker) van de Modelcontractbepalingen bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie, zoals opgenomen in bijlage 1 bij deze verwerkersovereenkomst.

Klant: betekent de rechtspersoon of Consument met wie AdPage.io een wettelijk bindende overeenkomst heeft gesloten. Ook "Verwerkingsverantwoordelijke" genoemd.

Verwerkingsverantwoordelijke: de natuurlijke of rechtspersoon, overheidsinstantie, dienst of andere instantie die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt.

Klantgegevens: omvat alle gegevens en informatie die door of voor de Klant aan AdPage.io worden verstrekt om Diensten te verlenen.

Verwerkersovereenkomst: is dit addendum voor gegevensverwerking, inclusief de bijlagen, zoals van tijd tot tijd gewijzigd.

Gegevensbeschermingswetten betekent alle toepasselijke wetten met betrekking tot de bescherming van persoonsgegevens of privacy die van tijd tot tijd van kracht zijn in de Europese Economische Ruimte en het Verenigd Koninkrijk, met inbegrip van (maar niet beperkt tot) de GDPR van de EU, de GDPR van het Verenigd Koninkrijk en de Data Protection Act 2018 van het Verenigd Koninkrijk, en elke andere toepasselijke wet met betrekking tot gegevensbescherming of de privacy van personen.

EU GDPR of ‘AVG’ betekent Algemene Verordening Gegevensbescherming 2016/679 van de EU.Partijen: Zowel AdPage.io als Klant.

Persoonsgegevens betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare levende persoon die wordt verwerkt door de Verwerker namens Verwerkingsverantwoordelijke als gevolg van, of in verband met, de levering van de Diensten onder de Overeenkomst, waarvan de details worden uiteengezet in Deel B van Bijlage I bij Bijlage 1 van deze Verwerkersovereenkomst, die van tijd tot tijd in onderling overleg tussen de Partijen kan worden gewijzigd.

Verwerker: een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke.

Dienst(en): Alle Diensten die beschikbaar worden gesteld aan Klanten via het AdPage.io online platform, plugins, websites van derden of enige andere Dienst die wordt aangeboden door AdPage.io.

1.2 De termen "derde land", "lidstaat", "betrokkene", "inbreuk in verband met persoonsgegevens", "verwerking" en "toezichthoudende autoriteit" hebben dezelfde betekenis als in de GDPR van de EU, en hun overeenkomstige termen worden dienovereenkomstig geïnterpreteerd.

1.3 In geval van conflict of ambiguïteit tussen:

1.3.1 een bepaling in het dispositief van deze Verwerkersovereenkomst en een bepaling in Bijlage 1, prevaleert de bepaling in Bijlage 1; en

1.3.2 een van de bepalingen van deze Verwerkersovereenkomst en de bepalingen van de Overeenkomst zelf, zullen de bepalingen van deze Verwerkersovereenkomst prevaleren met betrekking tot het onderwerp van deze Verwerkersovereenkomst.

ACHTERGROND

(A) De klant heeft een website of webshop en wil meer leads en verkopen realiseren.

(B) AdPage.io is een aanbieder van gespecialiseerde analytics Server Side Tracking Services , en Klant wenst AdPage.io 's diensten af te nemen met betrekking tot het correct meten van de resultaten van advertenties door gebruik te maken van Proxy server.

(C) De partijen zijn een Overeenkomst aangegaan waarin het juridische kader wordt uiteengezet waaronder AdPage.io Klant zal bijstaan en waaronder AdPage.io is overeengekomen de Diensten aan de Klant te leveren.

(D) De Diensten die AdPage.io onder de Overeenkomst levert, stellen AdPage.io in staat om Persoonsgegevens (zoals hierboven gedefinieerd) te raadplegen en te verwerken als Verwerker namens de Klant (die optreedt als Verwerkingsverantwoordelijke).

(E) Om de veilige, correcte en rechtmatige verwerking van Persoonsgegevens door AdPage.io namens de Klant te garanderen, zijn de Partijen de voorwaarden overeengekomen zoals uiteengezet in dit addendum voor gegevensverwerking.

2. Rol en verplichtingen van de partijen

2.1 Klant en AdPage.io komen overeen en erkennen dat:

2.1.1. Voor de doeleinden van de Gegevensbeschermingswetten treedt AdPage.io op als Verwerker namens de Klant (die optreedt als Verwerkingsverantwoordelijke);

2.1.2 de verwerking van de Persoonsgegevens door AdPage.io wordt beheerst door de Modelcontractbepalingen (zoals uiteengezet in Bijlage 1 van deze Verwerkersovereenkomst); en

2.1.3 voor de doeleinden van de Modelcontractbepalingen is de klant de gegevensexporteur en AdPage.io de gegevensimporteur;

2.1.4 is het de verantwoordelijkheid van de Klant om pseudonimisering van de persoonsgegevens in te schakelen. Indien pseudonimisering is uitgeschakeld, kan Adpage niet garanderen dat adequate aanvullende maatregelen zijn getroffen om essentiële gelijkwaardigheid met EU beschermingsniveaus te waarborgen.

3. Verwijdering of teruggave van persoonsgegevens van de verwerkingsverantwoordelijke

3.1 Behoudens artikel 5.3 (Duur en beëindiging), zullen de verplichtingen van AdPage.io zoals uiteengezet in artikel 8.5 van de General Terms and Conditions of Service worden vervuld binnen 30 dagen na het einde van de levering van de Diensten onder de Overeenkomst.

3.2 AdPage.io mag Persoonsgegevens bewaren voor zover vereist door de wetgeving van de EU, het VK of een lidstaat en alleen voor zover en voor zolang vereist door de wetgeving van de EU, het VK of een lidstaat en altijd op voorwaarde dat AdPage.io de vertrouwelijkheid van al deze Persoonsgegevens zal waarborgen en ervoor zal zorgen dat dergelijke Persoonsgegevens alleen worden verwerkt voor zover dit noodzakelijk is voor het doel of de doelen die zijn gespecificeerd in de relevante wetgeving van de EU, het VK of een lidstaat die de opslag ervan vereist en voor geen enkel ander doel.

4. Bijstand verleend overeenkomstig BIJLAGE 1

4.1. AdPage.io zal de in artikel 8.3, 8.6 en 10 van de Modelcontractbepalingen beschreven assistentie verlenen zonder extra kosten voor de Klant.

Termijn en beëindiging

5.1 Deze Verwerkersovereenkomst treedt in werking na ontvangst door AdPage.io van de geldig ingevulde Verwerkersovereenkomst op het e-mailadres en zal eindigen op de laatste van de volgende data:

(i) de datum waarop de Overeenkomst eindigt; of
(ii) de datum waarop AdPage.io stopt met het verwerken van Persoonsgegevens.


5.2 Elke bepaling van deze Verwerkersovereenkomst die uitdrukkelijk of impliciet bedoeld is om in werking te treden of van kracht te blijven op of na beëindiging van deze Verwerkersovereenkomst blijft volledig van kracht.

5.3 De beëindiging of het aflopen van deze Verwerkersovereenkomst heeft geen invloed op de rechten, rechtsmiddelen, verplichtingen of aansprakelijkheden van de Partijen die zijn ontstaan tot de datum van beëindiging of het aflopen, inclusief het recht om schadevergoeding te eisen in verband met een schending van deze Verwerkersovereenkomst die bestond op of voor de datum van beëindiging of het aflopen.

6. aansprakelijkheid

6.1 Behoudens clausule 6.2 wordt de aansprakelijkheid van elke Partij met betrekking tot alle vorderingen, verliezen, procedures, acties of wettelijke sancties die voortvloeien uit of in verband staan met deze Verwerkersovereenkomst beheerst door de bepalingen in de Overeenkomst en wordt niet gewijzigd door deze Verwerkersovereenkomst.

6.2 Niettegenstaande het voorgaande beperkt niets in deze Verwerkersovereenkomst of de Overeenkomst de aansprakelijkheid van een Partij met betrekking tot haar verplichtingen onder de Modelcontractbepalingen.

7. diverse

7.1 Alle kennisgevingen aan een Partij op grond van deze Verwerkersovereenkomst dienen schriftelijk te geschieden en te worden verzonden naar het adres aan het begin van deze Verwerkersovereenkomst of naar een ander adres dat schriftelijk door een Partij is medegedeeld.

7.2 Het niet uitoefenen door een Partij van haar rechten krachtens of in verband met deze Verwerkersovereenkomst vormt geen verklaring van afstand van deze rechten en doet op geen enkele andere wijze afbreuk aan deze rechten.

7.3 Deze Verwerkersovereenkomst kan alleen worden gewijzigd door een schriftelijke overeenkomst tussen de Partijen.

7.4 Als een bepaling van deze Verwerkersovereenkomst nietig of niet-afdwingbaar wordt verklaard door een rechtbank of tribunaal met competente jurisdictie, blijven de overige bepalingen van deze Verwerkersovereenkomst van kracht, tenzij de laatstgenoemde bepalingen geacht moeten worden onlosmakelijk verbonden te zijn met de nietige of niet-afdwingbare bepaling. In het geval dat de andere bepalingen geldig blijven, zullen beide Partijen zich inspannen om de nietige of niet-afdwingbare bepaling te vervangen door een geldige bepaling die de oorspronkelijke intentie van de Partijen zo veel mogelijk weerspiegelt.

8. Toepasselijk recht

Deze Verwerkersovereenkomst en alle geschillen of vorderingen die voortvloeien uit of verband houden met deze Verwerkersovereenkomst (met inbegrip van niet-contractuele geschillen of vorderingen) worden beheerst door en geïnterpreteerd in overeenstemming met de wetten van Nederland. Elke Partij stemt er onherroepelijk mee in dat de rechtbank van Den Bosch in Nederland de exclusieve jurisdictie heeft om elk geschil of claim voortvloeiend uit of in verband met deze Verwerkersovereenkomst (inclusief niet-contractuele geschillen of claims) te beslechten.

Uitgevoerd in twee (2) originele exemplaren, waarbij elke partij de ontvangst van één (1) origineel exemplaar bevestigt.

LET OP: Dit IS EEN KOPIE VAN DE VERWERKERSOVEREENKOMST.

BIJLAGE 1 - STANDAARDCONTRACTBEPALINGEN

AFDELING I
Bepaling 1
Doel en toepassingsgebied

(a) Deze standaardcontractbepalingen hebben tot doel de naleving van de in Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG, algemene verordening gegevensbescherming) (1) bepaalde vereisten te garanderen voor de doorgifte van persoonsgegevens naar een derde land.

(b) De partijen:

(i) de natuurlijke of rechtspersonen en de overheidsinstellingen, -organen en -instanties (hierna “entiteiten” genoemd) die de in bijlage I.A bedoelde persoonsgegevens doorgeven (“gegevensexporteur”), en

(ii) de entiteiten in een derde land die de persoonsgegevens van de gegevensexporteur ontvangen, direct of indirect via een andere entiteit die ook partij is bij deze bepalingen, zoals opgenomen in bijlage I.A (hierna “gegevensimporteur” genoemd)

zijn deze standaardcontractbepalingen (hierna: “bepalingen” genoemd) overeengekomen.

(c) Deze bepalingen zijn van toepassing op de doorgifte van persoonsgegevens zoals opgenomen in bijlage Annex I.B.

(d) Het aanhangsel bij deze bepalingen dat de daarin genoemde bijlagen bevat, maakt integraal deel uit van deze bepalingen.

Bepaling 2

Effect en onveranderlijkheid van de bepalingen

(a) In deze bepalingen worden passende waarborgen vastgesteld, met inbegrip van afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen, overeenkomstig artikel 46, lid 1, en artikel 46, lid 2, punt c), van Verordening (EU) 2016/679 alsook, met betrekking tot gegevensdoorgiften van verwerkingsverantwoordelijken aan verwerkers en/of van verwerkers aan verwerkers, standaardcontractbepalingen overeenkomstig artikel 28, lid 7, van Verordening (EU) 2016/679, mits deze niet worden gewijzigd, behalve om de geschikte module(s) te selecteren of om informatie in het aanhangsel toe te voegen of te wijzigen. Dit houdt niet in dat de partijen de in deze bepalingen neergelegde standaardcontractbepalingen niet in een bredere overeenkomst mogen opnemen en/of andere bepalingen of extra waarborgen mogen toevoegen, mits deze niet direct of indirect in tegenspraak zijn met deze bepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen.

(b) Deze bepalingen doen geen afbreuk aan de krachtens Verordening (EU) 2016/679 op de gegevensexporteur rustende verplichtingen.

Bepaling 3
Derde-begunstigden

Betrokkenen mogen zich als derde-begunstigden op deze bepalingen beroepen en deze doen gelden tegen de gegevensexporteur en/of de gegevensimporteur, met de volgende uitzonderingen:

(i) Bepaling 1, bepaling 2, bepaling 3, bepaling 6, bepaling 7;

(ii) Bepaling 8 — module een: Bepaling 8.5, punt e) en bepaling 8.9, punt b); Module twee: Bepaling 8.1, punt b), bepaling 8.9, punten a), c), d) en e); Module drie: Bepaling 8.1, punten a), c) en d) en bepaling 8.9, punten a), c), d), e), f) en g); Module vier: Bepaling 8.1, punt b) en bepaling 8.3, punt b);

(iii) Bepaling 9 — module twee: Bepaling 9, punten a), c), d) en e); Module drie: Bepaling 9, punten a), c), d) en e);

(iv) Bepaling 12 — module een: Bepaling 12, punten a) en d); Modulen twee en drie: Bepaling 12, punten a), d) en f);

(v) Bepaling 13;

(vi) Bepaling 15.1, punten c), d) en e);

(vii) Bepaling 16, punt e);

(viii) Bepaling 18 — modulen een, twee en drie: Bepaling 18, punten a) en b); Module vier: Bepaling 18.Punt a) doet geen afbreuk aan de rechten van betrokkenen krachtens Verordening (EU) 2016/679.

Bepaling 4
Interpretatie

(a) Wanneer in deze bepalingen in Verordening (EU) 2016/679 gedefinieerde termen worden gebruikt, hebben die termen dezelfde betekenis als in die verordening.

(b) Deze bepalingen worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.

(c) Deze bepalingen worden niet geïnterpreteerd op een wijze die in tegenspraak is met de in Verordening (EU) 2016/679 vastgestelde rechten en verplichtingen.

Bepaling 5
Hiërarchie

In geval van tegenspraak tussen deze bepalingen en de bepalingen van aanverwante overeenkomsten tussen de partijen die bestonden ten tijde van het overeenkomen van deze bepalingen of die daarna werden gesloten, hebben deze bepalingen voorrang.

Bepaling 6
Beschrijving van de doorgifte(n)

De details van de doorgifte(n), en in het bijzonder de categorieën van persoonsgegevens die worden doorgegeven en het doel waarvoor zij worden doorgegeven, worden in bijlage I.B nader gespecificeerd.

Bepaling 7 — Facultatief
Docking-bepaling
(weggelaten)

AFDELING II — VERPLICHTINGEN VAN DE PARTIJEN

Bepaling 8
Waarborgen inzake gegevensbescherming

De gegevensexporteur garandeert dat hij redelijke inspanningen heeft geleverd om te bepalen of de gegevensimporteur, door de uitvoering van passende technische en organisatorische maatregelen, in staat is zijn verplichtingen uit hoofde van deze bepalingen na te komen.

8.1.   Instructies
(a) De gegevensimporteur verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de gegevensexporteur. De gegevensexporteur mag dergelijke instructies geven gedurende de duur van de overeenkomst.
(b) De gegevensimporteur stelt de gegevensexporteur onmiddellijk in kennis indien hij niet in staat is deze instructies op te volgen.

8.2.   Doelbinding
De gegevensimporteur verwerkt de persoonsgegevens alleen voor het specifieke doel van de doorgifte, zoals opgenomen bijlage I.B, tenzij op basis van verdere instructies van de gegevensexporteur.

8.3.   Transparantie
De gegevensexporteur maakt op verzoek een kopie van deze bepalingen, met inbegrip van het door de partijen ingevulde aanhangsel, dat gratis beschikbaar is voor de betrokkene. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder de in bijlage II beschreven maatregelen en persoonsgegevens, te beschermen, mag de gegevensexporteur een gedeelte van de tekst van het aanhangsel bij deze bepalingen redigeren voordat hij een kopie deelt, maar hij moet daarbij een relevante samenvatting verstrekken indien de betrokkene anders de inhoud ervan niet zou kunnen begrijpen of zijn/haar rechten niet zou kunnen uitoefenen. Op verzoek delen de partijen de betrokkene de redenen voor het redigeren mee, voor zover mogelijk zonder de geredigeerde informatie te onthullen. Deze bepaling doet geen afbreuk aan de verplichtingen van de gegevensexporteur op grond van de artikelen 13 en 14 van Verordening (EU) 2016/679.

8.4.   Nauwkeurigheid
Indien de gegevensimporteur te weten komt dat de persoonsgegevens die hij heeft ontvangen onjuist of verouderd zijn, stelt hij de gegevensexporteur daarvan onverwijld in kennis. In dit geval werkt de gegevensimporteur samen met de gegevensexporteur om de gegevens te wissen of te rectificeren.

8.5.   Duur van verwerking en wissing of terugbezorging van gegevens
Verwerking door de gegevensimporteur vindt alleen plaats voor de in bijlage I.B opgegeven duur. Na afloop van de verrichting van de verwerkingsdiensten wist de gegevensimporteur, naargelang de wens van de gegevensexporteur, alle namens de gegevensexporteur verwerkte persoonsgegevens en verzekert hij de gegevensexporteur dat hij dat heeft gedaan, of geeft hij de gegevensexporteur alle namens hem verwerkte persoonsgegevens terug en verwijdert bestaande kopieën. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan deze bepalingen wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of wissing van de doorgegeven persoonsgegevens verboden is, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de persoonsgegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist. Dit doet geen afbreuk aan bepaling 14, met name het vereiste voor de gegevensimporteur krachtens bepaling 14, punt e), om de gegevensexporteur gedurende de hele looptijd van de overeenkomst in kennis te stellen als hij redenen heeft om aan te nemen dat hij onder wetten of praktijken valt of is komen te vallen die niet overeenstemmen met de vereisten uit hoofde van bepaling 14, punt a).

8.6.   Beveiliging van de verwerking
(a) De gegevensimporteur en, tijdens de toezending, ook de gegevensexporteur, neemt passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot die gegevens (hierna “inbreuk in verband met persoonsgegevens” genoemd). Bij het beoordelen van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico’s die de verwerking met zich meebrengt voor de betrokkenen. De partijen overwegen met name gebruik te maken van encryptie of pseudonimisering, ook tijdens toezending, waarbij het doel van de verwerking op die manier kan worden verwezenlijkt. Bij pseudonimisering blijven de aanvullende gegevens voor het koppelen van de persoonsgegevens aan een bepaalde betrokkene waar mogelijk onder de exclusieve controle van de gegevensexporteur. Bij de naleving van zijn verplichting uit hoofde van dit punt voert de gegevensimporteur ten minste de in bijlage II vastgestelde technische en organisatorische maatregelen uit. De gegevensimporteur voert regelmatig controles uit om ervoor te zorgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.

(b) De gegevensimporteur verleent zijn personeel alleen toegang tot de persoonsgegevens voor zover dit strikt noodzakelijk is voor de uitvoering, het beheer en de follow-up van de overeenkomst. Hij waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

(c) Bij een inbreuk in verband met persoonsgegevens met betrekking tot persoonsgegevens die op grond van deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, waaronder maatregelen om de negatieve gevolgen ervan te beperken. Nadat de gegevensimporteur kennis heeft genomen van de inbreuk, stelt hij ook de gegevensexporteur daarvan onverwijld in kennis. Een dergelijke kennisgeving bevat de gegevens van een contactpunt bij wie meer informatie kan worden verkregen, een beschrijving van de aard van de inbreuk waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie), de waarschijnlijke gevolgen ervan en de maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken waaronder, in voorkomend geval, maatregelen om mogelijke negatieve gevolgen te beperken. Wanneer en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, bevat de initiële kennisgeving de op dat moment beschikbare informatie en zal verdere informatie, zodra die beschikbaar is, vervolgens onverwijld worden verstrekt.

(d) Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, werkt de gegevensimporteur samen met en verleent hij bijstand aan de gegevensexporteur om deze in staat te stellen zijn verplichtingen krachtens Verordening (EU) 2016/679 na te komen, met name om de bevoegde toezichthoudende autoriteit en de getroffen betrokkenen in kennis te stellen.

8.7.   Gevoelige gegevens
Indien de doorgifte persoonsgegevens betreft waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (hierna “gevoelige gegevens” genoemd) blijken, past de gegevensimporteur de in bijlage I.B omschreven specifieke beperkingen en/of extra waarborgen toe.

8.8.   Verdere doorgiften
De gegevensimporteur verstrekt de persoonsgegevens uitsluitend aan een derde partij na schriftelijke instructies van de gegevensexporteur. Bovendien worden de gegevens alleen aan een derde partij verstrekt die is gevestigd buiten de Europese Unie (4) (in hetzelfde land als de gegevensimporteur of in een ander derde land; hierna “verdere doorgifte” genoemd), indien de derde partij aan deze bepalingen is gebonden of ermee instemt daaraan gebonden te zijn, op grond van de juiste module, of indien:

(i) de verdere doorgifte naar een land is dat profiteert van een adequaatheidsbesluit overeenkomstig artikel 45 van Verordening (EU) 2016/679 waar de verdere doorgifte onder valt;

(ii) de derde partij anderszins voor passende waarborgen overeenkomstig artikel 46 of 47 van Verordening (EU) 2016/679 zorgt met betrekking tot de verwerking in kwestie;

(iii) de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures, of

(iv) de verdere doorgifte noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.Verdere doorgiften mogen alleen plaatsvinden indien de gegevensimporteur zich aan alle overige waarborgen krachtens deze bepalingen houdt, met name doelbinding.

8.9.   Documentatie en naleving

(a) De gegevensimporteur handelt vragen van de gegevensexporteur in verband met de verwerking op grond van deze bepalingen onverwijld en op passende wijze af.

(b) De partijen moeten de naleving van deze bepalingen kunnen aantonen. De gegevensimporteur houdt met name passende documentatie bij over de verwerkingsactiviteiten die onder zijn verantwoordelijkheid namens de gegevensexporteur hebben plaatsgevonden.

(c) Op verzoek van de gegevensexporteur stelt de gegevensimporteur de gegevensexporteur alle informatie ter beschikking die nodig is om naleving van de in deze bepalingen vastgestelde verplichtingen aan te tonen, audits van de onder deze bepalingen vallende verwerkingsactiviteiten mogelijk te maken en eraan bij te dragen, en dit met redelijke tussenpozen of wanneer er aanwijzingen van niet-naleving zijn. Bij het nemen van een besluit over een toetsing of audit kan de gegevensexporteur rekening houden met relevante certificeringen waarover de gegevensimporteur beschikt.

(d) De gegevensexporteur kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke controleur daartoe te machtigen. Audits kunnen inspecties in de bedrijfsruimten of de fysieke voorzieningen van de gegevensimporteur omvatten en worden, in voorkomend geval, uitgevoerd met een redelijke aankondiging vooraf.

(e) De partijen stellen de in de punten b) en c) bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

Bepaling 9
Gebruik van subverwerkers
(a) De gegevensimporteur heeft algemene toestemming van de gegevensexporteur om subverwerkers van een overeengekomen lijst in dienst te nemen. De gegevensimporteur stelt de gegevensexporteur ten minste [termijn opgeven] van tevoren specifiek schriftelijk in kennis van beoogde veranderingen van die lijst door middel van de toevoeging of vervanging van subverwerkers zodat de gegevensexporteur voldoende tijd krijgt om bezwaar tegen die veranderingen te maken voordat de subverwerker(s) in dienst wordt/worden genomen. De gegevensimporteur verstrekt de gegevensexporteur de informatie die deze nodig heeft om zijn recht om bezwaar te maken uit te oefenen.

(b) Wanneer de gegevensimporteur een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingsactiviteiten (namens de gegevensexporteur), dan doet hij dit door middel van een schriftelijke overeenkomst die, wat de inhoud betreft, voorziet in dezelfde verplichtingen inzake gegevensbescherming als die waaraan de gegevensimporteur krachtens deze bepalingen is gebonden, onder meer wat betreft de rechten ten behoeve van derden voor betrokkenen (8). De partijen komen overeen dat de gegevensimporteur zijn verplichtingen uit hoofde van bepaling 8.8 nakomt door deze bepaling na te leven. De gegevensimporteur zorgt ervoor dat de subverwerker zich houdt aan de verplichtingen waaraan de gegevensimporteur overeenkomstig deze bepalingen is gebonden.

(c) De gegevensimporteur verstrekt op verzoek van de gegevensexporteur een kopie van die overeenkomst met de subverwerker en van eventuele daaropvolgende wijzigingen aan de gegevensexporteur. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mag de gegevensimporteur de tekst van de overeenkomst redigeren voordat hij een kopie deelt.

(d) De gegevensimporteur blijft ten aanzien van de gegevensexporteur volledig verantwoordelijk voor het nakomen van zijn verplichtingen door de subverwerker uit hoofde van zijn overeenkomst met de gegevensimporteur. De gegevensimporteur stelt de gegevensexporteur in kennis van elke niet-nakoming door de subverwerker van zijn verplichtingen uit hoofde van die overeenkomst.

(e) De gegevensimporteur komt een derdenbeding overeen met de subverwerker waarbij de gegevensexporteur, in geval de gegevensimporteur feitelijk is verdwenen, rechtens is opgehouden te bestaan of failliet is gegaan, het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker op te dragen de persoonsgegevens te wissen of terug te geven.

Bepaling 10
De rechten van betrokkenen

(a) De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van alle verzoeken die hij van een betrokkene heeft ontvangen. Hij reageert zelf niet op dat verzoek, tenzij dit door de gegevensexporteur is toegestaan.

(b) De gegevensimporteur verleent de gegevensexporteur bijstand bij het nakomen van zijn verplichtingen om te reageren op de verzoeken van betrokkenen voor de uitoefening van hun rechten uit hoofde van Verordening (EU) 2016/679. In dit verband stellen de partijen in bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking op basis waarvan de bijstand wordt verleend, alsook de reikwijdte en de omvang van de vereiste bijstand.

(c) Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b), houdt de gegevensimporteur zich aan de instructies van de gegevensexporteur.

Bepaling 11
Verhaal

(a) De gegevensimporteur brengt betrokkenen via een individuele mededeling of op zijn website, in een transparant en gemakkelijk toegankelijk formaat, op de hoogte van een contactpunt dat gemachtigd is om klachten af te handelen. Hij handelt klachten die hij van een betrokkene ontvangt onverwijld af.

(b) Bij een geschil tussen een betrokkene en een van de partijen met betrekking tot de naleving van deze bepalingen, doet die partij al het mogelijke om de kwestie tijdig in der minne te schikken. De partijen houden elkaar op de hoogte van dergelijke geschillen en werken, in voorkomend geval, samen om ze te beslechten.

(c) Wanneer de betrokkene zich overeenkomstig bepaling 3 op een recht ten behoeve van derden beroept, aanvaardt de gegevensimporteur het besluit van de betrokkene om:

(i) een klacht in te dienen bij de toezichthoudende autoriteit in de lidstaat waar hij/zij gewoonlijk verblijft of werkt, of de bevoegde toezichthoudende autoriteit krachtens bepaling 13;

(ii) het geschil voor te leggen aan de bevoegde gerechten in de zin van bepaling 18.

(d) De partijen aanvaarden dat de betrokkene vertegenwoordigd kan worden door een orgaan, organisatie of vereniging zonder winstoogmerk onder de in artikel 80, lid 1, van Verordening (EU) 2016/679 vermelde voorwaarden.

(e) De gegevensimporteur schikt zich naar een besluit dat uit hoofde van het toepasselijke recht van de Europese Unie/de lidstaat bindend is.De gegevensimporteur stemt ermee in dat de keuze van de betrokkene geen afbreuk doet aan zijn/haar materiële en formele rechten om overeenkomstig de geldende wetgeving verhaal te zoeken.

Bepaling 12
Aansprakelijkheid

(a) Elke partij is ten aanzien van de andere partij(en) aansprakelijk voor schade die hij de andere partij(en) berokkent door inbreuken op deze bepalingen.

(b) De gegevensimporteur is ten aanzien van de betrokkene aansprakelijk en de betrokkene heeft het recht een vergoeding te verkrijgen voor materiële of immateriële schade die de gegevensimporteur of zijn subverwerker aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze bepalingen te schenden.

(c) Niettegenstaande punt b) is de gegevensexporteur ten aanzien van de betrokkene aansprakelijk en heeft de betrokkene het recht een vergoeding te verkrijgen voor materiële of immateriële schade die de gegevensexporteur of de gegevensimporteur (of zijn subverwerker) aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze bepalingen te schenden. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur en, wanneer de gegevensexporteur een verwerker is die namens een verwerkingsverantwoordelijke optreedt, aan de aansprakelijkheid van de verwerkingsverantwoordelijke uit hoofde van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, indien van toepassing.

(d) De partijen komen overeen dat als de gegevensexporteur op grond van punt c) aansprakelijk wordt gesteld voor door de gegevensimporteur (of zijn subverwerker) berokkende schade, hij het recht heeft om op de gegevensimporteur het deel van de schadevergoeding te verhalen dat overeenkomt met de aansprakelijkheid van de gegevensimporteur voor de schade.

(e) Wanneer meerdere partijen verantwoordelijk zijn voor schade die als gevolg van schendingen van deze bepalingen aan de betrokkene is berokkend, zijn alle verantwoordelijke partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht om voor de rechter een procedure tegen deze partijen in te stellen.

(f) De partijen komen overeen dat als een van de partijen op grond van punt e) aansprakelijk wordt gesteld, deze partij het recht heeft om op de andere partij(en) het deel van de schadevergoeding te verhalen dat overeenkomt met zijn/hun deel van de aansprakelijkheid voor de schade.

(g) De gegevensimporteur mag zich niet op het gedrag van een subverwerker beroepen om zich aan zijn eigen aansprakelijkheid te onttrekken.

Bepaling 13
Toezicht

(a) De toezichthoudende autoriteit die erop toeziet dat de gegevensexporteur Verordening (EU) 2016/679 naleeft met betrekking tot de gegevensdoorgifte, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.

(b) De gegevensimporteur stemt ermee in zich te onderwerpen aan de jurisdictie van en samen te werken met de bevoegde toezichthoudende autoriteit in procedures gericht op het waarborgen van de naleving van deze bepalingen. De gegevensimporteur stemt er in het bijzonder mee in vragen te beantwoorden, zich aan audits te onderwerpen en zich aan de door de toezichthoudende autoriteit vastgestelde maatregelen te houden, waaronder corrigerende en compenserende maatregelen. Hij geeft de toezichthoudende autoriteit schriftelijke bevestiging dat de noodzakelijke maatregelen zijn genomen.

AFDELING III — LOKALE WETTEN EN VERPLICHTINGEN IN GEVAL VAN TOEGANG DOOR OVERHEIDSINSTANTIES

Bepaling 14
Lokale wetten en praktijken met gevolgen voor de naleving van de bepalingen
(a) De partijen garanderen dat zij geen reden hebben om aan te nemen dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur, met inbegrip van vereisten om persoonsgegevens te verstrekken of maatregelen die toegang door overheidsinstanties toestaan, de gegevensimporteur verhinderen zijn verplichtingen uit hoofde van deze bepalingen na te komen. Hierbij wordt ervan uitgegaan dat wetten en praktijken waarmee de wezenlijke inhoud van de grondrechten en fundamentele vrijheden wordt geëerbiedigd en die niet verder gaan dan hetgeen in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in tegenspraak zijn met deze bepalingen.

(b) De partijen verklaren dat zij bij het bieden van de in punt a) bedoelde garantie met name de volgende elementen naar behoren in aanmerking hebben genomen:

(i) de specifieke omstandigheden van de doorgifte, waaronder de lengte van de verwerkingsketen, het aantal betrokken actoren en de kanalen die voor de toezending zijn gebruikt; voorgenomen verdere doorgiften; het soort ontvanger; het doel van de verwerking; de categorieën en het formaat van de doorgegeven persoonsgegevens; de economische sector waarin de doorgifte plaatsvindt; de opslagplaats van de doorgegeven gegevens;

(ii) de wetten en praktijken van het derde land van bestemming — waaronder de wetten en praktijken die vereisen om gegevens aan overheidsinstanties te verstrekken of toegang door dergelijke instanties toestaan — die van belang zijn in het licht van de specifieke omstandigheden van de doorgifte, en de toepasselijke beperkingen en waarborgen (12);

(iii) alle relevante contractuele, technische of organisatorische waarborgen die zijn ingesteld in aanvulling op de waarborgen uit hoofde van deze bepalingen, waaronder maatregelen die worden toegepast tijdens de toezending en op de verwerking van de persoonsgegevens in het land van bestemming.

(c) De gegevensimporteur garandeert dat hij bij het uitvoeren van de beoordeling op grond van punt b) al het mogelijke heeft gedaan om de gegevensexporteur van relevante informatie te voorzien en stemt ermee in dat hij met de gegevensexporteur zal blijven samenwerken om naleving van deze bepalingen te waarborgen.

(d) De partijen komen overeen om de beoordeling uit hoofde van punt b) te documenteren en op verzoek ter beschikking te stellen van de bevoegde toezichthoudende autoriteit.

(e) De gegevensimporteur stemt ermee in de gegevensexporteur onverwijld in kennis te stellen indien hij, na deze bepalingen te zijn overeengekomen en voor de duur van de overeenkomst, redenen heeft om aan te nemen dat hij onder wetten of praktijken valt of is komen te vallen die niet overeenstemmen met de vereisten uit hoofde van punt a), onder meer ingevolge een wijziging van de wetten in het derde land of een maatregel (zoals een verzoek om verstrekking) die duidt op een toepassing van die wetten in de praktijk die niet overeenstemt met de vereisten in punt a). [Voor module drie: De gegevensexporteur zendt de kennisgeving door aan de verwerkingsverantwoordelijke.]

(f) Ingevolge een kennisgeving overeenkomstig punt e), of als de gegevensexporteur anderszins redenen heeft om aan te nemen dat de gegevensimporteur zijn verplichtingen uit hoofde van deze bepalingen niet langer kan nakomen, stelt de gegevensexporteur onverwijld passende maatregelen (bv. technische of organisatorische maatregelen om betrouwbaarheid en vertrouwelijkheid te waarborgen) vast die de gegevensexporteur en/of de gegevensimporteur moeten uitvoeren om de situatie aan te pakken, [voor module drie:, in voorkomend geval in overleg met de verwerkingsverantwoordelijke]. De gegevensexporteur schort de gegevensdoorgifte op als hij van mening is dat er geen passende waarborgen voor die doorgifte kunnen worden gegarandeerd, of op basis van instructies van [voor module drie: de verwerkingsverantwoordelijke of] de bevoegde toezichthoudende autoriteit hiertoe. In dit geval heeft de gegevensexporteur het recht om de overeenkomst te beëindigen, voor zover die betrekking heeft op de verwerking van persoonsgegevens uit hoofde van deze bepalingen. Indien er meer dan twee partijen bij de overeenkomst zijn betrokken, mag de gegevensexporteur zijn recht om de overeenkomst te beëindigen alleen uitoefenen met betrekking tot de betrokken partij, tenzij anderszins door de partijen is overeengekomen. Indien de overeenkomst overeenkomstig deze bepaling wordt beëindigd, is bepaling 16, punten d) en e), van toepassing.

Bepaling 15
Verplichtingen van de gegevensimporteur in geval van toegang door overheidsinstanties

15.1.   Kennisgeving
(a) De gegevensimporteur stemt er mee in de gegevensexporteur en, voor zover mogelijk, de betrokkene onverwijld in kennis te stellen (indien nodig met behulp van de gegevensexporteur) indien hij:

(i) van een overheidsinstantie, met inbegrip van rechterlijke instanties, een juridisch bindend verzoek om verstrekking van overeenkomstig deze bepalingen doorgegeven persoonsgegevens ontvangt krachtens het recht van het land van bestemming; een dergelijke kennisgeving omvat informatie over de gevraagde persoonsgegevens, de verzoekende autoriteit, de rechtsgrondslag voor het verzoek en het gegeven antwoord, of

(ii) kennis heeft genomen van rechtstreekse toegang door overheidsinstanties tot de krachtens deze bepalingen doorgegeven persoonsgegevens in overeenstemming met de wetgeving van het land van bestemming; een dergelijke kennisgeving omvat alle informatie waarover de gegevensimporteur beschikt.

(b) Indien het de gegevensimporteur uit hoofde van de wetgeving van het land van bestemming verboden is om de gegevensexporteur en/of de betrokkene in kennis te stellen, stemt de gegevensimporteur ermee in al het mogelijke te doen om van het verbod te worden ontheven, teneinde zo spoedig mogelijk zo veel mogelijk informatie mee te delen. De gegevensimporteur stemt ermee in deze inspanningen te documenteren om ze op verzoek van de gegevensexporteur te kunnen aantonen.

(c) Indien toegestaan uit hoofde van de wetgeving van het land van bestemming, stemt de gegevensimporteur ermee in de gegevensexporteur, met regelmatige tussenpozen gedurende de duur van de overeenkomst, met zo veel mogelijk relevante informatie over de ontvangen verzoeken (met name het aantal verzoeken, het soort gevraagde gegevens, de verzoekende autoriteit(en), of er verzoeken zijn betwist en wat de uitkomst daarvan was enz.) te doen toekomen. [Voor module drie: De gegevensexporteur zendt de informatie door aan de verwerkingsverantwoordelijke.]

(d) De gegevensimporteur stemt ermee in de informatie overeenkomstig de punten a) tot en met c) te bewaren voor de duur van de overeenkomst en die op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit te stellen.

(e) De punten a) tot en met c) doen geen afbreuk aan de verplichting van de gegevensimporteur overeenkomstig bepaling 14, punt e), en bepaling 16 om de gegevensexporteur onverwijld in kennis te stellen wanneer hij niet in staat is deze bepalingen na te leven.

15.2.   Wettigheidstoetsing en gegevensminimalisering

(a) De gegevensimporteur stemt ermee in de wettigheid van het verzoek om verstrekking te toetsen, met name of die binnen de aan de verzoekende overheidsinstantie toegekende bevoegdheden blijft, en het verzoek te betwisten indien hij na een zorgvuldige beoordeling tot de conclusie komt dat er redelijke gronden zijn om aan te nemen dat het verzoek onwettig is krachtens de wetgeving van het land van bestemming, toepasselijke verplichtingen uit hoofde van het internationaal recht en beginselen van internationale courtoisie. Onder deze omstandigheden benut de gegevensimporteur de beroepsmogelijkheden. Bij het betwisten van een verzoek neemt de gegevensimporteur voorlopige maatregelen om de effecten van het verzoek op te schorten totdat de bevoegde rechterlijke instantie over de gegrondheid ervan heeft beslist. Hij verstrekt de gevraagde persoonsgegevens pas wanneer hij dat volgens de toepasselijke procedurevoorschriften moet doen. Deze vereisten doen geen afbreuk aan de verplichtingen van de gegevensimporteur krachtens bepaling 14, punt e).

(b) De gegevensimporteur stemt ermee in zijn juridische beoordeling en eventuele betwistingen van het verzoek om verstrekking te documenteren en, voor zover dit is toegestaan krachtens de wetgeving van het land van bestemming, de documentatie ter beschikking te stellen van de gegevensexporteur. Hij stelt deze documenten op verzoek ook ter beschikking van de bevoegde toezichthoudende autoriteit. [Voor module drie: De gegevensexporteur stelt de beoordeling ter beschikking van de verwerkingsverantwoordelijke.]

(c) De gegevensimporteur stemt ermee in de toegestane minimale hoeveelheid informatie te verstrekken bij het beantwoorden van een verzoek om verstrekking, op basis van een redelijke interpretatie van het verzoek.

AFDELING IV — SLOTBEPALINGEN

Bepaling 16
Niet-naleving van de bepalingen en beëindiging
(a) De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis indien hij om wat voor reden dan ook niet in staat is deze bepalingen na te leven.

(b) Indien de gegevensimporteur inbreuk maakt op deze bepalingen of niet in staat is deze bepalingen na te leven, schort de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur op totdat de naleving weer wordt gewaarborgd of totdat de overeenkomst wordt beëindigd. Dit doet geen afbreuk aan bepaling 14, punt f).

(c) De gegevensexporteur heeft het recht de overeenkomst te beëindigen, voor zover die betrekking heeft op de verwerking van persoonsgegevens uit hoofde van deze bepalingen, wanneer:

(i) de gegevensexporteur de doorgifte van persoonsgegevens naar de gegevensimporteur overeenkomstig punt b) heeft opgeschort en de bepalingen niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting weer worden nageleefd;

(ii) de gegevensimporteur in belangrijke en voortdurende mate inbreuk maakt op deze bepalingen, of

(iii) de gegevensimporteur zich niet aan een bindend besluit van een bevoegd gerecht of een bevoegde autoriteit met betrekking tot zijn verplichtingen uit hoofde van deze bepalingen houdt.

In deze gevallen stelt hij de bevoegde toezichthoudende autoriteit [voor module drie: en de verwerkingsverantwoordelijke] in kennis van die niet-naleving. Wanneer meer dan twee partijen bij de overeenkomst zijn betrokken, mag de gegevensexporteur zijn recht om de overeenkomst te beëindigen alleen uitoefenen met betrekking tot de betrokken partij, tenzij anderszins door de partijen is overeengekomen.

(d) Persoonsgegevens die voorafgaand aan de beëindiging van de overeenkomst zijn doorgegeven overeenkomstig punt c) worden, naargelang de wens van de gegevensexporteur, onmiddellijk volledig aan de gegevensexporteur terugbezorgd of gewist. Hetzelfde geldt voor eventuele kopieën van de gegevens. De gegevensimporteur verzekert de gegevensexporteur ervan dat de gegevens zijn gewist. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan deze bepalingen wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of wissing van de doorgegeven persoonsgegevens verboden is, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de gegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist.

(e) Elk van de partijen kan haar toestemming om aan deze bepalingen gebonden te zijn, intrekken wanneer i) de Europese Commissie een besluit overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 neemt dat betrekking heeft op de doorgifte van persoonsgegevens waarop deze bepalingen van toepassing zijn; of ii) Verordening (EU) 2016/679 onderdeel wordt van het rechtskader van het land waarnaar de persoonsgegevens worden doorgegeven. Dit doet geen afbreuk aan andere verplichtingen die van toepassing zijn op de desbetreffende verwerking op grond van Verordening (EU) 2016/679.

Bepaling 17
Toepasselijk recht
Deze bepalingen worden geregeld door het recht van een van de EU-lidstaten, mits dat recht voorziet in rechten ten behoeve van derden. De partijen komen overeen dat dit het recht van Nederland is.

Bepaling 18
Forum- en jurisdictiekeuze
(a) Uit deze bepalingen voortvloeiende geschillen worden beslecht door de gerechten van een EU-lidstaat.

(b) De partijen komen overeen dat dit de gerechten van Nederland zijn.

(c) Een betrokkene kan ook gerechtelijke procedures aanhangig maken tegen de gegevensexporteur en/of de gegevensimporteur bij de gerechten van de lidstaat waar hij/zij gewoonlijk verblijft.

(d) De partijen komen overeen zich aan de jurisdictie van die gerechten te onderwerpen.

BIJLAGE IA.  
LIJST VAN PARTIJEN
Gegevensexporteur(s):
Naam: [Naam]

Adres: Naam, functie en contactgegevens van de contactpersoon:Activiteiten die relevant zijn voor de krachtens deze bepalingen doorgegeven gegevens: De ontvangst door de exporteur van gespecialiseerde analytics Server Side Tracking diensten van de importeur met betrekking tot het correct meten van de resultaten van advertenties door gebruik te maken van Proxy server zoals nader uiteengezet in de Overeenkomst tussen de exporteur en de importeur.

LET OP: Dit IS EEN KOPIE VAN DE VERWERKERSOVEREENKOMST.

Gegevensimporteur(s):
Naam: AdPage BV
Adres: Velmolenweg 54 A 5404 LD, Uden, Nederland

Naam, functie en contactgegevens van de contactpersoon:

Activiteiten die relevant zijn voor de krachtens deze bepalingen doorgegeven gegevens: De levering door de importeur van gespecialiseerde analytics Server Side Tracking diensten aan de exporteur met betrekking tot het correct meten van de resultaten van advertenties door gebruik te maken van Proxy server zoals nader uiteengezet in de Overeenkomst tussen de exporteur en de importeur.

B.   BESCHRIJVING VAN DE DOORGIFTE
Categorieën van betrokkenen van wie persoonsgegevens worden doorgegeven
Klanten, leads en websitebezoekers van de Klant.

Categorieën van doorgegeven persoonsgegevens

De gegevens die moeten worden overgedragen om de resultaten van advertenties te analyseren en te meten, bestaan uit:
- Website;
- Linktracering in URL's;
- Gebruikersidentificatie;
- IP-adres;
- Andere identificatoren (CRM, unieke identificatie, enz.);
- Andere identificerende gegevens zoals e-mailadres, voornaam, achternaam, telefoonnummer; en
- Gepseudonimiseerde gegevens.

Gevoelige gegevens die worden doorgegeven en toepasselijke beperkingen of waarborgen

De doorgegeven Persoonsgegevens betreffen de volgende speciale gegevenscategorieën: [aanvinken]
◻ persoonsgegevens waaruit ras of etnische afkomst blijkt;
◻ politieke opvattingen;
◻ religieuze of filosofische overtuigingen;
◻ vakbondslidmaatschap;
◻ genetische gegevens;
◻ biometrische gegevens gericht op de unieke identificatie van een natuurlijke persoon;
◻ gegevens over gezondheid;
◻ gegevens over het seksuele gedrag of de seksuele geaardheid van een natuurlijke persoon.

De frequentie van de doogifte

De gegevensoverdracht is continu afhankelijk van het gebruik van de Services.

Aard van de verwerking

De overgedragen Persoonsgegevens worden onderworpen aan de volgende verwerkingsactiviteiten:
- De gegevens worden gepseudonimiseerd en doorgestuurd naar Google Tag Manager Server Side;
- Gefilterde gegevens worden gebruikt om de resultaten van advertenties te meten.

Doeleinde van de gegevensdoorgifte en verdere verwerking

Het doel van de doorgifte en verwerking is noodzakelijk om de diensten van analyse en meting van advertentieresultaten uit te voeren zoals geïnstrueerd door Verwerkingsverantwoordelijke.

Periode gedurende dewelke de persoonsgegevens worden bewaard of, indien dat niet mogelijk is, de criteria die zijn gebruikt om die periode te bepalen

Tenzij de gegevensexporteur de gegevensimporteur opdraagt de gegevens eerder terug te sturen of te verwijderen, worden alle persoonlijke identificatoren maximaal 6 (zes) maanden bewaard. Na deze periode worden alle persoonsgegevens onherroepelijk verwijderd.

Doorgiften naar (sub)verwerkers
De persoonsgegevens kunnen worden doorgegeven aan subverwerkers.Bijlage III bevat een volledige lijst van erkende subverwerkers.

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT
In overeenstemming met Clausule 13 is de bevoegde toezichthoudende autoriteit de Nederlandse Autoriteit Persoonsgegevens, 2509 AJ Den Haag, Nederland.

BIJLAGE II
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN, WAARONDER TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM DE BEVEILIGING VAN DE GEGEVENS TE WAARBORGEN

Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, alsmede het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal Adpage passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder:

- Maatregelen voor pseudonimisering en versleuteling van persoonsgegevens;
- Maatregelen om blijvende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te garanderen;
- Maatregelen om ervoor te zorgen dat de beschikbaarheid van en toegang tot persoonsgegevens tijdig kan worden hersteld in geval van een fysiek of technisch incident;
- Processen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.

Indien ingeschakeld door de Consument, zal Adpage ervoor zorgen dat de data gepseudonimiseerd wordt voordat deze gedeeld wordt met Google Tag Manager Sever Side.
Rekening houdend met de aanbevelingen 01/2020 van de European Data Protection Board (EDPB) inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, versie 2.0, goedgekeurd op 18 juni 2021 , wordt ervan uitgegaan dat pseudonimisering een toereikende en effectieve aanvullende maatregel is om de beveiliging van gegevens te waarborgen wanneer de doorgifte plaatsvindt naar een derde land; als de verwerker de gegevens waarover hij beschikt eerst pseudonimiseert en deze vervolgens voor analyse overdraagt aan een derde land, bijvoorbeeld ten behoeve van het volgen van advertenties.

Het voorgaande is gerechtvaardigd onder vier voorwaarden:

1. De gegevensexporteur de verwerkte persoonsgegevens op zodanige wijze doorgeeft dat depersoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld, nochkunnen worden gebruikt om de betrokkene in een grotere groep eruit te lichten, zonder dat eraanvullende gegevens worden gebruikt

2. Die aanvullende gegevens uitsluitend in het bezit zijn van de gegevensexporteur en gescheidenworden bewaard in een lidstaat of in een derde land, geografisch gebied of een of meer bepaaldesectoren binnen een derde land, of bij een internationale organisatie waarvoor de Commissieovereenkomstig artikel 45 van de AVG heeft vastgesteld dat een passend beschermingsniveau isgewaarborgd,

3. Verstrekking of onbevoegd gebruik van die aanvullende gegevens wordt voorkomen doorpassende technische en organisatorische waarborgen, de zekerheid bestaat dat degegevensexporteur als enige controle heeft over het algoritme of het register waarmee degegevens aan de hand van de aanvullende gegevens opnieuw kunnen worden geïdentificeerd, en

4. De verwerkingsverantwoordelijke, middels een gedegen analyse van de gegevens in kwestie enrekening houdend met mogelijke informatie die in het bezit is van de overheidsinstanties van hetontvangende land, heeft vastgesteld dat de gepseudonimiseerde persoonsgegevens niet aan eengeïdentificeerde of identificeerbare natuurlijke persoon kunnen worden gekoppeld, zelfs niet alsdergelijke informatie met de persoonsgegevens wordt samengevoegd en vergeleken,

Het is de verantwoordelijkheid van de Verwerkingsverantwoordelijke om passende maatregelen te nemen om te voorkomen dat de gegevens kunnen worden samengevoegd, bijvoorbeeld door het gebruik van andere cookies of trackers van derden.

Beveiligingsmaatregelen voor subverwerkers worden beschreven in Bijlage III.

BIJLAGE III
LIJST VAN SUBVERWERKERS
De exporteur heeft toestemming gegeven voor het gebruik van de volgende subverwerkers:

1) Scaleway
Maatschappelijke zetel: 8 rue de la Ville l'Evêque, 75008 Parijs, Frankrijk
BTW-nummer: FR 35 433115904
Directeur publicatie: Arnaud Brindejonc de Bermingham
Gehost door: SCALEWAY SAS BP 438 75366 PARIS CEDEX 08 FRANKRIJK

Scaleway biedt keuze in de wereld van cloud computing en biedt klanten de mogelijkheid om te kiezen waar de gegevens van hun klanten zich bevinden, om te kiezen welke architectuur het beste werkt voor hun bedrijf en om een meer verantwoorde manier van schalen te kiezen.

Scaleway verwerkt persoonsgegevens om de diensten te leveren die AdPage heeft aangevraagd of geautoriseerd als integraal onderdeel van het contract voor de levering van de diensten van Scaleway dat is afgesloten tussen de AdPage en Scaleway en regelt gevallen waarin Scaleway Persoonsgegevens verwerkt namens de AdPage als een Gegevensverwerker in de zin van de AVG.

Scaleway Data Processing Addendum is hier te vinden. (laatst bekeken op 10 januari 2023)

Algemene voorwaarden van Scaleway vindt u hier. (laatst bijgewerkt op 10 januari 2023)

Scaleway neemt alle nodige maatregelen om de verwerkte persoonsgegevens te beschermen en selecteert zorgvuldig al haar partners en dienstverleners die mogelijk toegang moeten hebben tot klantgegevens. De gegevens worden elektronisch en/of handmatig verwerkt en in beide gevallen zorgt Scaleway voor een passend niveau van beveiliging, bescherming en vertrouwelijkheid op basis van de gevoeligheid van de gegevens, waarbij administratieve, technische en fysieke maatregelen worden genomen om verlies of diefstal of ongeoorloofd gebruik, openbaarmaking of wijziging van de gegevens van de klant te voorkomen.

Het beveiligingsbeleid voor informatiesystemen van Scaleway vindt u hier. (laatst bekeken op 10 januari 2023)

Persoonsgegevens worden verwerkt door Scaleway, haar onderaannemers en partners, om het contract te beheren en de diensten te leveren die klanten hebben aangevraagd of waarvoor zij toestemming hebben gegeven.

De gegevens van de klant kunnen ook worden overgedragen aan derden die diensten of ondersteuning en advies leveren aan Scaleway.

Op verzoek kunnen ze ook worden doorgegeven aan de personen en autoriteiten die toegang hebben tot persoonsgegevens op grond van toepasselijke wet- en regelgeving of bepalingen die zijn vastgesteld door wettelijk bevoegde autoriteiten.

AdPage zal alle nieuwe subverwerkers of wijzigingen aan de lijst van subverwerkers in Bijlage III van deze Verwerkersovereenkomst melden en u de mogelijkheid geven om bezwaar te maken tegen dergelijke wijzigingen.