Addendum Voor Gegevensverwerking
Dit Addendum voor gegevensverwerking (“DPA, Data Processing Addendum”) wijzigt en maakt deel uit van de kaderovereenkomst voor abonnementen of een andere overeenkomst (de “Overeenkomst”) tussen de Klant en Absolute en beheert de levering door Absolute van de Producten en Diensten aan de Klant. In het geval van een conflict tussen de bepalingen van dit DPA en de Overeenkomst, hebben de bepalingen van dit DPA voorrang.
1. Definities. Termen met een hoofdletter die in dit DPA worden gebruikt maar niet zijn gedefinieerd, hebben de betekenis die aan die termen in de Overeenkomst zijn gegeven.
1.1. “Bedrijf”, “Zakelijk doel”, “verzamelen”, “verzameld”, “verzameling”, “Consument”, “Geanonimiseerde informatie”, “Persoonlijke informatie”, “verkoop”, “verkopen”, en “Dienstverlener” hebben de betekenis die hieraan wordt gegeven in de CCPA, en “verkopen” zal dienovereenkomstig worden geïnterpreteerd;
1.2. “Beheerder”, “Betrokkene”, “Persoonsgegevens”, “verwerking”, “Verwerker” en “Toezichthoudende autoriteit” hebben de betekenis die hieraan wordt gegeven in de AVG, en “verwerken”, “verwerkt” en “verwerkt” zullen dienovereenkomstig worden geïnterpreteerd;
1.3. “Persoonsgegevens van Klant” betekent alle Klantgegevens die persoonlijke informatie of persoonlijke gegevens vormen en die worden verzameld of verwerkt door Absolute als dienstverlener of verwerker (indien van toepassing) namens de klant om de Producten en Diensten te leveren, zoals verder beschreven in bijlage I van dit DPA;
1.4. “Wet inzake gegevensbescherming” betekent de California Consumer Privacy Act, Burgerlijk Wetboek van Californië (Verenigde Staten), § 1798.100 e.v., en de uitvoeringsbepalingen daarvan (“CCPA”), Algemene verordening gegevensbescherming (EU) 2016/679 (“AVG”), en Richtlijn inzake e-Privacy 2002/58/EG (zoals gewijzigd door Richtlijn 2009/136/EG), en de nationale implementaties daarvan in de Europese Economische Ruimte (“EER”), de Zwitserse Federale Wet op de Gegevensbescherming, de Algemene Verordening Gegevensbescherming van het VK en de Wet op Gegevensbescherming van het VK uit 2018, elk voor zover van toepassing, en zoals deze van tijd tot tijd worden gewijzigd of vervangen;
1.5. “Rechten van betrokkenen” betekent het recht van consumenten of betrokkenen op informatie, en in verband hiermee toegang, rectificatie, verwijdering, verwijdering, beperking, overdraagbaarheid, bezwaar, afmelding voor verkoop, geen discriminatie voor het uitoefenen van bepaalde rechten, en geen onderwerping aan geautomatiseerde individuele besluitvorming, in overeenstemming met en elk voor zover vereist door de Wet op de gegevensbescherming;
1.6. “Europa” betekent de EER en Zwitserland;
1.7. “Internationale gegevensoverdracht” betekent elke overdracht van Persoonsgegevens van de Klant vanuit Europa of het Verenigd Koninkrijk naar een land buiten Europa en het Verenigd Koninkrijk;
1.8. “Inbreuk in verband met persoonsgegevens” betekent elke inbreuk op de beveiliging van Absolute die leidt tot onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens van de Klant die door Absolute of diens Subverwerkers zijn verzonden, opgeslagen of anderszins verwerkt;
1.9. “Subverwerker” betekent een Verwerker die door Absolute is ingeschakeld om Persoonsgegevens van de Klant te verwerken; en
1.10. “Standaard contractbepalingen” betekent de clausules die zijn toegevoegd aan Besluit 2021/914 van de Europese Commissie van 4 juni 2021 betreffende standaard contractbepalingen voor de doorgifte van persoonsgegevens aan derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad (PB L 199, 7.6.2021, blz. 31-61) zoals deze van toepassing zijn en kan van tijd tot tijd kunnen worden gewijzigd of vervangen.
2. Rol van de Partijen en Bereik van verwerking
2.1. Bereik. Dit DPA en elk van de bepalingen en verplichtingen hierin zijn van toepassing voor zover Absolute Persoonsgegevens van de Klant verwerkt als Dienstverlener of Verwerker (indien van toepassing).
2.2. Rol van de Partijen. De Klant is een Bedrijf of Verwerkingsverantwoordelijke en benoemt Absolute als Dienstverlener of Verwerker namens de Klant. Elke partij verzamelt, bewaart, gebruikt en verwerkt Persoonsgegevens van de Klant en maakt deze openbaar onder of in verband met de Producten en Diensten in overeenstemming met de toepasselijke Wetgeving inzake gegevensbescherming.
2.3. Verantwoordelijkheden van de Klant. De Klant is verantwoordelijk voor naleving van de toepasselijke vereisten om Betrokkenen op de hoogte te stellen van het gebruik van Absolute als Verwerker. Het onderwerp, de aard en het doel van de verwerking, de soorten Persoonsgegevens van de Klant en categorieën van Betrokkenen worden uiteengezet in Bijlage I.
2.4. Verantwoordelijkheden van Absolute. Absolute zal Persoonsgegevens van de Klant verwerken om de Producten en Diensten te leveren in overeenstemming met de gedocumenteerde wettelijke instructies van de Klant, die geacht worden te zijn gegeven, voor de volgende doeleinden: (i) verwerking in overeenstemming met dit DPA, de Overeenkomst en eventuele toepasselijke werkomschrijvingen; (ii) verwerking geïnitieerd door Geautoriseerde gebruikers bij hun gebruik van de Producten en Diensten; en (iii) verwerking om te voldoen aan andere gedocumenteerde redelijke instructies die door de Klant zijn verstrekt (bijv. via e-mail) wanneer dergelijke instructies in overeenstemming zijn met de voorwaarden van dit DPA, de Overeenkomst en enige toepasselijke werkverklaring. Tenzij verboden door de toepasselijke wetgeving, zal Absolute de Klant informeren als Absolute zich ervan bewust wordt dat, of naar diens mening, de instructies van de Klant de Wetgeving inzake gegevensbescherming schenden. Als Absolute bijvoorbeeld een dagvaarding of gerechtelijk bevel ontvangt van een wetshandhavingsinstantie, zal het de Klant op de hoogte stellen van het verzoek, tenzij dit wettelijk verboden is.
2.5. Samenwerken bij verzoeken van de Klant. Absolute zal, rekening houdend met de aard van de verwerking en de informatie waarover Absolute beschikt, de Klant redelijkerwijs helpen om (a) te reageren op verzoeken om Rechten van betrokkenen uit te oefenen; (b) beoordelingen van de effecten van gegevensbeschermings uitvoeren en voorafgaand overleg met de Toezichthoudende autoriteiten voeren; en (c) een betrokken Betrokkene op de hoogte stellen van Inbreuk in verband met persoonsgegevens wanneer dit wettelijk vereist is. De klant is verantwoordelijk voor alle redelijke kosten die voortvloeien uit de hulp van Absolute.
3. Beveiliging en audits
3.1. Beveiligingsmaatregelen. Absolute zal technische en organisatorische maatregelen implementeren, passend bij het risico, om de Persoonsgegevens van de Klant te beschermen tegen ongeoorloofde toegang, vernietiging, gebruik, wijziging of openbaarmaking, zoals uiteengezet in de Beveiligingsnormen van Absolute waarnaar wordt verwezen in Bijlage II. Absolute kan de Beveiligingsnormen van Absolute van tijd tot tijd wijzigen, maar zal ten minste hetzelfde beveiligingsniveau blijven bieden als beschreven in de Beveiligingsnormen van Absolute. Absolute zal zorgen dat al het personeel dat geautoriseerd is om Persoonsgegevens van de Klant te verwerken, onderworpen is aan een geheimhoudingsplicht.
3.2. Reactie bij Inbreuk in verband met persoonsgegevens. Absolute zal de Klant onverwijld op de hoogte stellen na kennis te hebben genomen van een Inbreuk in verband met persoonsgegevens. Absolute zal commercieel redelijke inspanningen leveren om de oorzaak van de Inbreuk in verband met persoonsgegevens te identificeren en die stappen te ondernemen die Absolute nodig en redelijk acht om de oorzaak van de Inbreuk in verband met persoonsgegevens te verhelpen, voor zover het herstel binnen de redelijke controle van Absolute ligt. Deze bepaling is niet van toepassing op Inbreuken in verband met Persoonsgegevens die worden veroorzaakt door de Klant of gebruikers van Klant.
3.3. Audit. Zoals vereist door de Wetgeving inzake gegevensbescherming, zal Absolute de Klant een samenvatting verstrekken van de auditrapporten van Absolute, inclusief alle informatie die redelijkerwijs nodig is om aan te tonen dat Absolute de verplichtingen van dit DPA naleeft; op voorwaarde dat Absolute vertrouwelijke of commercieel gevoelige informatie in dergelijke rapporten mag verbergen.
4. Subverwerking
4.1. Geautoriseerde subverwerkers. Klant erkent en stemt ermee in dat Absolute Subverwerkers kan inschakelen. Een lijst van de huidige Subverwerkers van Absolute is beschikbaar op www.absolute.com/company/legal/absolute-sub-processors. Absolute zal een schriftelijke overeenkomst aangaan met Subverwerkers die de Subverwerkers in wezen dezelfde verplichtingen oplegt als die welke op grond van dit DPA aan Absolute worden opgelegd.
4.2. Veranderingen aan subverwerkers. De Klant erkent en stemt ermee in dat Absolute de Klant op de hoogte zal stellen van elke voorgenomen toevoeging of vervanging van Subverwerkers door de lijst van Subverwerkers waarnaar wordt verwezen in Sectie 4.1 bij te werken. De Klant kan bezwaar maken tegen de toevoeging of vervanging van een Subverwerker binnen dertig (30) dagen na het bijwerken door Absolute van dienst lijst met Subverwerkers. Als het bezwaar van de Klant is gebaseerd op redelijke gronden met betrekking tot een mogelijke of daadwerkelijke schending van de Wet op de gegevensbescherming, dan zullen de Klant en Absolute te goeder trouw samenwerken om het bezwaar van de Klant af te handelen.
5. Gegevensoverdracht
5.1. Internationale gegevensoverdracht. De klant gaat ermee akkoord dat Absolute internationale gegevensoverdrachten mag uitvoeren: (a) naar elk land dat door de EU-commissie of door de regering van het VK, indien van toepassing, geschikt wordt geacht, inclusief Canada; (b) op basis van passende waarborgen in overeenstemming met de Wetgeving inzake gegevensbescherming; of (c) op grond van de Standaard contractbepalingen waarnaar wordt verwezen in Sectie 5.2 of Sectie 5.3. Als de naleving van de Wetten inzake gegevensbescherming die van toepassing zijn op internationale gegevensoverdrachten, wordt beïnvloed door omstandigheden buiten de controle van Absolute, inclusief als een juridisch instrument voor internationale gegevensoverdracht ongeldig wordt verklaard, gewijzigd of vervangen, dan zullen de Klant en Absolute te goeder trouw samenwerken om redelijkerwijs een dergelijk verzuim van naleving op te lossen.
5.2. Gegevensoverdracht vanuit Europa. Door dit DPA te ondertekenen, stemmen de Klant en Absolute in met de voorwaarden van MODULE TWEE van de Standaard contractbepalingen, die hierbij door middel van verwijzing in dit DPA zijn opgenomen. De partijen komen hierbij overeen dat waar de Standaard contractbepalingen van toepassing zijn, deze als volgt zullen worden ingevuld: (a) de facultatieve Clausule 7 blijft behouden; (b) in Clausule 9 wordt Optie 1 geschrapt en blijft Optie 2 behouden; (c) in Clausule 11 wordt de facultatieve taal doorgehaald; (d) in Clausule 17 en 18 zijn de toepasselijke wetgeving en de bevoegde rechtbanken die van Ierland; en (e) Bijlage I en II bij de Standaard contractbepalingen zijn respectievelijk Bijlage I en II bij dit DPA. Als Absolute Persoonsgegevens van de Klant overdraagt vanuit Europa naar een land dat geen passend beschermingsniveau biedt zoals bepaald door de Europese Commissie om de producten aan de klant te leveren, dan zijn de Standaard contractbepalingen van toepassing.
5.3. Gegevensoverdracht vanuit het VK. Door dit DPA te ondertekenen, stemmen de Klant en Absolute in met de voorwaarden van MODULE TWEE van de Standaard contractbepalingen en Deel 2 (Verplichte bepalingen) van het Addendum voor internationale gegevensoverdracht bij de Standaard contractbepalingen, beschikbaar op: https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf (the “UK Addendum”), die hierbij door verwijzing is opgenomen. Als Absolute Persoonsgegevens van de Klant overdraagt vanuit het Verenigd Koninkrijk naar een land dat geen passend beschermingsniveau biedt zoals bepaald door het VK, dan is het Addendum voor het VK van toepassing.
6. California Consumer Privacy Act (Californische Wet op privacy van consumenten)
6.1. Overweging. Absolute erkent dat de uitwisseling van Persoonsgegevens van de Klant tussen Klant en Absolute geen deel uitmaakt van enige geldelijke of waardevolle overweging die tussen Klant en Absolute wordt uitgewisseld met betrekking tot de Overeenkomst of met dit DPA.
6.2. Gebruik van Persoonsgegevens van de Klant. Tenzij anderszins toegestaan door de toepasselijke wetgeving, zal Absolute het volgende niet uitvoeren: (a) Persoonsgegevens van de Klant bewaren, gebruiken of openbaar maken voor enig ander doel dan het uitvoeren van de Diensten en het leveren van de Producten die zijn gespecificeerd in de Overeenkomst; en (b) Persoonsgegevens van de Klant verkopen. Niettegenstaande enige bepaling die in strijd is met de Overeenkomst of dit DPA, zijn de voorwaarden van dit DPA niet van toepassing op de verwerking door Absolute van Persoonsgegevens van de Klant die zijn vrijgesteld van de Wet op de Gegevensbescherming, inclusief onder Cal Civ. Code § 1798.145(a).
7. Beëindiging en teruggave of verwijdering van Persoonsgegevens van de Klant
7.1. Dit DPA wordt beëindigd bij beëindiging van de Overeenkomst. De Klant kan de Persoonsgegevens van de Klant terug ontvangen met de functies of functionaliteit die toegankelijk zijn in de account van de Klant voor de toepasselijke Producten, of als dergelijke functies of functionaliteit niet beschikbaar zijn, kan de Klant om teruggave van de Persoonsgegevens van de Klant verzoeken tot negentig (90) dagen na beëindiging van de Overeenkomst. Tenzij vereist of toegestaan door de toepasselijke wetgeving, zal Absolute alle resterende kopieën van de Persoonsgegevens van de Klant na beëindiging van de Overeenkomst verwijderen of anonimiseren.
8. Beperking van aansprakelijkheid
8.1. De aansprakelijkheid van elke partij die voortvloeit uit of verband houdt met dit DPA, inclusief de Standaard contractbepalingen, indien van toepassing, hetzij in contract, via een onrechtmatige daad of op grond van enige andere aansprakelijkheidstheorie, is onderworpen aan het gedeelte Beperking van aansprakelijkheid van de Overeenkomst.
9. Ongeldigheid en scheidbaarheid
9.1. Als enige bepaling van dit DPA door een rechtbank of administratief orgaan met bevoegde jurisdictie als ongeldig of niet-afdwingbaar wordt bevonden, dan heeft de ongeldigheid of niet-afdwingbaarheid van een dergelijke bepaling geen invloed op enige andere bepaling van dit DPA en alle bepalingen die niet worden beïnvloed door een dergelijke ongeldigheid of niet-afdwingbaarheid zullen volledig van kracht blijven.
BIJLAGE I
- LIJST MET PARTIJEN (MODULE TWEE: Overdracht van beheerder aan verwerker)
Gegevensexporteur(s): Klant
De Klant kan er, als Beheerder, voor kiezen om gegevens over te dragen aan Absolute in verband met de ontvangst van Producten en Diensten die worden vermeld in het toepasselijke Bestelformulier. De naam, contactgegevens en handtekening van de Klant worden vermeld op het toepasselijke Bestelformulier of in de account van de Klant voor de Producten en Diensten.
Gegevensimporteur(s): Absolute
Absolute verwerkt, als Verwerker, gegevens die van de Klant zijn ontvangen in verband met de levering van Producten en Diensten die worden vermeld in het toepasselijke Bestelformulier.
Adres: Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8
Contact: [email protected]
- BESCHRIJVING VAN OVERDRACHT (MODULE TWEE: Overdracht van beheerder aan verwerker)
Categorieën van Betrokkenen wiens persoonsgegevens worden overgedragen in verband met de Producten en Diensten:
Nr. | Categorie |
1 | Gebruikers van de Klant van eindpuntapparaten |
2 | Administratief personeel van de Klant dat verantwoordelijk is voor het onderhoud van de account van de Klant via de Gehoste dienst |
Categorieën Persoonsgegevens die worden overgedragen in verband met de Diensten van Absolute:
Nr. | Categorie |
1 | Indien van toepassing, informatie over het eindpuntapparaat, inclusief computermerk en -model, serienummer van computer, versie systeembios, computernaam, informatie over besturingssysteem, HDD-serienummer, HDD-model, HDD-firmwarerevisie, id van batterijapparaat, UUID van computer, gateway-tekenreeksen, RAM-serienummer, MAC-adres, naam van NIC-adapter, IP-adres, apparaatlocatie en informatie over apparaatgebruik. |
Accountgegevens van de Gehoste dienst, inclusief naam, contactgegevens en aanmeldgegevens. |
Categorieën gevoelige gegevens die worden overgedragen in verband met de Producten en Diensten:
Nr. | Categorie |
1 | Geen. |
Frequentie en aard van de Verwerking:
De gegevens worden continu overgedragen. De overgedragen persoonsgegevens zijn onderworpen aan de volgende verwerkingen:
- om de Producten en Diensten te leveren, inclusief opslag van gegevens voor de Producten en Diensten;
- om technische of administratieve problemen, kwesties met facturering en nota’s op te lossen en om anderszins te voldoen aan diens eigen wettelijke verplichtingen; en
- om de Producten en Diensten en andere zakelijke doeleinden zoals beschreven in de DPA te optimaliseren en te verbeteren.
Doel(en) van de Gegevensoverdracht en Verdere verwerking
Het doel van de gegevensoverdracht is het leveren van de Producten en Diensten.
Bewaartermijn.
Er gelden verschillende bewaartermijnen voor gegevens, afhankelijk van de betreffende dienst. Bij het bepalen van de specifieke bewaartermijn houdt Absolute rekening met verschillende factoren, zoals het type dienstverlening aan de Klant, de aard en duur van onze relatie met de Klant, en de wettelijk verplichte bewaartermijnen en de verjaringstermijn.
Overdrachten aan (sub-)verwerkers
De beschrijvingen die hierboven in deze Sectie B zijn uiteengezet, zijn van toepassing op gegevens die aan Subverwerkers worden overgedragen.
- BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT (MODULE TWEE: Overdracht van beheerder aan verwerker)
De bevoegde toezichthoudende autoriteit zoals deze is gedefinieerd door de Klant.
BIJLAGE II
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN WAARONDER TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM GEGEVENSBEVEILIGING TE GARANDEREN
Domein
|
Werkwijzen |
Organisatie van informatiebeveiliging | · Absolute heeft een team dat zich toelegt op informatiebeveiliging
· Het programma voor informatiebeveiliging wordt ondersteund door het bestuur van Absolute · Absolute publiceert een door het management goedgekeurd beleid inzake informatiebeveiliging |
Human Resources Security (Beveiliging van personeelszaken) | · Voert een antecedentenonderzoek voorafgaand aan het aannemen van personeel uit
· Voert regelmatig trainingen over informatiebeveiliging uit |
Physical and Environmental Security (Fysieke en omgevingsbeveiliging) | · Alleen geautoriseerde gebruikers hebben fysieke toegang tot centra voor verwerking van klantgegevens
· Maakt gebruik van aanbieders van datacentra en hosting met fysieke en omgevingscontroles |
Communications and Operations Management (Communicatie en operationeel beheer) | · Versleuteling van klantgegevens onderweg en in beheer
· Implementeren van netwerkbeveiliging inclusief firewalls, VPN’s, IDS en waar mogelijk IPS |
Access Control (Toegangscontrole) | · Minste hoofdtoegang tot netwerken en systemen
· Vereist MFA voor externe toegang |
Information Security Incident Management (Beheer van informatiebeveiligingsincidenten) | · Implementeert een geformaliseerd programma voor reactie op incidenten inzake beveiliging en privacy |
Security Operations (Beveiligingsoperaties) | · Jaarlijkse penetratietesten
· Doorlopend beheer van kwetsbaarheden · Controles om malware te detecteren en te voorkomen · Genereert en controleert informatie uit gebeurtenislogboek |
Business Continuity Management (beheer van bedrijfscontinuïteit) | · Onderhoudt BCP- en DR-plannen ter ondersteuning van voortgezette activiteiten
· Test plannen minstens jaarlijks |
Third-party Supplier Management (Beheer van externe leveranciers) | · Onderhouden van een programma voor externe leveranciers om de beveiligings- en privacycontroles van externe leveranciers te beoordelen en te bewaken. |
System Development (Systeemontwikkeling) | · Biedt ontwikkelaars training over veilig coderen
· Implementeert beveiligingstests als onderdeel van de SDLC · Gescheiden ontwikkel-, test- en productieomgevingen |