Overeenkomst Gegevensverwerking Caseware

Version: 3,0

Laatst bijgewerkt: Nov 2024

1. Introductie en reikwijdte

Deze Gegevensverwerkingsovereenkomst ("DPA") is door middel van verwijzing opgenomen in de Master Product and Services Agreement ("MPSA") die is aangegaan door Caseware International Inc. en/of Caseware Cloud Ltd. (gezamenlijk "Caseware" of de "Verwerker") en de klant die daarin wordt genoemd (de "Klant" of de "Verwerkingsverantwoordelijke"). (gezamenlijk"Caseware" of de"Verwerker") en de daarin geïdentificeerde klant (de"Klant" of"Controller").

Aangezien de Verwerker toegang kan hebben tot Persoonsgegevens bij het verlenen van Diensten (hieronder gedefinieerd), vereisen de Klant (als de Verwerkingsverantwoordelijke) en Caseware (als de Verwerker) een contractuele overeenkomst met betrekking tot het verzamelen, verwerken en gebruiken van persoonsgegevens waartoe de Verwerker toegang heeft om te waarborgen dat de persoonsgegevens een bescherming krijgen die gelijkwaardig is aan de bescherming die wordt geboden door de Verwerkingsverantwoordelijke. Deze DPA regelt de duur van de verwerking, de aard en het doel van de verwerking, het type Persoonsgegevens dat wordt verwerkt, de categorieën van Betrokkenen en de rechten en plichten van de Verwerkingsverantwoordelijke en de Verwerker.

Klant en Caseware worden afzonderlijk aangeduid als"Partij" en gezamenlijk als"Partijen".

2. Definities

Termen met een hoofdletter die niet gedefinieerd zijn in deze DPA hebben de betekenis die eraan gegeven is in de MPSA.

• "CPRA" betekent de California Privacy Rights Act, Cal. Civ. Code §§ 1798.100 e.v.

• "Klantgegevens" betekent zakelijke contactgegevens (zoals naam, e-mailadres en telefoonnummer van het werk) met betrekking tot het personeel van de Klant die door de Klant aan Caseware worden verstrekt ten behoeve van toegang tot de software en/of database van Caseware.

• "Wetten inzake gegevensbescherming" betekent alle wetten inzake gegevensbescherming en privacy die van toepassing zijn op de verwerking van Persoonsgegevens volgens de territoriale oorsprong van de Persoonsgegevens.

• "Betrokkene" betekent een geïdentificeerde of identificeerbare natuurlijke persoon met betrekking tot de Persoonsgegevens. Betrokkene staat gelijk aan "Consument" (zoals gedefinieerd in de California Privacy Rights Act ("CPRA").

• "Persoonsgegevens" of"persoonsgegevens" betekent, voor de doeleinden van deze DPA, alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon, en betekent ook alle"Persoonsgegevens" zoals gedefinieerd in de CPRA, maar omvat geen Klantgegevens.

• “Privacyverklaring” verwijst naar de privacyverklaring waaraan Caseware zich houdt bij de levering van het gehele Caseware-aanbod, zoals gepubliceerd en van tijd tot tijd bijgewerkt op de website van Caseware;

• "Beperkte doorgifte" betekent (i) een doorgifte van Persoonsgegevens van Klant aan Caseware; of (ii) een verdere doorgifte van Persoonsgegevens van Caseware aan een Sub-Verwerker, of iii) een verdere doorgifte tussen twee vestigingen van Caseware of een Sub-Verwerker; in elk geval, waar een dergelijke doorgifte verboden zou zijn door Gegevensbeschermingswetten (of door de voorwaarden van gegevensdoorgifteovereenkomsten die zijn ingesteld om de gegevensdoorgiftebeperkingen van Gegevensbeschermingswetten aan te pakken), zullen autorisatiemechanismen worden toegepast zoals vereist door toepasselijke Gegevensbeschermingswetten.

• "Diensten" betekent diensten aangeboden door Caseware met betrekking tot software die door Caseware wordt geleverd als een dienst (zoals gedefinieerd in de MPSA), of software waarvoor een licentie is verleend aan het publiek, en omvat eventuele software-ondersteuningsdiensten geleverd door Caseware of haar Gelieerde Ondernemingen.

• "modelcontractbepalingen": de modelcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad, goedgekeurd bij besluit van de Europese Commissie op 4 juni 2021.

• "Sub-Verwerker" betekent elke persoon of entiteit die door of namens Caseware is aangesteld om Persoonsgegevens te verwerken namens Caseware in verband met de Diensten en omvat elke Sub-Verwerker die rechtmatig door een Sub-Verwerker is aangesteld (een Sub-Verwerker) om Persoonsgegevens te verwerken namens Caseware in verband met de Diensten, maar omvat geen individuele werknemer van Caseware of een Sub-Verwerker.

3. Details van de verwerking

Caseware will collect, use, and disclose Personal Data in accordance with the Privacy Statement.

4. Type gegevens

De volgende soorten/categorieën gegevens kunnen worden verzameld, verwerkt en/of gebruikt door Caseware:

• Persoonlijke gegevens (bijv. achternaam, voornaam, adres en geboortedatum);

• Communicatiegegevens (bijv. telefoonnummer, fax, e-mail);

• Contractgegevens (bijv. facturerings- en betalingsgegevens);

• IT-gebruiksgegevens (bijv. gebruikers-ID, wachtwoorden en rollen);

• Bankgegevens (bijvoorbeeld bankrekeninggegevens en creditcardnummer); en/of

• Elke andere categorie die wordt vermeld in de Privacyverklaring.

5. Onderwerpen

Betrokkenen op wie het gebruik van hun Persoonsgegevens van invloed kan zijn, zijn onder meer:

• De klanten/serviceontvangers van de Klant;

• Werknemers of aannemers van de Klant; en/of;

• De leveranciers/serviceproviders van de Klant.

6. Plaats van gegevensverwerking

Caseware maakt gebruik van externe datahostingproviders zoals Amazon Web Services (AWS) om de Services te hosten en als Subverwerkers op te treden op servers die zich overal ter wereld bevinden. Op dit moment gebruikt Caseware servers in Australië, Canada, Ierland en de Verenigde Staten.

Op het moment dat de Klant zich abonneert op de Caseware Diensten, wordt de Klant geïnformeerd over de geografische server die de Persoonsgegevens zal hosten en krijgt de Klant de gelegenheid om hiermee in te stemmen voordat de Persoonsgegevens van de Klant worden opgeslagen bij een dergelijke aanbieder van datahosting.

Caseware zal redelijkerwijs proberen een server toe te wijzen op een locatie die geografisch in de buurt ligt van de Klant om grensoverschrijdende overdracht van de Persoonsgegevens te voorkomen. Waar dat niet mogelijk is, zullen wettelijk vereiste autorisatiemechanismen worden toegepast met toestemming van de Klant, inclusief voor het leveren van technische ondersteuning en onderhoudsdiensten op verzoek van de Klant.

7. Instructies

Caseware verwerkt Persoonsgegevens voor de volgende doeleinden: (i) het verwerken zoals vereist door Klanten bij hun gebruik van de Diensten; (ii) het verwerken in overeenstemming met de MPSA, deze DPA en eventuele andere overeenkomsten tussen de Partijen, (iii) het verwerken om te voldoen aan andere redelijke instructies die door de Klant zijn verstrekt, wanneer dergelijke instructies in overeenstemming zijn met de voorwaarden van de MPSA, de toepasselijke wetgeving en de DPA. Caseware zal de Klant per e-mail informeren indien de instructies of verzoeken van de Klant naar de mening van Caseware in strijd zijn met de wetgeving inzake gegevensbescherming, met opgaaf van redenen.

8. Vertrouwelijkheidsverplichting door Caseware

Caseware garandeert (a) de betrouwbaarheid van alle personen die mogelijk toegang hebben tot de Persoonsgegevens door middel van achtergrondcontroles; (b) dat al deze personen onderworpen zijn aan vertrouwelijkheidsbeloften die minstens even beperkend zijn als de beloften in de MPSA en de Persoonsgegevens als Vertrouwelijke Informatie zullen behandelen; en (c) dat al deze personen training hebben gevolgd in de zorg voor, bescherming van en omgang met Persoonsgegevens.

9. Technische en organisatorische maatregelen

Caseware zal de noodzakelijke technische en organisatorische maatregelen ("TOM's") implementeren om een beveiligingsniveau te waarborgen dat past bij het risico. Deze kunnen, indien van toepassing, het volgende omvatten:

• het pseudonimiseren en versleutelen van Persoonsgegevens;

• beschikbaarheid en veerkracht van verwerkingssystemen en -diensten;

• het vermogen om de beschikbaarheid van en toegang tot Persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident; en

• een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen en het handhaven van deze maatregelen voor de duur van het contract.

Caseware zal passende technische en organisatorische maatregelen treffen om de Persoonsgegevens van de Klant te beschermen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging, beschadiging, wijziging of openbaarmaking. Bij het implementeren en bijwerken van dergelijke technische en organisatorische maatregelen die een beveiligingsniveau waarborgen dat in verhouding staat tot het risico, houdt Caseware rekening met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking, evenals het risico van variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen. Zonder de algemeenheid van het voorgaande te beperken, heeft Caseware de technische en organisatorische maatregelen ("TOM's") uitgevoerd die zijn gespecificeerd in Bijlage 1 bij deze DPA.

Caseware schakelt goedgekeurde Sub-Verwerkers in om delen van de Diensten te leveren. De TOM's zijn daarom gedeeltelijk afhankelijk van deze Subverwerkers, zoals ook beschreven in Bijlage 1, met dien verstande dat Caseware verantwoordelijk blijft voor haar naleving van de TOM's ongeacht haar afhankelijkheid van Subverwerkers. Caseware kan besluiten tot commercieel redelijke verbeteringen van de TOM's en de Klant op verzoek een bijgewerkte Bijlage 1verstrekken.

10. Wereldwijde privacyfunctionaris

Caseware heeft haar Sr. Director of Legal benoemd tot Caseware's Global Chief Privacy Officer.

11. Subverwerkers

De Klant erkent en stemt ermee in dat Caseware Subverwerkers kan inschakelen bij het verlenen van Diensten, onderhevig aan de voorwaarden en bepalingen van deze DPA, en dat (i) een Caseware gelieerde onderneming kan worden ingehuurd als Subverwerker; en (ii) Caseware of een Caseware gelieerde onderneming Subverwerkers van derden kan inschakelen.

Indien Caseware een Sub-Verwerker inschakelt bij het verlenen van Diensten, zal met de Sub-Verwerker een gegevensverwerkingsovereenkomst worden gesloten. Een lijst met de huidige Subverwerkers van Caseware is beschikbaar in Bijlage 2.

Caseware zal ten minste tien (10) werkdagen voordat de lijst wordt gewijzigd een bijgewerkte lijst van Subverwerkers verstrekken. Binnen tien (10) werkdagen na een update van de lijst met Subverwerkers dient de Klant Caseware schriftelijk op de hoogte te stellen van eventuele bezwaren tegen de aanstelling van een Subverwerker wanneer de Klant redelijkerwijs van mening is dat een dergelijke Subverwerker niet voldoet aan de toepasselijke Wetgeving inzake Gegevensbescherming, of wanneer een dergelijke verwerking een risico kan inhouden voor zijn Klantgegevens of Persoonsgegevens. Indien de Klant redelijkerwijs bezwaar maakt tegen een Subverwerker zoals hierboven beschreven, zullen de Partijen trachten de kwestie zonder onnodige vertraging op te lossen. Caseware zal zich redelijkerwijs inspannen om een wijziging in de Diensten aan de Klant beschikbaar te stellen om de verwerking van Klantgegevens of Persoonsgegevens door de Subverwerker waartegen bezwaar is gemaakt te voorkomen zonder de Klant onredelijk te belasten. CasewareCaseware Indien de Klant bezwaar maakt tegen een nieuwe Subverwerker, ook al is de nieuwe Subverwerker noodzakelijk voor Caseware en de Diensten, dan kan de Klant elk abonnement voor de betreffende Caseware Diensten zonder boete beëindigen door vóór het einde van de opzegtermijn een schriftelijke opzegging in te dienen.

Indien het gebruik van een Sub-Verwerker een Beperkte Overdracht met zich meebrengt, zal Caseware ervoor zorgen dat de toestemming die vereist is onder de toepasselijke wetgeving te allen tijde wordt opgenomen in een overeenkomst tussen Caseware en de Sub-Verwerker; en tussen de Sub-Verwerker en enige Sub-Verwerker.

12. Verzoeken van betrokkenen

Caseware zal de Klant redelijkerwijs ondersteunen in het geval van een verzoek van een betrokkene om toegang, rectificatie of wissing van gegevens, voor zover de Klant niet zelf aan een dergelijk verzoek kan voldoen, voor zover dit wettelijk is toegestaan en technisch mogelijk is. Klanten betalen Caseware de kosten voor dergelijke ondersteuning, voor zover wettelijk toegestaan.

Indien Caseware een verzoek van een betrokkene ontvangt dat betrekking heeft op Persoonsgegevens die door de Klant zijn doorgegeven, verwijst Caseware het verzoek door naar de Klant. Caseware zal niet reageren op een dergelijk verzoek, maar zal in plaats daarvan de Klant ondersteunen zoals bepaald in dit Artikel.

13. Melding datalekken

Caseware informeert de Klant zonder onnodige vertraging en uiterlijk 72 uur nadat zij kennis heeft genomen van een inbreuk op de Persoonsgegevens (d.w.z. een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde bekendmaking van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens), met inbegrip van een inbreuk bij een Subverwerker, en verstrekt de nodige informatie om de Klant in staat te stellen de autoriteiten en betrokkenen te informeren. Caseware zal redelijke inspanningen verrichten om de oorzaak van een dergelijke gegevensinbreuk te verhelpen en de (potentiële) schade als gevolg van de inbreuk te beperken.

De kennisgeving aan de Klant omvat ten minste a) de aard van de inbreuk, b) de betrokken gegevenscategorieën, c) de vastgestelde en potentiële gevolgen van de inbreuk en d) de maatregelen die Caseware neemt om de gevolgen van de inbreuk te beperken. Op verzoek van de Klant zal Caseware de Klant bijstaan bij het melden van de inbreuk aan een toezichthoudende autoriteit en/of de betrokkenen.

14. Effectbeoordeling gegevensbescherming (DPIA)

Op verzoek van de Klant zal Caseware redelijke bijstand verlenen aan de Klant bij het uitvoeren van een DPIA, uitsluitend met betrekking tot de verwerking door Caseware van de Persoonsgegevens van de Klant en rekening houdend met de aard van de verwerking en de informatie waarover Caseware en Subverwerkers beschikken. Klanten betalen Caseware de kosten voor dergelijke ondersteuning, voor zover wettelijk toegestaan.

15. Persoonlijke gegevens verwijderen of retourneren

Caseware zal, naar keuze van de Klant, alle Persoonsgegevens binnen 120 kalenderdagen na beëindiging of afloop van de MPSA met de Klant onherroepelijk verwijderen of retourneren, tenzij opslag van de gegevens wettelijk verplicht is.

16. Informatie en auditrechten

Klanten kunnen informatie verkrijgen over bestaande Caseware beveiligingscertificeringen op https://www.caseware.com/security-certifications/. Op verzoek van de Klant zal Caseware eenmaal per jaar informatie beschikbaar stellen aan de Klant, of aan een derde partij die door de Klant is geïnstrueerd, met betrekking tot de naleving door Caseware van deze DPA en de Wet Gegevensverwerking, met inbegrip van audits ter plaatse. Een audit kan inhouden dat Caseware haar faciliteiten voor gegevensverwerking, gegevensbestanden en documentatie die nodig zijn voor het verwerken van Persoonsgegevens (en/of die van haar agenten, gelieerde bedrijven en Subverwerkers) ter beoordeling, audit en/of certificering voorlegt aan de Klant (of aan onafhankelijke of onpartijdige inspectieagenten of auditors die door de Klant zijn geselecteerd en waartegen Caseware redelijkerwijs geen bezwaar maakt), met redelijke kennisgeving vooraf en tijdens reguliere kantooruren. Voordat informatie wordt verstrekt of een audit wordt uitgevoerd, maken de partijen onderling afspraken over de reikwijdte, timing en duur van een dergelijke audit.

17. Beperkte overdrachten

Elke doorgifte van Persoonsgegevens vanuit de EU, Zwitserland, het VK of de EER naar een land buiten deze gebieden dat geen passend beschermingsniveau biedt zoals vastgesteld bij besluit van de Europese Commissie of regelgevende instanties in het VK of Zwitserland, zal onderworpen zijn aan de toepasselijke Standaard Contractuele Clausules (of het toepasselijke equivalent afgekondigd door de regelgevende instanties in het VK of Zwitserland), in Bijlage 3 en elke doorgifte van Persoonsgegevens vanuit het VK of Zwitserland naar een land dat geen passend beschermingsniveau waarborgt zoals vastgesteld bij besluit van de regelgevende instanties van de EU, het VK of Zwitserland, zal onderworpen zijn aan het toepasselijke equivalent van de op dat moment gebruikte SCC's, inclusief het UK International Data Transfer Addendum bij de Standaard Contractuele Clausules van de EU-Commissie, in Bijlage 4.

Klanten die Persoonsgegevens overdragen vanuit de EU, Zwitserland, de EER of het Verenigd Koninkrijk naar Caseware worden beschouwd als een"Data Exporter", en Caseware wordt beschouwd als een"Data Importer" (beide termen zoals gedefinieerd in de Standaard Contractuele Clausules). Klant (als"gegevensexporteur") en Caseware (als"gegevensimporteur") gaan hierbij de Standaard Contractuele Bepalingen aan of het Aanvullend Aanvullend Protocol Internationale Gegevensoverdracht Verenigd Koninkrijk bij de Standaard Contractuele Bepalingen van de Europese Commissie, zoals van toepassing, met betrekking tot Beperkte Doorgifte van Klant naar Caseware.

De modelcontractbepalingen of het gelijkwaardige Zwitserse of Britse addendum voor internationale gegevensoverdracht bij de modelcontractbepalingen van de Europese Commissie, zoals van toepassing, worden van kracht bij de uitvoering van de MPSA.

18. Specifieke bepalingen voor Californië

Voor zover Caseware Persoonsgegevens verwerkt met betrekking tot personen die ingezetenen zijn van Californië, zal Caseware voldoen aan de vereisten van de CPRA, inclusief eventuele amendementen en uitvoeringsvoorschriften die van kracht worden op of na de ingangsdatum van deze DPA, en zal Caseware hetzelfde niveau van privacybescherming bieden als vereist wordt door de CPRA. Termen met een hoofdletter die in deze Sectie 18 gebruikt maar niet gedefinieerd worden, hebben dezelfde betekenis als in de CPRA. Voor de doeleinden van de CPRA komen de partijen overeen dat Caseware een "Dienstverlener" is bij het uitvoeren van haar verplichtingen en dat de Klant een "Bedrijf" is en dat de overdracht van Persoonsgegevens aan Caseware niet wordt beschouwd als een "Verkoop" of "Delen" Voor zover vereist door de CPRA, zal Caseware (a) de Klant het recht verlenen redelijke en gepaste stappen te ondernemen om ervoor te zorgen dat Caseware Persoonsgegevens gebruikt op een manier die overeenstemt met de verplichtingen van de Klant onder de CPRA; (b) de Klant op de hoogte stellen indien Caseware bepaalt dat het niet langer kan voldoen aan zijn verplichtingen onder de CPRA; en (c) de Klant het recht verlenen, na redelijke kennisgeving, redelijke en gepaste stappen te ondernemen om ongeoorloofd gebruik van Persoonsgegevens te stoppen en te herstellen. Voor zover vereist door de CPRA, stelt de Klant Caseware op de hoogte van eventuele verzoeken van consumenten op grond van de CPRA waaraan hij dient te voldoen, en verschaft hij alle informatie die Caseware nodig heeft om aan een dergelijk verzoek te voldoen.

Caseware zal Persoonsgegevens uitsluitend verwerken voor de "Zakelijke Doeleinden" die zijn gespecificeerd in de MPSA en deze DPA, met inbegrip van maar niet beperkt tot (a) de operationele doeleinden van Caseware; (b) het verlenen van de Diensten aan de Klant; (c) auditing; (d) het helpen waarborgen van veiligheid en integriteit; (e) debugging; (f) kortstondig, tijdelijk gebruik; (g) het verlenen van reclame- en marketingservices voor zover dergelijke services worden overwogen in de overeenkomst tussen de Partijen; en (h) het uitvoeren van intern onderzoek voor technologische ontwikkeling en demonstratie. Partijen komen overeen dat de Klant Persoonsgegevens alleen voor deze beperkte doeleinden aan Caseware bekendmaakt.

Als een Dienstverlener zal Caseware niet:

• Persoonlijke gegevens verkopen of delen;

• persoonsgegevens bewaren, gebruiken of bekendmaken voor andere doeleinden dan de Zakelijke Doeleinden die in de MPSA en deze DPA zijn gespecificeerd, inclusief het bewaren, gebruiken of bekendmaken van Persoonsgegevens voor een commercieel doel anders dan de Zakelijke Doeleinden die in de MPSA en deze DPA zijn gespecificeerd, of zoals anderszins is toegestaan door de CPRA;

• persoonsgegevens bewaren, gebruiken of bekendmaken buiten de directe zakelijke relatie tussen Caseware en de Klant; of

• persoonlijke gegevens die Caseware ontvangt van of namens de Klant combineren met persoonlijke gegevens die Caseware ontvangt van of namens een andere persoon of andere personen, of verzamelt uit haar eigen interactie met de consument, op voorwaarde dat Caseware persoonlijke gegevens mag combineren om een Zakelijk doel uit te voeren zoals gedefinieerd in de voorschriften die zijn vastgesteld conform paragraaf (10) van subdivisie (a) van Cal. Civ. Code § 1798.185, behalve zoals bepaald in paragraaf (6) van subdivisie (e) van Cal. Civ. Code § 1798.140 en in voorschriften die zijn aangenomen door de California Privacy Protection Agency.

19. Andere Amerikaanse wetten voor gegevensbescherming

Voor zover Caseware Persoonsgegevens verwerkt met betrekking tot personen die "Consumenten" zijn zoals die term wordt gedefinieerd in de Colorado Privacy Act, Colo. Rev. Stat. §§ 6-1-1301 e.v. ("CPA"), de Connecticut Data Privacy Act, Public Act No. 22-15 ("CTDPA"), de Utah Consumer Privacy Act, Utah Code Ann. §§ 13-61-101 e.v. ("UCPA"), en de Virginia Consumer Data Protection Act, Va. Code Ann. §§59.1- 575 e.v. ("VCDPA") (gezamenlijk respectievelijk de "Privacywetten voor consumenten" of "CPL"), en op de respectievelijke ingangsdata van de CPL, zal Caseware voldoen aan de vereisten van de CPL, inclusief eventuele amendementen en uitvoeringsvoorschriften die van kracht worden op of na de ingangsdatum van deze DPA.

20. verplichtingen

De aansprakelijkheid van de Partijen is onderworpen aan de aansprakelijkheidsbepalingen van de MPSA.

21. LOOPTIJD EN BEËINDIGING

Deze DPA wordt van kracht na akkoord van de MPSA en blijft van kracht zolang Caseware Persoonsgegevens verwerkt of gedurende de looptijd van de MPSA, afhankelijk van welke periode langer is.

22. Diverse

In geval van tegenstrijdigheid tussen deze DPA of een andere overeenkomst tussen de partijen en de Algemene Contractuele Bepalingen, hebben de Algemene Contractuele Bepalingen voorrang. In het geval van een conflict tussen de bepalingen van deze DPA en een andere overeenkomst tussen de Partijen, heeft deze DPA voorrang. Indien afzonderlijke bepalingen van deze DPA ongeldig zijn of worden, dan heeft dit geen invloed op de geldigheid van de overige voorwaarden van deze DPA. Zonder afbreuk te doen aan Clausule 17 (Toepasselijk recht) en Clausule 18 (Forum en jurisdictie) van de Standaard Contractuele Clausules, onderwerpen de Partijen zich aan de keuze van jurisdictie en rechtsgebied zoals bepaald in de MPSA.

Bijlage 1

Technische en organisatorische maatregelen ("TOM's")

Actie Beschrijving	Technische en organisatorische maatregelen
Pseudonimisering	Caseware maakt gebruik van tools om gevoelige gegevens, waaronder Persoonsgegevens, selectief te anonimiseren. Pseudonimisering wordt niet noodzakelijkerwijs gebruikt voor alle persoonlijke gegevenselementen, aangezien niet alle Persoonlijke Gegevens als zodanig identificeerbaar zijn voor Caseware.
Encryptie	Encryptie wordt gebruikt voor gegevens in rust en deze encryptie wordt geleverd door Amazon Web Services Inc. ("AWS"), een goedgekeurde Subverwerker (zie Bijlage 2). Er zijn digitale certificaten aanwezig om de versleutelde communicatie naar de Amazon Web Servers te beheren.
VERTROUWELIJKHEID	Alle medewerkers van Caseware moeten bij indiensttreding een geheimhoudingsverklaring ondertekenen en de beleidsregels en procedures van het bedrijf accepteren. Er is een beleid en procedure voor het reageren op informatiebeveiligingsincidenten om werkelijke en potentiële gegevensschendingen aan te pakken.
Integratie	De Services bieden administratieve controles voor klanten om te bepalen wie toegang heeft tot bestanden binnen hun bedrijf. Caseware heeft deze rechten niet. Caseware is ISO 27001 en SOC 2 Type 2 gecertificeerd en er zijn controles om ervoor te zorgen dat alleen degenen die administratieve handelingen moeten uitvoeren de vereiste toegang hebben. Er is een toegangscontrolebeleid en er zijn procedures om toegangscontrolelijsten te herzien. Potentiële risico's en de beperking van potentiële risico's worden regelmatig beoordeeld.
Beschikbaar	Monitoring wordt uitgevoerd door middel van een externe gezondheidscontrole en intern met oplossingen voor capaciteitsbeheer monitoring. Er zijn kwaliteitsborgingsprocessen aanwezig die regelmatig worden herzien om mogelijke uitval te voorkomen.
Veerkracht van verwerkingssystemen	De services worden gehost op het AWS-platform. De Services zijn ISO 27001 en SOC 2 Type 2 gecertificeerd voor beveiliging, vertrouwelijkheid, integriteit, privacy en beschikbaarheid.
Herstellen	Back-upbeleid en -procedures zijn aanwezig, met dagelijkse geautomatiseerde back-uprapporten om ervoor te zorgen dat herstel haalbaar is. Rapporten worden gecontroleerd door een operationeel team.
Audittests	Er vinden regelmatig audits plaats om te voldoen aan ISO 27001 en SOC 2 Type 2. Daarnaast doet het bedrijf van tijd tot tijd een beroep op een derde partij voor penetratietests.
Certification(s)	ISO 27001 en SOC 2 Type 2.

Bijlage 2

Subverwerkers van Caseware

Subprocessor	Doel van de verwerking	Gegevensopslag en -verwerking
Amazon Web Services Inc. 440 Terry Ave N. Seattle, WA 98108-1226, VS	Diensten en abonneegegevens worden verwerkt met gelicentieerde software van CaseWare, op de infrastructuur van Amazon Web Services Inc.	Regio geselecteerd door Caseware klant tijdens contractering: Canada Ierland US Australië
Google Analytics - Google Inc. 1600 Amfitheater Pkwy. Mountain View, CA 94043, Verenigde Staten	Een webanalyseservice aangeboden door Google die websiteverkeer bijhoudt en rapporteert dat kan helpen bij het identificeren van trends en patronen in de manier waarop bezoekers omgaan met de website van CaseWare.	US
HubSpot 25 King Street West, 2nd Floor Cambridge, MA 02141, Verenigde Staten	Een customer relationship management (CRM) platform en marketing automation platform (MAP) voor CaseWare en haar klanten, prospects en partners, gebruikt door CaseWare's Sales en Marketing team om met klanten te communiceren.	US
NetSuite 2300 Oracle Way Austin, TX 78741, Verenigde Staten	Een cloudgebaseerd bedrijfsplatform dat enterprise resource planning (ERP)-diensten biedt voor CaseWare's 'Back Office', facturatie en financieel accountbeheer, voorraadbeheer en supply chain management. De verzamelde, opgeslagen en verwerkte gegevens zijn specifiek voor het uitvoeren van zakelijke diensten in uitvoering van contracten.	US
New Relic 188 Spear St #1000 San Francisco, CA 94105, VS	Een log monitoring platform, technische service en CaseWare applicatie logs worden verzonden naar New Relic voor zoeken, analyse en systeemmonitoring. Gevoelige gegevensvelden worden gemaskeerd, zoals gebruikersnamen en e-mails, terwijl sommige laaggevoelige gegevens zoals IP en Host direct worden vastgelegd.	US
Pendo.io Inc. 418 Zuid-Dawsonstraat Raleigh, NC 27601, Verenigde Staten	Een tool voor productanalyse waarmee productmanagementteams het gedrag van gebruikers beter kunnen begrijpen. Gebruikersacties op CaseWare-platforms worden naar Pendo gestuurd als "Gebeurtenissen", samen met eigenschappen over de gebruiker die die gebeurtenis uitvoerde. Laaggevoelige gegevens, namen van boekhoudkantoren worden vastgelegd als gebruikerseigenschappen.	US
Salesforce Salesforce-toren 415 Mission Street, 3e verdieping San Francisco, CA 94105, VS	Een CRM-platform (Customer Relationship Management) voor CaseWare en haar klanten en partners. Gebruikt voor het beheer van marketing, leads en communicatiecampagnes	Canada

Bijlage 3

Standaard contractbepalingen

AFDELING I

Clausule 1

Doel en reikwijdte

1. Het doel van deze modelcontractbepalingen is om naleving te waarborgen van de vereisten van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming) voor de doorgifte van persoonsgegevens naar een derde land.

2. De partijen:

   1. de natuurlijke persoon of rechtspersoon of -personen, overheidsinstantie(s), -agentschap(pen) of ander orgaan of andere organen (hierna "entiteit(en)" genoemd) die de persoonsgegevens doorgeven, zoals vermeld in bijlage I.A. (hierna "gegevensexporteur" genoemd), en

   2. de entiteit(en) in een derde land die de persoonsgegevens van de gegevensexporteur ontvangt, direct of indirect via een andere entiteit die ook partij is bij deze bepalingen, zoals genoemd in bijlage I, deel A. (hierna elke "gegevensimporteur")

   hebben ingestemd met deze modelcontractbepalingen (hierna: "Clausules").

3. Deze Clausules zijn van toepassing op de overdracht van persoonsgegevens zoals gespecificeerd in Bijlage I.B.

4. Het aanhangsel bij deze bepalingen met de bijlagen waarnaar daarin wordt verwezen, vormt een integraal onderdeel van deze bepalingen.

Clausule 2

Werking en onveranderlijkheid van de clausules

1. Deze Clausules bevatten passende waarborgen, met inbegrip van afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen, overeenkomstig artikel 46, lid 1, en artikel 46, lid 2, onder c), van Verordening (EU) 2016/679 en, met betrekking tot gegevensdoorgiften van voor de verwerking verantwoordelijken naar verwerkers en/of van verwerkers naar verwerkers, modelcontractbepalingen overeenkomstig artikel 28, lid 7, van Verordening (EU) 2016/679, mits zij niet worden gewijzigd, behalve om de passende Module(s) te selecteren of om informatie in het aanhangsel toe te voegen of bij te werken. Dit belet de partijen niet de in deze bepalingen neergelegde modelcontractbepalingen in een ruimer contract op te nemen en/of andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet rechtstreeks of onrechtstreeks tegen deze bepalingen indruisen of afbreuk doen aan de fundamentele rechten of vrijheden van de betrokkenen.

2. Deze Clausules doen geen afbreuk aan de verplichtingen waaraan de gegevensexporteur is onderworpen krachtens Verordening (EU) 2016/679.

Clausule 3

Derden-begunstigden

1. Betrokkenen kunnen deze bepalingen als derdebegunstigden inroepen en afdwingen tegen de gegevensexporteur en/of gegevensimporteur, met de volgende uitzonderingen:

   1. Clausule 1, Clausule 2, Clausule 3, Clausule 6, Clausule 7;

   2. Clausule 8 - module één: Artikel 8.5 (e) en artikel 8.9 (b); Module Twee: Clausule 8.1(b), 8.9(a), (c), (d) en (e); Module drie: Clausule 8.1(a), (c) en (d) en Clausule 8.9(a), (c), (d), (e), (f) en (g); Module Vier: Clausule 8.1 (b) en clausule 8.3 (b);

   3. Clausule 9 - Module Twee: Clausule 9(a), (c), (d) en (e); Module drie: Clausule 9(a), (c), (d) en (e);

   4. Clausule 12 - module één: Clausule 12(a) en (d); modules twee en drie: Clausule 12(a), (d) en (f);

   5. Clausule 13;

   6. Clausule 15.1(c), (d) en (e);

   7. Clausule 16(e);

   8. Clausule 18 - Modules één, twee en drie: Clausule 18(a) en (b); module vier: Clausule 18.

2. Lid a) laat de rechten van betrokkenen op grond van Verordening (EU) 2016/679 onverlet.

Clausule 4

Interpretatie

1. Wanneer in deze Clausules termen worden gebruikt die zijn gedefinieerd in Verordening (EU) 2016/679, hebben deze termen dezelfde betekenis als in die Verordening.

2. Deze Clausules worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.

3. Deze Clausules mogen niet worden geïnterpreteerd op een manier die in strijd is met de rechten en plichten van Verordening (EU) 2016/679.

Clausule 5

Hiërarchie

In geval van tegenstrijdigheid tussen deze Clausules en de bepalingen van gerelateerde overeenkomsten tussen de Partijen, die bestaan op het moment dat deze Clausules worden overeengekomen of daarna worden aangegaan, prevaleren deze Clausules.

Clausule 6

Beschrijving van de overdracht(en)

De details van de doorgifte(s), en in het bijzonder de categorieën persoonsgegevens die worden doorgegeven en het doel of de doelen waarvoor ze worden doorgegeven, worden gespecificeerd in bijlage I.B.

Clausule 7

Docking clausule

1. Een entiteit die geen partij is bij deze bepalingen kan, met instemming van de partijen, te allen tijde tot deze bepalingen toetreden, hetzij als gegevensexporteur, hetzij als gegevensimporteur, door het aanhangsel in te vullen en bijlage I.A. te ondertekenen.

2. Zodra de toetredende entiteit het aanhangsel heeft ingevuld en bijlage I.A heeft ondertekend, wordt zij partij bij deze bepalingen en heeft zij de rechten en plichten van een gegevensexporteur of gegevensimporteur overeenkomstig haar benaming in bijlage I.A.

3. De toetredende entiteit heeft geen rechten of verplichtingen die voortvloeien uit deze Clausules uit de periode voordat zij Partij werd.

SECTIE II - VERPLICHTINGEN VAN DE PARTIJEN

Clausule 8

Waarborgen voor gegevensbescherming

De gegevensexporteur garandeert dat hij zich redelijke inspanningen heeft getroost om vast te stellen dat de gegevensimporteur door de toepassing van passende technische en organisatorische maatregelen in staat is aan zijn verplichtingen krachtens deze bepalingen te voldoen.

8.1 Instructies

1. De gegevensimporteur verwerkt de persoonsgegevens uitsluitend op gedocumenteerde instructies van de gegevensexporteur. De gegevensexporteur kan dergelijke instructies geven tijdens de duur van het contract.

2. De gegevensimporteur informeert de gegevensexporteur onmiddellijk als hij niet in staat is deze instructies op te volgen.

8.2 Doel beperking

De gegevensimporteur verwerkt de persoonsgegevens uitsluitend voor het specifieke doel of de specifieke doelen van de doorgifte, zoals uiteengezet in bijlage I.B, tenzij de gegevensexporteur nadere instructies geeft.

8.3 Transparantie

Op verzoek stelt de gegevensexporteur aan de betrokkene kosteloos een afschrift ter beschikking van deze bepalingen, met inbegrip van het door de partijen aangevulde aanhangsel. Voor zover dit nodig is om bedrijfsgeheimen of andere vertrouwelijke informatie te beschermen, met inbegrip van de in bijlage II beschreven maatregelen en persoonsgegevens, mag de gegevensexporteur een deel van de tekst van het aanhangsel bij deze bepalingen redigeren voordat een kopie wordt gedeeld, maar moet hij een zinvolle samenvatting verstrekken wanneer de betrokkene anders niet in staat zou zijn de inhoud te begrijpen of zijn rechten uit te oefenen. Op verzoek verstrekken de partijen de betrokkene de redenen voor de bewerkingen, voor zover mogelijk zonder de bewerkte informatie te onthullen. Deze clausule laat de verplichtingen van de gegevensexporteur op grond van de artikelen 13 en 14 van Verordening (EU) 2016/679 onverlet.

8.4 Nauwkeurigheid

Indien de gegevensimporteur constateert dat de ontvangen persoonsgegevens onjuist of verouderd zijn, stelt hij de gegevensexporteur daarvan onverwijld in kennis. In dat geval werkt de gegevensimporteur samen met de gegevensexporteur om de gegevens te wissen of te rectificeren.

8.5 Duur van de verwerking en wissen of retourneren van gegevens

De gegevensimporteur mag de gegevens alleen verwerken voor de in bijlage I.B vermelde duur. Na afloop van de verwerkingsdiensten verwijdert de gegevensimporteur, naar keuze van de gegevensexporteur, alle namens de gegevensexporteur verwerkte persoonsgegevens en verklaart hij aan de gegevensexporteur dat hij dit heeft gedaan, of stuurt hij alle namens hem verwerkte persoonsgegevens terug naar de gegevensexporteur en verwijdert hij bestaande kopieën. Totdat de gegevens zijn gewist of teruggegeven, moet de gegevensimporteur ervoor blijven zorgen dat deze bepalingen worden nageleefd. In geval van lokale wetgeving die van toepassing is op de gegevensimporteur en die teruggave of verwijdering van de persoonsgegevens verbiedt, garandeert de gegevensimporteur dat hij ervoor zal blijven zorgen dat deze Clausules worden nageleefd en dat hij de gegevens alleen zal verwerken in de mate en voor zolang als vereist volgens die lokale wetgeving. Dit laat bepaling 14 onverlet, met name de eis dat de gegevensimporteur volgens bepaling 14, onder e), de gegevensexporteur gedurende de volledige looptijd van het contract op de hoogte stelt indien hij redenen heeft om aan te nemen dat hij onderworpen is of is geworden aan wetten of praktijken die niet in overeenstemming zijn met de eisen van bepaling 14, onder a).

8.6 Beveiliging van verwerking

1. De gegevensimporteur en, tijdens de transmissie, ook de gegevensexporteur treffen passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging of niet-geautoriseerde vrijgave van of toegang tot die gegevens (hierna "inbreuk in verband met persoonsgegevens" genoemd). Bij de beoordeling van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en het (de) doel(en) van de verwerking en de risico's van de verwerking voor de betrokkenen. De partijen overwegen met name gebruik te maken van versleuteling of pseudonimisering, ook tijdens de doorgifte, wanneer het doel van de verwerking op die manier kan worden bereikt. In geval van pseudonimisering blijft de aanvullende informatie voor het toeschrijven van de persoonsgegevens aan een specifieke betrokkene, waar mogelijk, onder de exclusieve controle van de gegevensexporteur. Bij de naleving van zijn verplichtingen uit hoofde van dit lid neemt de gegevensimporteur ten minste de in bijlage II gespecificeerde technische en organisatorische maatregelen. De gegevensimporteur controleert regelmatig of deze maatregelen nog steeds een passend beveiligingsniveau bieden.

2. De gegevensimporteur verleent leden van zijn personeel alleen toegang tot de persoonsgegevens voor zover dat strikt noodzakelijk is voor de uitvoering, het beheer en de controle van het contract. Zij zorgt ervoor dat personen die gemachtigd zijn om de persoonsgegevens te verwerken, zich tot geheimhouding verplichten of onder een passende wettelijke geheimhoudingsplicht vallen.

3. In geval van een inbreuk in verband met persoonsgegevens die krachtens deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, met inbegrip van maatregelen om de nadelige gevolgen ervan te beperken. De gegevensimporteur stelt ook de gegevensexporteur onverwijld in kennis nadat hij van de inbreuk kennis heeft gekregen. Deze kennisgeving bevat de gegevens van een contactpunt waar meer informatie kan worden verkregen, een beschrijving van de aard van de inbreuk (met vermelding, waar mogelijk, van de betrokken categorieën betrokkenen en het geschatte aantal persoonsgegevens), de waarschijnlijke gevolgen ervan en de maatregelen die zijn genomen of worden voorgesteld om de inbreuk aan te pakken, met inbegrip van, waar passend, maatregelen om de mogelijke negatieve gevolgen ervan te beperken. Indien en voor zover het niet mogelijk is alle informatie tegelijkertijd te verstrekken, bevat de eerste kennisgeving de informatie die op dat moment beschikbaar is en wordt vervolgens zonder onnodige vertraging nadere informatie verstrekt naarmate deze beschikbaar komt.

4. De gegevensimporteur werkt samen met en verleent bijstand aan de gegevensexporteur om deze in staat te stellen te voldoen aan zijn verplichtingen uit hoofde van Verordening (EU) 2016/679, met name om de bevoegde toezichthoudende autoriteit en de betrokken betrokkenen in kennis te stellen, rekening houdend met de aard van de verwerking en de informatie waarover de gegevensimporteur beschikt.

8.7 Gevoelige gegevens

Wanneer de doorgifte betrekking heeft op persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, op genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, op gegevens die de gezondheid of iemands seksleven of seksuele gerichtheid betreffen, of op gegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten (hierna "gevoelige gegevens" genoemd), past de gegevensimporteur de specifieke beperkingen en/of aanvullende waarborgen toe die in bijlage I.B zijn beschreven.

8.8 Verdere transfers

De gegevensimporteur verstrekt de persoonsgegevens alleen aan derden op gedocumenteerde instructies van de gegevensexporteur. Bovendien mogen de gegevens alleen worden doorgegeven aan een derde partij buiten de Europese Unie (in hetzelfde land als de gegevensimporteur of in een ander derde land, hierna "verdere doorgifte" genoemd) als de derde partij gebonden is of ermee instemt gebonden te zijn door deze Clausules, onder de toepasselijke Module, of als:

1. de verdere doorgifte geschiedt naar een land dat in aanmerking komt voor een besluit waarbij het beschermingsniveau passend wordt verklaard overeenkomstig artikel 45 van Verordening (EU) 2016/679 dat betrekking heeft op de verdere doorgifte;

2. de derde anderszins zorgt voor passende waarborgen overeenkomstig artikel 46 of 47 Verordening van (EU) 2016/679 met betrekking tot de verwerking in kwestie;

3. de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte in het kader van een specifieke administratieve, regelgevende of gerechtelijke procedure; of

4. de verdere doorgifte noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

Elke verdere doorgifte is onderworpen aan de naleving door de gegevensimporteur van alle andere waarborgen onder deze bepalingen, in het bijzonder doelbinding.

8.9 Documentatie en naleving

1. De gegevensimporteur behandelt vragen van de gegevensexporteur met betrekking tot de verwerking krachtens deze bepalingen onverwijld en adequaat.

2. De partijen moeten de naleving van deze bepalingen kunnen aantonen. De gegevensimporteur houdt met name passende documentatie bij over de verwerkingsactiviteiten die namens de gegevensexporteur worden uitgevoerd.

3. De gegevensimporteur verstrekt de gegevensexporteur alle informatie die nodig is om aan te tonen dat aan de verplichtingen van deze bepalingen is voldaan en staat op verzoek van de gegevensexporteur toe dat met redelijke tussenpozen of indien er aanwijzingen zijn dat de bepalingen niet worden nageleefd, audits van de onder deze bepalingen vallende verwerkingsactiviteiten worden verricht en draagt daartoe bij. Bij zijn beslissing over een beoordeling of audit kan de gegevensexporteur rekening houden met relevante certificeringen van de gegevensimporteur.

4. De gegevensexporteur kan ervoor kiezen om de audit zelf uit te voeren of een onafhankelijke auditor de opdracht te geven. Audits kunnen inspecties ter plaatse of in de fysieke faciliteiten van de gegevensimporteur omvatten en worden, indien nodig, uitgevoerd met inachtneming van een redelijke aankondigingstermijn.

5. De partijen stellen de onder b) en c) bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

Clausule 9

Gebruik van subverwerkers

1. De gegevensimporteur heeft de algemene toestemming van de gegevensexporteur om subverwerker(s) van een overeengekomen lijst in te schakelen. De gegevensimporteur stelt de gegevensexporteur ten minste jaarlijks uitdrukkelijk schriftelijk in kennis van voorgenomen wijzigingen in die lijst door toevoeging of vervanging van subverwerkers. De gegevensimporteur verstrekt de gegevensexporteur de informatie die de gegevensexporteur nodig heeft om zijn recht van bezwaar uit te oefenen.

2. Indien de gegevensimporteur een subverwerker in dienst neemt om specifieke verwerkingsactiviteiten (namens de gegevensexporteur) uit te voeren, geschiedt dit door middel van een schriftelijk contract dat in wezen dezelfde gegevensbeschermingsverplichtingen bevat als die welke krachtens deze bepalingen op de gegevensimporteur rusten, met inbegrip van de rechten van de betrokkenen als derdebegunstigde. De partijen komen overeen dat de gegevensimporteur, door aan deze bepaling te voldoen, zijn verplichtingen krachtens bepaling 8.8 nakomt. De gegevensimporteur ziet erop toe dat de subverwerker voldoet aan de verplichtingen waaraan de gegevensimporteur krachtens deze bepalingen is onderworpen.

3. De gegevensimporteur verstrekt op verzoek van de gegevensexporteur een afschrift van een dergelijke subverwerkersovereenkomst en alle latere wijzigingen aan de gegevensexporteur. Voor zover nodig om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mag de gegevensimporteur de tekst van de overeenkomst redigeren voordat hij een kopie deelt.

4. De gegevensimporteur blijft jegens de gegevensexporteur volledig verantwoordelijk voor de nakoming van de verplichtingen van de subverwerker uit hoofde van zijn contract met de gegevensimporteur. De gegevensimporteur stelt de gegevensexporteur in kennis van elk verzuim van de subverwerker om zijn verplichtingen uit hoofde van dat contract na te komen.

5. De gegevensimporteur komt met de subverwerker een derdenbeding overeen op grond waarvan - indien de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden - de gegevensexporteur het recht heeft het subverwerkerscontract te beëindigen en de subverwerker op te dragen de persoonsgegevens te wissen of terug te geven.

Clausule 10

Rechten van de betrokkene

1. De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van elk verzoek dat hij van een betrokkene heeft ontvangen. Zij beantwoordt dat verzoek niet zelf, tenzij zij daartoe gemachtigd is door de gegevensexporteur.

2. De gegevensimporteur helpt de gegevensexporteur bij het nakomen van zijn verplichtingen om te reageren op verzoeken van betrokkenen voor de uitoefening van hun rechten op grond van Verordening (EU) 2016/679. In dit verband stellen de partijen in bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking, op grond waarvan de bijstand wordt verleend, alsmede de reikwijdte en de omvang van de vereiste bijstand.

3. Bij het nakomen van zijn verplichtingen krachtens de leden a) en b) volgt de gegevensimporteur de instructies van de gegevensexporteur op.

Clausule 11

Verhaal

1. De gegevensimporteur informeert betrokkenen in een transparante en gemakkelijk toegankelijke vorm, door middel van een individuele kennisgeving of op zijn website, over een contactpunt dat bevoegd is om klachten te behandelen. Klachten van betrokkenen worden onmiddellijk behandeld.

   De gegevensimporteur stemt ermee in dat betrokkenen ook een klacht kunnen indienen bij een onafhankelijke instantie voor geschillenbeslechting zonder kosten voor de betrokkene. Zij informeert de betrokkenen op de onder a) beschreven wijze over een dergelijk verhaalmechanisme en over het feit dat zij niet verplicht zijn hiervan gebruik te maken of een bepaalde volgorde te volgen bij het zoeken van verhaal.

2. In geval van een geschil tussen een betrokkene en een van de partijen over de naleving van deze bepalingen, stelt deze partij alles in het werk om het geschil tijdig in der minne te schikken. De partijen houden elkaar op de hoogte van dergelijke geschillen en werken waar nodig samen om deze op te lossen.

3. Wanneer de betrokkene zich beroept op een recht van een derdebegunstigde overeenkomstig bepaling 3, aanvaardt de gegevensimporteur het besluit van de betrokkene om:

   1. een klacht indienen bij de toezichthoudende autoriteit in de lidstaat waar hij/zij gewoonlijk verblijft of werkt, of bij de bevoegde toezichthoudende autoriteit volgens Clausule 13;

   2. het geschil voorleggen aan de bevoegde rechter in de zin van clausule 18.

4. De partijen aanvaarden dat de betrokkene kan worden vertegenwoordigd door een instantie, organisatie of vereniging zonder winstoogmerk onder de voorwaarden van artikel 80, lid 1, van Verordening (EU) 2016/679.

5. De gegevensimporteur houdt zich aan een besluit dat bindend is volgens de toepasselijke EU-wetgeving of wetgeving van een lidstaat.

6. De gegevensimporteur stemt ermee in dat de keuze van de betrokkene geen afbreuk doet aan zijn materiële en procedurele rechten om rechtsmiddelen aan te wenden in overeenstemming met de toepasselijke wetgeving.

Clausule 12

verplichtingen

1. Elke Partij is aansprakelijk ten opzichte van de andere Partij(en) voor alle schade die zij veroorzaakt aan de andere Partij(en) door een schending van deze Clausules.

2. Elke partij is aansprakelijk jegens de betrokkene, en de betrokkene heeft recht op vergoeding, voor elke materiële of immateriële schade die de partij de betrokkene toebrengt door inbreuk te maken op de rechten van derdenbegunstigden krachtens deze bepalingen. Dit laat de aansprakelijkheid van de gegevensexporteur krachtens Verordening (EU) 2016/679 onverlet.

3. Wanneer meer dan één Partij verantwoordelijk is voor schade die aan de betrokkene is berokkend als gevolg van een schending van deze Clausules, zijn alle verantwoordelijke Partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht een rechtszaak aan te spannen tegen elk van deze Partijen.

4. De Partijen komen overeen dat indien een Partij aansprakelijk wordt gesteld op grond van lid (c), zij het recht heeft om van de andere Partij(en) het deel van de schadevergoeding terug te vorderen dat overeenkomt met haar/hun verantwoordelijkheid voor de schade.

5. De gegevensimporteur kan zich niet beroepen op het gedrag van een verwerker of subverwerker om zijn eigen aansprakelijkheid te ontlopen.

Clausule 13

Toezicht

1. Wanneer de gegevensexporteur in een EU-lidstaat is gevestigd: De toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de naleving door de gegevensexporteur van Verordening (EU) 2016/679 wat de doorgifte van gegevens betreft, zoals aangegeven in bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit.

   Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar binnen het territoriale toepassingsgebied van Verordening (EU) 2016/679 valt overeenkomstig artikel 3, lid 2, van die verordening en een vertegenwoordiger heeft aangewezen overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679: De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in bijlage I, deel C, treedt op als bevoegde toezichthoudende autoriteit.

   Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar binnen het territoriale toepassingsgebied van Verordening (EU) 2016/679 valt overeenkomstig artikel 3, lid 2, van die verordening, zonder dat hij echter een vertegenwoordiger hoeft aan te wijzen overeenkomstig artikel 27, lid 2, van Verordening (EU) 2016/679: De toezichthoudende autoriteit van een van de lidstaten waar de betrokkenen wier persoonsgegevens krachtens deze bepalingen worden doorgegeven in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gecontroleerd, zich bevinden, zoals aangegeven in bijlage I, deel C, treedt op als bevoegde toezichthoudende autoriteit.

2. De gegevensimporteur stemt ermee in zich te onderwerpen aan de jurisdictie van en samen te werken met de bevoegde toezichthoudende autoriteit in alle procedures die gericht zijn op het waarborgen van de naleving van deze bepalingen. In het bijzonder stemt de gegevensimporteur ermee in te reageren op vragen, zich te onderwerpen aan audits en zich te houden aan de maatregelen die zijn vastgesteld door de toezichthoudende autoriteit, met inbegrip van corrigerende en compenserende maatregelen. Zij verstrekt de toezichthoudende autoriteit een schriftelijke bevestiging dat de nodige maatregelen zijn genomen.

SECTIE III - LOKALE WETGEVING EN VERPLICHTINGEN IN GEVAL VAN TOEGANG DOOR OVERHEIDSINSTANTIES

Clausule 14

Lokale wetten en praktijken die van invloed zijn op de naleving van de Clausules

1. De partijen garanderen dat zij geen reden hebben om aan te nemen dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur, met inbegrip van vereisten om persoonsgegevens bekend te maken of maatregelen die toegang door overheidsinstanties toestaan, de gegevensimporteur verhinderen zijn verplichtingen krachtens deze bepalingen na te komen. Dit is gebaseerd op het inzicht dat wetten en praktijken die de essentie van de fundamentele rechten en vrijheden eerbiedigen en niet verder gaan dan wat in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in strijd zijn met deze clausules.

2. De partijen verklaren dat zij bij het verlenen van de onder a) bedoelde garantie met name rekening hebben gehouden met de volgende elementen:

   1. de specifieke omstandigheden van de doorgifte, waaronder de lengte van de verwerkingsketen, het aantal betrokken actoren en de gebruikte transmissiekanalen; geplande verdere doorgiften; het type ontvanger; het doel van de verwerking; de categorieën en het formaat van de doorgegeven persoonsgegevens; de economische sector waarin de doorgifte plaatsvindt; de opslaglocatie van de doorgegeven gegevens;

   2. de wetten en praktijken van het derde land van bestemming - met inbegrip van de wetten en praktijken die de openbaarmaking van gegevens aan overheidsinstanties voorschrijven of de toegang van dergelijke instanties toestaan - die relevant zijn in het licht van de specifieke omstandigheden van de doorgifte, en de toepasselijke beperkingen en waarborgen;

   3. alle relevante contractuele, technische of organisatorische waarborgen die zijn ingesteld ter aanvulling van de waarborgen krachtens deze Clausules, met inbegrip van maatregelen die worden toegepast tijdens de doorgifte en op de verwerking van de persoonsgegevens in het land van bestemming.

3. De gegevensimporteur garandeert dat hij bij de beoordeling overeenkomstig punt b) zijn uiterste best heeft gedaan om de gegevensexporteur relevante informatie te verstrekken en stemt ermee in dat hij met de gegevensexporteur zal blijven samenwerken om naleving van deze bepalingen te waarborgen.

4. De partijen komen overeen de onder b) bedoelde beoordeling te documenteren en op verzoek beschikbaar te stellen aan de bevoegde toezichthoudende autoriteit.

5. De gegevensimporteur stemt ermee in de gegevensexporteur onverwijld in kennis te stellen indien hij, na met deze bepalingen te hebben ingestemd en gedurende de looptijd van het contract, redenen heeft om aan te nemen dat hij onderworpen is of is geworden aan wetten of praktijken die niet in overeenstemming zijn met de vereisten onder punt a), met inbegrip van een wijziging in de wetten van het derde land of een maatregel (zoals een verzoek om openbaarmaking) die erop wijst dat deze wetten in de praktijk niet in overeenstemming zijn met de vereisten onder punt a).

6. Na een kennisgeving overeenkomstig punt e) of indien de gegevensexporteur anderszins redenen heeft om aan te nemen dat de gegevensimporteur niet langer aan zijn verplichtingen krachtens deze bepalingen kan voldoen, stelt de gegevensexporteur onverwijld passende maatregelen vast (bv. technische of organisatorische maatregelen om de veiligheid en vertrouwelijkheid te waarborgen) die door de gegevensexporteur en/of gegevensimporteur moeten worden genomen om de situatie aan te pakken [voor module 3]: indien van toepassing in overleg met de controller]. De gegevensexporteur schort de doorgifte van gegevens op indien hij van mening is dat geen passende waarborgen voor een dergelijke doorgifte kunnen worden geboden, of indien hij daartoe opdracht krijgt van [voor module 3: de voor de verwerking verantwoordelijke of] de bevoegde toezichthoudende autoriteit. In dat geval heeft de gegevensexporteur het recht het contract te beëindigen voor zover het de verwerking van persoonsgegevens krachtens deze bepalingen betreft. Indien er meer dan twee partijen bij het contract betrokken zijn, kan de gegevensexporteur dit recht op beëindiging alleen uitoefenen ten aanzien van de desbetreffende partij, tenzij de partijen anders zijn overeengekomen. Wanneer het contract op grond van deze clausule wordt beëindigd, is clausule 16(d) en (e) van toepassing.

Clausule 15

Verplichtingen van de gegevensimporteur in geval van toegang door overheidsinstanties

15.1 Kennisgeving

1. De gegevensimporteur stemt ermee in de gegevensexporteur en, indien mogelijk, de betrokkene onmiddellijk (indien nodig met de hulp van de gegevensexporteur) op de hoogte te brengen indien hij:

   1. een juridisch bindend verzoek ontvangt van een overheidsinstantie, met inbegrip van gerechtelijke autoriteiten, krachtens de wetgeving van het land van bestemming om openbaarmaking van persoonsgegevens die zijn doorgegeven overeenkomstig deze bepalingen; deze kennisgeving moet informatie bevatten over de gevraagde persoonsgegevens, de verzoekende autoriteit, de rechtsgrondslag voor het verzoek en het gegeven antwoord; of

   2. op de hoogte is van rechtstreekse toegang van overheidsinstanties tot persoonsgegevens die op grond van deze bepalingen in overeenstemming met de wetgeving van het land van bestemming zijn doorgegeven; deze kennisgeving omvat alle informatie waarover de importeur beschikt.

2. Indien het de gegevensimporteur krachtens de wetgeving van het land van bestemming verboden is de gegevensexporteur en/of de betrokkene in kennis te stellen, stemt de gegevensimporteur ermee in alles in het werk te stellen om een ontheffing van het verbod te verkrijgen, teneinde zo spoedig mogelijk zoveel mogelijk informatie te verstrekken. De gegevensimporteur stemt ermee in zijn beste inspanningen te documenteren, zodat hij deze op verzoek van de gegevensexporteur kan aantonen.

3. Indien toegestaan door de wetgeving van het land van bestemming, stemt de gegevensimporteur ermee in de gegevensexporteur gedurende de looptijd van het contract met regelmatige tussenpozen zoveel mogelijk relevante informatie te verstrekken over de ontvangen verzoeken (met name het aantal verzoeken, het soort gegevens dat wordt opgevraagd, de verzoekende autoriteit(en), of verzoeken zijn aangevochten en wat het resultaat daarvan was, enz.

4. De gegevensimporteur stemt ermee in de informatie overeenkomstig de punten a) tot en met c) gedurende de looptijd van het contract te bewaren en op verzoek aan de bevoegde toezichthoudende autoriteit ter beschikking te stellen.

5. De punten a) tot en met c) doen geen afbreuk aan de verplichting van de gegevensimporteur krachtens bepaling 14, onder e), en bepaling 16 om de gegevensexporteur onverwijld in kennis te stellen wanneer hij niet in staat is aan deze bepalingen te voldoen.

15.2 Rechtmatigheid en gegevensminimalisatie beoordelen.

1. De gegevensimporteur stemt ermee in de rechtmatigheid van het verzoek om openbaarmaking te beoordelen, in het bijzonder of het binnen de bevoegdheden blijft die aan de verzoekende overheidsinstantie zijn verleend, en het verzoek aan te vechten indien hij na zorgvuldige beoordeling tot de conclusie komt dat er redelijke gronden zijn om aan te nemen dat het verzoek onrechtmatig is krachtens de wetgeving van het land van bestemming, toepasselijke verplichtingen krachtens internationaal recht en beginselen van internationale hoffelijkheid. De gegevensimporteur maakt onder dezelfde voorwaarden gebruik van de beroepsmogelijkheden. Wanneer de gegevensimporteur een verzoek betwist, tracht hij voorlopige maatregelen te treffen om de gevolgen van het verzoek op te schorten totdat de bevoegde gerechtelijke autoriteit over de gegrondheid ervan heeft beslist. Zij geeft de gevraagde persoonsgegevens pas vrij wanneer zij daartoe op grond van de toepasselijke procedureregels verplicht is. Deze vereisten doen geen afbreuk aan de verplichtingen van de gegevensimporteur volgens bepaling 14, onder e).

2. De gegevensimporteur stemt ermee in om zijn juridische beoordeling en elke betwisting van het verzoek tot openbaarmaking te documenteren en, voor zover toegestaan onder de wetten van het land van bestemming, de documentatie ter beschikking te stellen van de gegevensexporteur. Op verzoek stelt zij deze ook ter beschikking van de bevoegde toezichthoudende autoriteit. [Voor module drie: De gegevensexporteur stelt de beoordeling beschikbaar aan de voor de verwerking verantwoordelijke]

3. De gegevensimporteur stemt ermee in om bij het beantwoorden van een verzoek om openbaarmaking de minimaal toegestane hoeveelheid informatie te verstrekken, gebaseerd op een redelijke interpretatie van het verzoek.

DEEL IV - SLOTBEPALINGEN

Clausule 16

Niet-naleving van de bepalingen en beëindiging

1. De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis indien hij om welke reden dan ook niet in staat is aan deze bepalingen te voldoen.

2. Indien de gegevensimporteur deze bepalingen niet naleeft of niet in staat is deze na te leven, schort de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur op totdat de naleving opnieuw is gewaarborgd of het contract wordt beëindigd. Dit laat clausule 14(f) onverlet.

3. De gegevensexporteur heeft het recht het contract te beëindigen voor zover het de verwerking van persoonsgegevens krachtens deze bepalingen betreft, wanneer:

   1. de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur overeenkomstig punt b) heeft opgeschort en niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting opnieuw aan deze bepalingen wordt voldaan;

   2. de gegevensimporteur wezenlijk of aanhoudend in strijd met deze bepalingen handelt; of

   3. de gegevensimporteur een bindende beslissing van een bevoegde rechtbank of toezichthoudende autoriteit met betrekking tot zijn verplichtingen krachtens deze bepalingen niet naleeft.

   In deze gevallen stelt zij de bevoegde toezichthoudende autoriteit in kennis van deze niet-naleving. Wanneer er meer dan twee partijen bij het contract betrokken zijn, kan de gegevensexporteur dit recht op beëindiging alleen ten aanzien van de desbetreffende partij uitoefenen, tenzij de partijen anders zijn overeengekomen.

4. Persoonsgegevens die vóór de beëindiging van het contract krachtens punt c) zijn doorgegeven, worden naar keuze van de gegevensexporteur onverwijld aan de gegevensexporteur geretourneerd of in hun geheel gewist. Hetzelfde geldt voor kopieën van de gegevens. De gegevensimporteur certificeert de verwijdering van de gegevens aan de gegevensexporteur. Totdat de gegevens zijn gewist of teruggegeven, moet de gegevensimporteur ervoor blijven zorgen dat deze bepalingen worden nageleefd. In geval van lokale wetgeving die van toepassing is op de gegevensimporteur en die de teruggave of verwijdering van de doorgegeven persoonsgegevens verbiedt, garandeert de gegevensimporteur dat hij zal blijven toezien op de naleving van deze Clausules en dat hij de gegevens alleen zal verwerken in de mate en voor zolang als vereist volgens die lokale wetgeving.

5. Elke Partij kan haar instemming om gebonden te zijn door deze Clausules herroepen wanneer (i) de Europese Commissie een besluit neemt op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 dat betrekking heeft op de doorgifte van persoonsgegevens waarop deze Clausules van toepassing zijn; of (ii) Verordening (EU) 2016/679 onderdeel wordt van het wettelijke kader van het land waarnaar de persoonsgegevens worden doorgegeven. Dit doet geen afbreuk aan andere verplichtingen die van toepassing zijn op de verwerking in kwestie krachtens Verordening (EU) 2016/679.

Clausule 17

Toepasselijke wetgeving.

Deze bepalingen worden beheerst door het recht van de EU-lidstaat waarin de gegevensexporteur is gevestigd. Als dat recht geen rechten van derden toestaat, worden zij beheerst door het recht van een andere EU-lidstaat die wel rechten van derden toestaat. De partijen komen overeen dat dit het recht van Ierland is.

Clausule 18

Forumkeuze en jurisdictie

1. Alle geschillen die voortvloeien uit deze Clausules worden beslecht door de rechtbanken van een EU-lidstaat.

2. De partijen komen overeen dat dit de rechtbanken van Ierland zijn.

3. Een betrokkene kan ook een rechtszaak aanspannen tegen de gegevensexporteur en/of gegevensimporteur bij de rechtbank van de lidstaat waar hij/zij zijn/haar gewone verblijfplaats heeft.

4. De partijen stemmen ermee in zich te onderwerpen aan de jurisdictie van dergelijke rechtbanken.

BIJLAGE I

Gedefinieerde termen die in deze Bijlage 1 worden gebruikt, hebben de betekenis die daaraan wordt gegeven in de MPSA tussen Caseware en Opdrachtgever en/of de DPA.

Lijst van partijen:

Gegevensexporteur(s):

Name: De gegevensexporteur is de rechtspersoon die in de gegevensbeschermingsovereenkomst wordt aangeduid als "Caseware"

Adres Zie de bijlage.

Naam, functie en contactgegevens van de contactpersoon: Zie de bijlage.

Activiteiten die relevant zijn voor de gegevens die krachtens deze Clausules worden doorgegeven: Zie de bijlage.

Rol (controller/verwerker): Processor

Gegevensimport

Name: De gegevensimporteur is de rechtspersoon die in de DPA wordt aangeduid als "Klant".

Adres Zie de bijlage.

Naam, functie en contactgegevens van de contactpersoon: Zie de bijlage.

Activiteiten die relevant zijn voor de gegevens die krachtens deze Clausules worden doorgegeven: Zie de bijlage.

Rol (controller/verwerker): controle

B. BESCHRIJVING VAN DE OVERDRACHT

Categorieën van betrokkenen van wie persoonsgegevens worden doorgegeven:

• Raadpleeg de DPA, waarin de categorieën van doorgegeven persoonsgegevens worden beschreven:

• Raadpleeg de DPA, waarin de gegevenscategorieën worden beschreven.

Gevoelige gegevens die worden doorgegeven (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de risico's, zoals bijvoorbeeld een strikte beperking van het doel, toegangsbeperkingen (waaronder toegang alleen voor personeel dat een gespecialiseerde opleiding heeft gevolgd), registratie van de toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende beveiligingsmaatregelen.

• De partijen voorzien geen overdracht van speciale gegevenscategorieën.

De frequentie van de overdracht (bijvoorbeeld of de gegevens eenmalig of doorlopend worden overgedragen).

• Zie de bijlage.

Aard van de verwerking

• Zie de bijlage.

Doel(en) van de gegevensoverdracht en verdere verwerking

• Zie de bijlage.

De periode gedurende welke de persoonsgegevens worden bewaard, of, als dat niet mogelijk is, de criteria die zijn gebruikt om die periode te bepalen

• Zie de bijlage.

Bij doorgifte aan (sub)verwerkers ook onderwerp, aard en duur van de verwerking specificeren

• Zie de bijlage.

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

Identificeer de bevoegde toezichthoudende autoriteit(en) volgens Clausule 13

• De bevoegde toezichthoudende autoriteit die van toepassing is, is de bevoegde toezichthoudende autoriteit van het land waar de gegevens van de klant vandaan komen

BIJLAGE II

TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM DE VEILIGHEID VAN DE GEGEVENS TE WAARBORGEN

Zie Bijlage 1 van de DPA, waarin de technische en organisatorische beveiligingsmaatregelen worden beschreven die door Caseware worden geïmplementeerd.

BIJLAGE III

LIJST VAN SUBVERWERKERS

Zie Bijlage 3 van de DPA, waarin de Subverwerkers van Caseware worden beschreven.

Bijlage 4:

UK Internationaal Addendum bij de Standaard Contractuele Clausules van de Europese Commissie

Dit addendum is uitgegeven door de Information Commissioner voor partijen die Restricted Transfers doen. De Information Commissioner is van mening dat het passende waarborgen biedt voor beperkte doorgiften wanneer het wordt aangegaan als een juridisch bindend contract.

Part 1: Tabellen

• Table 1: Partijen

  Startdatum:
  De partijen	Exporteur (die de beperkte overdracht verzendt)	Importeur (die de beperkte overdracht ontvangt)
  Gegevens van de partijen	Volledige wettelijke naam: Handelsnaam (indien verschillend): Hoofdadres (als het om een bedrijfsadres gaat): Officieel registratienummer (indien van toepassing) (bedrijfsnummer of vergelijkbaar identificatienummer):	Volledige wettelijke naam: Handelsnaam (indien verschillend): Hoofdadres (als het om een bedrijfsadres gaat): Officieel registratienummer (indien van toepassing) (bedrijfsnummer of vergelijkbaar identificatienummer):
  Contactpersoon	Volledige naam (optioneel): Functie Contactgegevens inclusief e-mail:	Volledige naam (optioneel): Functie Contactgegevens inclusief e-mail:
  Handtekening (indien vereist voor de toepassing van punt 2)

• Table 2: Geselecteerde SCC's, modules en geselecteerde clausules

  Addendum EU SCC's

  De versie van de goedgekeurde EU SCC's waaraan dit addendum is toegevoegd, wordt hieronder gedetailleerd beschreven, inclusief de Bijlage Informatie: Datum: Referentie (indien van toepassing): Andere identificatiecode (indien van toepassing): OF de goedgekeurde SCC's van de EU, met inbegrip van de Bijlage Informatie en met alleen de volgende modules, clausules of optionele bepalingen van de goedgekeurde SCC's van de EU die in werking zijn getreden voor de doeleinden van dit Addendum:

  

• Table 3: Bijlage Informatie

  "Aanhangselinformatie" betekent de informatie die moet worden verstrekt voor de geselecteerde modules zoals uiteengezet in het aanhangsel van de goedgekeurde EU-VCA's (met uitzondering van de partijen), en die voor dit aanhangsel is uiteengezet in:

  • Bijlage 1A: Lijst van partijen:
  • Bijlage 1B: Beschrijving van overdracht:
  • Bijlage II: Technische en organisatorische maatregelen, inclusief technische en organisatorische maatregelen om de beveiliging van de gegevens te garanderen:
  • Bijlage III: Lijst van subverwerkers (alleen modules 2 en 3):

• Table 4: Dit addendum beëindigen wanneer het goedgekeurde addendum verandert

  Dit addendum beëindigen wanneer het goedgekeurde addendum verandert

  De Partijen kunnen dit Addendum beëindigen zoals uiteengezet in Artikel 19: Importeren EXPORTEREN Geen van beide partijen

Part 2: Verplichte clausules

• Dit addendum aangaan

  1. Elke Partij stemt ermee in gebonden te zijn aan de voorwaarden en bepalingen in dit Addendum, in ruil voor het feit dat de andere Partij er ook mee instemt gebonden te zijn aan dit Addendum.

  2. Hoewel bijlage 1A en clausule 7 van de goedgekeurde SCC's van de EU door de partijen moeten worden ondertekend, kunnen de partijen ten behoeve van de beperkte doorgiften dit addendum aangaan op een wijze die hen juridisch bindend maakt voor de partijen en die betrokkenen in staat stelt hun rechten zoals uiteengezet in dit addendum af te dwingen. Het aangaan van dit Addendum heeft hetzelfde effect als het ondertekenen van de Goedgekeurde EU-CV's en alle delen van de Goedgekeurde EU-CV's.

• Interpretatie van dit addendum

  3. Waar in dit addendum termen worden gebruikt die in de goedgekeurde SCC's van de EU zijn gedefinieerd, hebben deze termen dezelfde betekenis als in de goedgekeurde SCC's van de EU. In de Overeenkomst hebben de volgende termen de volgende betekenis:

     Bijlage	Dit Addendum Internationale Gegevensoverdracht dat bestaat uit dit Addendum waarin het Addendum EU SCC's is opgenomen.
     Addendum EU SCC's	De versie(s) van de goedgekeurde EU SCC's waaraan dit addendum is toegevoegd, zoals uiteengezet in tabel 2, inclusief de aanhangselinformatie.
     Bijlage Informatie	Zoals uiteengezet in tabel 3.
     Passende waarborgen	De norm voor de bescherming van de persoonsgegevens en van de rechten van de betrokkenen, die wordt vereist door de Britse wetgeving inzake gegevensbescherming wanneer u een beperkte doorgifte uitvoert op basis van standaardbepalingen inzake gegevensbescherming krachtens artikel 46, lid 2, onder d), van de GDPR in het VK.
     Goedgekeurd addendum	Het modeladdendum dat door de ICO is uitgegeven en op 2 februari 2022 aan het Parlement is voorgelegd in overeenstemming met s119A van de Data Protection Act 2018, zoals herzien in overeenstemming met sectie 18.
     Goedgekeurde EU SCC's	De modelcontractbepalingen in de bijlage bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021.
     ICO	De commissaris voor informatie.
     Beperkte overdracht	Een overdracht die valt onder hoofdstuk V van de GDPR in het Verenigd Koninkrijk.
     UK	Het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland.
     Wetten gegevensbescherming Verenigd Koninkrijk	Alle wetten met betrekking tot gegevensbescherming, de verwerking van persoonsgegevens, privacy en/of elektronische communicatie die van tijd tot tijd van kracht zijn in het Verenigd Koninkrijk, met inbegrip van de GDPR in het Verenigd Koninkrijk en de Data Protection Act 2018.
     GDPR VK	Zoals gedefinieerd in sectie 3 van de Data Protection Act 2018.

  4. Dit Addendum moet altijd worden geïnterpreteerd op een manier die in overeenstemming is met de Britse wetgeving inzake gegevensbescherming en zodat het voldoet aan de verplichting van de partijen om de Passende waarborgen te bieden.

  5. Als de bepalingen in het Addendum EU SCC's de Goedgekeurde SCC's wijzigen op een manier die niet is toegestaan onder de Goedgekeurde EU SCC's of het Goedgekeurde Addendum, zullen dergelijke wijziging(en) niet worden opgenomen in dit Addendum en zullen de equivalente bepalingen van de Goedgekeurde EU SCC's hun plaats innemen.

  6. Als er een inconsistentie of conflict is tussen de Britse wetgeving inzake gegevensbescherming en dit addendum, is de Britse wetgeving inzake gegevensbescherming van toepassing.

  7. Als de betekenis van dit Addendum onduidelijk is of als er meer dan één betekenis is, geldt de betekenis die het meest in overeenstemming is met de Britse wetgeving inzake gegevensbescherming.

  8. Elke verwijzing naar wetgeving (of specifieke bepalingen van wetgeving) betekent die wetgeving (of specifieke bepaling) zoals die in de loop der tijd kan veranderen. Dit geldt ook wanneer die wetgeving (of specifieke bepaling) is geconsolideerd, opnieuw van kracht is geworden en/of is vervangen nadat dit Addendum is ingegaan.

• Hiërarchie

  9. Hoewel clausule 5 van de goedgekeurde SCC's van de EU bepaalt dat de goedgekeurde SCC's van de EU prevaleren boven alle gerelateerde overeenkomsten tussen de partijen, komen de partijen overeen dat voor Beperkte Overdrachten de hiërarchie in sectie 10 prevaleert.

  10. In geval van inconsistentie of conflicten tussen het Goedgekeurd Addendum en het Addendum EU-CV (indien van toepassing), prevaleert het Goedgekeurd Addendum boven het Addendum EU-CV, behalve wanneer (en voor zover) de inconsistente of conflicterende voorwaarden van het Addendum EU-CV meer bescherming bieden aan betrokkenen, in welk geval deze voorwaarden prevaleren boven het Goedgekeurd Addendum.

  11. Waar dit Addendum Addendum EU SCC's bevat die zijn aangegaan om doorgiften te beschermen die onder de Algemene Verordening Gegevensbescherming (EU) 2016/679 vallen, erkennen de Partijen dat niets in dit Addendum van invloed is op die Addendum EU SCC's.

• Opname van en wijzigingen in de SCC's van de EU

  12. Dit addendum omvat het addendum EU SCC's die voor zover nodig worden gewijzigd zodat:

      1. samen zijn ze van toepassing op de doorgifte van gegevens door de gegevensexporteur aan de gegevensimporteur, voor zover de Britse wetgeving inzake gegevensbescherming van toepassing is op de verwerking van de gegevensexporteur bij die doorgifte, en bieden ze passende waarborgen voor die doorgifte van gegevens;

      2. De paragrafen 9 tot en met 11 hebben voorrang op clausule 5 (hiërarchie) van het addendum EU SCC's; en

      3. dit Addendum (inclusief het Addendum EU SCC's dat erin is opgenomen) is (1) onderworpen aan de wetten van Engeland en Wales en (2) elk geschil dat hieruit voortvloeit wordt beslecht door de rechtbanken van Engeland en Wales, in elk geval tenzij de wetten en/of rechtbanken van Schotland of Noord-Ierland uitdrukkelijk door de partijen zijn gekozen.

  13. Tenzij de partijen alternatieve wijzigingen zijn overeengekomen die voldoen aan de vereisten van afdeling 12, zijn de bepalingen van afdeling 15 van toepassing.

  14. Er mogen geen wijzigingen in de goedgekeurde EU-VCA's worden aangebracht, behalve om te voldoen aan de vereisten van deel 12.

  15. De volgende wijzigingen in het addendum EU-VCA's (voor de toepassing van deel 12) worden aangebracht:

      1. Verwijzingen naar de "Clausules" betekenen dit Addendum, inclusief het Addendum EU SCC's;

      2. In clausule 2 worden de woorden geschrapt:

         "en, met betrekking tot gegevensdoorgiften van voor de verwerking verantwoordelijken naar verwerkers en/of verwerkers naar verwerkers, modelcontractbepalingen op grond van artikel 28, lid 7, van Verordening (EU) 2016/679";

      3. Clausule 6 (Beschrijving van de overdracht(en)) wordt vervangen door:

         "De bijzonderheden van de doorgifte(s) en met name de categorieën persoonsgegevens die worden doorgegeven en het doel of de doelen waarvoor zij worden doorgegeven) zijn die welke zijn gespecificeerd in bijlage I.B wanneer de Britse wetgeving inzake gegevensbescherming van toepassing is op de verwerking door de gegevensexporteur bij het verrichten van die doorgifte.";

      4. Punt 8.7, onder i), van module 1 wordt vervangen door:

         "het is naar een land dat in aanmerking komt voor adequaatheidsregelingen krachtens Sectie 17A van de GDPR in het VK die de verdere doorgifte dekt";

      5. Clausule 8.8(i) van Modules 2 en 3 wordt vervangen door:

         "de verdere doorgifte geschiedt naar een land dat in aanmerking komt voor adequaatheidsregelingen overeenkomstig afdeling 17A van de GDPR in het Verenigd Koninkrijk die betrekking hebben op de verdere doorgifte;"

      6. Verwijzingen naar "Verordening (EU) 2016/679", "Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming)" en "die verordening" worden allemaal vervangen door "UK Data Protection Laws". Verwijzingen naar specifieke artikel(en) van "Verordening (EU) 2016/679" worden vervangen door het gelijkwaardige artikel of deel van de Britse wetgeving inzake gegevensbescherming;

      7. Verwijzingen naar Verordening (EU) 2018/1725 worden verwijderd;

      8. Verwijzingen naar de "Europese Unie", "Unie", "EU", "EU-lidstaat", "lidstaat" en "EU of lidstaat" worden allemaal vervangen door het "VK";

      9. De verwijzing naar "Clausule 12(c)(i)" in Clausule 10(b)(i) van Module één, wordt vervangen door "Clausule 11(c)(i)";

      10. Clausule 13(a) en deel C van bijlage I worden niet gebruikt;

      11. De "bevoegde toezichthoudende autoriteit" en "toezichthoudende autoriteit" worden beide vervangen door de "Information Commissioner";

      12. In clausule 16, onder e), wordt punt i) vervangen door:

          "de minister maakt voorschriften krachtens artikel 17A van de Data Protection Act 2018 die betrekking hebben op de doorgifte van persoonsgegevens waarop deze bepalingen van toepassing zijn;";

      13. Clausule 17 wordt vervangen door:

          "Op deze Voorwaarden is het recht van Engeland en Wales van toepassing.";

      14. Clausule 18 wordt vervangen door:

          "Alle geschillen die voortvloeien uit deze Voorwaarden zullen worden beslecht door de rechtbanken van Engeland en Wales. Een betrokkene kan ook een gerechtelijke procedure aanspannen tegen de gegevensexporteur en/of gegevensimporteur voor de rechtbanken van elk land in het VK. De partijen komen overeen zich te onderwerpen aan de jurisdictie van deze rechtbanken."; en

      15. De voetnoten bij de goedgekeurde SCC's van de EU maken geen deel uit van het addendum, met uitzondering van de voetnoten 8, 9, 10 en 11.

• Wijzigingen in dit addendum

16. De partijen kunnen overeenkomen om clausule 17 en/of 18 van het addendum EU SCC's te wijzigen om te verwijzen naar de wetten en/of rechtbanken van Schotland of Noord-Ierland.

17. Als de partijen de indeling van de informatie in deel 1 willen wijzigen: Tabellen van het goedgekeurde addendum, kunnen zij dit doen door schriftelijk in te stemmen met de wijziging, op voorwaarde dat de wijziging de passende waarborgen niet beperkt.

18. Van tijd tot tijd kan de ICO een herzien Goedgekeurd Addendum uitgeven:

    1. redelijke en evenredige wijzigingen aanbrengt in het Goedgekeurde Addendum, met inbegrip van het corrigeren van fouten in het Goedgekeurde Addendum; en/of

    2. weerspiegelt wijzigingen in de Britse wetgeving inzake gegevensbescherming;

    In het herziene Goedgekeurde Addendum zal worden aangegeven vanaf welke datum de wijzigingen in het Goedgekeurde Addendum van kracht zijn en of de Partijen dit Addendum inclusief de Aanhangselinformatie moeten herzien. Dit Addendum wordt automatisch gewijzigd zoals uiteengezet in het herziene Goedgekeurde Addendum vanaf de aangegeven startdatum.

19. Indien de ICO een herzien Goedgekeurd Addendum uitbrengt krachtens Sectie 18, indien een Partij geselecteerd in Tabel 4 "Beëindiging van het Addendum wanneer het Goedgekeurd Addendum wijzigt", als direct gevolg van de wijzigingen in het Goedgekeurd Addendum een substantiële, disproportionele en aantoonbare toename heeft in:

    1. haar directe kosten voor het uitvoeren van haar verplichtingen onder het Addendum; en/of

    2. zijn risico onder het Addendum,

    en in beide gevallen eerst redelijke stappen heeft ondernomen om die kosten of risico's te verminderen zodat ze niet substantieel en onevenredig zijn, dan kan die Partij dit Addendum beëindigen aan het einde van een redelijke opzegtermijn, door de andere Partij schriftelijk in kennis te stellen van die termijn vóór de begindatum van het herziene Goedgekeurde Addendum.

20. De Partijen hebben geen toestemming van derden nodig om wijzigingen aan te brengen in dit Addendum, maar wijzigingen moeten worden aangebracht in overeenstemming met de voorwaarden ervan.

• Alternatief Deel 2 Verplichte clausules:

  Verplichte clausules

  Part 2: Verplichte clausules van het goedgekeurde addendum, zijnde het modeladdendum B.1.0 dat door de ICO is uitgegeven en op 2 februari 2022 aan het Parlement is voorgelegd in overeenstemming met s119A van de Data Protection Act 2018, zoals het is herzien in overeenstemming met artikel 18 van die Verplichte clausules.