Addendum gegevensverwerking

Laatst bijgewerkt: 25 October 2023

Dit Addendum gegevensverwerking ("AGV") maakt deel uit van de overeenkomst ("Overeenkomst") tussen de entiteit of entiteiten van de LexisNexis Risk Solutions ("LNRS") op grond waarvan LNRS bepaalde producten of diensten ("Diensten") levert aan de Klant of Licentiehouder (zoals gedefinieerd in de Overeenkomst en hierna genoemd "Klant") en, in voorkomend geval, aan de aan haar Gelieerde ondernemingen , en waarin naar dit AGV wordt verwezen.
I.           Definities
    
  
       1.         “Wetgeving inzake gegevensbescherming” betekent alle toepasselijke wetten, regels, voorschriften, besluiten, bevelen en andere overheidsvereisten inzake privacy en gegevensbescherming.
 
2.    De termen "persoonsgegevens", "inbreuk in verband met persoonsgegevens", "verwerking", "verwerker" en "betrokkene" hebben dezelfde betekenis als in de Wetgeving inzake gegevensbescherming, en wanneer in de Wetgeving inzake gegevensbescherming gelijkwaardige of overeenkomstige termen worden gebruikt, zoals "persoonlijke informatie" in plaats van "persoonsgegevens", worden deze in dit document als dezelfde termen gelezen.
II.          Reikwijdte
 
     

      

 Dit AGV is van toepassing op de verwerking van persoonsgegevens door LNRS namens de Klant en, indien van toepassing, Gelieerde ondernemingen van de Klant op grond van de Overeenkomst.
III.
    Reikwijdte van de verwerking
 
     
 
1.            De verwerking door LNRS zal worden geregeld door dit AGV, in het bijzonder zal LNRS de persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Klant, inclusief met betrekking tot de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie, tenzij LNRS hiertoe verplicht wordt door de toepasselijke wetgeving waaraan LNRS is onderworpen; in een dergelijk geval zal LNRS de Klant op de hoogte brengen van die wettelijke verplichting alvorens tot verwerking over te gaan, tenzij die wetgeving LNRS verbiedt om dit te doen op grond van zwaarwegende redenen van algemeen belang.
 
2.   Het onderwerp van de verwerking zijn de persoonsgegevens die in het kader van deze Overeenkomst met betrekking tot de Diensten zijn verstrekt. De duur van de verwerking is de duur van de levering van de Diensten op grond van de Overeenkomst tot aan de verwijdering van de persoonsgegevens in overeenstemming met de Overeenkomst. De aard en het doel van de verwerking staan in verband tot de levering van de Diensten onder de Overeenkomst. De categorieën van verwerkte persoonsgegevens zijn die welke door of op aanwijzing van de Klant als onderdeel van de Diensten aan LNRS worden verstrekt. De categorieën van betrokkenen zijn de categorieën waarvan de persoonsgegevens door of op aanwijzing van de Klant als onderdeel van de Diensten aan LNRS worden verstrekt.
 
3.    De Overeenkomst, met inbegrip van dit AGV, samen met het gebruik en de configuratie van de Diensten door de Klant, vormen de volledige en definitieve schriftelijke instructies aan LNRS voor de verwerking van de persoonsgegevens. Aanvullende of alternatieve instructies moeten door de partijen afzonderlijk worden overeengekomen. LNRS zal ervoor zorgen dat zijn personeel dat betrokken is bij de verwerking van de persoonsgegevens, deze gegevens uitsluitend zal verwerken op basis van schriftelijke instructies van de Klant, tenzij de toepasselijke wetgeving anders vereist.
 
     
IV.         Vertrouwelijkheid  
       
 
    LNRS zal ervoor zorgen dat personen die gemachtigd zijn om de persoonsgegevens te verwerken zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
         
V.        SBeveiliging van de verwerking  
         
 
1.    Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de omvang, de context en de doeleinden van de verwerking, alsmede de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, zullen de Klant en LNRS passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen , zoals beschreven in de Overeenkomst en met inbegrip van onder meer, waar passend, de volgende maatregelen:
         
         (a) de pseudonimisering en versleuteling van persoonsgegevens;
         
         (b) het vermogen om op permanent basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te waarborgen;
         
         (c) het vermogen om bij een fysiek of technisch incident de de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; en
         
         (d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
         
 
2.    Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening worden gehouden met de verwerkingsrisico's vooral als gevolg van de vernietiging, het verlies, de wijziging, of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen, of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
         
 
3.    De Klant en LNRS treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de Klant of van LNRS en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de Klant verwerkt , tenzij hij of zij hiertoe verplicht is door de toepasselijke wetgeving.
 
     
 
4.    Niettegenstaande enige andersluidende bepaling mag LNRS zijn beveiligingsmaatregelen naar eigen goeddunken wijzigen of bijwerken, op voorwaarde dat een dergelijke wijziging of bijwerking niet leidt tot een wezenlijke verslechtering van de door de Overeenkomst geboden bescherming.

VI.  

         Subverwerking
 
1.        De Klant verleent LNRS hierbij een algemene toestemming om andere verwerkers in te schakelen voor de verwerking van persoonsgegevens in overeenstemming met dit AGV. LNRS zal een lijst van dergelijke verwerkers bijhouden op https://risk.lexisnexis.com/corporate/dpa/sub-processors, die LNRS van tijd tot tijd kan bijwerken. Ten minste 14 dagen voordat een nieuwe verwerker wordt gemachtigd om de persoonsgegevens te verwerken, zal LNRS een dergelijke lijst op zijn website bijwerken. De Klant kan zonder kosten bezwaar maken tegen de wijziging, met behoud van het geschillenbeslechtingsproces van de Overeenkomst of toepasselijke rechten op terugbetaling- of beëindiging die de Klant mogelijk heeft op grond van de Overeenkomst.
         
    2.   Wanneer LNRS een andere verwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens de Klant, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens de Wetgeving inzake gegevensbescherming dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in dit Addendum zijn vastgelegd. . Wanneer die andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft LNRS (onder voorbehoud van de bepalingen van de Overeenkomst) ten aanzien van de Klant volledig aansprakelijk voor de nakoming van de verplichtingen van die andere verwerker.

 VII.       Rechten van de Betrokkene
    
 
 
1.    Rekening houdend met de aard van de verwerking zal LNRS de Klant met passende technische en organisatorische maatregelen , voor zover dit mogelijk is, bijstand verlenen bij het vervullen van diens plicht om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene.
         
    2.    LNRS zal, voor zover wettelijk toegestaan, de Klant onmiddellijk op de hoogte brengen van alle door LNRS ontvangen verzoeken van betrokkenen en in redelijkheid met de Klant samenwerken om te voldoen aan zijn verplichtingen krachtens de Wetgeving inzake gegevensbescherming in verband met dergelijke verzoeken. De Klant zal verantwoordelijk zijn voor alle redelijke kosten die voortvloeien uit de bijstand die LNRS aan de Klant verleent om dergelijke verplichtingen na te komen.

VIII.


De Klant bijstand verlenen
    



                
Rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor LNRS, zal.LNRS de Klant bijstand verlenen bij het doen nakomen van de naleving van gegevensbeveiliging, kennisgeving van persoonlijke inbreuken en andere verplichtingen uit hoofde van de Wetgeving inzake gegevensbescherming.

IX.             Beëindiging van verwerking
    
 
                             Na afloop of beëindiging van het gebruik van de Diensten door de Klant, tenzij de toepasselijke wetgeving de opslag van de persoonsgegevens vereist, geeft de Klant LNRS de opdracht om de persoonsgegevens te wissen of deze aan hem terug te bezorgen in overeenstemming met de voorwaarden en termijnen, indien van toepassing, voor de Diensten zoals uiteengezet in de Overeenkomst. Wanneer de Overeenkomst de Klant de keuze biedt om de persoonsgegevens te verwijderen of terug te bezorgen en de Klant die keuze niet binnen 30 dagen na de beëindiging van de Overeenkomst maakt, instrueert de Klant LNRS hierbij om de persoonsgegevens te verwijderen, tenzij de toepasselijke wetgeving de opslag van de persoonsgegevens vereist. In dergelijke gevallen zal LNRS de persoonsgegevens zo snel mogelijk verwijderen.
X.                      Audits
                          
                  De rechten voor het uitvoeren van audits worden uiteengezet in de Overeenkomst. Bij gebreke aan dergelijke vereisten in de Overeenkomst zullen, indien de Wetgeving inzake gegevensbescherming zulks vereist, audits worden verricht die: (i) onderworpen zijn aan de uitvoering van passende vertrouwelijkheids- of geheimhoudingsovereenkomsten; (ii) niet meer dan eenmaal per jaar worden uitgevoerd, tenzij er een redelijke vermoeden bestaat dat de Overeenkomst niet wordt nageleefd, na een schriftelijke kennisgevingstermijn van 30 dagen en na overlegging van een plan voor een dergelijke controle; en (iii) worden uitgevoerd op een onderling overeengekomen tijdstip, plaats en wijze.

XI.           Internationale doorgifte
         
                 LNRS zal ervoor zorgen dat, voor zover persoonsgegevens afkomstig uit het land van de Klant door LNRS worden doorgegeven aan een ander land, een dergelijke doorgifte onderworpen zal zijn aan een passend doorgiftemechanisme dat een adequaat beschermingsniveau biedt in overeenstemming met de Wetgeving inzake gegevensbescherming.

XII.              Inbreuk in verband met persoonsgegevens
                LNRS zal de Klant zonder onnodige vertraging op de hoogte stellen zodra LNRS kennis heeft genomen van een inbreuk in verband met persoonsgegevens waarbij persoonsgegevens betrokken zijn die onder dit AGV worden verwerkt en zal redelijkerwijs reageren op het verzoek van de Klant om verdere informatie, zodat de Klant kan voldoen aan zijn verplichtingen onder de Wetgeving inzake gegevensbescherming.

XIII.        Gegevens van verwerkingsactiviteiten
       
             LNRS zal een register van verwerkingsactiviteiten houden, zoals door de Gegevensbeschermingswetgeving vereist, en, voor zover van toepassing op de verwerking van de persoonsgegevens namens de Klant, deze indien nodig aan de Klant ter beschikking stellen.

XIV.  

Rechtmatigheid voor verwerking




 
             De Klant garandeert dat hij, indien vereist door de Wetgeving inzake gegevensbescherming, alle betrokkenen in kennis heeft gesteld en de vereiste toestemming heeft gekregen van de betrokkene of zijn wettelijke vertegenwoordiger of voogd.
XV.        
Jurisdictie specifieke voorwaarden
         
 

       
Voor zover LNRS persoonsgegevens verwerkt die afkomstig zijn van, of anderszins onderworpen zijn aan de Wetgeving inzake gegevensbescherming van één van de hieronder vermelde jurisdicties, zijn de daarin gespecificeerde voorwaarden met betrekking tot de toepasselijke jurisdictie(s) van toepassing in aanvulling op de voorgaande voorwaarden.
             
         
Europese Economische Ruimte, Verenigd Koninkrijk en Zwitserland
             



    1. Voor zover de Klant persoonsgegevens doorgeeft vanuit de Europese Economische Ruimte (“EER”), het Verenigd Koninkrijk (“VK”) of Zwitserland naar LNRS buiten de EER, VK of Zwitserland, tenzij partijen zich kunnen beroepen op een alternatief doorgiftemechanisme op grond van de Wetgeving inzake gegevensbescherming, worden partijen geacht de standaard contractbepalingen te zijn aangegaan die zijn goedgekeurd bij Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021, beschikbaar op http://data.europa.eu/eli/dec_impl/2021/914/oj (“de Standaard Contractbepalingen” of “de SCC”) met betrekking tot een dergelijke doorgifte, waarbij:
  1.  De Klant de “gegevensexporteur” en LNRS de “gegevensimporteur” is;
  2.  de voetnoten, Bepaling 9(a) Optie 1, Bepaling11(a) Optie en Bepaling 17 Optie 1 worden weggelaten, de periode in Bepaling 9(a) Optie 2 14 dagen is, en de toepasselijke bijlagen respectievelijk worden aangevuld met de informatie uiteengezet in het AGV en de Overeenkomst;
  3.  voor zover de Klant optreedt als verwerkingsverantwoordelijke en LNRS optreedt als verwerker, is Module Twee van toepassing en worden Modules Eén, Drie en Vier weggelaten, en voor zover elke partij optreedt als verwerker, is Module Drie van toepassing en worden Modules Eén, Twee en Vier weggelaten;
  4.  de “bevoegde toezichthoudende autoriteit” de toezichthoudende autoriteit in Ierland is;
  5.  de Clausules worden geregeerd door het recht van Ierland;
  6.  elk geschil dat voortvloeit uit de Clausules zal worden beslecht door de bevoegde rechter in Ierland; en
  7.  als er een conflict bestaat tussen de voorwaarden van de Overeenkomst en de Clausules, de Clausules voorrang hebben.
 
       

 
    2. Met betrekking tot de doorgifte van persoonsgegevens vanuit het Verenigd Koninkrijk zijn de Clausules zoals uiteengezet in paragraaf 1 hierboven van toepassing, met inachtneming van de volgende wijzigingen:
  1.  de Clausules worden gewijzigd zoals gespecificeerd in Deel 2 van het addendum voor internationale gegevensdoorgifte bij de standaard contractbepalingen van de Europese Commissie uitgegeven onder Sectie 119A van de UK Data Protection Act 2018, zoals van tijd tot tijd kan worden gewijzigd of vervangen (“UK Addendum”);
  2.  de tabellen 1 tot en met 3 in deel 1 van het UK-addendum worden respectievelijk ingevuld met de informatie uiteengezet in het AGV en de Overeenkomst (indien van toepassing); en
  3.  tabel 4 in deel 1 van het UK-addendum wordt ingevuld door “geen van beide partijen” te selecteren.
             

 
    3. Met betrekking tot de doorgifte van persoonsgegevens vanuit Zwitserland zijn de Clausules zoals uiteengezet onder paragraaf 1 hierboven van toepassing, met inachtneming van de volgende wijzigingen:
  1.  verwijzingen naar “Verordening (EU) 2016/679” worden geïnterpreteerd als verwijzingen naar de Zwitserse federale wet inzake gegevensbescherming (“FADP”);
  2.  verwijzingen naar specifieke artikelen van “Verordening (EU) 2016/679” worden vervangen door het overeenkomstige artikel of artikel van de FADP;
  3.  verwijzingen naar “EU”, “Unie”, “een lidstaat” en “Lidstaatrecht” worden vervangen door verwijzingen naar “Zwitserland” of “Zwitsers recht”, naargelang het geval;
  4.  de term “lidstaat” wordt niet zodanig uitgelegd dat betrokkenen in Zwitserland worden uitgesloten van de mogelijkheid om toegang te krijgen tot hun rechten;
  5.  Clausule 13(a) en deel C van bijlage I worden niet gebruikt en de “bevoegde toezichthoudende autoriteit” is de Zwitserse federale commissaris voor gegevensbescherming;
  6.  de Clausules worden geregeerd door het recht van Zwitserland; en
  7.  elk geschil dat voortvloeit uit de Clausules zal worden beslecht door de bevoegde rechter in Zwitserland.

           
            Verenigde Staten
             
            U.S. Privacy Laws Addendum
             

       
Zuid-Afrika  

       
 

        1.  Voor zover LNRS persoonsgegevens verwerkt in het kader van de Zuid-Afrikaanse Protection of Personal Information Act, No. 4 of 2013 (POPIA) voor de Klant, zal LNRS voorts de in artikel 19 van POPIA bedoelde beveiligingsmaatregelen treffen en handhaven.

        2. LNRS zal de Klant onmiddellijk op de hoogte stellen wanneer er redelijke gronden zijn om aan te nemen dat de persoonsgegevens van een betrokkene zijn ingezien of verkregen door enige onbevoegde persoon.