Laatst bijgewerkt: 25 October 2023
I. | Definities |
|||
1. | “Wetgeving inzake gegevensbescherming” betekent alle toepasselijke wetten, regels, voorschriften, besluiten, bevelen en andere overheidsvereisten inzake privacy en gegevensbescherming. |
|||
2. | De termen "persoonsgegevens", "inbreuk in verband met persoonsgegevens", "verwerking", "verwerker" en "betrokkene" hebben dezelfde betekenis als in de Wetgeving inzake gegevensbescherming, en wanneer in de Wetgeving inzake gegevensbescherming gelijkwaardige of overeenkomstige termen worden gebruikt, zoals "persoonlijke informatie" in plaats van "persoonsgegevens", worden deze in dit document als dezelfde termen gelezen. |
II. | Reikwijdte |
|||
|
Dit AGV is van toepassing op de verwerking van persoonsgegevens door LNRS namens de Klant en, indien van toepassing, Gelieerde ondernemingen van de Klant op grond van de Overeenkomst. |
III. | Reikwijdte van de verwerking |
|||
1. | De verwerking door LNRS zal worden geregeld door dit AGV, in het bijzonder zal LNRS de persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Klant, inclusief met betrekking tot de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie, tenzij LNRS hiertoe verplicht wordt door de toepasselijke wetgeving waaraan LNRS is onderworpen; in een dergelijk geval zal LNRS de Klant op de hoogte brengen van die wettelijke verplichting alvorens tot verwerking over te gaan, tenzij die wetgeving LNRS verbiedt om dit te doen op grond van zwaarwegende redenen van algemeen belang. |
|||
2. | Het onderwerp van de verwerking zijn de persoonsgegevens die in het kader van deze Overeenkomst met betrekking tot de Diensten zijn verstrekt. De duur van de verwerking is de duur van de levering van de Diensten op grond van de Overeenkomst tot aan de verwijdering van de persoonsgegevens in overeenstemming met de Overeenkomst. De aard en het doel van de verwerking staan in verband tot de levering van de Diensten onder de Overeenkomst. De categorieën van verwerkte persoonsgegevens zijn die welke door of op aanwijzing van de Klant als onderdeel van de Diensten aan LNRS worden verstrekt. De categorieën van betrokkenen zijn de categorieën waarvan de persoonsgegevens door of op aanwijzing van de Klant als onderdeel van de Diensten aan LNRS worden verstrekt. |
|||
3. | De Overeenkomst, met inbegrip van dit AGV, samen met het gebruik en de configuratie van de Diensten door de Klant, vormen de volledige en definitieve schriftelijke instructies aan LNRS voor de verwerking van de persoonsgegevens. Aanvullende of alternatieve instructies moeten door de partijen afzonderlijk worden overeengekomen. LNRS zal ervoor zorgen dat zijn personeel dat betrokken is bij de verwerking van de persoonsgegevens, deze gegevens uitsluitend zal verwerken op basis van schriftelijke instructies van de Klant, tenzij de toepasselijke wetgeving anders vereist. |
|||
IV. | Vertrouwelijkheid | |||
LNRS zal ervoor zorgen dat personen die gemachtigd zijn om de persoonsgegevens te verwerken zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden. | ||||
V. | SBeveiliging van de verwerking | |||
1. | Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de omvang, de context en de doeleinden van de verwerking, alsmede de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, zullen de Klant en LNRS passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen , zoals beschreven in de Overeenkomst en met inbegrip van onder meer, waar passend, de volgende maatregelen: | |||
(a) de pseudonimisering en versleuteling van persoonsgegevens; | ||||
(b) het vermogen om op permanent basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te waarborgen; | ||||
(c) het vermogen om bij een fysiek of technisch incident de de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; en | ||||
(d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. | ||||
2. | Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening worden gehouden met de verwerkingsrisico's vooral als gevolg van de vernietiging, het verlies, de wijziging, of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen, of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. | |||
3. | De Klant en LNRS treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de Klant of van LNRS en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de Klant verwerkt , tenzij hij of zij hiertoe verplicht is door de toepasselijke wetgeving. | |||
4. | Niettegenstaande enige andersluidende bepaling mag LNRS zijn beveiligingsmaatregelen naar eigen goeddunken wijzigen of bijwerken, op voorwaarde dat een dergelijke wijziging of bijwerking niet leidt tot een wezenlijke verslechtering van de door de Overeenkomst geboden bescherming. |
VI. |
Subverwerking | |||
1. | De Klant verleent LNRS hierbij een algemene toestemming om andere verwerkers in te schakelen voor de verwerking van persoonsgegevens in overeenstemming met dit AGV. LNRS zal een lijst van dergelijke verwerkers bijhouden op https://risk.lexisnexis.com/corporate/dpa/sub-processors, die LNRS van tijd tot tijd kan bijwerken. Ten minste 14 dagen voordat een nieuwe verwerker wordt gemachtigd om de persoonsgegevens te verwerken, zal LNRS een dergelijke lijst op zijn website bijwerken. De Klant kan zonder kosten bezwaar maken tegen de wijziging, met behoud van het geschillenbeslechtingsproces van de Overeenkomst of toepasselijke rechten op terugbetaling- of beëindiging die de Klant mogelijk heeft op grond van de Overeenkomst. | |||
2. | Wanneer LNRS een andere verwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens de Klant, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens de Wetgeving inzake gegevensbescherming dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in dit Addendum zijn vastgelegd. . Wanneer die andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft LNRS (onder voorbehoud van de bepalingen van de Overeenkomst) ten aanzien van de Klant volledig aansprakelijk voor de nakoming van de verplichtingen van die andere verwerker. |
VII. | Rechten van de Betrokkene | |||
1. | Rekening houdend met de aard van de verwerking zal LNRS de Klant met passende technische en organisatorische maatregelen , voor zover dit mogelijk is, bijstand verlenen bij het vervullen van diens plicht om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene. | |||
2. | LNRS zal, voor zover wettelijk toegestaan, de Klant onmiddellijk op de hoogte brengen van alle door LNRS ontvangen verzoeken van betrokkenen en in redelijkheid met de Klant samenwerken om te voldoen aan zijn verplichtingen krachtens de Wetgeving inzake gegevensbescherming in verband met dergelijke verzoeken. De Klant zal verantwoordelijk zijn voor alle redelijke kosten die voortvloeien uit de bijstand die LNRS aan de Klant verleent om dergelijke verplichtingen na te komen. |
VIII. | De Klant bijstand verlenen | |||
Rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor LNRS, zal.LNRS de Klant bijstand verlenen bij het doen nakomen van de naleving van gegevensbeveiliging, kennisgeving van persoonlijke inbreuken en andere verplichtingen uit hoofde van de Wetgeving inzake gegevensbescherming. |
IX. | Beëindiging van verwerking | |||
Na afloop of beëindiging van het gebruik van de Diensten door de Klant, tenzij de toepasselijke wetgeving de opslag van de persoonsgegevens vereist, geeft de Klant LNRS de opdracht om de persoonsgegevens te wissen of deze aan hem terug te bezorgen in overeenstemming met de voorwaarden en termijnen, indien van toepassing, voor de Diensten zoals uiteengezet in de Overeenkomst. Wanneer de Overeenkomst de Klant de keuze biedt om de persoonsgegevens te verwijderen of terug te bezorgen en de Klant die keuze niet binnen 30 dagen na de beëindiging van de Overeenkomst maakt, instrueert de Klant LNRS hierbij om de persoonsgegevens te verwijderen, tenzij de toepasselijke wetgeving de opslag van de persoonsgegevens vereist. In dergelijke gevallen zal LNRS de persoonsgegevens zo snel mogelijk verwijderen. |
X. | Audits | ||||||||
De rechten voor het uitvoeren van audits worden uiteengezet in de Overeenkomst. Bij gebreke aan dergelijke vereisten in de Overeenkomst zullen, indien de Wetgeving inzake gegevensbescherming zulks vereist, audits worden verricht die: (i) onderworpen zijn aan de uitvoering van passende vertrouwelijkheids- of geheimhoudingsovereenkomsten; (ii) niet meer dan eenmaal per jaar worden uitgevoerd, tenzij er een redelijke vermoeden bestaat dat de Overeenkomst niet wordt nageleefd, na een schriftelijke kennisgevingstermijn van 30 dagen en na overlegging van een plan voor een dergelijke controle; en (iii) worden uitgevoerd op een onderling overeengekomen tijdstip, plaats en wijze. |
XI. | Internationale doorgifte |
|||
LNRS zal ervoor zorgen dat, voor zover persoonsgegevens afkomstig uit het land van de Klant door LNRS worden doorgegeven aan een ander land, een dergelijke doorgifte onderworpen zal zijn aan een passend doorgiftemechanisme dat een adequaat beschermingsniveau biedt in overeenstemming met de Wetgeving inzake gegevensbescherming. |
XII. | Inbreuk in verband met persoonsgegevens |
|||
LNRS zal de Klant zonder onnodige vertraging op de hoogte stellen zodra LNRS kennis heeft genomen van een inbreuk in verband met persoonsgegevens waarbij persoonsgegevens betrokken zijn die onder dit AGV worden verwerkt en zal redelijkerwijs reageren op het verzoek van de Klant om verdere informatie, zodat de Klant kan voldoen aan zijn verplichtingen onder de Wetgeving inzake gegevensbescherming. |
XIII. | Gegevens van verwerkingsactiviteiten |
||
LNRS zal een register van verwerkingsactiviteiten houden, zoals door de Gegevensbeschermingswetgeving vereist, en, voor zover van toepassing op de verwerking van de persoonsgegevens namens de Klant, deze indien nodig aan de Klant ter beschikking stellen. |
XIV. | Rechtmatigheid voor verwerking |
|||
De Klant garandeert dat hij, indien vereist door de Wetgeving inzake gegevensbescherming, alle betrokkenen in kennis heeft gesteld en de vereiste toestemming heeft gekregen van de betrokkene of zijn wettelijke vertegenwoordiger of voogd. |
XV. | Jurisdictie specifieke voorwaarden |
|||||
Voor zover LNRS persoonsgegevens verwerkt die afkomstig zijn van, of anderszins onderworpen zijn aan de Wetgeving inzake gegevensbescherming van één van de hieronder vermelde jurisdicties, zijn de daarin gespecificeerde voorwaarden met betrekking tot de toepasselijke jurisdictie(s) van toepassing in aanvulling op de voorgaande voorwaarden. | ||||||
Europese Economische Ruimte, Verenigd Koninkrijk en Zwitserland | ||||||
1. |
Voor zover de Klant persoonsgegevens doorgeeft vanuit de Europese Economische Ruimte (“EER”), het Verenigd Koninkrijk (“VK”) of Zwitserland naar LNRS buiten de EER, VK of Zwitserland, tenzij partijen zich kunnen beroepen op een alternatief doorgiftemechanisme op grond van de Wetgeving inzake gegevensbescherming, worden partijen geacht de standaard contractbepalingen te zijn aangegaan die zijn goedgekeurd bij Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021, beschikbaar op http://data.europa.eu/eli/dec_impl/2021/914/oj (“de Standaard Contractbepalingen” of “de SCC”) met betrekking tot een dergelijke doorgifte, waarbij:
|
|||||
2. |
Met betrekking tot de doorgifte van persoonsgegevens vanuit het Verenigd Koninkrijk zijn de Clausules zoals uiteengezet in paragraaf 1 hierboven van toepassing, met inachtneming van de volgende wijzigingen:
|
|||||
3. |
Met betrekking tot de doorgifte van persoonsgegevens vanuit Zwitserland zijn de Clausules zoals uiteengezet onder paragraaf 1 hierboven van toepassing, met inachtneming van de volgende wijzigingen:
|
|||||
Verenigde Staten | ||||||
U.S. Privacy Laws Addendum | ||||||
Zuid-Afrika | ||||||
1. | Voor zover LNRS persoonsgegevens verwerkt in het kader van de Zuid-Afrikaanse Protection of Personal Information Act, No. 4 of 2013 (POPIA) voor de Klant, zal LNRS voorts de in artikel 19 van POPIA bedoelde beveiligingsmaatregelen treffen en handhaven. | |||||
2. | LNRS zal de Klant onmiddellijk op de hoogte stellen wanneer er redelijke gronden zijn om aan te nemen dat de persoonsgegevens van een betrokkene zijn ingezien of verkregen door enige onbevoegde persoon. |