Addendum gegevensbescherming

Laatst bijgewerkt: 25 October 2023

Dit Addendum gegevensbescherming (“AGB”) maakt deel uit van de overeenkomst (“Overeenkomst”) tussen de entiteit of entiteiten van de LexisNexis Risk Solutions (“LNRS”) op grond waarvan LNRS bepaalde producten of diensten (“Diensten”) levert aan de Klant of Licentiehouder (zoals gedefinieerd in de Overeenkomst en hierna genoemd “Klant”) en, in voorkomend geval, aan zijn Aangesloten bedrijven, en waarin naar dit AGB wordt verwezen.

I.          Definities
    
 
 
   1.         

“Wetgeving inzake gegevensbescherming” betekent alle toepasselijke wetten, regels, voorschriften, besluiten, bevelen en andere overheidsvereisten inzake privacy en gegevensbescherming.

 
   2.      De termen “voor de verwerkingsverantwoordelijke”, “persoonsgegevens”, “verwerking” en “betrokkene” hebben dezelfde betekenis als in de Wetgeving inzake gegevensbescherming, en wanneer in de Wetgeving inzake gegevensbescherming gelijkwaardige of overeenkomstige termen worden gebruikt, zoals “persoonlijke informatie” in plaats van “persoonsgegevens”, worden deze hier als dezelfde termen gelezen.

II.                    Reikwijdte
    
 


 
             Dit AGB is van toepassing op de verwerking van persoonsgegevens die elke Partij van de andere Partij en, indien van toepassing, aan haar Gelieerde Ondernemingen ontvangt op grond van de Overeenkomst, met uitzondering van persoonsgegevens die een van de Partijen namens de andere Partij verwerkt.

III.  

        Rollen en beperkingen van partijen
 
1.       De Partijen erkennen dat elk afzonderlijk en onafhankelijk van elkaar de doeleinden en middelen van verwerking bepaalt en daarom elk een onafhankelijke verwerkingsverantwoordelijke van de persoonsgegevens is. Partijen verwerken en zullen de persoonsgegevens niet verwerken als gezamenlijke verwerkingsverantwoordelijken.
         
 
2.   Elke Partij zal voldoen aan zijn verplichtingen onder de Wetgeving inzake gegevensbescherming, en elke Partij zal individueel en afzonderlijk verantwoordelijk zijn voor naleving daarvan. Niets in dit AGB zal beperkingen wijzigen die van toepassing zijn op de rechten van ieder van de Partijen om de persoonsgegevens op grond van de Overeenkomst te gebruiken of anderszins te verwerken.
         

  3.    De Klant gaat ermee akkoord dat de persoonsgegevens die LNRS ontvangt, zijn verzameld, overgedragen en anderszins verwerkt in overeenstemming met de Wetgeving inzake gegevensbescherming, inclusief door het verstrekken van informatie zoals uiteengezet in de toepasselijke Kennisgeving van verwerking van de LexisNexis Risk Solutions op https://risk.lexisnexis.com/corporate/processing-notices.
         
    4.   De Klant gaat ermee akkoord dat LNRS alle authenticiteits gegevens, accountgegevens, gebruiksgegevens, servicelogboeken en andere persoonsgegevens verwerkt die nodig zijn om de Diensten te kunnen verlenen, te beheren of te beveiligen, met inachtneming van het Privacybeleid van LexisNexis Risk Solutions op https://risk.lexisnexis.com/corporate/privacy-policy.
         


5.
De Klant gaat ermee akkoord dat personeel dat persoonsgegevens verwerkt, een passende privacytraining zal krijgen (inclusief zoals vereist door de Wetgeving inzake gegevensbescherming).
IV.                   Rechten van de Betrokkene
    
 


 
             Elke Partij is verantwoordelijk voor het beantwoorden van vragen van betrokkenen. Geen van beide Partijen is verplicht om de andere Partij op de hoogte te stellen van een verzoek van een betrokkene, of om namens de andere Partij te reageren.
V.                      Bijstand
 
               Elke Partij zal samenwerken met en bijstand verlenen aan de andere Partij zoals redelijkerwijs vereist om de andere Partij in staat te stellen te voldoen aan zijn verplichting uit hoofde van de Wetgeving inzake gegevensbescherming, rekening houdend met de aard van de verwerking en de informatie waarover de Partij beschikt.
VI.                      Internationale doorgifte
 
               Elke Partij ziet erop toe dat, voor zover persoonsgegevens door de Partij worden doorgegeven aan een ander land, een dergelijke doorgifte onderworpen zal zijn aan een passend doorgiftemechanisme dat een adequaat beschermingsniveau biedt in overeenstemming met de Wetgeving inzake gegevensbescherming.
VII.            Jurisdictie specifieke voorwaarden
           
            Voor zover een Partij persoonsgegevens verwerkt die afkomstig zijn uit, of anderszins onderworpen zijn aan de Wetgeving inzake gegevensbescherming van een van de hieronder vermelde jurisdicties , zijn de daarin gespecificeerde voorwaarden met betrekking tot de toepasselijke jurisdictie van toepassing in aanvulling op de voorgaande voorwaarden.
             
            Europese Economische Ruimte, Verenigd Koninkrijk en Zwitserland
             
     
1.   Voor zover een van de Partijen persoonsgegevens doorgeeft vanuit de Europese Economische Ruimte (“EER”), het Verenigd Koninkrijk (“VK”) of Zwitserland naar de andere Partij buiten de EER, VK of Zwitserland, tenzij de Partijen zich kunnen beroepen op een alternatief doorgifte mechanisme op grond van de Wetgeving inzake gegevensbescherming, worden Partijen geacht de standaard contractbepalingen te zijn aangegaan die zijn goedgekeurd bij Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021, beschikbaar op http://data.europa.eu/eli/dec_impl/2021/914/oj (“de Standaard Contractbepalingen” of de “SCC”) met betrekking tot een dergelijke doorgifte, waarbij:
  1.  de ontvangende Partij de “gegevensimporteur” is en de andere Partij de “gegevensexporteur”;
  2.  Module Eén van toepassing is, Modules Twee, Drie en Vier, de voetnoten, Clausule 11(a) Optie en Clausule 17 Optie 2 worden weggelaten en de toepasselijke bijlagen worden aangevuld met respectievelijk de informatie uiteengezet in de DPA en de Overeenkomst (indien van toepassing);
  3.  de “bevoegde toezichthoudende autoriteit” de toezichthoudende autoriteit in Ierland is;
  4.  de Clausules worden geregeerd door het recht van Ierland;
  5.  elk geschil dat voortvloeit uit de Clausules zal worden beslecht door de bevoegde rechter in Ierland; en
  6.  als er een conflict bestaat tussen de voorwaarden van de Overeenkomst en de Clausules, de Clausules voorrang hebben.

     
2.   Met betrekking tot de doorgifte van persoonsgegevens vanuit het Verenigd Koninkrijk zijn de Clausules zoals uiteengezet in paragraaf 1 hierboven van toepassing, met inachtneming van de volgende wijzigingen:
  1.  de Clausules worden gewijzigd zoals gespecificeerd in Deel 2 van het addendum voor internationale gegevensdoorgifte bij de standaard contractbepalingen van de Europese Commissie uitgegeven onder Sectie 119A van de UK Data Protection Act 2018, zoals van tijd tot tijd kan worden gewijzigd of vervangen (“UK Addendum”);
  2.  de tabellen 1 tot en met 3 in deel 1 van het UK-addendum worden respectievelijk ingevuld met de informatie uiteengezet in het AGV en de Overeenkomst (indien van toepassing); en
  3.  tabel 4 in deel 1 van het UK-addendum wordt ingevuld door “geen van beide partijen” te selecteren.

     
3.    Met betrekking tot de doorgifte van persoonsgegevens vanuit Zwitserland zijn de Clausules zoals uiteengezet onder paragraaf 1 hierboven van toepassing, met inachtneming van de volgende wijzigingen:
  1.  verwijzingen naar “Verordening (EU) 2016/679” worden geïnterpreteerd als verwijzingen naar de Zwitserse federale wet inzake gegevensbescherming (“FADP”);
  2.  verwijzingen naar specifieke artikelen van “Verordening (EU) 2016/679” worden vervangen door het overeenkomstige artikel of artikel van de FADP;
  3.  verwijzingen naar “EU”, “Unie”, “een lidstaat” en “Lidstaatrecht” worden vervangen door verwijzingen naar “Zwitserland” of “Zwitsers recht”, naargelang het geval;
  4.  de term “lidstaat” wordt niet zodanig uitgelegd dat betrokkenen in Zwitserland worden uitgesloten van de mogelijkheid om toegang te krijgen tot hun rechten;
  5.  Clausule 13(a) en deel C van bijlage I worden niet gebruikt en de “bevoegde toezichthoudende autoriteit” is de Zwitserse federale commissaris voor gegevensbescherming;
  6.  de Clausules worden geregeerd door het recht van Zwitserland; en
  7.  elk geschil dat voortvloeit uit de Clausules zal worden beslecht door de bevoegde rechter in Zwitserland.
             
            Verenigde Staten
             
       
  U.S. Privacy Laws Addendum
             
            Brazilië
             
         1.            Elke Partij zal:
  1. voldoen aan zijn verplichtingen krachtens de Braziliaanse Algemene wet inzake gegevensbescherming, nr. 13.709 van 2018 (Lei Geral de Proteção de Dados Pessoais) (LGPD);
  2. een register bijhouden van de verwerkingen van persoonsgegevens die hij uitvoert;
  3. een functionaris voor gegevensbescherming aanstellen; en
  4. beveiligings-, technische en administratieve maatregelen nemen die persoonsgegevens kunnen beschermen tegen onbevoegde toegang en tegen onopzettelijke of onwettige vernietiging, verlies, wijziging, communicatie of enige vorm van ongepaste of illegale behandeling, met inbegrip van toepasselijke technische minimumnormen zoals vastgesteld door de nationale autoriteit.
         2.            Voor zover een van de Partijen persoonsgegevens doorgeeft vanuit Brazilië aan de andere Partij die buiten Brazilië is gevestigd, zal de ontvangende Partij voldoen aan de principes en rechten van de betrokkene en het regime van gegevensbescherming dat wordt geboden onder de LGPD.