CompuGraphics-addendum voor gegevensverwerking

Met ingang van 27/02/2024

1. TOEPASSINGSGEBIED Deze Gegevensverwerkingsovereenkomst (“DPA”) is van toepassing op de verwerking van persoonsgegevens door CompuGraphics (“wij”, “ons”, “onze”) namens u (“u”, “Klant”) op grond van een of meer overeenkomsten tussen u en CompuGraphics (gezamenlijk de “Overeenkomst” genoemd) op grond waarvan wij bepaalde diensten (“Diensten”) leveren. Op deze DPA zijn de voorwaarden van de Overeenkomst van toepassing. Alle termen met een hoofdletter die hierin worden gebruikt maar niet zijn gedefinieerd, hebben de betekenis die eraan wordt gegeven in de Overeenkomst. Deze DPA is niet van toepassing als wij beheerder van persoonsgegevens zijn.

2. VERWERKING

2.1. We zullen passende technische en organisatorische maatregelen implementeren om ervoor te zorgen dat de verwerking voldoet aan de vereisten van de relevante wetgeving inzake gegevensbescherming en de bescherming van de rechten van de betrokkene garandeert. De beschermingsnorm zal op zijn minst vergelijkbaar zijn met die vereist onder de relevante wetgeving inzake gegevensbescherming. Wij zullen persoonlijke gegevens beschermen tegen accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens.

2.2. Onze verwerking valt onder deze DPA. Concreet zullen we:

  • Verwerk de persoonlijke gegevens uitsluitend volgens uw gedocumenteerde instructies, inclusief met betrekking tot de overdracht van persoonlijke gegevens naar een derde land of een internationale organisatie, tenzij dit vereist is door de toepasselijke wetgeving. In een dergelijk geval zullen wij u vóór de verwerking op de hoogte stellen van die wettelijke vereiste, tenzij die wet dergelijke informatie verbiedt op grond van belangrijke redenen van openbaar belang.

3. SUBBEWERKING

3.1. U geeft ons hierbij algemene toestemming om andere verwerkers in te schakelen voor de verwerking van persoonsgegevens in overeenstemming met deze DPA. We houden een lijst bij van subverwerkers (er zijn op dit moment geen subverwerkers om op te noemen), die we van tijd tot tijd kunnen bijwerken. Minimaal 14 dagen voordat we een nieuwe verwerker toestemming geven om persoonsgegevens te verwerken, zullen we de lijst op onze website bijwerken. U kunt kosteloos bezwaar maken tegen de wijziging door ons binnen 14 dagen nadat de website is bijgewerkt, hiervan op de hoogte te stellen en uw redenen voor bezwaar te omschrijven. Onverminderd eventuele toepasselijke terugbetalings- of beëindigingsrechten onder de Overeenkomst, zullen wij ons best doen om de verwerking van persoonsgegevens door een dergelijke nieuwe verwerker waartegen u redelijkerwijs bezwaar maakt, te vermijden.

4. RECHTEN VAN DE BETROKKENE

4.1. Voor zover wettelijk toegestaan, zullen wij u onmiddellijk op de hoogte stellen van verzoeken van betrokkenen die wij ontvangen en met u samenwerken om te voldoen aan uw verplichtingen onder de wetgeving inzake gegevensbescherming met betrekking tot dergelijke verzoeken. U bent verantwoordelijk voor alle redelijke kosten die voortvloeien uit onze hulp bij het nakomen van dergelijke verplichtingen.

5. OVERDRACHT

5.1. CompuGraphics zal ervoor zorgen dat, voor zover persoonlijke gegevens afkomstig uit het VK, Zwitserland of de Europese Economische Ruimte (“EER”) worden overgedragen naar een land of gebied buiten het VK, Zwitserland of de EER dat geen bindende geschiktheid heeft ontvangen besluit van de Europese Commissie of een bevoegde nationale gegevensbeschermingsautoriteit, zal een dergelijke overdracht onderworpen zijn aan passende waarborgen in overeenstemming met de wetgeving inzake gegevensbescherming (inclusief artikel 46 van de Algemene Verordening Gegevensbescherming (“AVG”)).

6. VEILIGHEID VAN DE VERWERKING

6.1. Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, reikwijdte, context en doeleinden van de verwerking, naast het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal CompuGraphics passende technische en organisatorische maatregelen implementeren om zorgen voor een beveiligingsniveau dat past bij het risico. Dit omvat, indien van toepassing:

  • Het pseudonimiseren en versleutelen van persoonsgegevens;
  • Het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te garanderen;
  • Het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident;
  • Een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.

6.2. Bij het beoordelen van het passende beveiligingsniveau houdt CompuGraphics rekening met de risico’s die de verwerking met zich meebrengt, met name door accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens die worden verzonden, opgeslagen of anderszins verwerkt.

6.3. CompuGraphics zal redelijke stappen ondernemen om ervoor te zorgen dat een natuurlijke persoon die onder ons gezag handelt en toegang heeft tot persoonsgegevens, de gegevens niet verwerkt behalve op instructie van u, tenzij hij daartoe wettelijk verplicht is.

7. INBREUK OP PERSOONLIJKE GEGEVENS

7.1. CompuGraphics zal u zonder onnodige vertraging op de hoogte stellen nadat zij zich bewust wordt van een inbreuk op de persoonsgegevens. We zullen de inbreuk onmiddellijk onderzoeken als deze zich heeft voorgedaan op onze infrastructuur of in een ander gebied waarvoor wij verantwoordelijk zijn. Wij zullen redelijkerwijs reageren op uw verzoeken om meer informatie om u te helpen bij het nakomen van uw verplichtingen onder de wetgeving inzake gegevensbescherming.

8. REGISTRATIE VAN VERWERKINGSACTIVITEITEN

8.1. CompuGraphics zal alle gegevens bijhouden die vereist zijn door de wetgeving inzake gegevensbescherming en, voor zover van toepassing op de verwerking van persoonlijke gegevens namens u, deze indien nodig aan u beschikbaar stellen.

9. CONTROLE

Op uw schriftelijk verzoek zal CompuGraphics u voorzien van onze meest recente certificeringen en/of samenvattende auditrapporten om regelmatig de effectiviteit van onze technische en organisatorische maatregelen te testen, beoordelen en evalueren. Audits moeten:

  • Onder voorbehoud van de uitvoering van passende vertrouwelijkheids- of geheimhoudingsovereenkomsten;
  • Niet vaker dan één keer per jaar uitgevoerd, tenzij er sprake is van een aangetoond redelijk vermoeden van niet-naleving van de Overeenkomst, na dertig (30) dagen voorafgaande schriftelijke kennisgeving en nadat een plan voor een dergelijke beoordeling is verstrekt; En
  • Uitgevoerd op een onderling overeengekomen tijdstip, plaats en manier.

10. CONFLICTEN

10.1. Als er sprake is van een conflict of inconsistentie tussen de voorwaarden van deze DPA en de Overeenkomst, zijn de voorwaarden van deze DPA van toepassing voor zover vereist door de wet.