Data Processing Agreement mei 2023
Dit Gegevensverwerkingsovereenkomst is van toepassing op u als u zich heeft aangemeld voor de Diensten van MessageBird (inclusief via een van zijn dochterondernemingen) vóór, op of na 3 mei 2023. Onze gearchiveerde Gegevensverwerkingsovereenkomst is beschikbaar hier.
Dit Gegevensverwerkingsovereenkomst, inclusief de bijlagen, (“DPA”) maakt deel uit van de Overeenkomst tussen MessageBird en Klant voor de aankoop van (online) communicatiediensten van MessageBird om de overeenkomst van de Partijen met betrekking tot de verwerking van Klantpersoonsgegevens vast te leggen. In deze DPA verwijzen de termen “u”, “uw” of “Klant” naar u (onderhevig aan Sectie 1.2 hieronder), en de termen “wij”, “ons”, “onze” of “MessageBird” verwijzen naar ons. Begrippen met een hoofdletter gebruikt in deze DPA maar niet hieronder gedefinieerd zijn gedefinieerd in de MessageBird Algemene Voorwaarden of andere Overeenkomst met ons die het gebruik van de Diensten door u regelt.
De partijen komen overeen dat deze DPA elke bestaande gegevensbeschermingsaddendum of vergelijkbare overeenkomst die de partijen eerder met betrekking tot de Diensten hebben gesloten, zal vervangen.
1. Scope, Customer Affiliates and Term
1.1 Reikwijdte. Deze DPA regelt de verwerking van Persoonsgegevens van de Klant door MessageBird als verwerker.
1.2 Klant Gelieerde Ondernemingen. De Klant gaat deze DPA aan namens zichzelf en, voor zover vereist onder de Wetgeving inzake Gegevensbescherming, in naam en namens zijn Gelieerde Ondernemingen (zoals gedefinieerd in de Voorwaarden), indien en voor zover u dergelijke Gelieerde Ondernemingen toegang verleent tot de Diensten en wij Persoonsgegevens van Klanten verwerken waarvoor dergelijke Gelieerde Ondernemingen kwalificeren als de gegevensbeheerder (“Klant Gelieerde Ondernemingen”). Voor de doeleinden van deze DPA alleen, en behalve waar anders aangegeven, zullen de termen “Klant” en “u” Klant en Klant Gelieerde Ondernemingen omvatten.
2. Definitions
“Accountgegevens” zijn alle Persoonlijke Gegevens die door of voor u aan MessageBird worden verstrekt in verband met het aangaan en beheren van de Overeenkomst en uw account, inclusief maar niet beperkt tot contactinformatie, factureringsgegevens en correspondentie over het aangaan en beheren van de Overeenkomst en de gerelateerde Diensten.
“CCPA” betekent de California Consumer Privacy Act van 2018 en de daaronder vastgestelde regels, in elk geval zoals van tijd tot tijd gewijzigd.
“Klantgegevens” betekent alle gegevens en andere informatie of inhoud die door u of voor u (of door een gebruiker van uw Klantapplicatie) onder de Overeenkomst wordt ingediend en verwerkt of opgeslagen door de Diensten.
“Persoonlijke Klantgegevens” betekent Persoonlijke Gegevens in Klantgegevens die door MessageBird als verwerker worden verwerkt, tenzij anders gespecificeerd in deze DPA.
“Gegevensbeschermingswetten” betekent alle wetten en voorschriften van enige jurisdictie die van toepassing zijn op de vertrouwelijkheid, privacy, beveiliging of verwerking van Persoonlijke Gegevens onder de Overeenkomst, waaronder bijvoorbeeld en waar van toepassing de AVG of de CCPA. .
“EER” betekent, voor de doeleinden van deze DPA, de Europese Economische Ruimte en Zwitserland.
“AVG” betekent ofwel (i) de Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming); of (ii) uitsluitend met betrekking tot het Verenigd Koninkrijk, de Data Protection Act 2018.
“MessageBird” betekent de MessageBird-entiteit die partij is bij deze DPA, zijnde de contracterende entiteit vermeld in Sectie 15 in de Algemene Voorwaarden (Contracterende Entiteit), tenzij anders vermeld op uw Bestelformulier. U of MessageBird kunnen ook afzonderlijk worden aangeduid als een “Partij” en samen als “Partijen” in deze DPA.
“Persoonlijke Gegevens” betekent alle informatie met betrekking tot een direct of indirect geïdentificeerde of identificeerbare natuurlijke persoon, of op zichzelf of in combinatie met andere informatie.
“Inbreuk op Persoonlijke Gegevens” betekent elke onopzettelijke, ongeautoriseerde of onwettige vernietiging, verlies, wijziging, openbaarmaking van of toegang tot Persoonlijke Klantgegevens en elke andere vergelijkbare term onder toepasselijke Gegevensbeschermingswetten zoals “Beveiligingsinbreuk.”
“Diensten” betekent alle producten en diensten die door ons of onze Gelieerden worden geleverd die (a) door u worden besteld onder enig Bestelformulier; of (b) door u worden gebruikt.
“Standaard Contractbepalingen” betekent Verantwoordelijke naar Verwerker (Module Twee) of Verwerker naar Verwerker (Module Drie), indien van toepassing, van de Standaard Contractbepalingen voor de overdracht van Persoonsgegevens naar derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad goedgekeurd door het Implementatiebesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021, zoals momenteel vermeld op https://eurlex.europa.eu/eli/dec_impl/2021/914/oj,.
“Subverwerker” betekent een derde entiteit die Persoonlijke Klantgegevens verwerkt namens de MessageBird-entiteit die optreedt als een gegevensverwerker of een Subverwerker.
“VK Standaard Contractbepalingen” betekent een of alle van de volgende: (i) internationale gegevensovereenkomst uitgegeven door de Britse Informatiecommissaris onder artikel 119A van de DPA 2018; (ii) de internationale gegevensoverdrachtsbijlage aan de standaard contractbepalingen van de Europese Commissie voor internationale gegevensoverdrachten uitgegeven door de Britse Informatiecommissaris onder artikel 119A van de DPA 2018; of (iii) dergelijke standaard contractuele bepalingen uitgegeven door de Britse Informatiecommissaris of Europese Commissie die deze van tijd tot tijd kunnen vervangen.
Termen zoals “verwerking”, “gegevensbeheerder”, “gegevensverwerker”, “betrokkene”, enz. hebben de betekenis die aan hen is toegekend onder de AVG. De definitie van “gegevensbeheerder” bestaat uit “bedrijf”, “consument”, “beheerder” en “organisatie”; "gegevensverwerker" bestaat uit “dienstverlener”, “verwerker” en “gegevensintermediair”; “betrokkene” omvat “consument” en “individu”; en “Persoonlijke Gegevens” omvatten “persoonlijke informatie”, in elk geval zoals gedefinieerd onder de CCPA, en andere toepasselijke Gegevensbeschermingswetten. De termen “bedrijfsmatig doel”, “commercieel doel”, “verkopen” en “delen” hebben dezelfde betekenis als in de toepasselijke Gegevensbeschermingswetten en in elk geval moeten hun gerelateerde termen dienovereenkomstig worden uitgelegd.
3. Processing of Customer Personal Data
3.1 Doeleinden. We zullen Klant Persoonsgegevens alleen verwerken voor zover nodig (i) om de Diensten te verlenen, inclusief de overdracht van communicatie, het waarborgen van de veiligheid van de diensten, het verstrekken van technische en leveringsrapporten, het bieden van ondersteuning en het ontwikkelen en implementeren van verbeteringen en updates in overeenstemming met uw gedocumenteerde instructies aan ons als gegevensverwerker zoals gespecificeerd in Sectie 3.2 van deze DPA, (ii) voor onze legitieme zakelijke doeleinden zoals gespecificeerd in Sectie 3.4 van deze DPA als gegevensbeheerder, en (iii) zoals anderszins vereist onder toepasselijke wetgeving.
3.2 Klantinstructies. De Overeenkomst en deze DPA vormen uw volledige instructies aan ons als gegevensverwerker op het moment van ondertekening van deze DPA. We zullen voldoen aan andere redelijk gedocumenteerde instructies op voorwaarde dat deze instructies in overeenstemming zijn met de voorwaarden van de Overeenkomst.
3.3 Details van Verwerking. Bijlage I, Deel B (Beschrijving van overdracht) van Appendix I bij deze DPA specificeert de aard en het doel van de verwerking door ons als gegevensverwerker of Sub-verwerker, de verwerkingsactiviteiten, de duur van de verwerking, de soorten Persoonsgegevens en de categorieën van betrokkenen.
3.4 Legitieme Zakelijke Doeleinden. U erkent dat wij Klant Persoonsgegevens verwerken als onafhankelijke gegevensbeheerder voor zover nodig voor de volgende legitieme zakelijke doeleinden: facturering, accountbeheer, financiële en interne rapportage, het bestrijden en voorkomen van veiligheidsdreigingen, cyberaanvallen en cybercriminaliteit die u, ons of onze diensten kunnen beïnvloeden, bedrijfsmodellering (bijv. forecasting, capaciteits- en inkomstenplanning, en productstrategie), het voorkomen en detecteren van fraude, spam en misbruik, verbetering van producten of diensten in de MessageBird suite, en om te voldoen aan onze wettelijke verplichtingen.
4. Verplichtingen van de Klant
4.1 Rechtmatigheid. Waar u optreedt als gegevensbeheerder van Klantpersoonsgegevens, garandeert u dat alle verwerkingsactiviteiten rechtmatig zijn, een specifiek doel hebben, en dat alle vereiste kennisgevingen en toestemmingen of andere passende juridische gronden aanwezig zijn om de rechtmatige overdracht van de Klantpersoonsgegevens mogelijk te maken. Als u een gegevensverwerker bent (in welk geval wij optreden als een Subverwerker), zult u ervoor zorgen dat de relevante gegevensbeheerder garandeert dat aan de voorwaarden in deze Sectie 4.1 wordt voldaan.
4.2 Naleving. U bent als enige verantwoordelijk voor (a) ervoor zorgen dat u voldoet aan de toepasselijke Wetgeving inzake gegevensbescherming voor uw gebruik van de Diensten en voor uw eigen verwerking van Klantpersoonsgegevens, (b) het maken van een onafhankelijke beoordeling of de technische en organisatorische maatregelen van de Diensten aan uw eisen voldoen, en (c) het implementeren en onderhouden van privacy- en beveiligingsmaatregelen voor onderdelen die u levert of beheert (inclusief maar niet beperkt tot wachtwoorden, apparaten die worden gebruikt met de Diensten en Klanttoepassingen).
5. Security
5.1 Beveiligingsmaatregelen. Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking, alsmede het risico van variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen wij passende technische en organisatorische beveiligingsmaatregelen implementeren en handhaven om Klantpersoonsgegevens te beschermen tegen Persoonsgegevensinbreuken en om de veiligheid, integriteit, beschikbaarheid, veerkracht en vertrouwelijkheid van de Klantdata die onze systemen gebruiken voor de verwerking van Klantpersoonsgegevens te waarborgen. De door ons toegepaste beveiligingsmaatregelen worden beschreven in Bijlage II.
5.2 Updates van Beveiligingsmaatregelen. U bent verantwoordelijk voor het beoordelen van de door ons beschikbaar gestelde informatie met betrekking tot de beveiliging van Klantpersoonsgegevens en het maken van een onafhankelijke beoordeling of dergelijke informatie voldoet aan uw vereisten en wettelijke verplichtingen onder de Wetgeving Gegevensbescherming. U erkent dat de beveiligingsmaatregelen onderhevig zijn aan technische vooruitgang en ontwikkeling en dat wij van tijd tot tijd onze beveiligingsmaatregelen kunnen bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen niet leiden tot een verslechtering van de algehele beveiliging van de Klantpersoonsgegevens.
5.3 Toegangscontrole. Wij hanteren de principes van “need to know” en “least privilege” om ervoor te zorgen dat de toegang tot Klantpersoonsgegevens beperkt is tot die medewerkers die nodig zijn voor de levering van de Diensten en in overeenstemming met de Overeenkomst, inclusief deze DPA.
5.4 Vertrouwelijkheid van Verwerking. Wij zullen ervoor zorgen dat elke persoon of partij die door ons is gemachtigd om Klantpersoonsgegevens te verwerken (inclusief ons personeel, agenten en Sub-verwerkers), op de hoogte is van de vertrouwelijke aard van dergelijke Klantpersoonsgegevens en onder een passende geheimhoudingsplicht zal vallen (of dit nu een contractuele of wettelijke plicht is) die de beëindiging van hun dienstverband overleeft.
5.5 Reactie en Melding van Persoonsgegevensinbreuk. Zodra wij op de hoogte zijn van een Persoonsgegevensinbreuk, zullen wij u zonder onnodige vertraging (i) op de hoogte stellen, (ii) de Persoonsgegevensinbreuk onderzoeken, (iii) tijdig informatie verstrekken met betrekking tot de Persoonsgegevensinbreuk zodra dit bekend wordt of redelijkerwijs door u wordt verzocht, en (iv) commercieel redelijke stappen ondernemen om de effecten te beperken en herhaling van de Persoonsgegevensinbreuk te voorkomen.
6. Assistance
6.1 Hulp bij gegevensbescherming. Wij zullen u redelijke bijstand verlenen om u in staat te stellen te voldoen aan uw verplichtingen onder de gegevensbeschermingswetten, inclusief de melding van een Persoonsgegevensinbreuk, het beoordelen van het juiste beveiligingsniveau van de verwerking, en het assisteren bij het uitvoeren van een relevante evaluatie van de gegevensbeschermingseffectbeoordeling.
6.2 Hulp bij rechten van betrokkenen. Wij zullen u redelijke bijstand verlenen om u in staat te stellen te voldoen aan uw verplichtingen jegens betrokkenen die hun rechten uitoefenen onder de gegevensbeschermingswetten door technische en organisatorische maatregelen beschikbaar te stellen via uw account. Voor alle duidelijkheid: u als de gegevensbeheerder bent verantwoordelijk voor het verwerken van verzoeken of klachten van betrokkenen met betrekking tot de Klant Persoonsgegevens van een betrokkene.
7. Disclosure and Disclosure Requests
7.1 Beperkingen op openbaarmaking en toegang. Wij zullen geen toegang verlenen tot of openbaarmaking doen van Klantpersoonsgegevens, behalve (i) zoals door u aangegeven, (ii) zoals uiteengezet in de Overeenkomst en deze DPA, of (iii) zoals wettelijk vereist.
7.2 Verzoeken om openbaarmaking. We zullen u zo snel als redelijkerwijs mogelijk op de hoogte stellen als we een verzoek ontvangen van een overheids- of toezichthoudend orgaan om Klantpersoonsgegevens openbaar te maken, tenzij een dergelijke kennisgeving wettelijk verboden is. Wij zullen openbaarmakingsverzoeken afhandelen in overeenstemming met het openbaarmakingsverzoekbeleid beschikbaar op https://bird.com/legal/disclosure-requests.
8. Sub-processors
8.1 Lijst van Huidige Subverwerkers. U stemt in met de inzet van de Subverwerkers die zijn vermeld in MessageBird's overzicht van Verwerkers en Subverwerkers onder de kop “End User Personal Data”, die een procedure bevat om u te abonneren op meldingen van wijzigingen in ons gebruik van Subverwerkers. Als u zich abonneert op dergelijke meldingen, en rekening houdend met Sectie 8.3 van deze DPA, zullen we details van elke wijziging in Subverwerkers zo snel mogelijk delen.
8.2 Aanwijzing van Subverwerkers. Door middel van deze DPA verleent u ons een algemene schriftelijke autorisatie om Subverwerkers in te schakelen voor de verwerking van Klantpersoonsgegevens, onderworpen aan Sectie 8.3 van deze DPA en de volgende vereisten:
We zullen de toegang tot Klantpersoonsgegevens door Subverwerkers beperken tot wat strikt noodzakelijk is om de in de subverwerkersovereenkomst gespecificeerde diensten te leveren;
We zullen overeenkomen met de Subverwerker over verplichtingen inzake gegevensbescherming die wezenlijk dezelfde zijn als de verplichtingen onder deze DPA; en
We blijven aansprakelijk tegenover u onder deze DPA voor de uitvoering van de gegevensbeschermingsverplichtingen van de Subverwerker.
9. Cross Border Transfers of Customer Personal Data
9.1 Overdrachten van Klantpersoonsgegevens. We kunnen Klantpersoonsgegevens overdragen op voorwaarde dat alle passende waarborgen die vereist zijn door de Wetgeving inzake Gegevensbescherming aanwezig zijn. Dit kan een voorafgaande gegevensoverdrachts-impactbeoordeling omvatten, de goedkeuring, monitoring en evaluatie van aanvullende technische, organisatorische en juridische maatregelen, afdwingbare rechten van betrokkenen, en dat er effectieve juridische remedies voor betrokkenen beschikbaar zijn.
9.2 Sub-verwerker Standaard Contractuele Clausules. Tenzij een adequaatheidsbesluit of een alternatief overdrachtsmechanisme van toepassing is, hebben we Standaard Contractuele Clausules afgesloten met Sub-verwerkers (inclusief onze Gelieerde Ondernemingen) gevestigd buiten de EER, onder voorbehoud van de voorwaarden uiteengezet in Sectie 9.1 van deze DPA.
9.3 Overdrachtsmechanismen voor overdrachten van Klantpersoonsgegevens. Voor zover uw gebruik van de Diensten een grensoverschrijdend gegevensoverdrachtsmechanisme vereist om Klantpersoonsgegevens wettelijk te exporteren vanuit een rechtsgebied (bijv. de EER, Californië, Singapore, Zwitserland of het Verenigd Koninkrijk) naar ons gevestigd buiten dat rechtsgebied, zal deze sectie van toepassing zijn. Indien, bij de uitvoering van de Diensten, Klantpersoonsgegevens die onder de GDPR vallen of enige andere wet met betrekking tot de bescherming of privacy van individuen die van toepassing is op deze DPA, worden overgedragen aan MessageBird gevestigd in landen die geen adequaat beschermingsniveau bieden binnen de betekenis van de Wetgeving inzake Gegevensbescherming, zullen de hieronder vermelde overdrachtsmechanismen van toepassing zijn op dergelijke overdrachten en kunnen ze rechtstreeks door de partijen worden gehandhaafd voor zover dergelijke overdrachten onderworpen zijn aan de Wetgeving inzake Gegevensbescherming.
9.3.1 De partijen komen overeen dat de Standaard Contractuele Clausules van toepassing zullen zijn op Klantpersoonsgegevens die via de Diensten worden overgedragen vanuit de EER of Zwitserland, hetzij direct of via verdere overdracht, naar een MessageBird-entiteit gevestigd in een land buiten de EER of Zwitserland dat niet door de Europese Commissie (of, in geval van overdrachten vanuit Zwitserland, de bevoegde autoriteit voor Zwitserland) wordt erkend als een land dat een adequaat beschermingsniveau biedt voor persoonsgegevens.
9.3.1.1 Wanneer u optreedt als een gegevensbeheerder en MessageBird een gegevensverwerker is, zullen de EU-beheerder-tot-verwerker (Module Twee) van de Standaard Contractuele Clausules van toepassing zijn op elke dergelijke overdracht van Klantpersoonsgegevens vanuit de EER. Wanneer u optreedt als een gegevensverwerker en MessageBird een sub-verwerker is, zullen de Verwerker-tot-verwerker (Module Drie) van de Standaard Contractuele Clausules van toepassing zijn op elke dergelijke overdracht van Klantpersoonsgegevens vanuit de EER.
9.3.1.2 MessageBird wordt geacht de gegevensimporteur te zijn en u wordt geacht de gegevensexporteur te zijn onder de Standaard Contractuele Clausules. Het ondertekenen van deze DPA door elke partij wordt behandeld als het ondertekenen van de toepasselijke Standaard Contractuele Clausules, die worden geacht te zijn opgenomen in deze DPA. Details vereist onder Bijlage 1 en Bijlage 2 van de Standaard Contractuele Clausules zijn beschikbaar in Bijlage I en Bijlage II van deze DPA. In geval van enig conflict of inconsistentie tussen deze DPA en de Standaard Contractuele Clausules, prevaleren de Standaard Contractuele Clausules uitsluitend met betrekking tot een overdracht van Klantpersoonsgegevens vanuit de EER.
9.3.1.3 Waar de Standaard Contractuele Clausules vereisen dat partijen kiezen tussen optionele clausules en informatie invoeren, hebben de partijen dit als volgt gedaan:
i. De Optionele Clausule 7 “Docking-clausule” wordt niet aangenomen.
ii. Voor Clausule 9 “Gebruik van sub-verwerkers” kiezen de partijen voor de volgende optie: “Optie 2 Algemene schriftelijke toestemming: de gegevensimporteur heeft de algemene toestemming van de beheerder voor de inzet van sub-verwerker(s) van een overeengekomen lijst. De gegevensimporteur moet de beheerder specifiek schriftelijk op de hoogte stellen van voorgenomen wijzigingen aan die lijst door de toevoeging of vervanging van sub-verwerkers ten minste 10 werkdagen van tevoren, waardoor de beheerder voldoende tijd heeft om bezwaar te maken tegen dergelijke wijzigingen voorafgaand aan de inzet van de sub-verwerker(s). De gegevensimporteur dient de gegevensexporteur te voorzien van de informatie die nodig is om de gegevensexporteur in staat te stellen zijn recht om bezwaar te maken uit te oefenen. De gegevensimporteur dient de gegevensexporteur op de hoogte te brengen van de inzet van de sub-verwerker(s).”
iii. Voor Clausule 11 (a) “Verhaal” nemen de partijen de optie niet aan.
iv. Voor Clausule 17 “Toepasselijk recht” kiezen de partijen voor de volgende optie: “Optie 1. Deze Clausules worden beheerst door de wetgeving van een van de EU-lidstaten, mits dergelijke wetgeving rechten van derden begunstigde toestaat. De partijen komen overeen dat dit de wetgeving van Nederland zal zijn.”
v. Voor Clausule 18 (b) “Keuze van forum en jurisdictie”: “De partijen komen overeen dat dit de gerechten van Nederland zullen zijn.”
9.3.2 De partijen komen overeen dat de Britse Standaard Contractuele Clausules van toepassing zullen zijn op Klantpersoonsgegevens die via de Diensten worden overgedragen vanuit het Verenigd Koninkrijk, hetzij direct of via verdere overdracht, naar een MessageBird-entiteit gevestigd in een land buiten het Verenigd Koninkrijk dat niet erkend is door de bevoegde toezichthoudende autoriteit of overheidsinstantie voor het Verenigd Koninkrijk als een land dat een adequaat beschermingsniveau biedt voor persoonsgegevens.
10. Audit
10.1 Audit Report. Ons communicatieplatform zal regelmatig worden geaudit volgens de ISO 27001:2013 standaard (of equivalent). De audit kan, naar eigen goeddunken, een interne audit zijn of een audit uitgevoerd door een derde partij. Op schriftelijk verzoek zullen we u een samenvatting van het auditrapport ("Audit Report") verstrekken, zodat u onze naleving met de auditnormen en deze DPA kunt verifiëren. Dergelijke Audit Reports, evenals alle conclusies of bevindingen die daarin zijn vermeld, zijn onze Vertrouwelijke Informatie.
10.2 Klantinformatieverzoeken. We zullen u alle informatie beschikbaar stellen die redelijkerwijs nodig is om aan te tonen dat we voldoen aan de verplichtingen in deze DPA. We zullen schriftelijke antwoorden geven op redelijke verzoeken om informatie van u, inclusief antwoorden op vragenlijsten over informatiebeveiliging en audits die redelijk van omvang zijn en noodzakelijk om naleving van deze DPA te bevestigen, op voorwaarde dat u (i) eerst een redelijke poging heeft gedaan om de gevraagde informatie te verkrijgen uit de Documentatie, Audit Reports en andere informatie die door ons is verstrekt of openbaar is gemaakt, en (ii) dit recht niet meer dan eenmaal per jaar uitoefent, tenzij een Persoonsgegevensinbreuk of significante wijziging in onze verwerkingsactiviteiten in verband met de Services een aanvullende vragenlijst vereist. Alle verstrekte antwoorden zijn onze Vertrouwelijke Informatie.
10.3 Klanten Audit. Als een door ons aan u verstrekt Audit Report u gegronde redenen geeft om te geloven dat wij onze verplichtingen onder deze DPA schenden, met betrekking tot de door u verstrekte Klant Persoonsgegevens, zullen wij een onafhankelijke en gekwalificeerde derde auditor, aangesteld door u en goedgekeurd door ons, toestaan om de relevante toepasselijke Persoonsgegevens verwerkingsactiviteiten te auditen, op voorwaarde dat, voor zover toegestaan onder toepasselijke wetgeving, aan de volgende vereisten wordt voldaan:
U dient ons ten minste zestig (60) dagen van tevoren redelijke kennisgeving te geven voordat het recht om te auditen wordt uitgeoefend;
De auditor gaat akkoord met standaard vertrouwelijkheidsverplichtingen met ons;
U en de auditor nemen maatregelen om de verstoring van onze bedrijfsvoering tot een minimum te beperken;
De audit zal worden uitgevoerd tijdens de reguliere kantooruren;
Wij zijn niet verplicht om toegang te geven tot klantgegevens van andere klanten of systemen die niet betrokken zijn bij de levering van de Services; en
U dient alle kosten van de audit te betalen.
11. Verwijdering en Terugkeer van Klantpersoonsgegevens
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Klant Affiliate Communicatie en Rechten
Het aangaan van deze DPA in naam en namens een Klantfiliaal zoals uiteengezet in Sectie 1.2 vormt een afzonderlijke DPA tussen ons en dat Klantfiliaal, onderworpen aan het volgende:
12.1. Communicatie. De Klant die partij is bij de Overeenkomst blijft verantwoordelijk voor het coördineren van alle communicatie met ons onder deze DPA en is gerechtigd om alle communicatie met betrekking tot deze DPA namens zijn Klantfilialen te voeren en te ontvangen.
12.2 Rechten van Klantfilialen. Wanneer een Klantfiliaal partij wordt bij de DPA met ons, is het voor zover vereist onder de Gegevensbeschermingswetten gerechtigd de rechten uit te oefenen en rechtsmiddelen te zoeken onder deze DPA, onderworpen aan het volgende:
(i) Tenzij de Gegevensbeschermingswetten vereisen dat het Klantfiliaal een recht uitoefent of een rechtsmiddel zoekt onder deze DPA rechtstreeks bij MessageBird, komen de partijen overeen dat (i) uitsluitend de Klant die partij is bij de Overeenkomst enig dergelijk recht uitoefent of enig dergelijk rechtsmiddel zoekt namens het Klantfiliaal, en (ii) de Klant die partij is bij de Overeenkomst takie rechten onder deze DPA niet afzonderlijk voor elk Klantfiliaal individueel uitoefent, maar op een gecombineerde manier voor zichzelf en al zijn Klantfilialen samen.
(ii) De partijen komen overeen dat de Klant die partij is bij de Overeenkomst, wanneer een on-site audit van de procedures met betrekking tot de bescherming van Klantpersoonsgegevens namens hem wordt uitgevoerd zoals uiteengezet in Sectie 10.3 van deze DPA, alle redelijke maatregelen zal nemen om de impact op ons te beperken door, voor zover redelijkerwijs mogelijk, meerdere auditverzoeken uitgevoerd namens zichzelf en al zijn Klantfilialen te combineren in één enkele audit.
Voor de duidelijkheid, een Klantfiliaal wordt geen partij bij de Overeenkomst.
13. California Consumer Privacy Act.
Voor zover van toepassing, doen wij de volgende aanvullende toezeggingen aan u met betrekking tot de verwerking van Klant persoonsgegevens binnen de reikwijdte van de CCPA.
13.1 Onze Verplichtingen Onder de Amerikaanse Gegevensbeschermingswetten. De termen "business purpose," "commercial purpose," "consumer," "sell," en "share" zoals gebruikt in deze paragraaf 13.1 hebben de betekenissen die eraan worden gegeven in de CCPA. Voor zover van toepassing, zullen wij voldoen aan de CCPA en alle Klant persoonsgegevens die onder de CCPA en andere toepasselijke Amerikaanse Gegevensbeschermingswetten vallen, behandelen in overeenstemming met de bepalingen van de CCPA en andere Amerikaanse Gegevensbeschermingswetten. Met betrekking tot Amerikaanse persoonsgegevens zijn wij een dienstverlener onder de CCPA en een gegevensverwerker onder andere Amerikaanse Gegevensbeschermingswetten. Wij zullen geen Amerikaanse persoonsgegevens verkopen. Wij zullen geen Amerikaanse persoonsgegevens behouden, gebruiken of openbaar maken (i) voor enig ander doel dan de zakelijke doeleinden gespecificeerd in de Overeenkomst (inclusief het behouden, gebruiken of openbaar maken van Amerikaanse persoonsgegevens voor een commercieel doel anders dan het zakelijke doel gespecificeerd in de Overeenkomst of zoals anderszins toegestaan door de CCPA of toepasselijke wetten); of (ii) buiten de directe zakelijke relatie met u en ons.
13.2 Verplichtingen van de Klant. U verklaart en garandeert dat u de Eindgebruiker op de hoogte heeft gebracht dat de Persoonsgegevens worden gebruikt of gedeeld in overeenstemming met de toepasselijke Gegevensbeschermingswetten. U bent verantwoordelijk voor de naleving van de vereisten van de Gegevensbeschermingswetten voor zover van toepassing op u als gegevensbeheerder.
14. Toepasselijk Recht en Geschillenbeslechting. Elk geschil, claim, of controverse (“Geschillen”) die voortvloeit uit of gerelateerd is aan deze DPA zal worden beheerst door en geïnterpreteerd in overeenstemming met de wetten van Nederland. Elke Partij stemt ermee in dat de bevoegde rechtbanken van Amsterdam de exclusieve jurisdictie zullen hebben om eventuele Geschillen voortvloeiend uit of gerelateerd aan deze DPA te beslechten.