Gegevensbeschermingsaddendum SparkPost
In de loop van het leveren van de SparkPost-service aan onze klanten, kan SparkPost persoonsgegevens verwerken namens onze klant, wanneer deze persoonsgegevens onderworpen zijn aan EU-gegevensbeschermingswetten zoals de AVG. Hiertoe bieden we een gegevensbescherming addendum (DPA) zoals hieronder verstrekt. De DPA zal alleen wettelijk bindend en van kracht zijn als: (1) het wordt uitgevoerd hier; en (2) u op de datum van volledige uitvoering een SparkPost-klant bent. Houd er rekening mee dat we vanwege het grote aantal klanten de DPA niet kunnen wijzigen voor een specifieke klant. Als u echter vragen heeft over de DPA, neem dan contact met ons op via privacy@sparkpost.com.
Definities
“Affiliate” betekent een entiteit die direct of indirect controleert, wordt gecontroleerd door, of onder gezamenlijke controle staat met de betreffende entiteit. “Controle”, voor de doeleinden van deze definitie, betekent directe of indirecte eigendom of controle van meer dan 50% van de stemgerechtigde belangen van de betreffende entiteit.
“Overeenkomst” betekent de Gebruiksvoorwaarden en de bijbehorende Order, die samen het leveren en gebruiken van de Dienst reguleren.
“CCPA” betekent de California Consumer Privacy Act van 2018 en alle daarop gebaseerde voorschriften, in elk geval, zoals van tijd tot tijd gewijzigd.
“Verwerkingsverantwoordelijke/Verwerker Standaard Contractuele Clausules” betekent de “Verwerkingsverantwoordelijke naar Verwerker” (Module 2) modules van de Standaard Contractuele Clausules voor de overdracht van persoonlijke gegevens naar derde landen overeenkomstig GDPR en de Europese Commissie uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021.
“Gegevensbeschermingswetten” betekent alle wetten en voorschriften van een rechtsgebied die van toepassing zijn op de vertrouwelijkheid, privacy, veiligheid of verwerking van Persoonsgegevens onder de Overeenkomst, inclusief, waar van toepassing, de GDPR, de CCPA en alle andere wetten en voorschriften met betrekking tot privacy, directe marketing of gegevensbescherming. “Gegevensbeheerder” betekent een entiteit, alleen of gezamenlijk met anderen, die het doel en de middelen voor de verwerking van Persoonsgegevens bepaalt.
“Gegevensverwerker” betekent een entiteit die Persoonsgegevens verwerkt namens een Gegevensbeheerder. “Betrokkene” betekent de persoon op wie de Persoonsgegevens betrekking hebben.
“Verzoek van een Betrokkene” betekent een verzoek van een Betrokkene om de rechten van die persoon uit te oefenen onder Gegevensbeschermingswetten met betrekking tot de Persoonsgegevens van die persoon, inclusief, maar niet beperkt tot, het recht op toegang, correctie, wijziging, overdracht, een kopie verkrijgen van, bezwaar tegen de verwerking van, blokkeren, verwijderen, of zich afmelden voor de verkoop van dergelijke Persoonsgegevens. “EER” betekent de Europese Economische Ruimte en Zwitserland.
“GDPR” betekent ofwel (i) de Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en met betrekking tot het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming); of (ii) uitsluitend met betrekking tot het Verenigd Koninkrijk, de Data Protection Act 2018.
“Persoonsgegevens” betekent alle informatie die een geïdentificeerde of identificeerbare natuurlijke persoon of huishouden identificeert, betrekking heeft op, beschrijft, of redelijkerwijs in verband kan worden gebracht met een geïdentificeerde of identificeerbare natuurlijke persoon of huishouden.
“Verwerken” betekent elke bewerking of set van bewerkingen die worden uitgevoerd op Persoonsgegevens of op sets van Persoonsgegevens, al dan niet door middel van geautomatiseerde middelen, zoals verzameling, vastlegging, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door transmissie, verspreiding of anderszins ter beschikking stellen, afstemming of combinatie, beperking, wissen of vernietiging.
“Verwerker/Sub-Verwerker Standaard Contractuele Clausules” betekent de “Verwerker naar Verwerker” (Module 3) modules van de Standaard Contractuele Clausules voor de overdracht van persoonlijke gegevens naar derde landen overeenkomstig GDPR en de Europese Commissie uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021.
“Toezichthouder” betekent de Europese gegevensbeschermingsautoriteit of een andere regelgevende, overheid of toezichthoudende autoriteit met bevoegdheid over het geheel of een deel van (a) de levering of ontvangst van de Dienst; (b) de verwerking van Persoonsgegevens in verband met de Dienst; of (c) de bedrijfs of personeelsaangelegenheden van SparkPost met betrekking tot de Dienst.
“Beveiligingsincident” betekent enige toevallige, ongeautoriseerde of onwettige vernietiging, verlies, wijziging, openbaarmaking van, toegang tot, of versleuteling van Persoonsgegevens.
“Dienst” betekent elk product of dienst aangeboden door SparkPost aan Klant in overeenstemming met de Overeenkomst.
“EER Standaard Contractuele Clausules” betekent ofwel (i) de Verwerkingsverantwoordelijke/Verwerker Standaard Contractuele Clausules; of (ii) de Verwerker/Sub-verwerker Standaard Contractuele Clausules, individueel of gezamenlijk, indien van toepassing.
“Sub-verwerker” betekent de entiteit die Persoonsgegevens Verwerkt namens een entiteit die handelt als een Verwerker of een Sub-verwerker.
“VK Standaard Contractuele Clausules” betekent de standaard contractuele clausules voor de overdracht van persoonlijke gegevens aan verwerkers gevestigd in derde landen in de door de Europese Commissie vastgestelde vorm van Besluit 2010/87/EU, zoals kan worden gewijzigd, aangepast of vervangen door de Europese Commissie.
Relatie met de overeenkomst
De partijen komen overeen dat deze DPA elke bestaande gegevensbeschermingsaanvulling of soortgelijke overeenkomst die de partijen eerder zijn aangegaan in verband met de Diensten zal vervangen.
Deze DPA is van toepassing waar en alleen voor zover SparkPost Persoonlijke Gegevens verwerkt die onderworpen zijn aan Gegevensbeschermingswetten in het kader van het leveren van de Dienst overeenkomstig de Overeenkomst.
Behalve voor de wijzigingen die door deze DPA zijn aangebracht, blijft de Overeenkomst ongewijzigd en volledig van kracht. Als er een conflict is tussen de voorwaarden van deze DPA en de voorwaarden van de Overeenkomst, heeft deze DPA voorrang voor zover dat conflict betreft. In omstandigheden waarin SparkPost vertrouwt op de EER Standaard Contractuele Clausules of de VK Standaard Contractuele Clausules (gezamenlijk, "Standaard Contractuele Clausules"), waar van toepassing, voor het overdragen van Persoonlijke Gegevens, zullen de toepasselijke Standaard Contractuele Clausules voorrang hebben in het geval van een conflict met deze DPA.
Elke claim die wordt ingediend onder of in verband met deze DPA, zal onderworpen zijn aan de voorwaarden en bepalingen, met inbegrip van, maar niet beperkt tot, de uitsluitingen en beperkingen die zijn vastgesteld in de Overeenkomst. De partijen komen overeen dat geen enkele aansprakelijkheidsbeperking die is vastgelegd in de Overeenkomst van toepassing zal zijn op de aansprakelijkheid van een partij jegens Betrokkenen onder de rechten van derden van de Standaard Contractuele Clausules voor zover beperking van dergelijke aansprakelijkheid is verboden door Gegevensbeschermingswetten.
Deze DPA wordt beheerst door en geïnterpreteerd in overeenstemming met de bepalingen van toepasselijke wetgeving en jurisdictie in de Overeenkomst, tenzij anders vereist door toepasselijke Gegevensbeschermingswetten. Deze DPA blijft van kracht zolang SparkPost Persoonlijke Gegevens verwerkt, ongeacht de afloop of beëindiging van de Overeenkomst. ROLLEN EN SCOPE VAN VERWERKING.
Rol van de Partijen.
De partijen erkennen en komen overeen dat, zoals tussen SparkPost en Klant: Met betrekking tot de Persoonlijke Gegevens van elke persoon die toegang heeft tot en/of gebruikmaakt van de Dienst via het Account van de Klant ("Gebruikers"), de Klant de Verwerkingsverantwoordelijke is en SparkPost de Verwerker is van Gebruikers-Persoonlijke Gegevens; en met betrekking tot de Persoonlijke Gegevens van elke persoon: (i) wiens e-mailadres is opgenomen in de ontvangerslijst(en) van de Klant; (ii) wiens informatie is opgeslagen op of verzameld via de Dienst, of (ii) naar wie Gebruikers e-mails sturen of anderszins communiceren via de Dienst (gezamenlijk, "Ontvangers"), de Klant de Verwerker is en SparkPost de Subverwerker is van Ontvangers-Persoonlijke Gegevens.
Verwerking van Persoonlijke Gegevens door Klant.
De Klant stemt ermee in dat hij zich aan zijn verplichtingen onder toepasselijke Gegevensbeschermingswetten zal houden met betrekking tot zijn verwerking van Persoonlijke Gegevens in verband met de Dienst en met betrekking tot alle gedocumenteerde verwerkingsinstructies die hij aan SparkPost geeft.
SparkPost Verwerking van Persoonlijke Gegevens. Klant instrueert SparkPost om Persoonlijke Gegevens te verwerken in overeenstemming met de Overeenkomst (inclusief, voor de duidelijkheid, om zijn andere verplichtingen na te komen en zijn rechten uit te oefenen onder de Overeenkomst) en om te voldoen aan de andere redelijke instructies van de Klant (bijv. via e-mail) waar dergelijke instructies consistent zijn met de Overeenkomst. SparkPost zal: (i) Persoonlijke Gegevens alleen namens de Klant verwerken en in overeenstemming met de gedocumenteerde wettelijke instructies van de Klant en Persoonlijke Gegevens behandelen als vertrouwelijke informatie die onderhevig is aan de vertrouwelijkheidsbepalingen van de Overeenkomst; (ii) de Klant onmiddellijk schriftelijk op de hoogte brengen als SparkPost naar haar redelijke mening gelooft dat een door de Klant gegeven instructie in strijd is met de Gegevensbeschermingswetten; (iii) de Dienst verlenen en Persoonlijke Gegevens verwerken in overeenstemming met de Gegevensbeschermingswetten en de Overeenkomst; (iv) de Klant onmiddellijk op de hoogte brengen van niet-naleving van deze DPA. De partijen komen overeen dat deze DPA en de Overeenkomst de volledige en definitieve instructies van de Klant aan SparkPost vastleggen met betrekking tot de verwerking van Persoonlijke Gegevens en dat verwerking buiten de reikwijdte van deze instructies (indien van toepassing) voorafgaande schriftelijke overeenkomst tussen Klant en SparkPost vereist.
Details van Gegevensverwerking.
Onderwerp: Het onderwerp van de gegevensverwerking onder deze DPA zijn de Persoonlijke Gegevens.Duur: Zoals tussen SparkPost en Klant, is de duur van de gegevensverwerking onder deze DPA tot de beëindiging van de Overeenkomst overeenkomstig haar voorwaarden.
Doel: Het doel van de gegevensverwerking onder deze DPA is het leveren van de Dienst aan de Klant en de uitvoering van SparkPost overeenkomstig de Overeenkomst (inclusief deze DPA) of zoals anders overeengekomen door de partijen.
Aard van de verwerking: SparkPost biedt een emailaflevering-, analyset- en intelligentiedienst en andere gerelateerde diensten aan, zoals beschreven in de Overeenkomst.Categorieën van betrokkenen: Gebruikers en Ontvangers.
Soorten Persoonlijke Gegevens:
Klant en Gebruikers: identificatie- en contactgegevens (naam, adres, titel, contactgegevens, gebruikersnaam); financiële informatie (accountgegevens, betalingsgegevens); arbeidsgegevens (werkgever, functietitel, geografische locatie, verantwoordelijkheidsgebied);
Ontvangers: identificatie- en contactgegevens (naam, e-mailadres en andere demografische en segmentgegevens die door de Klant zijn verstrekt); IT-informatie (IP-adressen, gebruiksgegevens, cookiedata, online navigatiegegevens, locatiegegevens, browsergegevens).
California Consumer Privacy Act.
SparkPost zal voldoen aan de CCPA en alle Persoonlijke Gegevens die onder de CCPA vallen ("CCPA Persoonlijke Gegevens") behandelen in overeenstemming met de bepalingen van de CCPA. Met betrekking tot CCPA Persoonlijke Gegevens is SparkPost een dienstverlener onder de CCPA. SparkPost zal niet (a) CCPA Persoonlijke Gegevens verkopen; (b) CCPA Persoonlijke Gegevens behouden, gebruiken of openbaar maken voor enig ander doel dan het specifieke doel van het leveren van de Diensten, inclusief het behouden, gebruiken of openbaar maken van CCPA Persoonlijke Gegevens voor een commercieel doel anders dan het leveren van de Diensten; of (c) CCPA Persoonlijke Gegevens behouden, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen SparkPost en Klant. De partijen erkennen en komen overeen dat de verwerking van CCPA Persoonlijke Gegevens, zoals beschreven in de instructies van de Klant in de Overeenkomst en deze DPA, integraal is aan en onderdeel vormt van het leveren van de Diensten door SparkPost en de directe zakelijke relatie tussen de partijen. De partijen erkennen en komen overeen dat toegang van SparkPost tot Klantgegevens geen deel uitmaakt van de vergoeding die door de partijen wordt uitgewisseld met betrekking tot de Overeenkomst. Voor zover enig gebruiksgegeven wordt beschouwd als CCPA Persoonlijke Gegevens, is SparkPost het bedrijf met betrekking tot dergelijke gegevens en zal het dergelijke gegevens verwerken in overeenstemming met zijn Privacybeleid, te vinden op https://www.sparkpost.com/policies/privacy/. De termen "bedrijf", "commercieel doel", "dienstverlener" en "verkopen", zoals gebruikt in deze Sectie, hebben de betekenissen die eraan worden gegeven in de CCPA. SparkPost en Klant certificeren dat ze begrijpen en zullen voldoen aan de verplichtingen en beperkingen die zijn vastgelegd in deze DPA en de Overeenkomst zoals vereist onder de CCPA.
Legitieme Belangen.
Klant erkent dat SparkPost het recht zal hebben om gegevens met betrekking tot de werking, ondersteuning en/of het gebruik van de Dienst te gebruiken en openbaar te maken voor zijn legitieme zakelijke doeleinden, zoals facturering, accountbeheer, technische ondersteuning en productontwikkeling. Voor zover dergelijke gegevens worden beschouwd als Persoonlijke Gegevens onder Gegevensbeschermingswetten, is SparkPost de Verwerkingsverantwoordelijke van dergelijke gegevens en zal het dienovereenkomstig dergelijke gegevens verwerken in overeenstemming met het SparkPost Privacybeleid en Gegevensbeschermingswetten.
Volgtechnologieën.
Klant erkent dat in verband met het verrichten van de Dienst, SparkPost het gebruik van webbakens, trackingpixels en soortgelijke volgtechnologieën toepast ("Volgtechnologieën"). Klant zal een geschikte wettelijke basis voor verwerking handhaven zoals vereist door Gegevensbeschermingswetten om SparkPost in staat te stellen Volgtechnologieën rechtmatig op te zetten en gegevens te verzamelen van de apparaten van Ontvangers in overeenstemming met en zoals beschreven in het SparkPost Privacybeleid.
Subverwerking
Geautoriseerde Sub-verwerkers. Klant stemt ermee in dat SparkPost Sub-verwerkers kan inschakelen om Klantgegevens te verwerken namens de Klant. De door SparkPost ingeschakelde en door Klant geautoriseerde Sub-verwerkers vanaf de Ingangsdatum zijn vermeld op: https://www.sparkpost.com/policies/subprocessors. Verplichtingen van de Sub-verwerker. SparkPost zal: (i) een schriftelijke overeenkomst aangaan met de Sub-verwerker waarin gegevensbeschermingseisen worden opgelegd die de Sub-verwerker verplichten om de Klantgegevens te beschermen volgens de norm die vereist is door de Gegevensbeschermingswetten; en (ii) verantwoordelijk blijven voor de naleving van zijn verplichtingen onder deze DPA en voor eventuele handelingen of nalatigheden van de Sub-verwerker die ervoor zorgen dat SparkPost enige verplichting onder deze DPA schendt.
Melding. SparkPost zal (i) een up-to-date lijst verstrekken van de Sub-verwerkers die het heeft aangesteld op verzoek van de Klant; en (ii) de Klant op de hoogte stellen (waarvoor een e-mail volstaat) indien het een Sub-verwerker toevoegt ten minste tien (10) dagen voorafgaand aan dergelijke wijzigingen.
Bezwaar. Klant kan schriftelijk bezwaar maken tegen de aanstelling van een nieuwe Sub-verwerker door SparkPost binnen vijf (5) dagen na een dergelijke kennisgeving, mits een dergelijk bezwaar is gebaseerd op redelijke gronden met betrekking tot gegevensbescherming. In een dergelijk geval zullen de partijen deze zorgen te goeder trouw bespreken met het oog op het bereiken van een oplossing. Indien in redelijke tijd geen oplossing wordt bereikt, kan de Klant de toepasselijke Order(s) beëindigen, uitsluitend met betrekking tot de specifieke Dienst die niet kan worden geleverd door SparkPost zonder het gebruik van de gewraakte nieuwe Sub-verwerker, door schriftelijke kennisgeving aan SparkPost te verstrekken.
Security
Security Policy.
Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van verwerking evenals het risico van wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal SparkPost passende technische en organisatorische beveiligingsmaatregelen implementeren en onderhouden om Persoonsgegevens te beschermen tegen Beveiligingsincidenten en om de beveiliging, integriteit, beschikbaarheid, veerkracht en vertrouwelijkheid van de Persoonsgegevens en SparkPost-systemen die worden gebruikt voor het verwerken van Persoonsgegevens te behouden.
Updates van beveiligingsmaatregelen.
De klant is verantwoordelijk voor het beoordelen van de door SparkPost verstrekte informatie met betrekking tot gegevensbeveiliging en het maken van een onafhankelijke beoordeling of deze informatie voldoet aan de eisen van de klant en de wettelijke verplichtingen onder de Wetgeving Gegevensbescherming. De klant erkent dat het Beveiligingsbeleid onderhevig is aan technische vooruitgang en ontwikkeling en dat SparkPost het Beveiligingsbeleid van tijd tot tijd kan bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen niet resulteren in de verslechtering van de algehele beveiliging van de door de klant aangekochte dienst.
Verantwoordelijkheden van de klant.
Ondanks het bovenstaande stemt de klant ermee in dat de klant verantwoordelijk is voor het beveiligen van zijn accountauthenticatiegegevens in het beheer of de controle van de klant en voor het beschermen van de veiligheid van Persoonsgegevens tijdens het transport van en naar de dienst voor zover dergelijke Persoonsgegevens in het beheer of de controle van de klant zijn.
SparkPost Personnel.
SparkPost zorgt ervoor dat zijn personeel dat betrokken is bij de verwerking van Persoonsgegevens op de hoogte is van de vertrouwelijke aard van de Persoonsgegevens, passende training heeft ontvangen over hun verantwoordelijkheden en schriftelijke geheimhoudingsovereenkomsten heeft ondertekend met betrekking tot de Persoonsgegevens, welke geheimhouding blijft bestaan na beëindiging van de personeelsbetrokkenheid.
Controleverslagen en audits
Auditrapport.
SparkPost wordt regelmatig gecontroleerd door onafhankelijke derden auditors tegen de SOC 2 Type II-controles (of equivalent). Op verzoek zal SparkPost een samenvattend kopie van zijn auditrapport(en) (“Audit Report”) aan de Klant verstrekken, zodat de Klant kan verifiëren dat SparkPost voldoet aan de auditnormen waartegen het is beoordeeld, en deze DPA. Dergelijke Auditrapporten, evenals alle conclusies of bevindingen die daarin zijn gespecificeerd, zijn de Vertrouwelijke Informatie van SparkPost.
Audit.
SparkPost zal Klant alle informatie beschikbaar stellen die nodig is om naleving aan te tonen van de verplichtingen van Verwerkers zoals neergelegd in Artikel 28 van GDPR (“Artikel 28 Vereisten”). Daartoe zal SparkPost schriftelijke antwoorden geven op alle redelijke verzoeken om informatie die door de Klant worden gedaan, inclusief antwoorden op informatiebeveiligings- en auditvragenlijsten die nodig zijn om naleving door SparkPost van Artikel 28 Vereisten te bevestigen, op voorwaarde dat de Klant dit recht niet meer dan één keer per jaar zal uitoefenen. Dergelijke antwoorden zijn de Vertrouwelijke Informatie van SparkPost. Als SparkPost niet alle informatie kan verstrekken die nodig is om naleving van Artikel 28 Vereisten aan te tonen door middel van de schriftelijke antwoorden, dan zal SparkPost audits, inclusief inspecties, toestaan en eraan bijdragen, uitgevoerd door de Klant of een andere auditor die de Klant vertegenwoordigt. Alle informatie verkregen van SparkPost tijdens een dergelijke audit of inspectie is de Vertrouwelijke Informatie van SparkPost.
Internationale overschrijvingen
Verwerkingslocaties.
SparkPost kan Klantgegevens overal ter wereld overdragen en verwerken, waar SparkPost, zijn Gelieerde Ondernemingen of zijn Subverwerkers gegevensverwerkingen uitvoeren. SparkPost zal te allen tijde een adequaat beschermingsniveau bieden voor de verwerkte Klantgegevens, in overeenstemming met de vereisten van de Wetgeving Gegevensbescherming.
Standaard Contractuele Clausules.
Voor zover SparkPost Persoonsgegevens verwerkt krachtens de Overeenkomst die een doorstuurmechanisme vereisen om Persoonsgegevens rechtmatig over te dragen vanuit de EER of het Verenigd Koninkrijk (het “VK”) naar een ander land of gebied dat niet is bepaald als het bieden van een adequaat beschermingsniveau voor de rechten en vrijheden van Gegevensonderwerpen door de Europese Commissie (of, specifiek met betrekking tot het VK, zoals bepaald door de toepasselijke Britse regelgevende instantie) (een “Beperkte Overdracht”), komen de partijen als volgt overeen:
EER Standaard Contractuele Clausules.
De partijen komen overeen om zich te houden aan de EER Standaard Contractuele Clausules voor elke Beperkte Overdracht vanuit de EER (een “EER Beperkte Overdracht”). Wanneer de Klant een Verwerkingsverantwoordelijke is en SparkPost een Verwerker is zoals verder beschreven in Sectie 3.1, zullen de Verwerkingsverantwoordelijke/Verwerker Standaard Contractuele clausules van toepassing zijn op dergelijke EER Beperkte Overdracht. Wanneer de Klant een Verwerker is en SparkPost een Subverwerker is zoals verder beschreven in Sectie 3.1, zullen de Verwerker/Subverwerker Standaard Contractuele clausules van toepassing zijn op dergelijke EER Beperkte Overdracht. SparkPost wordt beschouwd als de gegevensimporteur en de Klant als de gegevensexporteur onder de EER Standaard Contractuele Clausules. Het ondertekenen van deze DPA door elke partij zal worden beschouwd als de ondertekening van de toepasselijke EER Standaard Contractuele Clausules, die geacht worden te zijn opgenomen in deze DPA. Details die vereist zijn onder Bijlage 1 en Bijlage 2 van de EER Standaard Contractuele Clausules zijn beschikbaar in Schema 1 en Schema 2 van deze DPA. In geval van enig conflict of inconsistentie tussen deze DPA en de EER Standaard Contractuele Clausules, zullen de EER Standaard Contractuele Clausules prevaleren, uitsluitend met betrekking tot EER Beperkte Overdrachten. Waar de EER Standaard Contractuele Clausules vereisen dat de partijen kiezen tussen optionele clausules en informatie invullen, hebben de partijen dit gedaan zoals hieronder uiteengezet:
De Optionele Clausule 7 “Dokkingclausule” zal niet worden aangenomen.
Voor Clausule 9 “Gebruik van subverwerkers”, kiezen de partijen de volgende optie: “Optie 2 Algemene schriftelijke toestemming: De gegevensimporteur heeft de algemene toestemming van de verwerkingsverantwoordelijke voor het inschakelen van subverwerker(s) van een overeengekomen lijst. De gegevensimporteur zal de verwerkingsverantwoordelijke specifiek schriftelijk informeren over eventuele beoogde wijzigingen in die lijst door het toevoegen of vervangen van subverwerkers ten minste 30 kalenderdagen van tevoren, waardoor de verwerkingsverantwoordelijke voldoende tijd heeft om bezwaar te maken tegen dergelijke wijzigingen voordat de subverwerker(s) wordt/worden ingeschakeld. De gegevensimporteur zal de verwerkingsverantwoordelijke voorzien van de informatie die nodig is om de verwerkingsverantwoordelijke in staat te stellen zijn recht op bezwaar uit te oefenen. De gegevensimporteur zal de gegevensexporteur informeren over de inschakeling van de subverwerker(s).
”Voor Clausule 11 (a) “Rechtsmaatregelen”, nemen de partijen de Optie niet aan.
Voor Clausule 17 “Toepasselijk recht”, kiezen de partijen de volgende optie: “Optie 1. Deze Clausules worden beheerst door het recht van een van de EU-lidstaten, mits zodanige wetgeving rechten van derden toelaat. De Partijen komen overeen dat dit het recht van Nederland zal zijn.
”Voor Clausule 18 (b) “Keuze van Forum en Jurisdictie”: “De Partijen komen overeen dat dit de rechtbanken van Nederland zullen zijn.
”VK Standaard Contractuele Clausules. De partijen komen overeen om zich te houden aan de VK Standaard Contractuele Clausules voor elke Beperkte Overdracht vanuit het VK (een “VK Beperkte Overdracht”). SparkPost wordt beschouwd als de gegevensimporteur en de Klant als de gegevensexporteur onder de VK Standaard Contractuele Clausules. Het ondertekenen van deze DPA door elke partij zal worden beschouwd als de ondertekening van de VK Standaard Contractuele Clausules, die geacht worden te zijn opgenomen in deze DPA. Details die vereist zijn onder Bijlage 1 en Bijlage 2 van de VK Standaard Contractuele Clausules zijn beschikbaar in Schema 1 en Schema 2 van deze DPA. In geval van enig conflict of inconsistentie tussen deze DPA en de VK Standaard Contractuele Clausules, zullen de VK Standaard Contractuele Clausules prevaleren, uitsluitend met betrekking tot VK Beperkte Overdrachten.
Samenwerking.
Als SparkPost niet in staat is om aan deze eis te voldoen of als de relevante autoriteiten of rechtbanken de EER Standaard Contractuele Clausules of VK Standaard Contractuele Clausules, indien van toepassing, niet langer erkennen als het bieden van een adequaat beschermingsniveau, zal SparkPost de Klant informeren en in redelijkheid samenwerken met de Klant om ervoor te zorgen dat elke Verwerking van Persoonsgegevens voldoet aan de Wetgeving Gegevensbescherming en eventuele overdrachtbeperkingen daarvan, inclusief door het behalen van alternatieve certificeringen, indien van toepassing en noodzakelijk.
Alternatief Overdrachtsmechanisme.
De partijen komen overeen dat de gegevensexportoplossing zoals geïdentificeerd in Sectie 7.2 (Standaard Contractuele Clausules) niet van toepassing zal zijn als en voor zover SparkPost een alternatief gegevensexportmechanisme voor de rechtmatige overdracht van Persoonsgegevens (zoals erkend onder de Wetgeving Gegevensbescherming) buiten de EER en/of VK aanneemt of handhaaft en dat is goedgekeurd door de Klant schriftelijk voorafgaand aan enige overdracht of andere Verwerking van Persoonsgegevens (“Alternatief Overdrachtsmechanisme”), in welk geval het Alternatief Overdrachtsmechanisme in plaats daarvan van toepassing zal zijn (maar alleen voor zover dit Alternatief Overdrachtsmechanisme zich uitstrekt tot de gebieden waarnaar Persoonsgegevens worden overgedragen).
Aanvullende beveiliging
Vertrouwelijkheid van verwerking.
SparkPost zal ervoor zorgen dat elke persoon die door SparkPost is gemachtigd om Persoonsgegevens te verwerken (inclusief haar personeel, agenten en onderaannemers) een passende vertrouwelijkheidsverplichting heeft (of het nu een contractuele of wettelijke verplichting is).
Security Incident Response and Notification.
Nadat SparkPost zich bewust is geworden van een beveiligingsincident, zal SparkPost de klant onverwijld op de hoogte stellen en tijdige informatie verstrekken met betrekking tot het beveiligingsincident zodra dit bekend wordt of redelijkerwijs wordt gevraagd door de klant.
Teruggave of verwijdering van gegevens
Bij beëindiging of afloop van de Overeenkomst zal SparkPost alle Persoonsgegevens (inclusief kopieën) in haar bezit of onder haar controle wissen of teruggeven aan de Klant (naar keuze van de Klant), met dien verstande dat deze vereiste niet van toepassing zal zijn voor zover SparkPost wettelijk verplicht is bepaalde of alle Persoonsgegevens te bewaren, of voor Persoonsgegevens die het heeft gearchiveerd op back-upsystemen, welke Persoonsgegevens SparkPost veilig zal isoleren en beschermen tegen verdere verwerking, behalve voor zover wettelijk vereist. SAMENWERKING.
Schadeloosstelling.
Beide partijen komen overeen de andere partij (inclusief haar directeuren, functionarissen, werknemers en agenten) te verdedigen en schadeloos te stellen tegen enige derde partij claim (inclusief van overheidsinstanties en Ontvangers) en gerelateerde kosten en uitgaven (inclusief redelijke advocaatkosten) voortvloeiende uit haar daadwerkelijke of vermeende schending van deze DPA.
Verzoeken van betrokkenen.
De Dienst biedt de Klant een aantal controles die de Klant kan gebruiken om Klantgegevens op te halen, te corrigeren, te verwijderen of te beperken, die de Klant kan gebruiken om hem te helpen bij zijn verplichtingen onder de Wetgeving inzake gegevensbescherming, inclusief bijvoorbeeld zijn verplichtingen met betrekking tot het reageren op Verzoeken van betrokkenen. Voor zover de Klant niet onafhankelijk toegang kan krijgen tot de relevante Klantgegevens binnen de Dienst, zal SparkPost redelijke medewerking verlenen om de Klant te assisteren bij het tijdig reageren op een Verzoek van de betrokkene met betrekking tot de verwerking van Persoonsgegevens onder de Overeenkomst binnen de termijnen gesteld door de Wetgeving inzake gegevensbescherming. In het geval een dergelijk verzoek rechtstreeks naar SparkPost wordt gestuurd, zal SparkPost de Klant hiervan schriftelijk op de hoogte stellen onmiddellijk na ontvangst daarvan.
Verwerkingsregisters.
Op verzoek van de Klant zal SparkPost tijdig de informatie beschikbaar maken zoals vereist door de Klant om naleving door SparkPost van haar verplichtingen onder de Wetgeving inzake gegevensbescherming en onder deze DPA aan te tonen.
Overheidsverzoeken.
Als een rechtshandhavingsinstantie een eis tot Persoonsgegevens indient bij SparkPost (bijvoorbeeld via een dagvaarding of gerechtelijk bevel), zal SparkPost proberen de rechtshandhavingsinstantie om te leiden naar een verzoek om die gegevens rechtstreeks van de Klant. Als onderdeel van deze inspanning kan SparkPost de basiscontactgegevens van de Klant aan de rechtshandhavingsinstantie verstrekken. Als SparkPost wettelijk gedwongen is om Klantgegevens aan een rechtshandhavingsinstantie te onthullen, zal het de Klant een redelijke kennisgeving van de eis geven zodat de Klant een beschermend bevel of andere geschikte remedie kan zoeken, tenzij SparkPost wettelijk verboden is om dit te doen.
Gegevensbeschermingseffectbeoordelingen.
Voor zover SparkPost verplicht is onder de toepasselijke Wetgeving inzake gegevensbescherming, zal SparkPost redelijkerwijs gevraagde informatie over de Dienst verstrekken om de Klant in staat te stellen gegevensbeschermingseffectbeoordelingen of voorafgaande raadplegingen met gegevensbeschermingsautoriteiten uit te voeren zoals vereist door de wet of overeenkomstig Artikelen 35 en 36 van de AVG, respectievelijk.
***
PLANNING 1
BIJLAGE I BIJ DE STANDAARD CONTRACTUELE CLAUSULES VAN DE EER
Indien van toepassing, zal dit Schema 1 dienen als Bijlage I bij de standaard contractuele clausules van de EER.
BIJLAGE 1, DEEL A: LIJST VAN PARTIJEN
Gegevensexporteur: Klant
Contactgegevens van de gegevensexporteur: Het adres vermeld in het handtekeningenblok van de Klant hierboven, of het e-mailadres van de accountbeheerder van de Klant, of naar het e-mailadres(sen) waarvoor de Klant kiest om mededelingen onder de Overeenkomst te ontvangen.
Rol van de gegevensexporteur: De rol van de Gegevensexporteur is uiteengezet in Sectie 3 van de VOV.
Handtekening & Datum: Gegevensexporteur wordt geacht de standaard contractuele clausules van de EER te hebben ondertekend zoals hierin opgenomen op de ingangsdatum van de VOV.
Gegevensimporteur: Message Systems, Inc. (dba SparkPost)
Contactgegevens van de gegevensimporteur: SparkPost Data Protection Officer – privacy@sparkpost.com
Rol van de gegevensimporteur: De rol van de Gegevensimporteur is uiteengezet in Sectie 3 van de VOV.
Handtekening & Datum: Gegevensimporteur wordt geacht de standaard contractuele clausules van de EER te hebben ondertekend zoals hierin opgenomen op de ingangsdatum van de VOV.
BIJLAGE 1, DEEL B: BESCHRIJVING VAN DE OVERDRACHT
Categorieën van betrokkenen wiens persoonlijke gegevens worden overgedragen zijn beschreven in Sectie 3.4 van de VOV. Categorieën van persoonlijke gegevens die worden overgedragen zijn beschreven in Sectie 3.4 van de VOV. Gevoelige gegevens die worden overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de daaraan verbonden risico's, zoals bijvoorbeeld strikte doelbeperking, toegangsbeperkingen (inclusief toegang alleen voor personeel dat specifieke training heeft gevolgd), het bijhouden van een toegangsoverzicht van de gegevens, beperkingen voor verdere overdrachten of aanvullende beveiligingsmaatregelen:
GeenDe frequentie van de overdracht (bijv. of de gegevens eenmalig of voortdurend worden overgedragen): Gegevens worden continu overgedragen gedurende de looptijd van de Overeenkomst.
Aard van de verwerking is beschreven in Sectie 3.4 van de VOV. Doel(en) van de gegevensoverdracht en verdere verwerking zijn beschreven in Sectie 3.4 van de VOV.
De periode waarvoor de persoonlijke gegevens bewaard zullen worden, of, indien dat niet mogelijk is, de criteria die gebruikt worden om die periode te bepalen:
Voor de duur van de Overeenkomst of langer zoals vereist door de toepasselijke wetgeving en zoals toegestaan door de Overeenkomst.
Voor overdrachten aan sub-verwerkers, vermeld ook het onderwerp, de aard en de duur van de verwerking:
Voor overdrachten aan sub-verwerkers, het onderwerp en de aard van de verwerking staan beschreven op https://www.sparkpost.com/policies/subprocessors/ en de duur is voor de duur van de Overeenkomst.
BIJLAGE 1, DEEL C: BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT
De Autoriteit Persoonsgegevens zal de bevoegde toezichthoudende autoriteit zijn.
***
BIJLAGE 2 ADDENDUM II BIJ DE EER-STD-CONTRACTUELE CLAUSULES
Waar van toepassing, zal deze Bijlage 2 dienen als Bijlage II bij de Standaardcontractbepalingen. Het volgende geeft meer informatie over de technische en organisatorische beveiligingsmaatregelen van SparkPost die hieronder zijn uiteengezet.
Meer informatie over SparkPost’s technische en organisatorische beveiligingsmaatregelen om Klantgegevens te beschermen, waarvan een samenvatting beschikbaar is op: https://www.sparkpost.com/policies/security/ (“Beveiligingsbeleid”).
Technische en organisatorische beveiligingsmaatregelen:
Maatregelen voor pseudonimisering en versleuteling van persoonsgegevens: SparkPost bewaart Klantgegevens in een versleuteld formaat in rust en tijdens transport met behulp van SSL, HTTPS en opportunistische TLS, indien van toepassing.
Maatregelen om voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkende systemen en diensten te waarborgen: SparkPost gaat vertrouwelijkheidsverplichtingen aan in zijn overeenkomsten met klanten. SparkPost sluit ook overeenkomsten met vergelijkbare vertrouwelijkheidsbepalingen met medewerkers, aannemers, leveranciers en subverwerkers van SparkPost. SparkPost zorgt voor hoge beschikbaarheid en veerkracht van de systemen en diensten via meerdere op onafhankelijke fouten gebaseerde datacenterbeschikbaarheidszones. Bovendien heeft SparkPost een Continuïteitsplan voor Bedrijfsvoering en Rampenherstelplan geïmplementeerd en blijft dit onderhouden om ervoor te zorgen dat Klantgegevens behouden blijven en de Diensten kunnen blijven worden geleverd.
Maatregelen om de mogelijkheid te waarborgen om toegang tot Persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident: Klantgegevens worden gehost door Amazon Web Services (“AWS”), dat redundantie biedt over meerdere beschikbaarheidszones. Zoals hierboven vermeld, heeft SparkPost ook een Continuïteitsplan voor Bedrijfsvoering en Rampenherstelplan geïmplementeerd en blijft dit onderhouden.
Processen voor regelmatige testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van verwerking te waarborgen: SparkPost onderhoudt een geschreven en uitgebreide informatiebeveiligingsprogramma, dat passende fysieke, technische en administratieve controles omvat om de beveiliging, integriteit, vertrouwelijkheid en beschikbaarheid van Klantgegevens te beschermen, inclusief, maar niet beperkt tot, het beschermen van Klantgegevens tegen ongeoorloofde of onwettige verwerving, toegang, gebruik, onthulling of vernietiging. Dit beveiligingsprogramma is ontworpen rekening houdend met het type diensten dat SparkPost levert en de omvang en complexiteit van de onderneming van SparkPost. Naast ons interne beveiligingsteam dat onze beveiliging intern consistent bewaakt, maakt SparkPost gebruik van een externe partij om interne en externe kwetsbaarheids- en penetratietesten uit te voeren om de perimeter en interne verdedigingshouding regelmatig te valideren.
Maatregelen voor gebruikersidentificatie en -autorisatie: Medewerkers van SparkPost zijn verplicht om unieke gebruikerscredentials en wachtwoorden te gebruiken voor autorisatie. SparkPost past de principes van het minimaal vereiste privilege bij het toewijzen van systeemtoegang, waarbij rekening wordt gehouden met de functie, rol en verantwoordelijkheden van elke medewerker bij het bepalen van het juiste niveau en de duur van toegang. Toegang vereist goedkeuring voorafgaand aan provisioning en wordt onmiddellijk verwijderd bij wijziging of beëindiging van de rol.
Maatregelen voor de bescherming van gegevens tijdens transmissie: Klantgegevens worden versleuteld tijdens transport tussen Klant en SparkPost-diensten met behulp van HTTPS. Klantgegevens worden versleuteld tijdens transport tussen SparkPost en de Ontvanger met opportunistische TLS. Maatregelen voor de bescherming van gegevens tijdens opslag: Klantgegevens worden versleuteld opgeslagen met de geavanceerde versleutelingsstandaard.
Maatregelen om de fysieke veiligheid van locaties waar persoonsgegevens worden verwerkt te waarborgen: Het hoofdkantoor van SparkPost en de kantoorgebouwen zijn voorzien van (i) fysieke beveiligingsmonitoring en bewaking; (ii) toegangscontrole om fysieke toegang te beperken; en (iii) bezoekerslogboeken. Alle aannemers en bezoekers zijn verplicht hun binnenkomst en vertrek te registreren. De Diensten draaien op AWS en worden beschermd door de fysieke, technische, organisatorische en administratieve controles van Amazon. Gedetailleerde informatie over de beveiliging van AWS is beschikbaar op https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, en https://aws.amazon.com/compliance/iso-27001-faqs/. Voor AWS SOC-rapporten zie https://aws.amazon.com/compliance/soc-faqs/.
Maatregelen voor het waarborgen van evenement logging: Activiteiten zijn centraal verzameld in de productinfrastructuur van SparkPost en worden beveiligd om manipulatie te voorkomen en worden gecontroleerd op anomalieën door een getraind beveiligingsteam.
Maatregelen om de systeemconfiguratie, inclusief standaardconfiguratie, te waarborgen: SparkPost evalueert wijzigingen in zijn platform, applicaties en productinfrastructuur op een manier die risico's minimaliseert en dergelijke wijzigingen worden alleen geïmplementeerd in overeenstemming met het Beveiligingsbeleid. SparkPost voert tal van aan beveiliging gerelateerde activiteiten uit voor de Diensten in verschillende fasen van de levenscyclus van het product, van het maken van vereisten documentatie en productontwerp tot de go-live fase. Deze activiteiten omvatten de uitvoering van (i) interne beveiligingsreviews voordat nieuwe diensten worden ingezet; (ii) jaarlijkse penetratietests door onafhankelijke derden; en (iii) bedreigingsanalyses voor nieuwe diensten om eventuele potentiële beveiligingsdreigingen en kwetsbaarheden op te sporen. SparkPost houdt zich aan een wijzigingsbeheerproces om wijzigingen in de productieomgeving voor de Diensten te beheren, inclusief wijzigingen in de onderliggende software, applicaties en systemen. Monitoring is ingesteld om het beveiligingsteam te waarschuwen voor wijzigingen die zijn aangebracht in kritieke infrastructuur en diensten die niet voldoen aan de wijzigingsbeheerprocessen.
Maatregelen voor interne IT- en IT-beveiligingsbeheer en -beheer: SparkPost onderhoudt een risicogebaseerd beoordeling beveiligingsprogramma, dat administratieve, organisatorische, technische en fysieke waarborgen omvat die redelijkerwijs zijn ontworpen om de Diensten en vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens te beschermen. Het beveiligingsprogramma van SparkPost is ontworpen rekening houdend met de aard van de Diensten en de omvang en complexiteit van de onderneming van SparkPost. SparkPost heeft een speciaal beveiligingsteam dat verantwoordelijk is voor het beheren van het informatiebeveiligingsprogramma van SparkPost en faciliteert en ondersteunt onafhankelijke audits en beoordelingen uitgevoerd door derden. Het beveiligingsraamwerk van SparkPost is gebaseerd op de SOC2 Type II-attestatie en omvat de volgende vertrouwensdiensten criteria: Beveiliging, Beschikbaarheid, Vertrouwelijkheid en Privacy. Beveiliging wordt beheerd op de hoogste niveaus van het bedrijf, waarbij de VP van Compliance en IT-beveiliging regelmatig vergadert met het uitvoerend management om problemen te bespreken en bedrijfsbrede beveiligings- en IT-initiatieven te coördineren. Informatiebeveiligingsbeleid en -normen worden ten minste jaarlijks beoordeeld en goedgekeurd door het management en zijn beschikbaar voor alle relevante medewerkers van SparkPost ter referentie.
Maatregelen voor certificeringen/verzekeringen van processen en producten: SparkPost voert verschillende audits door derden uit om te attenderen op verschillende frameworks, waaronder SOC 2 Type II en regelmatige toepassingskwetsbaarheids- en penetratietests. Maatregelen voor het waarborgen van gegevensminimalisatie: SparkPost slaat de berichttekst van een e-mail niet op nadat deze is bezorgd bij de ontvanger of is gebounced of op andere wijze door de mailboxaanbieder is afgewezen, wat doorgaans binnen enkele seconden gebeurt. In het geval van een afwijzing of bounce, SparkPost behoudt de berichttekst voor een beperkte tijdsduur om het herverzenden van de e-mail mogelijk te maken. Als de transmissie nog steeds mislukt, wordt de berichttekst permanent verwijderd. SparkPost slaat alleen Ontvanger Persoonsgegevens in ruwe vorm op gedurende een beperkte tijdsperiode na de transmissie van een e-mail naar een ontvanger. Na de initiële bewaarperiode worden de persoonsgegevens gepseudonimiseerd door middel van een eenrichtingshash en alleen in gepseudonimiseerde vorm opgeslagen. Voor meer informatie over dit proces zie onze Gegevens-FAQs beschikbaar op: https://www.sparkpost.com/policies/data-faq/. Daarnaast heeft SparkPost zelfbedieningsfunctionaliteit ingebouwd in de Diensten waarmee klanten bepaalde klantgegevens, zoals ontvangerse-mailadressen en bijbehorende berichtgebeurtenissen, op verzoek kunnen verwijderen, waarvoor documentatie van dergelijke functionaliteit beschikbaar is op: https://developers.sparkpost.com/api/data-privacy/.
Maatregelen om verantwoordelijkheid te waarborgen: SparkPost heeft maatregelen ingevoerd om verantwoordelijkheid te waarborgen, waaronder het uitvoeren van regelmatige audits door derden om te zorgen voor naleving van onze privacy- en beveiligingsnormen. SparkPost implementeert ook gegevensbeschermingsbeleid in overeenstemming met de toepasselijke wetgeving en publiceert een overzicht van het Beveiligingsbeleid (bovenstaand gelinkt). SparkPost heeft een Functionaris voor Gegevensbescherming aangesteld en onderhoudt documentatie van zijn verwerkingsactiviteiten, inclusief het vastleggen en rapporteren van beveiligingsincidenten met betrekking tot persoonsgegevens, indien van toepassing.
Maatregelen om gegevensportabiliteit en het waarborgen van uitwissing mogelijk te maken: Klanten hebben directe relaties met hun Ontvangers en zijn verantwoordelijk voor het reageren op verzoeken van hun eindgebruikers die hun rechten onder de gegevensbeschermingswetten willen uitoefenen. SparkPost heeft zelfbedieningsfunctionaliteit ingebouwd in de Diensten waarmee klanten bepaalde klantgegevens, zoals ontvangerse-mailadressen en bijbehorende berichtgebeurtenissen op verzoek kunnen verwijderen, waarvoor documentatie van dergelijke functionaliteit beschikbaar is op: https://developers.sparkpost.com/api/data-privacy/. Bovendien heeft SparkPost zelfbedieningsfunctionaliteit ingebouwd om toekomstige e-mails naar ontvangers te onderdrukken (dat wil zeggen, uitschrijven), waarvoor documentatie van dergelijke functionaliteit beschikbaar is op https://developers.sparkpost.com/api/suppression-list/. Voor zover de klant niet zelfstandig toegang kan krijgen tot de relevante klantgegevens binnen de dienst, zal SparkPost redelijke medewerking verlenen om de klant te helpen om tijdig te reageren op verzoeken van betrokkenen met betrekking tot de verwerking van persoonsgegevens onder de overeenkomst binnen enige door gegevensbeschermingswetten opgelegde termijnen. In het geval dat een dergelijk verzoek rechtstreeks aan SparkPost wordt gedaan, zal SparkPost de betrokkene adviseren om zijn verzoek in te dienen bij de klant, en de klant zal verantwoordelijk zijn voor het beantwoorden van een dergelijk verzoek.
Voor overdrachten naar [sub]-verwerkers, beschrijf ook de specifieke technische en organisatorische maatregelen die de [sub]-verwerker moet nemen om assistentie te kunnen verlenen aan de verantwoordelijke en, voor overdrachten van een verwerker naar een [sub]-verwerker, aan de gegevensexporteur: Wanneer SparkPost een sub-verwerker inschakelt onder deze DPA, sluiten SparkPost en de sub-verwerker een overeenkomst met gegevensbeschermingstermijnen die substantieel vergelijkbaar zijn met die hierin opgenomen.
V2.0 2 november 2021