Gegevensbeschermingsaddendum SparkPost
Documents
Inhoud
In de loop van het leveren van de SparkPost-service aan onze klanten, kan SparkPost persoonsgegevens verwerken namens onze klant, wanneer deze persoonsgegevens onderworpen zijn aan EU-gegevensbeschermingswetten zoals de AVG. Hiertoe bieden we een gegevensbescherming addendum (DPA) zoals hieronder verstrekt. De DPA zal alleen wettelijk bindend en van kracht zijn als: (1) het wordt uitgevoerd hier; en (2) u op de datum van volledige uitvoering een SparkPost-klant bent. Houd er rekening mee dat we vanwege het grote aantal klanten de DPA niet kunnen wijzigen voor een specifieke klant. Als u echter vragen heeft over de DPA, neem dan contact met ons op via privacy@sparkpost.com.
Definities
“Affiliate” betekent een entiteit die direct of indirect controleert, wordt gecontroleerd door, of onder gezamenlijke controle staat met de betreffende entiteit. “Controle”, voor de doeleinden van deze definitie, betekent directe of indirecte eigendom of controle van meer dan 50% van de stemgerechtigde belangen van de betreffende entiteit.
“Overeenkomst” betekent de Gebruiksvoorwaarden en de bijbehorende Order, die samen het leveren en gebruiken van de Dienst reguleren.
“CCPA” betekent de California Consumer Privacy Act van 2018 en alle daarop gebaseerde voorschriften, in elk geval, zoals van tijd tot tijd gewijzigd.
“Verwerkingsverantwoordelijke/Verwerker Standaard Contractuele Clausules” betekent de “Verwerkingsverantwoordelijke naar Verwerker” (Module 2) modules van de Standaard Contractuele Clausules voor de overdracht van persoonlijke gegevens naar derde landen overeenkomstig GDPR en de Europese Commissie uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021.
“Gegevensbeschermingswetten” betekent alle wetten en voorschriften van een rechtsgebied die van toepassing zijn op de vertrouwelijkheid, privacy, veiligheid of verwerking van Persoonsgegevens onder de Overeenkomst, inclusief, waar van toepassing, de GDPR, de CCPA en alle andere wetten en voorschriften met betrekking tot privacy, directe marketing of gegevensbescherming. “Gegevensbeheerder” betekent een entiteit, alleen of gezamenlijk met anderen, die het doel en de middelen voor de verwerking van Persoonsgegevens bepaalt.
“Gegevensverwerker” betekent een entiteit die Persoonsgegevens verwerkt namens een Gegevensbeheerder. “Betrokkene” betekent de persoon op wie de Persoonsgegevens betrekking hebben.
“Verzoek van een Betrokkene” betekent een verzoek van een Betrokkene om de rechten van die persoon uit te oefenen onder Gegevensbeschermingswetten met betrekking tot de Persoonsgegevens van die persoon, inclusief, maar niet beperkt tot, het recht op toegang, correctie, wijziging, overdracht, een kopie verkrijgen van, bezwaar tegen de verwerking van, blokkeren, verwijderen, of zich afmelden voor de verkoop van dergelijke Persoonsgegevens. “EER” betekent de Europese Economische Ruimte en Zwitserland.
“GDPR” betekent ofwel (i) de Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en met betrekking tot het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming); of (ii) uitsluitend met betrekking tot het Verenigd Koninkrijk, de Data Protection Act 2018.
“Persoonsgegevens” betekent alle informatie die een geïdentificeerde of identificeerbare natuurlijke persoon of huishouden identificeert, betrekking heeft op, beschrijft, of redelijkerwijs in verband kan worden gebracht met een geïdentificeerde of identificeerbare natuurlijke persoon of huishouden.
“Verwerken” betekent elke bewerking of set van bewerkingen die worden uitgevoerd op Persoonsgegevens of op sets van Persoonsgegevens, al dan niet door middel van geautomatiseerde middelen, zoals verzameling, vastlegging, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door transmissie, verspreiding of anderszins ter beschikking stellen, afstemming of combinatie, beperking, wissen of vernietiging.
“Verwerker/Sub-Verwerker Standaard Contractuele Clausules” betekent de “Verwerker naar Verwerker” (Module 3) modules van de Standaard Contractuele Clausules voor de overdracht van persoonlijke gegevens naar derde landen overeenkomstig GDPR en de Europese Commissie uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021.
“Toezichthouder” betekent de Europese gegevensbeschermingsautoriteit of een andere regelgevende, overheid of toezichthoudende autoriteit met bevoegdheid over het geheel of een deel van (a) de levering of ontvangst van de Dienst; (b) de verwerking van Persoonsgegevens in verband met de Dienst; of (c) de bedrijfs of personeelsaangelegenheden van SparkPost met betrekking tot de Dienst.
“Beveiligingsincident” betekent enige toevallige, ongeautoriseerde of onwettige vernietiging, verlies, wijziging, openbaarmaking van, toegang tot, of versleuteling van Persoonsgegevens.
“Dienst” betekent elk product of dienst aangeboden door SparkPost aan Klant in overeenstemming met de Overeenkomst.
“EER Standaard Contractuele Clausules” betekent ofwel (i) de Verwerkingsverantwoordelijke/Verwerker Standaard Contractuele Clausules; of (ii) de Verwerker/Sub-verwerker Standaard Contractuele Clausules, individueel of gezamenlijk, indien van toepassing.
“Sub-verwerker” betekent de entiteit die Persoonsgegevens Verwerkt namens een entiteit die handelt als een Verwerker of een Sub-verwerker.
“VK Standaard Contractuele Clausules” betekent de standaard contractuele clausules voor de overdracht van persoonlijke gegevens aan verwerkers gevestigd in derde landen in de door de Europese Commissie vastgestelde vorm van Besluit 2010/87/EU, zoals kan worden gewijzigd, aangepast of vervangen door de Europese Commissie.
Relatie met de overeenkomst
De partijen komen overeen dat deze DPA elke bestaande gegevensbeschermingstoevoeging of soortgelijke overeenkomst die de partijen eerder zijn aangegaan in verband met de Services, zal vervangen.
Deze DPA is van toepassing waar en alleen voor zover SparkPost Persoonsgegevens verwerkt die onderworpen zijn aan Gegevensbeschermingswetten in de loop van het verlenen van de Dienst krachtens de Overeenkomst.
Behalve voor de wijzigingen aangebracht door deze DPA, blijft de Overeenkomst ongewijzigd en volledig van kracht. Indien er enig conflict is tussen de voorwaarden van deze DPA en de voorwaarden van de Overeenkomst, prevaleert deze DPA voor zover dat conflict bestaat. In omstandigheden waarin SparkPost vertrouwt op de EER Standaard Contractuele Clausules of VK Standaard Contractuele Clausules (gezamenlijk, “Standaard Contractuele Clausules”), zoals van toepassing, om Persoonsgegevens over te dragen, zullen de toepasselijke Standaard Contractuele Clausules prevaleren in het geval van een conflict met deze DPA.
Eventuele claims ingediend onder of in verband met deze DPA zullen onderworpen zijn aan de voorwaarden, inclusief maar niet beperkt tot, de uitsluitingen en beperkingen uiteengezet in de Overeenkomst. De partijen komen overeen dat geen enkele aansprakelijkheidsbeperking bepaald in de Overeenkomst van toepassing zal zijn op de aansprakelijkheid van een partij jegens Betrokkenen onder de derde-begunstigde bepalingen van de Standaard Contractuele Clausules, voor zover beperking van dergelijke aansprakelijkheid verboden is door Gegevensbeschermingswetten.
Deze DPA wordt beheerst door en zal worden geïnterpreteerd in overeenstemming met de wet- en jurisdictiebepalingen in de Overeenkomst, tenzij anders vereist door toepasselijke Gegevensbeschermingswetten. Deze DPA blijft van kracht zolang SparkPost Persoonsgegevens verwerkt, ondanks het verlopen of beëindigen van de Overeenkomst. ROLLEN EN OMVANG VAN VERWERKING.
Rol van de Partijen.
De partijen erkennen en komen overeen dat, tussen SparkPost en Klant: Met betrekking tot de Persoonsgegevens van elke persoon die toegang heeft tot en/of gebruikmaakt van de Dienst via de Account van de Klant (“Gebruikers”), de Klant de Verantwoordelijke is en SparkPost de Verwerker van de Gebruiker Persoonsgegevens is; en met betrekking tot de Persoonsgegevens van elke persoon: (i) wiens e-mailadres is opgenomen in de klantenlijst(en) van de Klant; (ii) wiens informatie wordt opgeslagen op of verzameld via de Dienst, of (ii) naar wie Gebruikers e-mails sturen of anderszins communiceren via de Dienst (gezamenlijk, “Ontvangers”), de Klant de Verwerker is en SparkPost de Sub-verwerker van Ontvangers Persoonsgegevens is.
Klantverwerking van Persoonsgegevens.
De Klant stemt ermee in zijn verplichtingen uit hoofde van toepasselijke Gegevensbeschermingswetten na te komen met betrekking tot zijn Verwerking van Persoonsgegevens in verband met de Dienst en met betrekking tot eventuele gedocumenteerde Verwerkingsinstructies die het aan SparkPost geeft.
SparkPost Verwerkt Persoonsgegevens. De Klant instrueert SparkPost om Persoonsgegevens te Verwerken in overeenstemming met de Overeenkomst (inclusief, voor de duidelijkheid, om zijn andere verplichtingen na te komen en zijn rechten uit te oefenen krachtens de Overeenkomst) en om te voldoen aan andere redelijke instructies van de Klant (bijvoorbeeld via e-mail) wanneer dergelijke instructies consistent zijn met de Overeenkomst. SparkPost zal: (i) Persoonsgegevens alleen namens de Klant Verwerken en in overeenstemming met de gedocumenteerde rechtsgeldige instructies van de Klant behandelen en Persoonsgegevens als vertrouwelijke informatie onder de vertrouwelijkheidsbepalingen van de Overeenkomst; (ii) de Klant onmiddellijk schriftelijk op de hoogte brengen indien SparkPost naar redelijk oordeel gelooft dat een door de Klant gegeven instructie Gegevensbeschermingswetten schendt; (iii) de Dienst verlenen en Persoonsgegevens Verwerken in overeenstemming met Gegevensbeschermingswetten en de Overeenkomst; (iv) de Klant onmiddellijk op de hoogte stellen van eventuele niet-naleving van deze DPA. De partijen komen overeen dat deze DPA en de Overeenkomst de volledige en definitieve instructies van de Klant aan SparkPost vastleggen met betrekking tot de verwerking van Persoonsgegevens en dat verwerking buiten de reikwijdte van deze instructies (indien van toepassing) voorafgaande schriftelijke overeenkomst tussen Klant en SparkPost vereist.
Details van Gegevensverwerking.
Onderwerp: Het onderwerp van de gegevensverwerking onder deze DPA zijn de Persoonsgegevens.Duur: Tussen SparkPost en Klant is de duur van de gegevensverwerking onder deze DPA tot de beëindiging van de Overeenkomst overeenkomstig de voorwaarden ervan.
Doel: Het doel van de gegevensverwerking onder deze DPA is het leveren van de Dienst aan de Klant en de uitvoering van SparkPost volgens de Overeenkomst (inclusief deze DPA) of zoals anders overeengekomen door de partijen.
Aard van de verwerking: SparkPost levert een e-mailbezorgings-, analytics- en intelligentiedienst en andere gerelateerde diensten, zoals beschreven in de Overeenkomst.Categorieën betrokkenen: Gebruikers en Ontvangers.
Types van Persoonsgegevens:
Klant en Gebruikers: identificatie- en contactgegevens (naam, adres, titel, contactgegevens, gebruikersnaam); financiële informatie (accountgegevens, betalingsinformatie); arbeidsdetails (werkgever, functietitel, geografische locatie, verantwoordelijkheidsgebied);
Ontvangers: identificatie- en contactgegevens (naam, e-mailadres en andere demografische en segmentgegevens verstrekt door Klant); IT-informatie (IP-adressen, gebruiksgegevens, cookiesgegevens, online navigatiegegevens, locatiegegevens, browsergegevens).
California Consumer Privacy Act.
SparkPost zal voldoen aan de CCPA en alle Persoonsgegevens die onder de CCPA vallen (“CCPA Persoonsgegevens”) behandelen in overeenstemming met de bepalingen van de CCPA. Met betrekking tot CCPA Persoonsgegevens is SparkPost een dienstverlener onder de CCPA. SparkPost zal geen CCPA Persoonsgegevens (a) verkopen; (b) CCPA Persoonsgegevens behouden, gebruiken of openbaar maken voor enig ander doel dan het specifieke doel van het verlenen van de Services, inclusief het behouden, gebruiken of openbaar maken van CCPA Persoonsgegevens voor een commercieel doel anders dan het verlenen van de Services; of (c) CCPA Persoonsgegevens behouden, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen SparkPost en Klant. De partijen erkennen en komen overeen dat de Verwerking van CCPA Persoonsgegevens, geautoriseerd door de instructies van de Klant beschreven in de Overeenkomst en deze DPA, integraal is voor en omvat wordt door de verlening van de Services door SparkPost en de directe zakelijke relatie tussen de partijen. De partijen erkennen en komen overeen dat de toegang van SparkPost tot Klantgegevens geen deel uitmaakt van de overweging die door de partijen is uitgewisseld in verband met de Overeenkomst. Voor zover enige Gebruiksgegevens als CCPA Persoonsgegevens worden beschouwd, is SparkPost de onderneming met betrekking tot dergelijke gegevens en zal het dergelijke gegevens Verwerken in overeenstemming met zijn Privacybeleid, dat te vinden is op https://www.sparkpost.com/policies/privacy/. De termen "onderneming", "commercieel doel", "dienstverlener" en "verkopen" zoals gebruikt in deze Sectie hebben de betekenissen die daaraan zijn gegeven in de CCPA. SparkPost en Klant certificeren dat zij begrijpen en zullen voldoen aan de verplichtingen en beperkingen uiteengezet in deze DPA en de Overeenkomst zoals vereist onder de CCPA.
Legitieme Belangen.
Klant erkent dat SparkPost het recht zal hebben om gegevens met betrekking tot de operatie, ondersteuning en/of het gebruik van de Dienst te gebruiken en openbaar te maken voor zijn legitieme zakelijke doeleinden, zoals facturering, accountbeheer, technische ondersteuning en productontwikkeling. Voor zover dergelijke gegevens als Persoonsgegevens onder Gegevensbeschermingswetten worden beschouwd, is SparkPost de Gegevensverantwoordelijke van dergelijke gegevens en zal het dergelijke gegevens dienovereenkomstig verwerken in overeenstemming met het SparkPost Privacybeleid en Gegevensbeschermingswetten.
Trackingtechnologieën.
Klant erkent dat SparkPost in verband met het uitvoeren van de Dienst gebruik maakt van webbakens, trackingpixels en soortgelijke trackingtechnologieën (“Trackingtechnologieën”). Klant zal een passende rechtsgrond voor verwerking handhaven zoals vereist door Gegevensbeschermingswetten om SparkPost in staat te stellen Trackingtechnologieën op rechtmatige wijze op apparaten van Ontvangers te implementeren en gegevens daaruit te verzamelen in overeenstemming met en zoals beschreven in het SparkPost Privacybeleid.
Subverwerking
Geautoriseerde Sub-verwerkers. Klant stemt ermee in dat SparkPost Sub-verwerkers kan inschakelen om klantgegevens namens de klant te verwerken. De Sub-verwerkers die door SparkPost zijn ingeschakeld en door de klant zijn goedgekeurd vanaf de ingangsdatum, staan vermeld op: https://www.sparkpost.com/policies/subprocessors. Verplichtingen van Sub-verwerkers. SparkPost zal: (i) een schriftelijke overeenkomst aangaan met de Sub-verwerker waarin gegevensbeschermingsvoorwaarden worden opgelegd die de Sub-verwerker verplichten om de klantgegevens te beschermen volgens de norm die vereist is door gegevensbeschermingswetten; en (ii) verantwoordelijk blijven voor de naleving van de verplichtingen van deze DPA en voor eventuele handelingen of nalatigheden van de Sub-verwerker die ervoor zorgen dat SparkPost een van zijn verplichtingen onder deze DPA schendt.
Meldingsplicht. SparkPost zal (i) een actuele lijst van de door haar aangestelde Sub-verwerkers verstrekken op schriftelijk verzoek van de klant; en (ii) de klant (waarvoor e-mail voldoende is) op de hoogte stellen als er een Sub-verwerker wordt toegevoegd, ten minste tien (10) dagen voorafgaand aan dergelijke wijzigingen.
Bezwaar. Klant kan schriftelijk bezwaar maken tegen de benoeming van een nieuwe Sub-verwerker door SparkPost binnen vijf (5) dagen na een dergelijke kennisgeving, op voorwaarde dat het bezwaar is gebaseerd op redelijke gronden met betrekking tot gegevensbescherming. In een dergelijk geval zullen de partijen deze zorgen te goeder trouw bespreken met het oog op het bereiken van een oplossing. Als er binnen een redelijke termijn geen oplossing wordt bereikt, kan de klant de toepasselijke bestelling(en) beëindigen met betrekking tot de specifieke dienst die niet door SparkPost kan worden geleverd zonder de nieuwe Sub-verwerker waartegen bezwaar is gemaakt, door middel van een schriftelijke kennisgeving aan SparkPost.
Security
Security Policy.
Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van verwerking evenals het risico van wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal SparkPost passende technische en organisatorische beveiligingsmaatregelen implementeren en onderhouden om Persoonsgegevens te beschermen tegen Beveiligingsincidenten en om de beveiliging, integriteit, beschikbaarheid, veerkracht en vertrouwelijkheid van de Persoonsgegevens en SparkPost-systemen die worden gebruikt voor het verwerken van Persoonsgegevens te behouden.
Updates van beveiligingsmaatregelen.
De klant is verantwoordelijk voor het beoordelen van de door SparkPost verstrekte informatie met betrekking tot gegevensbeveiliging en het maken van een onafhankelijke beoordeling of deze informatie voldoet aan de eisen van de klant en de wettelijke verplichtingen onder de Wetgeving Gegevensbescherming. De klant erkent dat het Beveiligingsbeleid onderhevig is aan technische vooruitgang en ontwikkeling en dat SparkPost het Beveiligingsbeleid van tijd tot tijd kan bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen niet resulteren in de verslechtering van de algehele beveiliging van de door de klant aangekochte dienst.
Verantwoordelijkheden van de klant.
Ondanks het bovenstaande stemt de klant ermee in dat de klant verantwoordelijk is voor het beveiligen van zijn accountauthenticatiegegevens in het beheer of de controle van de klant en voor het beschermen van de veiligheid van Persoonsgegevens tijdens het transport van en naar de dienst voor zover dergelijke Persoonsgegevens in het beheer of de controle van de klant zijn.
SparkPost Personnel.
SparkPost zorgt ervoor dat zijn personeel dat betrokken is bij de verwerking van Persoonsgegevens op de hoogte is van de vertrouwelijke aard van de Persoonsgegevens, passende training heeft ontvangen over hun verantwoordelijkheden en schriftelijke geheimhoudingsovereenkomsten heeft ondertekend met betrekking tot de Persoonsgegevens, welke geheimhouding blijft bestaan na beëindiging van de personeelsbetrokkenheid.
Controleverslagen en audits
Auditrapport.
SparkPost wordt regelmatig gecontroleerd door onafhankelijke derden auditors tegen de SOC 2 Type II-controles (of equivalent). Op verzoek zal SparkPost een samenvattend kopie van zijn auditrapport(en) (“Audit Report”) aan de Klant verstrekken, zodat de Klant kan verifiëren dat SparkPost voldoet aan de auditnormen waartegen het is beoordeeld, en deze DPA. Dergelijke Auditrapporten, evenals alle conclusies of bevindingen die daarin zijn gespecificeerd, zijn de Vertrouwelijke Informatie van SparkPost.
Audit.
SparkPost zal Klant alle informatie beschikbaar stellen die nodig is om naleving aan te tonen van de verplichtingen van Verwerkers zoals neergelegd in Artikel 28 van GDPR (“Artikel 28 Vereisten”). Daartoe zal SparkPost schriftelijke antwoorden geven op alle redelijke verzoeken om informatie die door de Klant worden gedaan, inclusief antwoorden op informatiebeveiligings- en auditvragenlijsten die nodig zijn om naleving door SparkPost van Artikel 28 Vereisten te bevestigen, op voorwaarde dat de Klant dit recht niet meer dan één keer per jaar zal uitoefenen. Dergelijke antwoorden zijn de Vertrouwelijke Informatie van SparkPost. Als SparkPost niet alle informatie kan verstrekken die nodig is om naleving van Artikel 28 Vereisten aan te tonen door middel van de schriftelijke antwoorden, dan zal SparkPost audits, inclusief inspecties, toestaan en eraan bijdragen, uitgevoerd door de Klant of een andere auditor die de Klant vertegenwoordigt. Alle informatie verkregen van SparkPost tijdens een dergelijke audit of inspectie is de Vertrouwelijke Informatie van SparkPost.
Internationale overschrijvingen
Verwerkingslocaties.
SparkPost kan Klantgegevens overal ter wereld overdragen en verwerken, waar SparkPost, zijn Gelieerde Ondernemingen of zijn Subverwerkers gegevensverwerkingen uitvoeren. SparkPost zal te allen tijde een adequaat beschermingsniveau bieden voor de verwerkte Klantgegevens, in overeenstemming met de vereisten van de Wetgeving Gegevensbescherming.
Standaard Contractuele Clausules.
Voor zover SparkPost Persoonsgegevens verwerkt krachtens de Overeenkomst die een doorstuurmechanisme vereisen om Persoonsgegevens rechtmatig over te dragen vanuit de EER of het Verenigd Koninkrijk (het “VK”) naar een ander land of gebied dat niet is bepaald als het bieden van een adequaat beschermingsniveau voor de rechten en vrijheden van Gegevensonderwerpen door de Europese Commissie (of, specifiek met betrekking tot het VK, zoals bepaald door de toepasselijke Britse regelgevende instantie) (een “Beperkte Overdracht”), komen de partijen als volgt overeen:
EER Standaard Contractuele Clausules.
De partijen komen overeen om zich te houden aan de EER Standaard Contractuele Clausules voor elke Beperkte Overdracht vanuit de EER (een “EER Beperkte Overdracht”). Wanneer de Klant een Verwerkingsverantwoordelijke is en SparkPost een Verwerker is zoals verder beschreven in Sectie 3.1, zullen de Verwerkingsverantwoordelijke/Verwerker Standaard Contractuele clausules van toepassing zijn op dergelijke EER Beperkte Overdracht. Wanneer de Klant een Verwerker is en SparkPost een Subverwerker is zoals verder beschreven in Sectie 3.1, zullen de Verwerker/Subverwerker Standaard Contractuele clausules van toepassing zijn op dergelijke EER Beperkte Overdracht. SparkPost wordt beschouwd als de gegevensimporteur en de Klant als de gegevensexporteur onder de EER Standaard Contractuele Clausules. Het ondertekenen van deze DPA door elke partij zal worden beschouwd als de ondertekening van de toepasselijke EER Standaard Contractuele Clausules, die geacht worden te zijn opgenomen in deze DPA. Details die vereist zijn onder Bijlage 1 en Bijlage 2 van de EER Standaard Contractuele Clausules zijn beschikbaar in Schema 1 en Schema 2 van deze DPA. In geval van enig conflict of inconsistentie tussen deze DPA en de EER Standaard Contractuele Clausules, zullen de EER Standaard Contractuele Clausules prevaleren, uitsluitend met betrekking tot EER Beperkte Overdrachten. Waar de EER Standaard Contractuele Clausules vereisen dat de partijen kiezen tussen optionele clausules en informatie invullen, hebben de partijen dit gedaan zoals hieronder uiteengezet:
De Optionele Clausule 7 “Dokkingclausule” zal niet worden aangenomen.
Voor Clausule 9 “Gebruik van subverwerkers”, kiezen de partijen de volgende optie: “Optie 2 Algemene schriftelijke toestemming: De gegevensimporteur heeft de algemene toestemming van de verwerkingsverantwoordelijke voor het inschakelen van subverwerker(s) van een overeengekomen lijst. De gegevensimporteur zal de verwerkingsverantwoordelijke specifiek schriftelijk informeren over eventuele beoogde wijzigingen in die lijst door het toevoegen of vervangen van subverwerkers ten minste 30 kalenderdagen van tevoren, waardoor de verwerkingsverantwoordelijke voldoende tijd heeft om bezwaar te maken tegen dergelijke wijzigingen voordat de subverwerker(s) wordt/worden ingeschakeld. De gegevensimporteur zal de verwerkingsverantwoordelijke voorzien van de informatie die nodig is om de verwerkingsverantwoordelijke in staat te stellen zijn recht op bezwaar uit te oefenen. De gegevensimporteur zal de gegevensexporteur informeren over de inschakeling van de subverwerker(s).
”Voor Clausule 11 (a) “Rechtsmaatregelen”, nemen de partijen de Optie niet aan.
Voor Clausule 17 “Toepasselijk recht”, kiezen de partijen de volgende optie: “Optie 1. Deze Clausules worden beheerst door het recht van een van de EU-lidstaten, mits zodanige wetgeving rechten van derden toelaat. De Partijen komen overeen dat dit het recht van Nederland zal zijn.
”Voor Clausule 18 (b) “Keuze van Forum en Jurisdictie”: “De Partijen komen overeen dat dit de rechtbanken van Nederland zullen zijn.
”VK Standaard Contractuele Clausules. De partijen komen overeen om zich te houden aan de VK Standaard Contractuele Clausules voor elke Beperkte Overdracht vanuit het VK (een “VK Beperkte Overdracht”). SparkPost wordt beschouwd als de gegevensimporteur en de Klant als de gegevensexporteur onder de VK Standaard Contractuele Clausules. Het ondertekenen van deze DPA door elke partij zal worden beschouwd als de ondertekening van de VK Standaard Contractuele Clausules, die geacht worden te zijn opgenomen in deze DPA. Details die vereist zijn onder Bijlage 1 en Bijlage 2 van de VK Standaard Contractuele Clausules zijn beschikbaar in Schema 1 en Schema 2 van deze DPA. In geval van enig conflict of inconsistentie tussen deze DPA en de VK Standaard Contractuele Clausules, zullen de VK Standaard Contractuele Clausules prevaleren, uitsluitend met betrekking tot VK Beperkte Overdrachten.
Samenwerking.
Als SparkPost niet in staat is om aan deze eis te voldoen of als de relevante autoriteiten of rechtbanken de EER Standaard Contractuele Clausules of VK Standaard Contractuele Clausules, indien van toepassing, niet langer erkennen als het bieden van een adequaat beschermingsniveau, zal SparkPost de Klant informeren en in redelijkheid samenwerken met de Klant om ervoor te zorgen dat elke Verwerking van Persoonsgegevens voldoet aan de Wetgeving Gegevensbescherming en eventuele overdrachtbeperkingen daarvan, inclusief door het behalen van alternatieve certificeringen, indien van toepassing en noodzakelijk.
Alternatief Overdrachtsmechanisme.
De partijen komen overeen dat de gegevensexportoplossing zoals geïdentificeerd in Sectie 7.2 (Standaard Contractuele Clausules) niet van toepassing zal zijn als en voor zover SparkPost een alternatief gegevensexportmechanisme voor de rechtmatige overdracht van Persoonsgegevens (zoals erkend onder de Wetgeving Gegevensbescherming) buiten de EER en/of VK aanneemt of handhaaft en dat is goedgekeurd door de Klant schriftelijk voorafgaand aan enige overdracht of andere Verwerking van Persoonsgegevens (“Alternatief Overdrachtsmechanisme”), in welk geval het Alternatief Overdrachtsmechanisme in plaats daarvan van toepassing zal zijn (maar alleen voor zover dit Alternatief Overdrachtsmechanisme zich uitstrekt tot de gebieden waarnaar Persoonsgegevens worden overgedragen).
Aanvullende beveiliging
Vertrouwelijkheid van verwerking.
SparkPost zal ervoor zorgen dat elke persoon die door SparkPost is gemachtigd om Persoonsgegevens te verwerken (inclusief haar personeel, agenten en onderaannemers) een passende vertrouwelijkheidsverplichting heeft (of het nu een contractuele of wettelijke verplichting is).
Security Incident Response and Notification.
Nadat SparkPost zich bewust is geworden van een beveiligingsincident, zal SparkPost de klant onverwijld op de hoogte stellen en tijdige informatie verstrekken met betrekking tot het beveiligingsincident zodra dit bekend wordt of redelijkerwijs wordt gevraagd door de klant.
Teruggave of verwijdering van gegevens
Bij beëindiging of afloop van de Overeenkomst zal SparkPost alle Persoonsgegevens (inclusief kopieën) in haar bezit of onder haar controle wissen of teruggeven aan de Klant (naar keuze van de Klant), met dien verstande dat deze vereiste niet van toepassing zal zijn voor zover SparkPost wettelijk verplicht is bepaalde of alle Persoonsgegevens te bewaren, of voor Persoonsgegevens die het heeft gearchiveerd op back-upsystemen, welke Persoonsgegevens SparkPost veilig zal isoleren en beschermen tegen verdere verwerking, behalve voor zover wettelijk vereist. SAMENWERKING.
Schadeloosstelling.
Beide partijen komen overeen de andere partij (inclusief haar directeuren, functionarissen, werknemers en agenten) te verdedigen en schadeloos te stellen tegen enige derde partij claim (inclusief van overheidsinstanties en Ontvangers) en gerelateerde kosten en uitgaven (inclusief redelijke advocaatkosten) voortvloeiende uit haar daadwerkelijke of vermeende schending van deze DPA.
Verzoeken van betrokkenen.
De Dienst biedt de Klant een aantal controles die de Klant kan gebruiken om Klantgegevens op te halen, te corrigeren, te verwijderen of te beperken, die de Klant kan gebruiken om hem te helpen bij zijn verplichtingen onder de Wetgeving inzake gegevensbescherming, inclusief bijvoorbeeld zijn verplichtingen met betrekking tot het reageren op Verzoeken van betrokkenen. Voor zover de Klant niet onafhankelijk toegang kan krijgen tot de relevante Klantgegevens binnen de Dienst, zal SparkPost redelijke medewerking verlenen om de Klant te assisteren bij het tijdig reageren op een Verzoek van de betrokkene met betrekking tot de verwerking van Persoonsgegevens onder de Overeenkomst binnen de termijnen gesteld door de Wetgeving inzake gegevensbescherming. In het geval een dergelijk verzoek rechtstreeks naar SparkPost wordt gestuurd, zal SparkPost de Klant hiervan schriftelijk op de hoogte stellen onmiddellijk na ontvangst daarvan.
Verwerkingsregisters.
Op verzoek van de Klant zal SparkPost tijdig de informatie beschikbaar maken zoals vereist door de Klant om naleving door SparkPost van haar verplichtingen onder de Wetgeving inzake gegevensbescherming en onder deze DPA aan te tonen.
Overheidsverzoeken.
Als een rechtshandhavingsinstantie een eis tot Persoonsgegevens indient bij SparkPost (bijvoorbeeld via een dagvaarding of gerechtelijk bevel), zal SparkPost proberen de rechtshandhavingsinstantie om te leiden naar een verzoek om die gegevens rechtstreeks van de Klant. Als onderdeel van deze inspanning kan SparkPost de basiscontactgegevens van de Klant aan de rechtshandhavingsinstantie verstrekken. Als SparkPost wettelijk gedwongen is om Klantgegevens aan een rechtshandhavingsinstantie te onthullen, zal het de Klant een redelijke kennisgeving van de eis geven zodat de Klant een beschermend bevel of andere geschikte remedie kan zoeken, tenzij SparkPost wettelijk verboden is om dit te doen.
Gegevensbeschermingseffectbeoordelingen.
Voor zover SparkPost verplicht is onder de toepasselijke Wetgeving inzake gegevensbescherming, zal SparkPost redelijkerwijs gevraagde informatie over de Dienst verstrekken om de Klant in staat te stellen gegevensbeschermingseffectbeoordelingen of voorafgaande raadplegingen met gegevensbeschermingsautoriteiten uit te voeren zoals vereist door de wet of overeenkomstig Artikelen 35 en 36 van de AVG, respectievelijk.
***
PLANNING 1
BIJLAGE I BIJ DE EER-STANDAARD CONTRACTUELE CLAUSULES
Indien van toepassing, zal deze Bijlage 1 dienen als Bijlage I bij de EER-standaard contractuele clausules.
BIJLAGE 1, DEEL A: LIJST VAN PARTIJEN
Gegevensexporteur: Customer
Contactgegevens van Gegevensexporteur: Het adres dat in het handtekeningsblok van Customer hierboven is vermeld, of het e-mailadres van de accountbeheerder van Customer, of naar de e-mailadressen waarvoor Customer kiest om kennisgevingen te ontvangen onder de Overeenkomst.
Rol van Gegevensexporteur: De rol van de Gegevensexporteur wordt beschreven in Sectie 3 van de DPA.
Handtekening & Datum: De Gegevensexporteur wordt geacht de EER-standaard contractuele clausules te hebben ondertekend die hierin zijn opgenomen vanaf de Ingangsdatum van de DPA.
Gegevensimporteur: Message Systems, Inc. (dba SparkPost)
Contactgegevens van Gegevensimporteur: SparkPost Data Protection Officer – privacy@sparkpost.com
Rol van Gegevensimporteur: De rol van de Gegevensimporteur wordt beschreven in Sectie 3 van de DPA.
Handtekening & Datum: De Gegevensimporteur wordt geacht de EER-standaard contractuele clausules te hebben ondertekend die hierin zijn opgenomen vanaf de Ingangsdatum van de DPA.
BIJLAGE 1, DEEL B: BESCHRIJVING VAN DE OVERDRACHT
Categorieën van betrokkenen van wie persoonlijke gegevens worden overgedragen zijn beschreven in Sectie 3.4 van de DPA.Categorieën van overgedragen persoonlijke gegevens zijn beschreven in Sectie 3.4 van de DPA.Gevoelige overgedragen gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de betrokken risico's, zoals bijvoorbeeld strikte doelbeperkingen, toegangsbeperkingen (inclusief toegang alleen voor personeel dat gespecialiseerde training heeft gevolgd), het bijhouden van een record van toegang tot de gegevens, beperkingen voor verdere overdrachten of extra beveiligingsmaatregelen:
GeenDe frequentie van de overdracht (bijv. of de gegevens eenmalig of continu worden overgedragen):Gegevens worden continu overgedragen voor de duur van de Overeenkomst.
Aard van de verwerking is beschreven in Sectie 3.4 van de DPA.Doel(en) van de gegevensoverdracht en verdere verwerking is beschreven in Sectie 3.4 van de DPA.
De periode waarin de persoonlijke gegevens worden bewaard, of, als dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen:
Voor de duur van de Overeenkomst of langer zoals vereist door toepasselijke wetgeving en toegestaan door de Overeenkomst.
Voor overdrachten naar sub-verwerkers, specificeer ook het onderwerp, de aard en de duur van de verwerking:
Voor overdrachten naar sub-verwerkers, zijn het onderwerp en de aard van de verwerking beschreven op https://www.sparkpost.com/policies/subprocessors/ en de duur is voor de duur van de Overeenkomst.
BIJLAGE 1, DEEL C: BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT
De Autoriteit Persoonsgegevens (Dutch Data Protection Authority) zal de bevoegde toezichthoudende autoriteit zijn.
***
BIJLAGE 2 ADDENDUM II BIJ DE EER-STD-CONTRACTUELE CLAUSULES
Waar van toepassing, zal dit Schema 2 dienen als Bijlage II bij de Standaard Contractuele Clausules. Het volgende biedt meer informatie over SparkPost’s technische en organisatorische beveiligingsmaatregelen die hieronder worden uiteengezet.
Meer informatie over SparkPost’s technische en organisatorische beveiligingsmaatregelen om Klantgegevens te beschermen, een samenvatting hiervan is beschikbaar op: https://www.sparkpost.com/policies/security/ (“Security Policy”).
Technische en organisatorische beveiligingsmaatregelen:
Maatregelen voor pseudonimisering en versleuteling van persoonlijke gegevens: SparkPost bewaart klantgegevens in een versleuteld formaat in rust en tijdens transport, gebruikmakend van SSL, HTTPS en opportunistische TLS waar van toepassing.
Maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen: SparkPost gaat akkoord met vertrouwelijkheidsverplichtingen in zijn overeenkomsten met klanten. SparkPost sluit ook overeenkomsten af die inhoudelijk vergelijkbare vertrouwelijkheidsbepalingen bevatten met de medewerkers, aannemers, leveranciers en subverwerkers van SparkPost. SparkPost behoudt hoge beschikbaarheid en veerkracht van de systemen en diensten door meerdere foutonafhankelijke beschikbaarheidszones van datacenters. Daarnaast heeft SparkPost een Business Continuity and Disaster Recovery Plan geïmplementeerd en in stand gehouden om ervoor te zorgen dat klantgegevens behouden blijven en dat de diensten kunnen blijven worden geleverd.
Maatregelen om het vermogen te waarborgen om toegankelijkheid en toegang tot persoonlijke gegevens tijdig te herstellen in het geval van een fysiek of technisch incident: Klantgegevens worden gehost door Amazon Web Services (“AWS”), dat redundantie biedt over meerdere beschikbaarheidszones. Zoals hierboven vermeld, heeft SparkPost ook een Business Continuity and Disaster Recovery Plan geïmplementeerd en in stand gehouden.
Processen voor regelmatige tests, beoordeling en evaluatie van de effectiviteit van technische en organisatorische maatregelen om de beveiliging van verwerkingen te waarborgen: SparkPost onderhoudt een schriftelijk en uitgebreid informatiebeveiligingsprogramma, dat fysieke, technische en administratieve maatregelen omvat om de beveiliging, integriteit, vertrouwelijkheid en beschikbaarheid van klantgegevens te beschermen, inclusief, maar niet beperkt tot, het beschermen van klantgegevens tegen ongeoorloofde of onwettige verwerving, toegang, gebruik, openbaarmaking of vernietiging. Dit beveiligingsprogramma is ontworpen met inachtneming van het type diensten dat SparkPost levert en de omvang en complexiteit van het bedrijf SparkPost. Naast ons interne beveiligingsteam dat onze beveiliging intern voortdurend controleert, schakelt SparkPost een externe partij in voor interne en externe kwetsbaarheids- en penetratietests om de perimeter en interne verdedigingshouding regelmatig te valideren.
Maatregelen voor gebruikersidentificatie en -autorisatie: SparkPost-medewerkers zijn verplicht unieke gebruikersbevoegdheidsreferenties en wachtwoorden te gebruiken voor autorisatie. SparkPost maakt gebruik van de principes van het minste privilege bij het verstrekken van systeemtoegang, waarbij rekening wordt gehouden met de functie, rol en verantwoordelijkheden van elke medewerker bij het vaststellen van het juiste niveau en de duur van de toegang. Toegang vereist goedkeuring voorafgaand aan de verstrekking en de toegang wordt onmiddellijk verwijderd bij rolverandering of beëindiging.
Maatregelen voor de bescherming van gegevens tijdens overdracht: Klantgegevens zijn versleuteld tijdens transport tussen klant en SparkPost Services via HTTPS. Klantgegevens zijn versleuteld tijdens transport tussen SparkPost en ontvanger met behulp van opportunistische TLS. Maatregelen voor de bescherming van gegevens tijdens opslag: Klantgegevens worden opgeslagen en versleuteld met behulp van de Advanced Encryption Standard.
Maatregelen voor de fysieke beveiliging van locaties waar persoonlijke gegevens worden verwerkt: Het hoofdkantoor en de kantoorruimtes van SparkPost beschikken over (i) fysieke beveiligingsmonitoring en bewaking; (ii) toegangscontrole om fysieke toegang te beperken; en (iii) bezoekerslogboeken. Alle aannemers en bezoekers zijn verplicht hun binnenkomst en vertrek in de kantoren te registreren. De diensten werken op AWS en worden beschermd door de fysieke, technische, organisatorische en administratieve maatregelen van Amazon. Gedetailleerde informatie over AWS-beveiliging is beschikbaar op https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, en https://aws.amazon.com/compliance/iso-27001-faqs/. Voor AWS SOC-rapporten, zie https://aws.amazon.com/compliance/soc-faqs/.
Maatregelen voor het waarborgen van gebeurtenisregistratie: De productiestructuurlogactiviteiten van SparkPost worden centraal verzameld en beveiligd om manipulatie te voorkomen en worden gecontroleerd op afwijkingen door een getraind beveiligingsteam.
Maatregelen voor het waarborgen van systeemconfiguratie, inclusief standaardconfiguratie: SparkPost evalueert wijzigingen aan het platform, toepassingen en productiestructuur op een manier die het risico minimaliseert, en dergelijke wijzigingen worden alleen geïmplementeerd in overeenstemming met het Beveiligingsbeleid. SparkPost voert tal van beveiligingsgerelateerde activiteiten uit voor de diensten tijdens verschillende fasen van de productontwikkelingscyclus, van het opstellen van documentatie van vereisten en productontwerp tot de livegangfase. Deze activiteiten omvatten (i) interne beveiligingsbeoordelingen voorafgaand aan de implementatie van nieuwe diensten; (ii) jaarlijkse penetratietests door onafhankelijke derden; en (iii) dreigingsanalyse voor nieuwe diensten om mogelijke beveiligingsbedreigingen en kwetsbaarheden te detecteren. SparkPost houdt zich aan een wijzigingsbeheerproces om wijzigingen in de productieomgeving voor de diensten te beheren, waaronder wijzigingen aan de onderliggende software, toepassingen en systemen. Er is monitoring geïmplementeerd om het beveiligingsteam op de hoogte te stellen van wijzigingen aan kritieke infrastructuur en diensten die niet voldoen aan de wijzigingsbeheerprocessen.
Maatregelen voor interne IT- en IT-beveiligingsgovernance en -beheer: SparkPost onderhoudt een op risicobeoordeling gebaseerd beveiligingsprogramma, dat administratieve, organisatorische, technische en fysieke waarborgen omvat die redelijkerwijs zijn ontworpen om de diensten en de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens te beschermen. SparkPost's beveiligingsprogramma is ontworpen met inachtneming van de aard van de diensten en de omvang en complexiteit van het bedrijf SparkPost. SparkPost heeft een toegewijd beveiligingsteam dat het informatiebeveiligingsprogramma van SparkPost beheert en onafhankelijke audits en beoordelingen door derden faciliteert en ondersteunt. Het beveiligingsraamwerk van SparkPost is gebaseerd op de SOC2 Type II-bekrachtiging en omvat de volgende vertrouwenscriteria: Beveiliging, Beschikbaarheid, Vertrouwelijkheid en Privacy. Beveiliging wordt beheerd op de hoogste niveaus van het bedrijf, waarbij de VP van Compliance en IT-beveiliging regelmatig vergadert met het uitvoerend management om kwesties te bespreken en bedrijfsoverkoepelende beveiligings- en IT-initiatieven te coördineren. Informatiebeveiligingsbeleid en -normen worden ten minste jaarlijks herzien en goedgekeurd door het management en beschikbaar gesteld aan alle relevante medewerkers van SparkPost ter referentie.
Maatregelen voor certificeringen/zekerheid van processen en producten: SparkPost voert verschillende audits door derden uit om verschillende raamwerken, waaronder SOC 2 Type II en regelmatige kwetsbaarheids- en penetratietests van toepassingen, te bevestigen. Maatregelen om gegevensminimalisatie te waarborgen: SparkPost slaat de berichtinhoud van een e-mail niet op nadat deze ofwel is afgeleverd bij de ontvanger, is teruggestuurd of anderszins is afgewezen door de mailboxprovider, wat doorgaans binnen enkele seconden gebeurt. In het geval van een afwijzing of terugsturing zal SparkPost de berichtinhoud gedurende een beperkte periode bewaren om opnieuw proberen de e-mail te bezorgen. Als de verzending nog steeds niet slaagt, wordt de berichtinhoud permanent verwijderd. SparkPost slaat ontvangerspersoonsgegevens alleen in ruwe vorm op gedurende een beperkte tijd na de verzending van een e-mail aan een ontvanger. Na de initiële bewaartermijn worden de persoonsgegevens gepseudonimiseerd door een eenweg-hash en worden ze alleen in gepseudonimiseerde vorm opgeslagen. Voor meer informatie over dit proces zie onze Data FAQs beschikbaar op: https://www.sparkpost.com/policies/data-faq/. Daarnaast heeft SparkPost zelfbedieningsfunctionaliteiten ingebouwd in de diensten waarmee klanten bepaalde klantgegevens, zoals e-mailadressen van ontvangers en bijbehorende gebeurtenisberichten, op aanvraag kunnen verwijderen, waarvoor documentatie over dergelijke functionaliteiten beschikbaar is op: https://developers.sparkpost.com/api/data-privacy/.
Maatregelen om verantwoording te waarborgen: SparkPost heeft maatregelen aangenomen om verantwoording te waarborgen, waaronder het uitvoeren van regelmatige audits door derden om naleving van onze privacy- en beveiligingsnormen te garanderen. SparkPost implementeert ook gegevensbeschermingsbeleid in overeenstemming met de toepasselijke wetgeving en publiceert een overzicht van het Beveiligingsbeleid (zoals hierboven gekoppeld). SparkPost heeft een Functionaris voor Gegevensbescherming aangesteld en onderhoudt documentatie van zijn verwerkingsactiviteiten, inclusief het vastleggen en rapporteren van beveiligingsincidenten met betrekking tot persoonlijke gegevens waar van toepassing.
Maatregelen om gegevensportabiliteit en uitwissing te waarborgen: Klanten hebben directe relaties met hun ontvangers en zijn verantwoordelijk voor het reageren op verzoeken van hun eindgebruikers die hun rechten onder gegevensbeschermingswetten willen uitoefenen. SparkPost heeft zelfbedieningsfunctionaliteiten ingebouwd in de diensten waarmee klanten bepaalde klantgegevens, zoals e-mailadressen van ontvangers en bijbehorende gebeurtenisberichten op aanvraag kunnen verwijderen, waarvoor documentatie over dergelijke functionaliteiten beschikbaar is op: https://developers.sparkpost.com/api/data-privacy/. Daarnaast heeft SparkPost zelfbedieningsfunctionaliteiten ingebouwd om toekomstige e-mails naar ontvangers te onderdrukken (d.w.z. uitschrijven), waarvoor documentatie over dergelijke functionaliteiten beschikbaar is op https://developers.sparkpost.com/api/suppression-list/. Voor zover de klant niet zelfstandig toegang kan krijgen tot de relevante klantgegevens binnen de dienst, zal SparkPost redelijke medewerking verlenen om de klant te helpen tijdig te reageren op elk verzoek van de betrokkene met betrekking tot de verwerking van persoonsgegevens onder de overeenkomst binnen de gestelde termijnen door gegevensbeschermingswetten. In het geval een dergelijk verzoek direct bij SparkPost wordt ingediend, zal SparkPost de betrokkene adviseren om hun verzoek in te dienen bij de klant, en de klant zal verantwoordelijk zijn voor het reageren op een dergelijk verzoek.
Voor doorgiften aan [sub]verwerkers, beschrijf ook de specifieke technische en organisatorische maatregelen die door de [sub]verwerker moeten worden genomen om bijstand te kunnen verlenen aan de verwerkingsverantwoordelijke en, voor doorgiften van een verwerker naar een [sub]verwerker, naar de gegevensexporteur: Wanneer SparkPost een subverwerker onder dit DPA inschakelt, gaan SparkPost en de subverwerker een overeenkomst aan met gegevensbeschermingsvoorwaarden die inhoudelijk vergelijkbaar zijn met die hierin opgenomen.
V2.0 2 november 2021