POS DPA

Dit Addendum vormt een integraal onderdeel van elke overeenkomst die gebruik maakt van de Gebruiksvoorwaarden (de "Termen") of andere voorwaarden die zijn gesloten tussen Bizzon en u (de "Leverancier", elke dergelijke overeenkomst als de "Overeenkomst"). Dit Addendum is een aanvulling op de bepalingen van de Overeenkomst; in geval van tegenstrijdige termijnen tussen de Overeenkomst en dit Addendum, prevaleert dit Addendum, tenzij de Partijen uitdrukkelijk en schriftelijk specifieke afwijkingen van dit Addendum in de Overeenkomst overeenkomen. Dit Addendum regelt de Verwerking waarbij de leverancier een verwerker is en Bizzon een processor of subverwerker.

In dit Addendum hebben termen met een hoofdletter de betekenis die eraan wordt gegeven in deze Clausule of in de tekst van dit Addendum. Termen met een hoofdletter die hierin niet anders zijn gedefinieerd, hebben de betekenis die daaraan is gegeven in de Overeenkomst of de Termen.

"Filiaal" betekent met betrekking tot een entiteit, een "Filiaal" is elke andere entiteit die direct of indirect onder zeggenschap staat van, gecontroleerd wordt door of onder gemeenschappelijke zeggenschap staat van een partij. Een partij heeft zeggenschap over een andere entiteit als een dergelijke entiteit, direct of indirect, (i) 20% of meer van de aandelen met gewoon stemrecht voor de verkiezing van bestuurders van een dergelijke entiteit bezit; of (ii) de macht heeft om de leiding of het beleid van de andere entiteit te sturen of te doen sturen, hetzij door het bezit van stemrechtverlenende effecten, door contracten of anderszins;

"Geautoriseerde Gebruiker" betekent een persoon die door de Merchant is gemachtigd om toegang te hebben tot de Account en om instructies te geven aan en communicatie te ontvangen van Bizzon, ongeacht of dit via de Account, e-mail of anderszins gebeurt;

"Verwerker" betekent een persoon of entiteit die het doel van en de middelen voor de Verwerking van Persoonsgegevens bepaalt;

"Wetgeving inzake gegevensbescherming" betekent EU-wetgeving inzake gegevensbescherming, UK-wetgeving inzake gegevensbescherming, CCPA en alle andere toepasselijke wetgeving inzake gegevensprivacy van het land van registratie van Bizzon;

"Betrokkene" betekent de geïdentificeerde of identificeerbare persoon op wie Persoonsgegevens betrekking hebben;

"EU-wetgeving inzake gegevensbescherming" betekent AVG en de e-privacyrichtlijn van de EU (Richtlijn 2002/58/EG);

"AVG" betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

"Personeel" betekent die medewerkers, agenten, consultants, onderaannemers en andere derde partijen die door Bizzon worden ingeschakeld zodat zij haar verplichtingen jegens de leverancier onder de Overeenkomst of het Addendum kan nakomen;

"Persoonsgegevens" betekent alle informatie gerelateerd aan (i) een geïdentificeerde of identificeerbare natuurlijke persoon; of (ii) een geïdentificeerde of identificeerbare rechtspersoon (waar dergelijke informatie wordt beschermd door de wetgeving inzake gegevensbescherming op vergelijkbare wijze als data waarmee een levend individu wordt geïdentificeerd) die onder dit Addendum wordt verwerkt;

"Verwerking" betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, ongeacht of dit gebeurt via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, combineren, beperken, wissen of vernietigen;

"Verwerker" of"Subverwerker" betekent een persoon of entiteit die Persoonsgegevens verwerkt namens een Gegevensverwerker of een Verwerker, al naar gelang van toepassing;

"modelcontractbepalingen": de modelcontractbepalingen die als bijlage zijn toegevoegd aan Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021;

"Toezichthoudende autoriteit" betekent een onafhankelijke overheidsinstantie die is opgericht door een EU-lidstaat of ander land op grond van AVG of een overeenkomstige wet;

"UK Data Protection Laws" betekent alle wetten gerelateerd aan gegevensbescherming, de verwerking van persoonlijke gegevens, privacy en elektronische communicatie die van kracht zijn in Engeland en Wales, inclusief de UK AVG en de Data Protection Act 2018; en

"UK AVG" betekent AVG zoals opgeslagen in de wetgeving van Engeland en Wales krachtens gedeelte 3 van de European Union (Withdrawal) Act 2018 van het Verenigd Koninkrijk.

2.1. Verwerking van persoonsgegevens.Bizzon en de Merchant erkennen dat de Merchant de gegevensverantwoordelijke of primaire verwerker is met betrekking tot de persoonsgegevens. Bizzon zal Persoonsgegevens uitsluitend verwerken als Verwerker of Subverwerker (zoals van toepassing op het gebruik van de Diensten door de Merchant) namens de Merchant en uitsluitend in de mate en op een wijze die noodzakelijk is voor de doeleinden gespecificeerd door en in overeenstemming met dit Addendum, de Overeenkomst of zoals van tijd tot tijd anderszins geïnstrueerd door de Merchant. Wanneer Bizzon redelijkerwijs van mening is dat de instructie van de Leverancier in strijd is met: (i) de toepasselijke wet- en regelgeving of (ii) de bepalingen van de Overeenkomst of het Addendum, zal Bizzon alle redelijke inspanningen leveren om de Merchant hiervan op de hoogte te stellen en is Bizzon gemachtigd om de uitvoering van de betreffende instructie uit te stellen totdat deze door de Merchant is gewijzigd in de mate die Bizzon vereist om haar ervan te overtuigen dat een dergelijke instructie rechtmatig is, of wederzijds is overeengekomen door zowel de Merchant als Bizzon dat deze rechtmatig is.

2.2. Technische en organisatorische maatregelen. Bizzon onderhoudt en implementeert redelijke en passende technische en organisatorische maatregelen gericht op het beschermen van de Persoonsgegevens tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging ongeautoriseerde openbaarmaking of toegang, en met betrekking tot de beveiliging van Persoonsgegevens en de platforms die worden gebruikt om de Diensten te leveren, zoals beschreven in de Wetgeving inzake gegevensbescherming. Bij de implementatie van dergelijke maatregelen heeft Bizzon het recht om rekening te houden met de huidige standaardpraktijken bij het bepalen van wat redelijk is, evenals met de evenredigheid van de kosten van de implementatie van dergelijke maatregelen wanneer deze worden afgewogen tegen de potentiële schade voor de betrokkene waartegen de implementatie van deze maatregelen bescherming moet bieden. Vanaf de datum van dit Addendum onderhoudt en implementeert Bizzon de technische en organisatorische maatregelen in Bijlage II van dit Addendum.

2.3. Personeel. Bizzon zal ervoor zorgen dat haar Personeel dat betrokken is bij de Verwerking op de hoogte is van haar verplichting en verantwoordelijkheden, de juiste training heeft ontvangen en op de hoogte is van de vertrouwelijke aard van de Persoonsgegevens. Bizzon zal ervoor zorgen dat de toegang van het Personeel tot Persoonsgegevens wordt beperkt tot degenen die Diensten verlenen in overeenstemming met de Overeenkomst, en de geheimhoudingsverplichtingen van het Personeel zullen in wezen dezelfde zijn als uiteengezet in de Overeenkomst en het Addendum, en zullen ook na beëindiging van de dienst van het Personeel blijven gelden.

2.4. Interne gegevens. Bizzon zal de leverancier zo snel als commercieel redelijk is schriftelijk op de hoogte stellen:

• 2.4.1. van elke van een betrokkene ontvangen communicatie met betrekking tot (i) het recht van een betrokkene op toegang tot, wijziging, correctie, verwijdering of afscherming van zijn Persoonsgegevens; (ii) het recht van een betrokkene op rectificatie, restrictie of wissing van zijn Persoonsgegevens, op dataportabiliteit, op bezwaar tegen de Verwerking en op het niet onderworpen zijn aan geautomatiseerde besluitvorming; en (iii) elke klacht over de Verwerking door de Handelaar;
• 2.4.2. van een dagvaarding of ander gerechtelijk of administratief bevel of procedure waarin toegang tot of openbaarmaking van Persoonsgegevens wordt gevraagd;
• 2.4.3. van een klacht, kennisgeving of andere communicatie die gerelateerd is aan de compliance van de leverancier met de wetgeving inzake gegevensbescherming en privacy en de Verwerking van Persoonsgegevens; Bizzon zal de Merchant commercieel redelijke medewerking en assistentie verlenen (op kosten van de Merchant) met betrekking tot een dergelijke klacht, kennisgeving of communicatie; en
• 2.4.4. van een wezenlijke inbreuk op de beveiliging van de Diensten die leidt tot de toevallige of onwettige vernietiging, het verlies, de wijziging, de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot de Persoonsgegevens waarvan wij op de hoogte zijn, in overeenstemming met de toepasselijke wetgeving (elk een"Beveiligingsinbreuk"); Bizzon zal redelijke inspanningen leveren om de oorzaak van een dergelijke Beveiligingsinbreuk vast te stellen en die stappen ondernemen die noodzakelijk en redelijk zijn en die aanvaardbaar zijn voor de Verkoper, om de oorzaak van een dergelijke Beveiligingsinbreuk te herstellen voor zover herstel binnen de redelijke controle van Bizzon ligt.

De verplichtingen hierin zijn niet van toepassing op incidenten die worden veroorzaakt door de leverancier.

2.5. Geen erkenning. De leverancier stemt ermee in dat de verplichting van Bizzon om een inbreuk op de beveiliging te melden niet is en niet zal worden opgevat als een erkenning door Bizzon van enige fout of aansprakelijkheid van Bizzon met betrekking tot een dergelijke inbreuk op de beveiliging.

2.6. Data retourneren en verwijderen. Onder voorbehoud van de beperkingen die zijn vastgelegd in de toepasselijke wetgeving, zal Bizzon alle persistente Persoonsgegevens (indien deze niet reeds zijn verwijderd in overeenstemming met de toepasselijke wetgeving) retourneren aan de leverancier volgens gestandaardiseerde procedures en binnen commercieel redelijke termijnen.

2.7. Bizzon compliance. Bizzon zal voldoen aan de wetgeving inzake gegevensbescherming die van toepassing is op haar eigen werkzaamheden en levering van de diensten en haar verplichtingen op grond van dit Addendum.

2.8. Gegevensuitwisseling. Door gegevensuitwisseling binnen het Account met een derde partij mogelijk te maken of te accepteren, instrueert de Merchant Bizzon op grond van Art. 28(3)(a) van AVG om toegang te verlenen tot alle Persoonsgegevens en alle andere data die verwerkt worden binnen de Bizzon Account van de leverancier aan deze derde partij. De leverancier is verantwoordelijk voor het verkrijgen van alle noodzakelijke toestemmingen van de betrokkenen of andere derde partijen met de gegevensuitwisseling zoals vereist door de toepasselijke wetgeving inzake gegevensbescherming. De leverancier zal Bizzon en haar gelieerde ondernemingen volledig vrijwaren, verdedigen en schadeloos stellen van en tegen alle vorderingen ingesteld door een betrokkene of een derde partij, voortvloeiend uit de schending van deze clausule, met inbegrip van alle aansprakelijkheden, schade, verliezen, kosten en uitgaven.

2.9. Integraties. De Diensten bieden verschillende integraties. Door zich aan te sluiten of te abonneren op de respectieve integratie via het Account, instrueert de leverancier Bizzon overeenkomstig Art. 28 (3)(a) van AVG om toegang te verlenen tot de Persoonsgegevens die binnen het Account worden verwerkt aan de respectieve integratie Merchant zoals vereist voor de interoperatie van de integratie diensten of product met de Diensten.

2.10. Audit. De leverancier heeft het recht om een audit uit te voeren om te controleren of Bizzon voldoet aan de verplichtingen die zijn vastgelegd in artikel. 28 van AVG en in dit Addendum. Bizzon zal de leverancier toestaan de audit uit te voeren onder de volgende voorwaarden:

• 2.10.1. de leverancier Bizzon vraagt om de audit uit te voeren via een schriftelijke kennisgeving met vermelding van de agenda voor deze audit, minstens 30 (dertig) dagen op voorhand;
• 2.10.2. de audit vindt niet vaker dan eenmaal per jaar plaats;
• 2.10.3. alle bijbehorende kosten en uitgaven zullen door de leverancier worden gedragen en op verzoek aan Bizzon worden terugbetaald; en
• 2.10.4. de audit duurt niet langer dan het equivalent van 1 werkdag (8 uur) van de Bizzon-vertegenwoordiger.

Indien de Merchant de audit aanvraagt via een derde onafhankelijke partij - externe gelicentieerde auditor, kan Bizzon bezwaar maken tegen een externe gelicentieerde auditor die door de Merchant is aangesteld om de audit uit te voeren indien de auditor naar de redelijke mening van Bizzon niet voldoende gekwalificeerd of onafhankelijk is, een concurrent van Bizzon is, of anderszins duidelijk ongeschikt is. Bij een dergelijk bezwaar zal de leverancier een andere accountant moeten benoemen. Indien de leverancier meer dan één audit binnen één kalenderjaar vereist, zal de Merchant voorafgaande schriftelijke toestemming van Bizzon verkrijgen en de kosten bijbehorend aan dergelijke audits dragen en Bizzon alle redelijkerwijs gemaakte kosten van dergelijke audits vergoeden. Op verzoek van de Handelaar zal Bizzon de Handelaar de geschatte kosten bezorgen die hij verwacht te zullen maken tijdens een dergelijke audit, in de mate gespecificeerd in de door de Handelaar bezorgde agenda.

3.1. De verwerking van de leverancier. De leverancier zal bij het gebruik van de diensten persoonsgegevens verwerken in overeenstemming met de vereisten van de wetgeving inzake gegevensbescherming. Voor alle duidelijkheid, de leverancier garandeert dat zijn instructies voor de verwerking van persoonsgegevens in overeenstemming zijn met de wetgeving inzake gegevensbescherming en dat hij geen instructies of opdrachten zal geven die Bizzon ertoe aanzetten acties of handelingen te ondernemen die onwettig zijn of anderszins niet in overeenstemming met de wetgeving inzake gegevensbescherming. De Handelaar is als enige verantwoordelijk voor de nauwkeurigheid, kwaliteit en wettelijkheid van de Persoonsgegevens en de wijze waarop de Handelaar de Persoonsgegevens heeft verkregen.

3.2. Compliance van de leverancier. Naast de verplichtingen van de Handelaar vermeld in de Overeenkomst, is de Handelaar verantwoordelijk voor (i) de integriteit, de beveiliging, het onderhoud en de passende bescherming van de Persoonsgegevens, en (ii) de compliance met alle toepasselijke wet- en regelgeving inzake privacy, gegevensbescherming en beveiliging met betrekking tot: (a) zijn Verwerking van de Persoonsgegevens; (b) zijn gebruik van de Diensten; en (c) alle vereisten inzake registratie of kennisgeving waaraan de Handelaar onderworpen is onder de toepasselijke wetgeving.

3.3. Kennisgevingen. De Merchant stemt ermee in om alle vereiste kennisgevingen te doen aan, en vereiste toestemmingen en rechten te verkrijgen van, individuen met betrekking tot Bizzon's levering van de Diensten aan de Merchant. Wanneer Bizzon een communicatie ontvangt zoals beschreven in Clausule 2.4.1 of 2.4.3 hierboven en de leverancier op de hoogte stelt van een dergelijke communicatie, is het de verantwoordelijkheid van de verkoper om te reageren en alle andere passende actie te ondernemen met betrekking tot de communicatie. De leverancier stemt ermee in Bizzon onmiddellijk op de hoogte te stellen van elk ongeautoriseerd gebruik van de diensten of het account of van enige andere inbreuk op de beveiliging met betrekking tot de diensten.

3.4. Technische en organisatorische maatregelen. De leverancier is als enige verantwoordelijk voor de implementatie en het onderhoud van veiligheidsmaatregelen en andere technische en organisatorische maatregelen die geschikt zijn voor de aard en het volume van de Persoonsgegevens die de leverancier opslaat of anderszins verwerkt met behulp van de diensten. De Handelaar is ook verantwoordelijk voor het gebruik van de Diensten door zijn medewerkers, door elke persoon die de Handelaar toegang geeft tot of gebruik maakt van de Diensten, en door elke persoon die toegang krijgt tot de Persoonsgegevens of de Diensten ten gevolge van het niet gebruiken van redelijke veiligheidsvoorzorgen, zelfs indien dit gebruik niet was goedgekeurd door de Handelaar.

4.1. Samenwerking tussen leverancier en Bizzon. De Merchant en Bizzon komen overeen om op commercieel redelijke wijze samen te werken zoals redelijkerwijs vereist is om de Persoonsgegevens te beschermen onder de toepasselijke wetgeving, artikelen 35 en 36 van de AVG om een gegevensbeschermingseffectbeoordeling uit te voeren gerelateerd aan het gebruik van de Diensten door de Merchant, voor zover de Merchant niet anderszins toegang heeft tot de relevante informatie en voor zover dergelijke informatie beschikbaar is voor Bizzon. De leverancier moet meewerken aan het redelijke onderzoek van Bizzon naar storingen in de diensten, beveiligingsproblemen en vermoedelijke inbreuken op de beveiliging. De leverancier zal Bizzon redelijke bijstand verlenen bij de samenwerking of voorafgaand overleg met de Toezichthoudende Autoriteit bij de uitvoering van haar taken gerelateerd aan deze Clausule, voor zover vereist onder de toepasselijke wetgeving.

4.2. Assistentie door Bizzon. Tijdens de termijn van de Overeenkomst kan de Handelaar Bizzon verzoeken om de Handelaar bij te staan bij zijn inspanningen om te voldoen aan de verplichtingen van de Handelaar onder de toepasselijke wetgeving, op voorwaarde (i) dat deze gevraagde bijstand relevant is voor de Diensten die de Verwerking van Persoonsgegevens ondersteunen, (ii) dat deze gevraagde bijstand commercieel redelijk is en in verhouding staat tot het doel van de oefening waarmee Bizzon om bijstand wordt verzocht, en (iii) dat alle bijbehorende kosten en uitgaven van Bizzon (met inbegrip van de kosten van de tijd van zijn personeel) door de Handelaar worden gedragen en op verzoek aan Bizzon worden terugbetaald.

5.1. Subprocessoren. Met betrekking tot derden of het uitbesteden van de Verwerking, kan Bizzon een derde partij (Sub-verwerker) alleen machtigen om de Persoonsgegevens te Verwerken met voorafgaande toestemming van de Handelaar en op voorwaarde dat de bepalingen met betrekking tot gegevensverwerking en gegevensbescherming in het contract van de Sub-verwerker met betrekking tot de Persoonsgegevens in wezen dezelfde zijn als de bepalingen in dit Addendum, op voorwaarde dat het contract van de Sub-verwerker met betrekking tot de Persoonsgegevens automatisch eindigt bij beëindiging van de Overeenkomst om welke reden dan ook. Voor de toepassing hiervan worden de volgende subverwerkers goedgekeurd door de Handelaar door ondertekening van dit Addendum: (i) Subverwerkers opgesomd in Bijlage III van dit Addendum; (ii) de Filialen van Bizzon; en (iii) elke Subverwerker die door de Handelaar is gemachtigd via zijn Toegelaten Gebruiker door een integratie met de diensten toe te staan via het Account of anderszins. Bizzon kan gedurende de termijn van de overeenkomst nieuwe Subverwerkers inschakelen, mits deze Subverwerkers de Persoonsgegevens alleen raadplegen en gebruiken voor zover dit vereist is om de aan hen uitbestede verplichtingen uit te voeren.

5.2. Bezwaren. De Merchant kan redelijkerwijs bezwaar maken tegen het gebruik door Bizzon van een nieuwe Subverwerker door Bizzon hiervan onmiddellijk schriftelijk op de hoogte te stellen binnen tien (10) werkdagen na ontvangst van de kennisgeving van Bizzon. In het geval dat de Handelaar bezwaar maakt tegen een nieuwe Sub-verwerker, zal Bizzon redelijke inspanningen leveren om (i) aanvullende beveiligingen toe te voegen (die de gespecificeerde bezwaren dekken); (ii) de Sub-verwerker te wijzigen (ten opzichte van de Sub-verwerker); of (iii) een wijziging in de Diensten beschikbaar te maken voor de Handelaar of een commercieel redelijke wijziging aan te bevelen in de configuratie of het gebruik van de Diensten door de Handelaar om Verwerking door de Sub-verwerker waartegen bezwaar is gemaakt te vermijden zonder de Handelaar onredelijk te belasten. Indien Bizzon niet in staat is om een dergelijke wijziging binnen een redelijke periode, die niet langer is dan dertig (30) dagen, beschikbaar te stellen, kan de Handelaar alleen dat deel van de diensten beëindigen dat niet door Bizzon kan worden geleverd zonder gebruikmaking van de Subverwerker waartegen bezwaar is gemaakt, door Bizzon hiervan schriftelijk in kennis te stellen. Bizzon zal de Merchant vooruitbetaalde kosten terugbetalen die de rest van de termijn van de Overeenkomst couperen na de effectieve datum van beëindiging met betrekking tot een dergelijk beëindigd deel van de diensten, wat het enige en exclusieve rechtsmiddel van de Merchant is in verband met de introductie van een nieuwe Sub-verwerker.

5.3. Aansprakelijkheid. Bizzon is aansprakelijk voor de handelingen en nalatigheden van haar Subverwerkers in dezelfde mate waarin Bizzon aansprakelijk zou zijn als zij de diensten van elke Subverwerker rechtstreeks zou uitvoeren onder de termijnen van dit Addendum, tenzij anders bepaald in de Overeenkomst.

6.1. Europese Economische Ruimte. De Partijen komen overeen dat Persoonsgegevens alleen van de Europese Economische Ruimte naar een derde land mogen worden overgedragen als een van de volgende voorwaarden van toepassing is:

• 6.1.1. er een toepasselijk besluit van de Europese Commissie is waarin staat dat het derde land een passend beschermingsniveau waarborgt;
• 6.1.2. de overdracht kan plaatsvinden omdat Bizzon heeft gezorgd voor passende waarborgen volgens de Art. 46 van AVG, en op voorwaarde dat er afdwingbare rechten voor betrokkenen en effectieve rechtsmiddelen voor betrokkenen beschikbaar zijn; of
• 6.1.3. de afwijkingen voor specifieke situaties onder Art. 49 van AVG van toepassing.

6.2. Standaard contractbepalingen. Voor de toepassing van Clausule 6.1.2 komen de Partijen overeen dat Standaard Contractuele Clausules worden beschouwd als passende waarborgen. Om de overdracht van data van en naar derde landen van en naar de Europese Economische Ruimte of het Verenigd Koninkrijk (zoals van toepassing) mogelijk te maken, worden de Standaard Contractuele Clausules (de"SCC's") hierbij door middel van verwijzing opgenomen in dit Addendum en vormen ze een integraal onderdeel van dit Addendum als volgt:

• 6.2.1. Ten behoeve van de Persoonsgegevens die vallen onder de EU-wetgeving inzake gegevensbescherming (de"EU-gegevens"):
• • 6.2.1.1. Wanneer de Merchant verwerker is, is module twee (Controller to Processor) van de SCC's van toepassing, wanneer de Merchant processor is, is module drie (Processor to Sub-Processor) van de SCC's van toepassing;
  • 6.2.1.2. in Clausule 9 is optie 2 van toepassing en de periode voor voorafgaande kennisgeving van wijzigingen van subverwerkers is zoals uiteengezet in Clausule 5 (Subverwerking) van dit Addendum;
  • 6.2.1.3. in clausule 11 is de optionele taal niet van toepassing;
  • 6.2.1.4. in clausule 17 is optie 1 van toepassing en is Nederlands recht van toepassing op de SCC's in de EU;
  • 6.2.1.5. in Clausule 18(b) worden geschillen beslecht voor de Nederlandse rechter;
  • 6.2.1.6. Bijlage I van de VCA's wordt geacht te zijn aangevuld met de informatie in bijlage I bij dit addendum;
  • 6.2.1.7. Bijlage II van de VCA's wordt geacht te zijn aangevuld met de informatie in bijlage II bij dit addendum;
• 6.2.2. De overdracht van de Persoonsgegevens die onder de Britse wetgeving inzake gegevensbescherming vallen (de"Britse gegevens"), wordt geregeld door Bijlage IV - Addendum voor het VK bij de SCC's.

De leverancier gaat ermee akkoord dat elke geautoriseerde gebruiker van de leverancier gecontacteerd kan worden en het recht heeft om alle communicatie met betrekking tot dit addendum te ontvangen.

8.1. Toepasselijkheid. Bizzon erkent dat, waar het recht van de staat Californië van toepassing is, zij optreedt als Dienstverlener met betrekking tot de Persoonsgegevens.

8.2. Bizzon's verplichtingen. Tenzij voorgeschreven door de toepasselijke wetgeving of uitdrukkelijk overeengekomen tussen de Partijen, zal Bizzon niet:

• 8.2.1. de Persoonlijke Data verkopen;
• 8.2.2. de Persoonsgegevens bewaren, gebruiken of bekendmaken voor enig ander doel dan het specifieke doel van het uitvoeren van de Diensten;
• 8.2.3. de Persoonsgegevens bewaren, gebruiken of bekendmaken voor een commercieel doel anders dan gespecificeerd in de Overeenkomst; of
• 8.2.4. de Persoonsgegevens bewaren, gebruiken of bekendmaken buiten de directe zakelijke relatie tussen Bizzon en de leverancier.

8.3. Inzet. Bizzon verklaart de verantwoordelijkheden en restricties opgelegd door dit Addendum, CCPA en andere toepasselijke wet- en regelgeving inzake gegevensbescherming te begrijpen en na te leven.

8.4. In deze clausule 8:

• 8.4.1. "CCPA" betekent de California Consumer Privacy Act, California Civil Code §§1798.100 e.v., inclusief alle amendementen en implementatievoorschriften die van kracht worden op of na de ingangsdatum van dit Addendum; en
• 8.4.2. "Dienstverlener" heeft de betekenis zoals uiteengezet in gedeelte 1798.140(v) van CCPA.

9.1. Toepasselijkheid. Dit artikel 9 is alleen van toepassing indien de leverancier gevestigd is in de Verenigde Staten van Amerika.

9.2. COPPA. Vooral de bescherming van de privacy van kinderen is belangrijk. De Children's Online Privacy and Protection Act ("COPPA") vereist dat aanbieders van online diensten toestemming van hun overkoepelende ouders krijgen voordat ze bewust online Persoonsgegevens verzamelen van kinderen in de Verenigde Staten van Amerika die jonger zijn dan 13 jaar. Bizzon respecteert de functie van overkoepelende ouders of voogden bij het toezicht op de online activiteiten van hun kinderen. Dienovereenkomstig beperkt Bizzon het verzamelen van Persoonsgegevens van kinderen tot niet meer dan redelijkerwijs nodig is om deel te nemen aan de Diensten en deze te verbeteren. Bizzon verzamelt geen Persoonsgegevens van kinderen anders dan zoals uiteengezet in de Overeenkomst. Bizzon behoudt zich het recht voor om te weigeren door de leverancier verstrekte data te verwerken die in strijd is met deze clausule.

9.3. Gebruik van de gegevens van de leverancier door derde partijen. Tenzij anders overeengekomen, zijn alle door de leverancier aan Bizzon verstrekte data vertrouwelijke informatie en zal Bizzon geen data gebruiken voor andere doeleinden dan het uitoefenen van haar rechten en het nakomen van haar verplichtingen in verband met de diensten. De Merchant erkent dat, om de Diensten naar behoren te kunnen uitvoeren, informatie die door de Merchant aan Bizzon is verstrekt, beschikbaar zal worden gesteld aan derde partijen om de uitvoering van de Diensten mogelijk te maken. De leverancier erkent dat dergelijke derde partijen geen vertegenwoordigers van Bizzon zijn en dat Bizzon niet verantwoordelijk is voor het handelen en nalaten van deze derde partijen. Bizzon vereist van derde partijen aan wie Persoonsgegevens beschikbaar worden gesteld, dat zij hetzelfde niveau van privacybescherming toepassen als uiteengezet in dit Addendum en zoals vereist door toepasselijke wetgeving. De manier waarop de data van de leverancier worden gebruikt, valt onder het privacybeleid van Bizzon.

10.1. Begunstigden van derde partijen. De Betrokkenen zijn de enige derde partij begunstigden van de VCA's, en er zijn geen andere derde partij begunstigden van de Overeenkomst en dit Addendum. Niettegenstaande het voorgaande zijn de Overeenkomst en de termijnen van dit Addendum alleen van toepassing op de partijen en verlenen zij geen rechten aan Filialen van de Merchant, eindgebruikers van de Merchant of derde partijen die betrokkene zijn.

10.2. Toepasselijk recht. De Overeenkomst is van toepassing op alle vorderingen die onder dit Addendum worden ingesteld.

10.3. Aansprakelijkheid. De rechtsmiddelen van de leverancier, met inbegrip van die van zijn Filialen, en de aansprakelijkheid van Bizzon, voortvloeiend uit of gerelateerd aan dit Addendum en de SCC's zijn onderworpen aan aansprakelijkheidsbeperkingen en disclaimers in de Overeenkomst. Indien er geen beperkingen van aansprakelijkheid in de Overeenkomst zijn opgenomen, komen de Partijen overeen en verklaren zij dat de totale schade die kan voortvloeien uit de schending van dit Addendum en de SCC's niet hoger zal zijn dan tienduizend euro.

10.4. Term. Na beëindiging van de Overeenkomst zal dit Addendum van kracht blijven totdat Bizzon stopt met het verwerken van de Persoonsgegevens namens de Leverancier.

10.5. Interne gegevens. Bizzon kan dit Addendum beëindigen indien Bizzon alternatieve mechanismen aan de Leverancier aanbiedt die voldoen aan de verplichtingen van de toepasselijke wetgeving inzake gegevensprivacy.

10.6. Tegenhangers. Dit Addendum kan in meerdere exemplaren worden ondertekend, die samen als één origineel worden beschouwd.

A.- Lijst van partijen

Exporteer data

De leverancier exporteert de data.

Data importeren

De data importeerder is Bizzon

B. - Beschrijving van overdracht

Categorieën betrokkenen

De persoonlijke data die worden doorgegeven hebben betrekking op personen (gasten of potentiële klanten) die gebruik maken van de diensten van de leverancier.

Categorieën van persoonlijke data

De overgedragen persoonsgegevens betreffen de volgende categorieën gegevens: contact- en identificatiegegevens (waaronder naam, titel, e-mailadres en adres), betaalgegevens, kaartnummers, namen van kaarthouders en gegevens over de diensten van de leverancier en beperkte verbindings- en locatiegegevens (stad) in elektronische vorm die worden overgedragen aan gegevensverwerkers in het kader van de diensten van Bizzon (geleverd door de relevante subverwerker/importeur).

Speciale categorieën van persoonlijke data

Gevoelige gegevens, zoals dieetvereisten, kunnen worden doorgegeven als betrokkenen besluiten om dergelijke informatie te delen. Technische en organisatorische maatregelen zoals beschreven in Bijlage II zijn van toepassing.

Verwerkende werkzaamheden

De overgedragen persoonsgegevens zijn onderworpen aan de volgende basisverwerkingsactiviteiten: Verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, samenbrengen of combineren, restrictie, wissen of vernietigen. De leverancier moet redelijke veiligheidsmaatregelen treffen in verband met het gebruik van de diensten, waaronder het versleutelen van persoonlijke data die opgeslagen zijn op of verzonden worden door het gehoste systeem.

Frequentie van overdracht

Doorgaan

Aard en onderwerp van de verwerking

• i. opslag (hosting) en andere verwerkingen die nodig zijn om de Diensten te leveren, te onderhouden en te verbeteren;
• ii. Customer support die per geval aan de leverancier wordt verleend;
• iii. openbaarmakingen in overeenstemming met de Overeenkomst, zoals wettelijk verplicht; en
• iv. verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van doorzending, verspreiden of op andere wijze beschikbaar maken, samenbrengen of combineren, restrictie, wissen of vernietigen.

Duur van de verwerking

Termijn

Doel(en) van de overdracht en verdere verwerking van data

(i) Verwerking voor het leveren, onderhouden, ondersteunen en verbeteren van diensten aan de leverancier in overeenstemming met de Overeenkomst;

(ii) Verwerking geïnitieerd door individuen in hun gebruik van de Diensten; en

(iii) Verwerking om te voldoen aan andere gedocumenteerde redelijke instructies verstrekt door de Leverancier (bijv. via e-mail) indien dergelijke instructies in overeenstemming zijn met de termijnen van de Overeenkomst (inclusief dit Addendum).

C. - Bevoegde toezichthoudende autoriteit

Met betrekking tot EU-data is de bevoegde toezichthoudende autoriteit het College Bescherming Persoonsgegevens (de"NV").

Hieronder volgt de beschrijving van de technische en organisatorische beveiligingsmaatregelen die Bizzon implementeert in overeenstemming met dit Addendum.

1. TOEGANGSCONTROLE

1.1. Onbevoegden wordt de fysieke toegang ontzegd tot gebouwen of kamers waar zich systemen voor gegevensverwerking bevinden die persoonsgegevens verwerken. Uitzonderingen kunnen worden toegestaan voor het auditen van de faciliteiten aan derde partijen auditors zolang zij onder toezicht staan van Bizzon en zelf geen toegang krijgen tot de persoonlijke data.

1.2. Bizzon garandeert dat het (zonder beperking) de volgende controles heeft geïmplementeerd:

• 1.2.1. controles om geautoriseerde personen te specificeren die toegang hebben tot persoonlijke data;
• 1.2.2. een toegangscontrole geïmplementeerd om ongeautoriseerde toegang tot het bedrijf te voorkomen;
• 1.2.3. een proces voor toegangscontrole geïmplementeerd om de toegang tot datacenters/kamers waar dataservers staan te beperken;
• 1.2.4. maakt gebruik van videobewaking en alarmapparaten met betrekking tot de toegangsgebieden; en
• 1.2.5. ervoor zorgen dat personeel zonder toegangsbevoegdheid (bijv. technici, schoonmaakpersoneel) te allen tijde wordt begeleid bij het betreden van ruimtes waar data worden verwerkt.

2. SYSTEEMTOEGANGSCONTROLE

2.1. Systemen voor dataverwerking moeten worden beschermd tegen ongeoorloofd gebruik.

2.2. Bizzon garandeert dat het (zonder beperking) de volgende controles heeft geïmplementeerd:

• 2.2.1. ervoor gezorgd dat alle systemen die persoonlijke data verwerken (inclusief toegang op afstand) beveiligd zijn met een wachtwoord:
• • 2.2.1.1. na opstartsequenties, en
  • 2.2.1.2. zelfs voor een korte periode;
• 2.2.2. om te voorkomen dat onbevoegden toegang krijgen tot persoonlijke data;
• 2.2.3. biedt voor elk individu speciale identiteitsdocumenten voor verificatie tegen de gebruikersmanager van het systeem;
• 2.2.4. individuele wachtwoorden van gebruikers toewijst voor verificatie;
• 2.2.5. ervoor gezorgd dat toegangscontrole wordt ondersteund door een verificatiesysteem;
• 2.2.6. controles om alleen toegang te verlenen aan bevoegd personeel en alleen de minimale bevoegdheden toe te wijzen die noodzakelijk zijn voor dat personeel om toegang te krijgen tot persoonsgegevens bij de uitvoering van hun functie;
• 2.2.7. een wachtwoordbeleid geïmplementeerd dat het delen van wachtwoorden verbiedt, processen schetst na openbaarmaking van een wachtwoord en vereist dat wachtwoorden regelmatig worden gewijzigd;
• 2.2.8. ervoor gezorgd dat wachtwoorden altijd versleuteld worden opgeslagen;
• 2.2.9. een goede procedure geïmplementeerd om gebruikersaccounts te deactiveren wanneer een gebruiker het bedrijf of de functie verlaat;
• 2.2.10. een goed proces geïmplementeerd om bevoegdheden van beheerders aan te passen wanneer een beheerder het bedrijf of de functie verlaat; en
• 2.2.11. een proces geïmplementeerd om alle toegang tot systemen te loggen en deze logs te controleren op beveiligingsincidenten.

3. TOEGANGSCONTROLE

3.1. Personen die gerechtigd zijn om een gegevensverwerkingssysteem te gebruiken, krijgen alleen toegang tot de data waartoe zij gerechtigd zijn, en persoonsgegevens mogen tijdens de verwerking niet zonder toestemming worden gelezen, gekopieerd, gewijzigd of verwijderd.

3.2. Bizzon garandeert dat het (zonder beperking) de volgende controles heeft geïmplementeerd:

• 3.2.1. beperkte toegang tot bestanden en programma's op basis van "need-to-know";
• 3.2.2. fysieke media met persoonlijke data opgeslagen in beveiligde ruimten;
• 3.2.3. controles om gebruik/installatie van ongeautoriseerde hardware en/of software te voorkomen;
• 3.2.4. regels opgesteld voor de veilige en permanente vernietiging van data die niet langer nodig zijn; en
• 3.2.5. controles om alleen toegang te verlenen aan bevoegd personeel en alleen de minimale bevoegdheden toe te wijzen die noodzakelijk zijn voor dat personeel om toegang te krijgen tot persoonsgegevens bij de uitvoering van hun functie.

4. CONTROLE GEGEVENSOVERDRACHT

4.1. Persoonsgegevens mogen niet zonder toestemming worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens overdracht of opslag en het moet mogelijk zijn om vast te stellen aan wie de persoonsgegevens zijn overgedragen.

4.2. Bizzon garandeert dat het (zonder beperking) de volgende controles heeft geïmplementeerd:

• 4.2.1. Data versleutelen tijdens elke overdracht en in rust;
• 4.2.2. fysieke media met persoonlijke data in verzegelde containers vervoeren; en
• 4.2.3. hebben opmerkingen over verzending en levering.

5. CONTROLE GEGEVENSINVOER

5.1. Bizzon zal achteraf kunnen onderzoeken en vaststellen of en door wie persoonsgegevens in gegevensverwerkingssystemen zijn ingevoerd, gewijzigd of verwijderd.

5.2. Bizzon garandeert dat het (zonder beperking) de volgende controles heeft geïmplementeerd:

• 5.2.1. controles om de activiteiten van beheerders en gebruikers te loggen; en
• 5.2.2. controles om alleen geautoriseerd personeel toe te staan persoonlijke gegevens te wijzigen binnen het kader van hun functie.

6. JOB CONTROL

6.1. Persoonsgegevens die worden verwerkt in het kader van de uitvoering van een dienst voor het bedrijf, worden uitsluitend verwerkt in overeenstemming met de dienstenovereenkomst tussen het bedrijf en Bizzon en in overeenstemming met de instructies van het bedrijf.

6.2. Bizzon garandeert dat het (zonder beperking) de volgende controles heeft geïmplementeerd:

• 6.2.1. controles heeft ingesteld om ervoor te zorgen dat persoonsgegevens alleen worden verwerkt voor contractuele prestaties;
• 6.2.2. controles om ervoor te zorgen dat personeelsleden en contractanten schriftelijke instructies of contracten naleven; en
• 6.2.3. ervoor gezorgd dat data altijd fysiek of logisch gescheiden zijn, zodat in elke stap van de verwerking kan worden vastgesteld van welke klant de persoonsgegevens afkomstig zijn.

7. BESCHIKBAARHEIDSCONTROLE

7.1. Persoonlijke data worden beschermd tegen openbaarmaking, toevallige of ongeoorloofde vernietiging of verlies.

7.2. Bizzon garandeert dat het (zonder beperking) de volgende controles heeft geïmplementeerd:

• 7.2.1. regelingen om reservekopieën aan te maken die zijn opgeslagen in speciaal beveiligde omgevingen;
• 7.2.2. afspraken om regelmatig hersteltests uit te voeren vanaf die back-ups;
• 7.2.3. rampenplannen of bedrijfsherstelstrategieën;
• 7.2.4. controles om ervoor te zorgen dat persoonsgegevens niet voor andere doeleinden worden gebruikt dan voor de doeleinden waarvoor zij contractueel zijn aangegaan; en
• 7.2.5. controles om te voorkomen dat persoonsgegevens om welke reden dan ook worden verwijderd van de bedrijfscomputers of -locaties van de gegevensverantwoordelijke (tenzij de gegevensexporteur specifiek toestemming heeft gegeven voor een dergelijke verwijdering voor bedrijfsdoeleinden);
• 7.2.6. controles om alleen geautoriseerde bedrijfsapparatuur te gebruiken om de diensten uit te voeren;
• 7.2.7. controles om ervoor te zorgen dat wanneer een personeelslid overdag zijn/haar bureau onbeheerd achterlaat en voordat hij/zij het kantoor aan het einde van de dag verlaat, hij/zij materialen met persoonlijke gegevens in een veilige omgeving plaatst, zoals een afgesloten bureaulade, archiefkast of andere beveiligde opslagruimte. (schoon bureau);
• 7.2.8. een proces geïmplementeerd voor het veilig verwijderen van documenten of gegevensdragers die persoonlijke data bevatten;
• 7.2.9. netwerkfirewalls geïmplementeerd om ongeautoriseerde toegang tot systemen en diensten te voorkomen; en
• 7.2.10. ervoor gezorgd dat op elk systeem dat wordt gebruikt om persoonlijke data te verwerken een up-to-date antivirusoplossing draait.

8. ORGANISATORISCHE VEREISTEN

8.1. De interne organisatie van de gegevensimporteur moet voldoen aan de specifieke vereisten van gegevensbescherming. In het bijzonder moet de importeur van data technische en organisatorische maatregelen nemen om te voorkomen dat persoonsgegevens per ongeluk worden gemengd.

8.2. Bizzon garandeert dat het (zonder beperking) de volgende controles heeft geïmplementeerd:

• 8.2.1. een functionaris voor gegevensbescherming aangewezen (of een verantwoordelijke persoon als een functionaris voor gegevensbescherming niet wettelijk verplicht is);
• 8.2.2. de schriftelijke toezegging van de medewerkers om vertrouwelijk te blijven;
• 8.2.3. opgeleid personeel op het gebied van privacy en beveiliging van data;
• 8.2.4. een formeel reactieproces voor beveiligingsincidenten geïmplementeerd dat consequent wordt gevolgd voor het beheer van beveiligingsincidenten; en
• 8.2.5. opgeleid personeel in de functies van responder bij beveiligingsincidenten over het proces van beveiligingsincidenten.

De lijst met goedgekeurde subverwerkers van Bizzon is beschikbaar op Erkende subverwerkers.

Datum van dit addendum

1. Dit UK Addendum is van kracht vanaf: Dezelfde datum als de Overeenkomst.

Achtergrond

2. Het Information Commissioner's Office is van mening dat dit Britse addendum passende waarborgen biedt voor de doorgifte van persoonsgegevens naar een derde land of een internationale organisatie op grond van artikel 46 van de AVG in het Verenigd Koninkrijk en, met betrekking tot de doorgifte van gegevens van gegevensverantwoordelijken naar verwerkers, of van gegevensverwerkers naar verwerkers.

Interpretatie van dit UK Addendum

3. Waar in dit VK-addendum termen worden gebruikt die in de VCA's zijn gedefinieerd, hebben deze termen dezelfde betekenis als in de VCA's.

4. Dit Britse addendum moet worden gelezen en geïnterpreteerd in het licht van de bepalingen van de Britse wetgeving inzake gegevensbescherming, en zodanig dat het voldoet aan de intentie om de passende waarborgen te bieden zoals vereist door artikel 46 AVG.

5. Dit addendum voor het VK mag niet worden geïnterpreteerd op een manier die in strijd is met de rechten en plichten die zijn vastgelegd in de Britse wetgeving inzake gegevensbescherming.

6. Elke verwijzing naar wetgeving (of specifieke bepalingen van wetgeving) betekent die wetgeving (of specifieke bepaling) zoals die in de loop der tijd kan veranderen. Dit geldt ook wanneer die wetgeving (of specifieke bepaling) is geconsolideerd, opnieuw vastgesteld of vervangen nadat dit UK Addendum is ingegaan.

Hiërarchie

7. In het geval van een conflict of tegenstrijdigheid tussen dit UK Addendum en de bepalingen van de SCC's of andere gerelateerde overeenkomsten tussen de Partijen, die bestaan op het moment dat dit UK Addendum wordt overeengekomen of daarna wordt aangegaan, prevaleren de bepalingen die de betrokkenen de meeste bescherming bieden.

Opname van de SCC's

8. In dit UK Addendum zijn de SCC's opgenomen die geacht worden voor zover nodig te zijn gewijzigd, zodat ze functioneren:

• a. voor doorgiften door de gegevensexporteur aan de gegevensimporteur, voor zover de Britse wetten inzake gegevensbescherming van toepassing zijn op de verwerking door de gegevensexporteur bij die doorgifte; en
• b. passende waarborgen te bieden voor de doorgiften in overeenstemming met artikel 46 van de AVG in het Verenigd Koninkrijk.
• c. waar Merchant verwerker is Module Twee (Controller to Processor) van de SCC's zal van toepassing zijn, waar Merchant Processor is Module Drie (Processor to Sub-Processor) van de SCC's zal van toepassing zijn;
• d. in artikel 9 van de SCC's, is optie 2 van toepassing en is de periode voor voorafgaande kennisgeving van wijzigingen van subverwerkers zoals uiteengezet in artikel 5 (Subverwerking) van deze DPA;
• e. in clausule 11 van de SCC's is de optionele taal niet van toepassing;

9. De vereiste wijzigingen in Sectie 7 hierboven omvatten (zonder beperking):

• a. Verwijzingen naar de "SCC's" betekenen dit UK Addendum zoals het de SCC's bevat.
• b. Clausule 6 Beschrijving van de doorgifte(s) wordt vervangen door: "De bijzonderheden van de doorgifte(s) en met name de categorieën van persoonsgegevens die worden doorgegeven en het doel of de doelen waarvoor zij worden doorgegeven) zijn die welke zijn gespecificeerd in bijlage I.B van het addendum wanneer de Britse wetgeving inzake gegevensbescherming van toepassing is op de verwerking door de gegevensexporteur bij het verrichten van die doorgifte.";
• c. Bijlage II van de VCA's wordt geacht te zijn aangevuld met de informatie in bijlage II van het addendum;
• d. Verwijzingen naar "Verordening (EU) 2016/679" of "die Verordening" worden vervangen door "UK Data Protection Laws" en verwijzingen naar specifieke artikel(en) van "Verordening (EU) 2016/679" worden vervangen door het equivalente artikel of gedeelte van de UK Data Protection Laws;
• e. Verwijzingen naar Verordening (EU) 2018/1725 worden verwijderd;
• f. Verwijzingen naar de "Unie", "EU" en "EU-lidstaat" worden allemaal vervangen door "VK";
• g. Clausule 13(a) en deel C van bijlage II worden niet gebruikt; de "bevoegde toezichthoudende autoriteit" is het Information Commissioner's Office;
• h. Clausule 17 wordt vervangen door "Op deze SCC's is het recht van Engeland en Wales van toepassing";
• i. Clausule 18 wordt vervangen door de volgende tekst "Alle geschillen die voortvloeien uit deze VCA's worden beslecht door de rechtbanken van Engeland en Wales. Een betrokkene kan ook een rechtszaak aanspannen tegen de exporteur en/of importeur van data voor de rechtbank van elk land in het Verenigd Koninkrijk. De partijen stemmen ermee in zich te onderwerpen aan de jurisdictie van deze rechtbanken. ";
• j. De voetnoten bij de SCC's maken geen deel uit van het Addendum.