Mews Addendum voor dataverwerking

Dit Addendum Gegevensverwerking ("Addendum") vormt een integraal onderdeel van de samenwerkingsovereenkomst, Algemene voorwaarden voor partners ("AV") of een andere overeenkomst (AV of een dergelijke andere overeenkomst hierna ook te noemen de "Overeenkomst") die is gesloten tussen de Affiliate van MEWS Systems zoals gedefinieerd in de betreffende Overeenkomst ( "MEWS Systems") en jou ("Partner"). Dit Addendum is een aanvulling op de termijnen van de Overeenkomst tussen MEWS Systems en Partner; in geval van tegenstrijdige termijnen tussen de Overeenkomst en dit Addendum, prevaleert dit Addendum, tenzij Partijen uitdrukkelijk schriftelijk overeenkomen in de Overeenkomst af te wijken van dit Addendum.

In dit Addendum hebben termen met een hoofdletter de volgende betekenis.  Termen met een hoofdletter die hierin niet anders zijn gedefinieerd, hebben de betekenis die daaraan is gegeven in de Overeenkomst of AVG.

"Verbonden partij(en)" betekent elke persoon of entiteit die, direct of indirect, zeggenschap heeft over, onder zeggenschap staat van, of onder gezamenlijke zeggenschap staat met een dergelijke entiteit; voor de toepassing van deze definitie betekent "zeggenschap" over een entiteit de macht, direct of indirect, om: (a) 10% of meer van de effecten met gewone stemrechten te stemmen voor de verkiezing van bestuurders van een dergelijke entiteit; of (b) de leiding en het beleid van een dergelijke entiteit te sturen of te doen sturen, hetzij contractueel of anderszins;

"Geautoriseerde gebruiker" betekent een persoon die door Partner is gemachtigd om toegang te hebben tot MEWS Platform en/of MEWS Account en om instructies te geven aan en communicatie te ontvangen van MEWS Systemen, ongeacht of dit via MEWS Platform, MEWS Account, via e-mail of anderszins gebeurt;

"Verwerker" betekent een persoon of entiteit die het doel van en de middelen voor de Verwerking van Persoonsgegevens bepaalt;

"Wetgeving inzake gegevensbescherming" betekent AVG, en/of enige andere toepasselijke wetgeving inzake gegevensprivacy van het land van registratie van MEWS Systems Affiliate zoals gedefinieerd in de Overeenkomst;

"Betrokkene" betekent de geïdentificeerde of identificeerbare persoon op wie Persoonsgegevens betrekking hebben;

"AVG" betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

"Persoonsgegevens" betekent alle informatie met betrekking tot (i) een geïdentificeerde of identificeerbare natuurlijke persoon en/of (ii) een geïdentificeerde of identificeerbare rechtspersoon (waar dergelijke informatie wordt beschermd door de wetgeving inzake gegevensbescherming op dezelfde manier als gegevens die een levend individu identificeren); die, voor de toepassing van dit Addendum, persoonlijke gegevens van Gasten bevatten, dat wil zeggen gegevens in de contactformulieren, contact- en identificatiegegevens, waaronder naam, aanspreektitel, e-mailadres en adres, identiteitsdocumenten en/of paspoortnummers, betaalgegevens, voorkeuren van Gasten en gegevens over diensten van Partner en beperkte verbindings- en locatiegegevens (stad). Persoonsgegevens bevatten geen speciale categorieën data.

"Verwerking" betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, combineren, beperken, wissen of vernietigen; om twijfel te voorkomen, valt de verwerking van andere informatie dan Persoonsgegevens (bijv. geanonimiseerde gegevens) met als doel het verbeteren van de diensten van MEWS Systems niet onder de reikwijdte van dit Addendum;

"Verwerker" of "Subverwerker" betekent een persoon of entiteit die Persoonsgegevens verwerkt namens een Gegevensverwerker en/of Verwerker, al naar gelang van toepassing;

"Diensten" betekent in dit Addendum de diensten die MEWS Systems aan de Partner levert op grond van de Overeenkomst;

"modelcontractbepalingen" : de modelcontractbepalingen (gegevensverwerkers) voor de doorgifte van persoonsgegevens die zijn opgenomen in het besluit van de EU-commissie van 5 februari 2010 (2010/87/EG), zoals opgenomen in bijlage nr. 1 hierbij;

"Toezichthoudende autoriteit" betekent een onafhankelijke overheidsinstantie die is opgericht door een EU-lidstaat, VS. of ander land krachtens de AVG, EU-VS. Privacy Shield Framework of een overeenkomstige wet.

2.1 Verwerking van persoonlijke data

MEWS Systemen en Partner erkennen dat Partner de gegevensverantwoordelijke of primaire verwerker is met betrekking tot de Verwerking van relevante Persoonsgegevens. MEWS Systems zal Persoonsgegevens uitsluitend verwerken als Verwerker of Subverwerker (zoals van toepassing op het gebruik van de Diensten door Partner) namens Partner en uitsluitend voor zover en op een wijze die noodzakelijk is voor de doeleinden die zijn gespecificeerd in en in overeenstemming met dit Addendum, de Overeenkomst of zoals van tijd tot tijd anderszins geïnstrueerd door de Partner. Wanneer MEWS Systems redelijkerwijs van mening is dat een instructie van een Partner in strijd is met: (i) de toepasselijke wet- en regelgeving of (ii) de bepalingen van de Overeenkomst of het Addendum, zal MEWS Systems al het redelijke doen om de Partner hiervan op de hoogte te stellen en is zij gemachtigd om de uitvoering van de betreffende instructie op te schorten totdat deze door Partner is gewijzigd in de mate die MEWS Systems vereist om haar ervan te overtuigen dat een dergelijke instructie rechtmatig is, of wederzijds is overeengekomen door zowel Partner als MEWS Systems dat deze rechtmatig is.

3.1 De Verwerking van Persoonsgegevens door MEWS Systems MEWS Systems behandelt Persoonsgegevens als Vertrouwelijke Informatie en verwerkt uitsluitend Persoonsgegevens namens en in overeenstemming met de gedocumenteerde instructies van Partner voor de volgende doeleinden: (i) Verwerking in overeenstemming met de Overeenkomst; (ii) Verwerking geïnitieerd door Geautoriseerde Gebruikers bij hun gebruik van de Diensten; en (iii) Verwerking om te voldoen aan andere gedocumenteerde redelijke instructies verstrekt door Partner (bijv. via e-mail) voor zover dergelijke instructies in overeenstemming zijn met de termijnen van de Overeenkomst. De Partner geeft hierbij opdracht aan MEWS Systems om betrokkenen via e-mail te informeren over de Verwerking van hun Persoonsgegevens namens Partner en over de mogelijkheid om gebruik te maken van de diensten van MEWS Systems om de gegevens, boekingen en bijbehorende diensten van betrokkenen te beheren. MEWS Beheerders moeten een log bijhouden van de daadwerkelijk uitgevoerde Verwerkingswerkzaamheden. 3.2 Technische en Organisatorische Maatregelen MEWS Systemen zal redelijke en passende technische en organisatorische maatregelen onderhouden en implementeren, gericht op het beschermen van Persoonsgegevens tegen onopzettelijke of rechtmatige vernietiging of onopzettelijk verlies, wijziging ongeautoriseerde openbaarmaking of toegang, en met betrekking tot de beveiliging van Persoonsgegevens en de platforms die worden gebruikt om de Diensten te leveren, zoals beschreven in de Wetgeving inzake Gegevensbescherming. Bij de implementatie van dergelijke maatregelen heeft MEWS Systems het recht om rekening te houden met de huidige standaardpraktijken om te bepalen wat redelijk is, evenals met de evenredigheid van de kosten van de implementatie van dergelijke maatregelen wanneer deze worden afgewogen tegen de mogelijke schade voor de betrokkene waartegen de implementatie van deze maatregelen bescherming moet bieden. 3.3 Personeel MEWS Systemen draagt er zorg voor dat haar Personeel dat betrokken is bij de Verwerking van Persoonsgegevens op de hoogte is van haar verplichting en verantwoordelijkheden hieronder, de juiste training heeft ontvangen en op de hoogte is van het vertrouwelijke karakter van de Persoonsgegevens. Onder "Personeel" wordt verstaan de medewerkers en/of agenten, consultants, onderaannemers of andere derde partijen: (i) die door MEWS Systems worden ingeschakeld om te voldoen aan de verplichtingen jegens Partner op grond van de Overeenkomst of het Addendum, en (ii) die onderworpen zijn aan geheimhoudingsverplichtingen in vrijwel dezelfde mate als uiteengezet in de Overeenkomst en het Addendum. MEWS Systemen zorgen ervoor dat de toegang van het Personeel tot Persoonsgegevens beperkt blijft tot degenen die diensten verlenen in overeenstemming met de Overeenkomst, en de geheimhoudingsverplichtingen van het Personeel blijven ook na beëindiging van de aanstelling van het Personeel gelden. 3.4 Kennisgevingen MEWS Systems zal de Partner zo snel als commercieel redelijk is schriftelijk op de hoogte stellen: 3.4.1 van elke communicatie die wordt ontvangen van een individu met betrekking tot (i) het recht van een individu op toegang tot, wijziging, correctie, verwijdering of afscherming van zijn of haar Persoonsgegevens; (ii) het recht van een individu op rectificatie, restrictie of wissing van zijn of haar Persoonsgegevens, op gegevensportabiliteit, op bezwaar tegen de Verwerking en om niet te worden onderworpen aan geautomatiseerde besluitvorming; en (iii) elke klacht over de Verwerking van Persoonsgegevens door Partner; voor zover niet bij wet verboden, van elke dagvaarding of ander gerechtelijk of administratief bevel of procedure waarin wordt verzocht om toegang tot of openbaarmaking van Persoonsgegevens; 3. Kennisgevingen aan de Partner4.2 voor zover niet bij wet verboden, klachten, kennisgevingen of andere mededelingen met betrekking tot de compliance van Partner met de wetgeving inzake gegevensbescherming en privacy en de Verwerking van Persoonsgegevens. MEWS Systems zal de Partner commercieel redelijke medewerking en assistentie verlenen (op kosten van de Partner) met betrekking tot een dergelijke klacht, kennisgeving of communicatie; en 3.4.3 van een wezenlijke inbreuk op de beveiliging van de Services die resulteert in ongeautoriseerde toegang tot Partnergegevens waarvan wij op de hoogte zijn, in overeenstemming met toepasselijke wetgeving ("Security Breach"). MEWS Interne gegevens zal zich redelijkerwijs inspannen om de oorzaak van een dergelijke inbreuk op de beveiliging vast te stellen en die stappen te ondernemen die noodzakelijk en redelijk zijn en die acceptabel zijn voor Partner, om de oorzaak van een dergelijke inbreuk op de beveiliging te herstellen, voor zover herstel binnen de redelijke macht van MEWS Systems ligt. De verplichtingen hierin zijn niet van toepassing op incidenten die door Partner zijn veroorzaakt. 3.5 Geen erkenning De Partner stemt ermee in dat de verplichting van MEWS Systems om de inbreuk op de beveiliging te melden niet is en niet zal worden opgevat als een erkenning door MEWS Systems van enige fout of aansprakelijkheid van MEWS Systems met betrekking tot een dergelijke inbreuk op de beveiliging. 3.6 Gegevensretournering en verwijdering Behoudens de beperkingen die zijn vastgelegd in toepasselijke wetgeving, retourneert MEWS Systems aan Partner alle persistente Partnergegevens (indien deze nog niet zijn verwijderd in overeenstemming met de toepasselijke wetgeving) volgens gestandaardiseerde procedures en binnen commercieel redelijke termijnen. 3.7 Naleving van MEWS Systems MEWS Systems zal voldoen aan de wetgeving inzake gegevensbescherming die van toepassing is op haar eigen werkzaamheden en het leveren van de Services op grond van de Overeenkomst en haar verplichtingen op grond van dit Addendum. 3.8 Audit De Partner heeft het recht om een audit uit te voeren om te controleren of MEWS Systems voldoet aan zijn verplichtingen zoals vastgelegd in Art. 28 AVG en in dit Addendum. MEWS Systems staat de Partner toe de audit uit te voeren onder de volgende voorwaarden: (i) de Partner verzoekt MEWS Systems om de audit uit te voeren door middel van een schriftelijke kennisgeving, ten minste 30 (dertig) dagen van tevoren; (ii) de Partner specificeert de agenda voor een dergelijke audit in de kennisgeving onder (i); (iii) de audit vindt niet vaker dan eenmaal per jaar plaats; (iv) alle bijbehorende kosten en uitgaven komen voor rekening van de Partner en worden op verzoek terugbetaald aan MEWS Systems; en (v) de audit duurt niet langer dan het equivalent van 1 werkdag (8 uur) van de vertegenwoordiger van MEWS Systems. In het geval dat de Partner om de audit verzoekt via een derde onafhankelijke partij - externe gelicentieerde auditor, kan MEWS Systems bezwaar maken tegen een externe gelicentieerde auditor die door de Partner is aangesteld om de audit uit te voeren als de auditor naar de redelijke mening van MEWS Systems niet voldoende gekwalificeerd of onafhankelijk is, een concurrent is van MEWS Systems, of anderszins duidelijk ongeschikt is. Bij een dergelijk bezwaar zal Partner een andere accountant moeten benoemen. In het geval dat de Partner meer dan één audit binnen een kalenderjaar vereist, dient de Partner voorafgaande schriftelijke toestemming te verkrijgen van MEWS Systems en dient hij de aan dergelijke audits verbonden kosten te dragen en alle redelijkerwijs gemaakte kosten van dergelijke audits te vergoeden aan MEWS Systems. Op verzoek van de Partner zal MEWS Systems de geraamde kosten die zij verwacht te maken tijdens een dergelijke audit aan de Partner verstrekken overeenkomstig de door de Partner verstrekte agenda.

4.1 Verwerking van persoonlijke data door de partner

Partner zal bij het gebruik van de diensten Persoonsgegevens verwerken in overeenstemming met de vereisten van de wetgeving inzake gegevensbescherming. Om twijfel te voorkomen, garandeert Partner dat zijn instructies voor de Verwerking van Persoonlijke Gegevens in overeenstemming zijn met de Wetgeving inzake Gegevensbescherming en dat hij geen instructies of opdrachten zal geven die MEWS Systems opdragen een actie of actie te ondernemen die onwettig is of anderszins niet in overeenstemming met de Wetgeving inzake Gegevensbescherming. Partner is als enige verantwoordelijk voor de juistheid, kwaliteit en wettigheid van Persoonlijke gegevens en de wijze waarop Partner Persoonlijke gegevens heeft verkregen.

4.2 Compliance van de partner

Naast de verplichtingen van Partner die in de Overeenkomst worden vermeld, is Partner verantwoordelijk voor (i) de integriteit, beveiliging, het onderhoud en de juiste bescherming van Persoonlijke gegevens, en (ii) de compliance met alle toepasselijke wet- en regelgeving op het gebied van privacy, gegevensbescherming en beveiliging met betrekking tot: (a) de Verwerking van de Persoonsgegevens; (b) het gebruik van de Services; en (c) alle vereisten inzake registratie of kennisgeving van gegevensverwerking waaraan Partner is onderworpen onder de toepasselijke wetgeving.

4.3 Meldingen

Partner stemt ermee in alle vereiste kennisgevingen te doen aan, en de vereiste toestemmingen en rechten te verkrijgen van, individuen met betrekking tot de levering door MEWS Systems van diensten aan Partner. Wanneer MEWS Systems een communicatie ontvangt die wordt beschreven in subgedeelte 3.4.1 of 3.4.3 en Partner van een dergelijke communicatie op de hoogte stelt, is het de verantwoordelijkheid van Partner om op de communicatie te reageren en alle andere passende actie te ondernemen met betrekking tot de communicatie. Partner stemt ermee in MEWS Systems onmiddellijk op de hoogte te stellen van ongeautoriseerd gebruik van de diensten of het account van Partner of van enige andere inbreuk op de beveiliging met betrekking tot de diensten.

4.4 Technische en organisatorische maatregelen

Partner is als enige verantwoordelijk voor de implementatie en handhaving van beveiligingsmaatregelen en andere technische en organisatorische maatregelen die zijn afgestemd op de aard en de omvang van de Persoonlijke Data die Partner opslaat of anderszins verwerkt met behulp van de Diensten. Partner is ook verantwoordelijk voor het gebruik van de diensten door medewerkers, personen die Partner toestemming heeft gegeven voor toegang tot of gebruik van de diensten en personen die toegang krijgen tot de Persoonlijke gegevens of de diensten als gevolg van het niet toepassen van redelijke veiligheidsmaatregelen, zelfs als dit gebruik niet door Partner is geautoriseerd.

5.1 Samenwerking tussen Partner en MEWS Systems

Partner en MEWS Systems komen overeen om op commercieel redelijke wijze samen te werken zoals redelijkerwijs vereist is om de Persoonsgegevens te beschermen onder de toepasselijke wetgeving, artikel 35 en 36 van de AVG en de EU-VS. Privacy Shield Framework om een gegevensbeschermingseffectbeoordeling uit te voeren gerelateerd aan het gebruik van de diensten door Partner, voor zover Partner niet anderszins toegang heeft tot de relevante informatie en voor zover dergelijke informatie beschikbaar is voor MEWS Systems. Partner moet meewerken aan het redelijke onderzoek van MEWS Systems naar storingen in de diensten, beveiligingsproblemen en vermoedelijke inbreuken op de beveiliging. Partner zal redelijke bijstand verlenen aan MEWS Systems in de samenwerking of voorafgaand overleg met de Toezichthoudende Autoriteit bij de uitvoering van haar taken met betrekking tot dit gedeelte, voor zover vereist onder de AVG of toepasselijke wetgeving.

5.2 Ondersteuning van MEWS Systems bij de compliance vereisten van de partner

Gedurende de termijn van de Partnerovereenkomst met MEWS Systems kan Partner MEWS Systems verzoeken Partner te helpen bij het voldoen aan de verplichtingen van Partner op grond van toepasselijke wet- en regelgeving inzake gegevensbescherming of privacy, mits (i) de gevraagde assistentie relevant is voor Services die de Verwerking van Persoonsgegevens ondersteunen, (ii) deze gevraagde assistentie commercieel redelijk is en in verhouding staat tot het doel van de oefening waarbij MEWS Systems om assistentie wordt gevraagd, en (iii) als MEWS Systems ermee instemt om assistentie te verlenen, dat alle bijbehorende kosten en uitgaven (inclusief de kosten van de tijd van zijn personeel) door de Partner worden gedragen en op verzoek aan MEWS Systems worden terugbetaald.

6.1 Met betrekking tot derden of het uitbesteden van de Verwerking van Persoonsgegevens kan MEWS Systems een derde partij (Sub-verwerker) alleen machtigen om de Persoonsgegevens te Verwerken met voorafgaande toestemming van de Partner en op voorwaarde dat de bepalingen met betrekking tot gegevensverwerking en gegevensbescherming in het contract van de Sub-verwerker met betrekking tot de Persoonsgegevens in wezen dezelfde zijn als de bepalingen in dit Addendum, op voorwaarde dat het contract van de Sub-verwerker met betrekking tot de Persoonsgegevens automatisch eindigt bij beëindiging van de Overeenkomst om welke reden dan ook. Ten behoeve hiervan worden de volgende personen door de Partner goedgekeurd door ondertekening van dit Addendum: (i) Subverwerkers die worden genoemd in Bijlage nr. 2 van dit Addendum, (ii) Gelieerde ondernemingen van MEWS Systems en (iii) Subverwerkers die door Partner zijn geautoriseerd via zijn geautoriseerde gebruiker door een integratie met MEWS Systems diensten te autoriseren via MEWS Account of anderszins. MEWS Systemen kunnen gedurende de termijn van de overeenkomst nieuwe Subverwerkers betrekken bij de Verwerking, mits deze Subverwerkers alleen toegang hebben tot en gebruik maken van Persoonsgegevens voor zover dit vereist is om de aan hen uitbestede verplichtingen uit te voeren.

6.2 Bezwaarrecht voor nieuwe subverwerkers

MEWS De Partner kan bezwaar maken tegen het gebruik van een nieuwe Sub-verwerker door MEWS Systems binnen tien (10) werkdagen na ontvangst van de kennisgeving van MEWS Systems hiervan schriftelijk op de hoogte te stellen onder vermelding van de tekortkomingen. In het geval dat Partner bezwaar maakt tegen een nieuwe Sub-verwerker, zal MEWS Systems zich inspannen om aanvullende beveiligingen toe te voegen (ter dekking van de gespecificeerde tekortkomingen) of de Sub-verwerker te wijzigen (ten opzichte van de Sub-verwerker); mocht MEWS Systems hiertoe niet in staat zijn, dan zal MEWS Systems zich redelijkerwijs inspannen om Partner een wijziging in de diensten beschikbaar te stellen of een commercieel redelijke wijziging in de configuratie of het gebruik van de diensten door Partner aan te bevelen om te voorkomen dat Persoonlijke gegevens worden verwerkt door de nieuwe Sub-verwerker waartegen bezwaar is gemaakt, zonder Partner onredelijk te belasten. Als MEWS Systems niet in staat is om een dergelijke wijziging binnen een redelijke periode, die niet langer is dan dertig (30) dagen, beschikbaar te stellen, kan Partner alleen dat deel van de Diensten beëindigen dat niet kan worden geleverd door MEWS Systems zonder het gebruik van de gewraakte nieuwe Sub-verwerker door schriftelijke kennisgeving te doen aan MEWS Systems. MEWS Systems zal Partner alle vooruitbetaalde kosten terugbetalen voor de rest van de termijn van de Overeenkomst na de effectieve datum van beëindiging met betrekking tot het beëindigde deel van de diensten, wat het enige en exclusieve rechtsmiddel van de Partner is in verband met de introductie van een nieuwe Sub-verwerker.

6.3 Aansprakelijkheid

MEWS Systems is aansprakelijk voor de daden en nalatigheden van zijn Sub-verwerkers in dezelfde mate als MEWS Systems aansprakelijk zou zijn als het de diensten van elke Sub-verwerker rechtstreeks zou uitvoeren onder de termijnen van dit Addendum, tenzij anders uiteengezet in de Overeenkomst.

7.1 Overdracht van data

De Partijen komen overeen dat Persoonsgegevens mogen worden overgedragen van de Europese Unie/Europese Economische Ruimte naar een derde land, alleen als een van de volgende voorwaarden van toepassing is: (a) er is een toepasselijk besluit van de Europese Commissie waarin staat dat het derde land een passend beschermingsniveau waarborgt; of (b) de overdracht kan plaatsvinden omdat MEWS Systems passende waarborgen heeft geboden volgens Art. 46 van de AVG, en op voorwaarde dat afdwingbare rechten van betrokkenen en effectieve rechtsmiddelen voor betrokkenen beschikbaar zijn; of (c) de afwijkingen voor specifieke situatie onder de Art. 49 van de AVG van toepassing. Voor de toepassing van Art. 7.1 van dit Addendum, worden de Standaard Contractuele Clausules, die Bijlage Nr. 1 (Standaard Contractuele Clausules) van dit Addendum vormen, beschouwd als passende waarborgen. De gast machtigt hierbij MEWS Systems om de Standaard Contractuele Clausules aan te gaan om Persoonsgegevens door te geven aan derde landen.

7.2 Standaard contractbepalingen

Om de overdracht van data van/naar derde landen naar/van de Europese Unie/Europese Economische Ruimte mogelijk te maken, worden de Standaard Contractuele Clausules (Bijlage Nr. 1 bij dit Addendum) hierbij opgenomen in dit Addendum en vormen zij een onlosmakelijk onderdeel van dit Addendum.

8.1 Partner stemt ermee in dat elke geautoriseerde gebruiker van Partner kan worden gecontacteerd en gerechtigd is alle communicatie met betrekking tot dit Addendum te ontvangen.

9.1 Derden Begunstigden

De betrokkene is de enige derde partij die recht heeft op de modelcontractbepalingen en er zijn geen andere derde partijen die recht hebben op de overeenkomst en dit addendum. Niettegenstaande het voorgaande zijn de Overeenkomst en de bepalingen van dit Addendum uitsluitend van toepassing op de partijen en verlenen zij geen rechten aan aan Partner gelieerde ondernemingen, eindgebruikers van Partner of derde partijen Betrokkenen.

9.2 Toepasselijk recht

Niets in dit Addendum wijzigt het gedeelte Toepasselijk Recht van de Overeenkomst, dat, om twijfel te voorkomen, van toepassing is op alle vorderingen die onder de Overeenkomst en dit Addendum worden ingesteld. Voor zover de Standaardcontractbepalingen van toepassing zijn en voor zover een Betrokkene een vordering instelt op grond van artikel 3.2 van de Standaardcontractbepalingen met betrekking tot de verwerking van Persoonsgegevens door MEWS Systems, worden de Standaardcontractbepalingen beheerst door en geïnterpreteerd in overeenstemming met artikel 9 (Toepasselijk recht) van de Standaardcontractbepalingen.

9.3 Beperking van aansprakelijkheid

De rechtsmiddelen van Partner, met inbegrip van die van zijn Gelieerde Ondernemingen, en de aansprakelijkheid van MEWS Systems, voortvloeiend uit of gerelateerd aan dit Addendum en de Standaard Contractuele Clausules zijn onderworpen aan de aansprakelijkheidsbeperkingen en disclaimers zoals uiteengezet in de Overeenkomst of als er geen aansprakelijkheidsbeperkingen in de Overeenkomst zijn opgenomen, komen de Partijen overeen en verklaren zij dat de totale schade die kan voortvloeien uit de schending van dit Addendum en/of de Standaard Contractuele Clausules niet hoger zal zijn dan tienduizend euro.

9.4 Termijn

Dit Addendum wordt afgesloten voor de periode gelijk aan de termijn van de Overeenkomst. Dit Addendum eindigt gelijktijdig en automatisch met de beëindiging van de Overeenkomst.

9.5 Terminals

MEWS Interne gegevens kan dit Addendum beëindigen als MEWS Systems alternatieve mechanismen aan Partner aanbiedt die voldoen aan de verplichtingen van de toepasselijke wetgeving inzake gegevensprivacy.

9.6 Tegenhangers

Dit Addendum kan in meerdere exemplaren worden ondertekend, die samen als één origineel worden beschouwd.

Voor de toepassing van artikel 26, lid 2, van Richtlijn 95/46/EG voor de doorgifte van persoonsgegevens aan verwerkers die zijn gevestigd in derde landen die geen passend niveau van gegevensbescherming waarborgen

De Partnerentiteit die partij is bij het Addendum waaraan deze Standaard Contractuele Bepalingen zijn gehecht.  

Naam van de organisatie die data exporteert:

Adres:

Tel. …Fax …E-mail: …

Andere informatie die nodig is om de organisatie te identificeren

…

(de data exporteur)

En

Naam van de organisatie die data importeert: …

Adres: …

Tel. …Fax …E-mail: …

Andere informatie die nodig is om de organisatie te identificeren:

…

(de importeur of subverwerker van data (indien van toepassing))

elk een "partij"; samen "de partijen",

HEBBEN OVEREENSTEMMING BEREIKT omtrent de volgende contractuele bepalingen (de bepalingen) teneinde passende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen voor de doorgifte door de gegevensexporteur aan de gegevensimporteur van de in aanhangsel 1 gespecificeerde persoonsgegevens.

Definities 

Voor de toepassing van de Clausules:

1. "persoonsgegevens", "bijzondere categorieën gegevens", "verwerking", "verwerker", "betrokkene" en "toezichthoudende autoriteit" hebben dezelfde betekenis als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
2. "de gegevensexporteur": de verwerker die de persoonsgegevens doorgeeft;
3. "de gegevensimporteur": de verwerker die ermee instemt van de gegevensexporteur persoonsgegevens te ontvangen die bestemd zijn om na doorgifte namens hem te worden verwerkt in overeenstemming met zijn instructies en de bepalingen van de bepalingen, en die niet onderworpen is aan een regeling van een derde land die passende bescherming biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
4. "de subverwerker": een door de gegevensimporteur of door een andere subverwerker van de gegevensimporteur ingeschakelde verwerker die ermee instemt om van de gegevensimporteur of van een andere subverwerker van de gegevensimporteur persoonsgegevens te ontvangen die uitsluitend bestemd zijn voor verwerkingsactiviteiten die namens de gegevensexporteur moeten worden uitgevoerd na de doorgifte in overeenstemming met zijn instructies, de bepalingen van de bepalingen en de bepalingen van het schriftelijke subcontract;
5. "de toepasselijke wetgeving inzake gegevensbescherming' betekent de wetgeving ter bescherming van de fundamentele rechten en vrijheden van personen en, in het bijzonder, hun recht op privacy met betrekking tot de verwerking van persoonsgegevens die van toepassing is op een gegevensverantwoordelijke in de lidstaat waar de gegevensexporteur is gevestigd;

"technische en organisatorische beveiligingsmaatregelen": maatregelen ter bescherming van persoonsgegevens tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.

Details van de overdracht 

De details van de doorgifte en in het bijzonder de speciale categorieën van persoonsgegevens waar van toepassing, worden gespecificeerd in Bijlage 1, die een integraal onderdeel van de Clausules vormt.

1. De betrokkene kan deze bepaling, bepaling 4, onder b) tot en met i), bepaling 5, onder a) tot en met e) en g) tot en met j), bepaling 6, leden 1 en 2, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 als derde partij afdwingen tegenover de gegevensexporteur.
2. De betrokkene kan deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de gegevensexporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur overneemt; in dat geval kan de betrokkene deze tegenover deze rechtsopvolger afdwingen.
3. De betrokkene kan dit artikel, artikel 5, onder a) tot en met e) en onder g), artikel 6, artikel 7, artikel 8, lid 2, en de artikelen 9 tot en met 12 tegenover de subverwerker afdwingen in gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, waardoor deze de rechten en verplichtingen van de gegevensexporteur overneemt; in dat geval kan de betrokkene deze rechten en verplichtingen tegenover deze rechtsopvolger afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingswerkzaamheden onder de Clausules.
4. De partijen hebben er geen bezwaar tegen dat een betrokkene wordt vertegenwoordigd door een vereniging of een andere instantie als de betrokkene dat uitdrukkelijk wenst en als de nationale wetgeving dat toestaat.

Verplichtingen van de data exporteur 

De exporteur van data stemt ermee in en garandeert het volgende:

1. dat de verwerking, met inbegrip van de doorgifte zelf, van de persoonsgegevens is uitgevoerd en zal doorgaan in overeenstemming met de relevante bepalingen van de toepasselijke wetgeving inzake gegevensbescherming (en, indien van toepassing, is gemeld aan de relevante autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd) en niet in strijd is met de relevante bepalingen van die staat;
2. dat hij de gegevensimporteur heeft geïnstrueerd en gedurende de hele looptijd van de diensten voor de verwerking van persoonsgegevens zal instrueren om de doorgegeven persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en de Clausules te verwerken;
3. dat de importeur van data voldoende garanties biedt met betrekking tot de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in Appendix 2 van dit contract;
4. dat de beveiligingsmaatregelen, na beoordeling van de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, geschikt zijn om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en dat deze maatregelen een passend beveiligingsniveau waarborgen gelet op de risico's die de verwerking en de aard van de te beschermen data met zich meebrengen, rekening houdend met de stand van de techniek en de kosten van implementatie ervan;
5. dat het zal zorgen voor compliance met de beveiligingsmaatregelen;
6. dat, indien de doorgifte bijzondere categorieën gegevens betreft, de betrokkene vóór of zo spoedig mogelijk na de doorgifte ervan in kennis is gesteld of zal worden gesteld dat zijn gegevens kunnen worden doorgegeven aan een derde land dat geen passende bescherming biedt in de zin van Richtlijn 95/46/EG;
7. elke van de gegevensimporteur of subverwerker ontvangen kennisgeving overeenkomstig clausule 5(b) en clausule 8(3) door te sturen naar de toezichthoudende autoriteit voor gegevensbescherming indien de gegevensexporteur besluit door te gaan met de doorgifte of de opschorting op te heffen;
8. de betrokkenen op verzoek een kopie van de bepalingen, met uitzondering van aanhangsel 2, en een samenvatting van de beveiligingsmaatregelen ter beschikking te stellen, alsmede een kopie van elk contract voor subverwerkingsdiensten dat in overeenstemming met de bepalingen moet worden opgesteld, tenzij de bepalingen of het contract commerciële informatie bevatten, in welk geval zij deze commerciële informatie kan verwijderen;
9. dat, in het geval van subverwerking, de verwerkingsactiviteit wordt uitgevoerd in overeenstemming met Clausule 11 door een subverwerker die ten minste hetzelfde niveau van bescherming van de persoonsgegevens en de rechten van het betrokkene biedt als de importeur van de data volgens de Clausules; en j) dat hij zal zorgen voor compliance met Clausule 4, onder a) tot en met i).

Verplichtingen van de importeur van data

De importeur van data stemt ermee in en garandeert het volgende:

1. de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en de bepalingen te verwerken; indien hij om welke reden dan ook niet in staat is deze compliance te bieden, stemt hij ermee in de gegevensexporteur onverwijld in kennis te stellen van zijn onvermogen tot compliance, in welk geval de gegevensexporteur het recht heeft de doorgifte van gegevens op te schorten en/of het contract te beëindigen;
2. dat hij geen reden heeft om aan te nemen dat de op hem van toepassing zijnde wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen uit hoofde van het contract na te komen en dat hij, in geval van een wijziging in deze wetgeving die waarschijnlijk een wezenlijk nadelig effect zal hebben op de door de clausules geboden garanties en verplichtingen, de gegevensexporteur onverwijld van de wijziging in kennis zal stellen zodra hij daarvan op de hoogte is, in welk geval de gegevensexporteur het recht heeft de doorgifte van gegevens op te schorten en/of het contract te beëindigen;
3. dat zij de technische en organisatorische beveiligingsmaatregelen heeft geïmplementeerd zoals gespecificeerd in Appendix 2 voordat zij de doorgegeven persoonlijke data verwerkt;
4. die het onmiddellijk zal melden aan de data exporteur:
5. 1. elk wettelijk bindend verzoek tot openbaarmaking van de persoonlijke data door een wetshandhavingsautoriteit, tenzij anders verboden, zoals een verbod onder strafrecht om de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren,
   2. onopzettelijke of onbevoegde toegang, en
   3. elk verzoek dat rechtstreeks van de betrokkenen wordt ontvangen zonder op dat verzoek in te gaan, tenzij zij daartoe anderszins gemachtigd is;
6. alle aanvragen van de gegevensexporteur met betrekking tot zijn verwerking van de betrokkene persoonsgegevens snel en correct af te handelen en zich te houden aan het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de doorgegeven gegevens;
7. op verzoek van de gegevensexporteur zijn gegevensverwerkingsfaciliteiten ter beschikking te stellen voor controle van de verwerkingsactiviteiten die onder de bepalingen vallen; deze controle wordt uitgevoerd door de gegevensexporteur of door een controle-instantie die is samengesteld uit onafhankelijke leden en in het bezit is van de vereiste beroepskwalificaties, gebonden is door een geheimhoudingsplicht en wordt geselecteerd door de gegevensexporteur, indien van toepassing, in overeenstemming met de toezichthoudende autoriteit;
8. de betrokkene op verzoek een afschrift van de bepalingen of een bestaand contract voor subverwerking ter beschikking te stellen, tenzij de bepalingen of het contract commerciële informatie bevatten, in welk geval de betrokkene deze commerciële informatie mag verwijderen, met uitzondering van aanhangsel 2, dat door een samenvatting van de beveiligingsmaatregelen wordt vervangen wanneer de betrokkene geen afschrift van de gegevensexporteur kan verkrijgen;
9. dat zij, in het geval van subverwerking, de gegevensexporteur vooraf heeft geïnformeerd en diens voorafgaande schriftelijke toestemming heeft verkregen;
10. dat de verwerkingsdiensten door de subverwerker worden uitgevoerd in overeenstemming met Clausule 11;
11. onverwijld een afschrift van elke subverwerkersovereenkomst die zij krachtens de bepalingen sluit, aan de data-exporteur toe te zenden

Aansprakelijkheid

1. De partijen komen overeen dat een betrokkene die schade heeft geleden als gevolg van een schending van de verplichtingen waarnaar wordt verwezen in Clausule 3 of in Clausule 11 door een partij of subverwerker, recht heeft op vergoeding van de geleden schade door de gegevensexporteur.
2. Indien een betrokkene geen vordering tot schadevergoeding kan instellen overeenkomstig lid 1 tegen de gegevensexporteur wegens een schending door de gegevensimporteur of zijn subverwerker van een van hun verplichtingen als bedoeld in bepaling 3 of bepaling 11, omdat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensexporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover een dergelijke rechtsopvolger kan doen gelden. De importeur van data kan zich niet beroepen op een schending van zijn verplichtingen door een subverwerker om zijn eigen aansprakelijkheid te ontlopen.
3. Indien een betrokkene geen vordering kan instellen tegen de gegevensexporteur of de gegevensimporteur als bedoeld in de leden 1 en 2, wegens een schending door de subverwerker van een van hun verplichtingen als bedoeld in bepaling 3 of bepaling 11, omdat zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de subverwerker ermee in dat het betrokkene een vordering kan instellen tegen de subverwerker met betrekking tot diens eigen verwerkingswerkzaamheden krachtens de bepalingen alsof hij de gegevensexporteur of de gegevensimporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur heeft overgenomen, in welk geval het betrokkene zijn rechten tegenover een dergelijke rechtsopvolger kan doen gelden. De aansprakelijkheid van de subverwerker is beperkt tot zijn eigen verwerkingswerkzaamheden onder de Clausules.

Bemiddeling en jurisdictie 

1. De gegevensimporteur stemt ermee in dat als het betrokkene zich jegens hem beroept op rechten van derde partijen en/of schadevergoeding eist op grond van de bepalingen, de gegevensimporteur de beslissing van het betrokkene accepteert:
2. 1. om het geschil door te verwijzen naar bemiddeling, door een onafhankelijke persoon of, indien van toepassing, door de toezichthoudende autoriteit;
   2. het geschil voor te leggen aan de rechter in de lidstaat waar de gegevensexporteur is gevestigd.
3. De partijen komen overeen dat de keuze van de betrokkene geen afbreuk doet aan zijn materiële of procedurele rechten om rechtsmiddelen aan te wenden in overeenstemming met andere bepalingen van nationaal of internationaal recht.

Samenwerking met toezichthoudende autoriteiten 

1. De gegevensexporteur stemt ermee in een kopie van dit contract te deponeren bij de toezichthoudende autoriteit indien deze daarom verzoekt of indien een dergelijke aanbetaling vereist is volgens de toepasselijke wetgeving inzake gegevensbescherming.
2. De partijen komen overeen dat de toezichthoudende autoriteit het recht heeft om een audit uit te voeren van de gegevensimporteur en van elke subverwerker, die dezelfde reikwijdte heeft en onderworpen is aan dezelfde voorwaarden die van toepassing zouden zijn op een audit van de gegevensexporteur onder de toepasselijke wetgeving inzake gegevensbescherming.
3. De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van het bestaan van wetgeving die op hem of een subverwerker van toepassing is en die de uitvoering van een audit van de gegevensimporteur of een subverwerker overeenkomstig lid 2 verhindert. In dat geval heeft de exporteur van data het recht om de maatregelen te nemen waarin Clausule 5(b) voorziet.

Toepasselijk recht 

De bepalingen worden beheerst door het recht van de lidstaat waarin de Data Exporteur is gevestigd.

Variatie van het contract 

De partijen verbinden zich ertoe de Clausules niet te wijzigen of aan te passen. Dit belet de partijen niet om, waar nodig, clausules over bedrijfsgerelateerde kwesties toe te voegen, zolang deze niet in strijd zijn met de clausule.

Subverwerking

1. De gegevensimporteur mag geen van zijn verwerkingswerkzaamheden die hij namens de gegevensexporteur krachtens de bepalingen uitvoert, uitbesteden zonder voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur zijn verplichtingen uit hoofde van de bepalingen, met toestemming van de gegevensexporteur, uitbesteedt, mag hij dit uitsluitend doen door middel van een schriftelijke overeenkomst met de subverwerker die aan de subverwerker dezelfde verplichtingen oplegt als die welke krachtens de bepalingen gelden voor de gegevensimporteur. Indien de subverwerker zijn verplichtingen inzake gegevensbescherming uit hoofde van een dergelijke schriftelijke overeenkomst niet nakomt, blijft de gegevensimporteur jegens de gegevensexporteur volledig aansprakelijk voor de nakoming van de verplichtingen van de subverwerker uit hoofde van die overeenkomst.
2. Het voorafgaande schriftelijke contract tussen de gegevensimporteur en de subverwerker dient tevens te voorzien in een derdenbeding als bedoeld in bepaling 3 voor gevallen waarin de betrokkene de in bepaling 6, lid 1, bedoelde vordering tot schadevergoeding niet kan instellen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden en geen rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingswerkzaamheden onder de Clausules.
3. De bepalingen betreffende de gegevensbeschermingsaspecten voor subverwerking van het in lid 1 bedoelde contract worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd.
4. De gegevensexporteur houdt een lijst bij van subverwerkingsovereenkomsten die krachtens de bepalingen zijn gesloten en door de gegevensimporteur zijn aangemeld overeenkomstig bepaling 5, onder j), die ten minste eenmaal per jaar wordt bijgewerkt. De lijst is beschikbaar voor de toezichthoudende autoriteit voor gegevensbescherming van de data-exporteur.

Verplichting na beëindiging van diensten voor verwerking van persoonsgegevens 

1. De partijen komen overeen dat de gegevensimporteur en de subverwerker bij de beëindiging van de levering van diensten op het gebied van gegevensverwerking, naar keuze van de gegevensexporteur, alle doorgegeven persoonsgegevens en de kopieën daarvan aan de gegevensexporteur zullen retourneren of alle persoonsgegevens zullen vernietigen en aan de gegevensexporteur zullen verklaren dat zij dit hebben gedaan, tenzij wetgeving die aan de gegevensimporteur is opgelegd, hem belet alle of een deel van de doorgegeven persoonsgegevens te retourneren of te vernietigen. In dat geval garandeert de importeur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens waarborgt en de doorgegeven persoonsgegevens niet meer actief zal verwerken.
2. De data-importeur en de subverwerker garanderen dat zij op verzoek van de data-exporteur en/of de toezichthoudende autoriteit hun faciliteiten voor dataverwerking zullen onderwerpen aan een audit van de in lid 1 bedoelde maatregelen.

Namens de exporteur van data:

Naam (voluit geschreven):

Functie: Adres:

Eventuele andere informatie die nodig is om het contract bindend te maken:

Handtekening……………………………………….

(stempel van organisatie)

Namens de importeur van data: 

Naam (voluit geschreven):

Functie: Adres:

Eventuele andere informatie die nodig is om het contract bindend te maken:

Handtekening……………………………………….

(stempel van organisatie)

a. Exporteer data

De exporteur van data is MEWS Systems, een leverancier van diensten zoals gespecificeerd in de overeenkomst (indien van toepassing).

b. Data importeren 

De gegevensimporteur is de entiteit (een subverwerker) die Persoonsgegevens buiten de EER ontvangt en bepaalde diensten levert aan MEWS Systems in verband met Diensten aan de Partner.

c. Betrokkenen

De overgedragen persoonlijke gegevens kunnen betrekking hebben op personen over wie persoonlijke gegevens worden verzonden of opgeslagen door de gegevensexporteur via het door MEWS Systems gehoste systeem en/of diensten, waaronder doorgaans personen (gasten of potentiële klanten) die gebruikmaken van de diensten van Partner.

d. Categorieën data

De overgedragen persoonlijke gegevens betreffen de volgende categorieën data: Gegevens van gasten die zijn opgenomen in de contactformulieren, contact- en identificatiegegevens, waaronder naam, titel, e-mailadres en adres, identiteitsdocumenten en/of paspoortnummers, betalingsgegevens, voorkeuren van gasten en gegevens over diensten van Partner en beperkte verbindings- en locatiegegevens (stad) in elektronische vorm die worden doorgegeven aan gegevensverwerker in het kader van de Diensten van MEWS Systems (geleverd door de relevante subverwerker/importeur).

e. Verwerkende werkzaamheden

De doorgegeven persoonsgegevens zijn onderworpen aan de volgende basisverwerkingsactiviteiten:

Verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van doorzending, verspreiding of op andere wijze beschikbaar maken, samenbrengen of combineren, restrictie, wissen of vernietigen.

Partner moet redelijke veiligheidsmaatregelen treffen in verband met het gebruik van de diensten, waaronder het adequaat versleutelen van persoonlijke data die zijn opgeslagen op of verzonden door het gehoste systeem.

Deze Bijlage maakt deel uit van de Clausules en moet door de partijen worden ingevuld en ondertekend.

Beschrijving van de technische en organisatorische beveiligingsmaatregelen geïmplementeerd door de importeur van data in overeenstemming met clausule 4(d) en clausule 5(c) (of bijgevoegd document/wetgeving): 

De importeur van data implementeert beveiligingsmaatregelen die gelijkwaardig zijn aan de maatregelen die vereist zijn op grond van de Overeenkomst, het Addendum en eventuele aanvullende documenten die op grond van de Overeenkomst worden aangegaan.