DPA - Gegevensverwerkingsovereenkomst 

Laatst bijgewerkt: 13 juni 2024

Deze Gegevensverwerkingsovereenkomst ("DPA") wordt aangegaan tussen Nu Modern Online ("Nu Modern Online") en Klant (gezamenlijk "de Partijen"), en maakt deel uit van de Dienstenovereenkomst tussen de Partijen, en weerspiegelt de overeenkomst van de Partijen met betrekking tot de Verwerking van Persoonsgegevens overeenkomstig de eisen van de wetgeving inzake gegevensbescherming.

Door deze DPA te ondertekenen, gaat Klant namens zichzelf en, voor zover vereist onder de toepasselijke wetgeving inzake gegevensbescherming, in naam en namens haar Geautoriseerde Filialen deze DPA aan, indien en voor zover Nu Modern Online Persoonsgegevens verwerkt waarvoor dergelijke Geautoriseerde Filialen kwalificeren als de Verwerkingsverantwoordelijke. Voor de doeleinden van deze DPA omvat de term "Klant" alleen Klant en Geautoriseerde Filialen, tenzij anders aangegeven.

Deze DPA is van kracht vanaf de datum waarop deze door beide Partijen rechtsgeldig is ondertekend ("Ingangsdatum") en wijzigt, vervangt en vervangt alle eerdere gegevensverwerkings­overeenkomsten die de Partijen mogelijk zijn aangegaan. Eventuele wijzigingen in de voorwaarden van deze DPA (of deze nu handgeschreven zijn of anderszins) maken deze DPA ongeldig, tenzij Nu Modern Online afzonderlijk schriftelijk met die wijzigingen heeft ingestemd.

1. Definities 

1.1. Filiaal - betekent elke entiteit die direct of indirect wordt gecontroleerd door of onder gemeenschappelijke controle staat met de betreffende entiteit. "Controle" betekent voor de doeleinden van deze definitie directe of indirecte eigendom of controle van meer dan 50% van de stemrechten van de betreffende entiteit.

1.2. Geautoriseerd Filiaal - betekent Klants Filia(a)len die (a) onderhevig zijn aan wetgeving inzake gegevensbescherming; (b) gemachtigd zijn om de Diensten te gebruiken overeenkomstig de Overeenkomst tussen Klant en Nu Modern Online; en (c) hun eigen Dienstenovereenkomst met Nu Modern Online niet hebben ondertekend en geen "Klanten" zijn zoals gedefinieerd in deze DPA.

1.3. CCPA - betekent de California Consumer Privacy Act van 2018 (California Civil Code sections 1798.100 - 1798.199) en de bijbehorende voorschriften.

1.4. Verwerkingsverantwoordelijke - betekent de entiteit die het doel en de middelen van de verwerking van persoonsgegevens bepaalt. Voor de doeleinden van deze DPA is Klant de Verwerkingsverantwoordelijke. Voor de doeleinden van deze DPA betekent alle verwijzingen naar Verwerkingsverantwoordelijke ook "bedrijf" zoals gedefinieerd in de CCPA voor CCPA-doeleinden.

1.5. Gedekte Diensten of Diensten - betekent de diensten die door Klant bij Nu Modern Online zijn besteld met betrekking tot de Verwerking van Persoonsgegevens namens Klant.

1.6. Klant - betekent de entiteit die de Dienstenovereenkomst heeft ondertekend en die het doel en de middelen van de verwerking van persoonsgegevens bepaalt. De Klant wordt beschouwd als de "Verwerkingsverantwoordelijke" van de Persoonsgegevens die worden verstrekt krachtens deze DPA.

1.7. Datalek - betekent een inbreuk op de beveiliging die leidt tot de onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot de Persoonsgegevens van Klant die zijn verzonden, opgeslagen of anderszins verwerkt.

1.8. Wetgeving inzake gegevensbescherming - betekent elke toepasselijke wet, verordening, statuut, regelgeving of bevel van een bevoegde overheidsinstantie, of elk vonnis, beslissing, decreet, injunctie, bevel, dagvaarding of soortgelijke actie van een rechtbank, arbiter of andere overheidsinstantie, en te allen tijde gedurende de looptijd van de Dienstenovereenkomst, inclusief de wetten van de Europese Unie, de UK Data Protection Act 2018, de GDPR, en de CCPA, zoals deze van tijd tot tijd worden gewijzigd of vervangen, en alle andere buitenlandse of binnenlandse wetten voor zover deze van toepassing zijn op een partij in de uitvoering van de Dienstenovereenkomst.

1.9. Betrokkene - betekent: 1) de individuele binnen de Europese Economische Ruimte en het Verenigd Koninkrijk op wie Persoonsgegevens betrekking hebben voor GDPR-doeleinden, of 2) een "consument", zoals gedefinieerd in de CCPA voor CCPA-doeleinden.

1.10. GDPR - betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).

1.11. Persoonsgegevens - betekent: 1) gegevens over een specifiek natuurlijk persoon binnen de Europese Economische Ruimte of het Verenigd Koninkrijk waaruit die persoon wordt geïdentificeerd of identificeerbaar is, zoals gedefinieerd in de GDPR, of 2) "persoonlijke informatie" zoals gedefinieerd in de CCPA voor CCPA-doeleinden, die door of namens Klant wordt verstrekt en door Nu Modern Online wordt verwerkt overeenkomstig de Dienstenovereenkomst.

1.12. Verwerking - betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonsgegevens, al dan niet met automatische middelen, zoals verzameling, registratie, organisatie, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, afstemming of combinatie, blokkering, wissing of vernietiging.

1.13. Verwerker - betekent de entiteit die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke. Voor de doeleinden van deze DPA is Nu Modern Online, inclusief haar Filialen, de Verwerker. Voor de doeleinden van deze DPA betekent alle verwijzingen naar Verwerker ook "dienstverlener" zoals gedefinieerd in de CCPA voor CCPA-doeleinden.

1.14. Toezichthouder - betekent elke toezichthoudende autoriteit met bevoegdheid op grond van Wetgeving inzake gegevensbescherming over een deel of het geheel van de verstrekking of ontvangst van de Diensten of de Verwerking van Persoonsgegevens.

1.15. Dienstenovereenkomst - betekent elke dienstenovereenkomst inclusief, maar niet beperkt tot, de online voorwaarden van Nu Modern Online (beschikbaar op https://numodernonline.nl/algemene-voorwaarden) tussen Nu Modern Online en Klant waarin Gedekte Diensten door Nu Modern Online aan Klant worden verstrekt.

1.16. Standaardcontractuele clausules - verwijst naar de bijlage bij het besluit van de Europese Commissie van 4 juni 2021 inzake standaardcontractuele clausules voor de doorgifte van persoonsgegevens naar derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad (beschikbaar vanaf 1 augustus 2021 op https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj).

1.17. Sub-verwerker - betekent elke verwerker die door Nu Modern Online is ingeschakeld om persoonsgegevens namens Nu Modern Online te verwerken.

2. Dienstenovereenkomst 

Deze DPA vult de Dienstenovereenkomst aan en in geval van een conflict tussen de voorwaarden van deze DPA en de voorwaarden van de Dienstenovereenkomst prevaleren de voorwaarden van deze DPA met betrekking tot het specifieke onderwerp van deze DPA.

3. Wetgeving gegevensbescherming 

3.1. Rollen van de Partijen - De Partijen erkennen en aanvaarden dat Nu Modern Online de Persoonsgegevens zal verwerken in de hoedanigheid van Verwerker en dat de Klant de Verwerkingsverantwoordelijke van de Persoonsgegevens zal zijn.

3.2. Functionaris voor gegevensbescherming (FG) - De Partijen zullen, voor zover vereist door de GDPR, elk een functionaris voor gegevensbescherming (een "FG") aanwijzen en hun contactgegevens verstrekken aan de andere Partij indien vereist door de wetgeving gegevensbescherming.

4. Verplichtingen van de Verwerkingsverantwoordelijke 

4.1. Instructies - De Klant garandeert dat de instructies die zij aan Nu Modern Online verstrekt krachtens deze DPA in overeenstemming zijn met de wetgeving gegevensbescherming.

4.2. Verzoeken van Gegevenssubjecten en Toezichthouders - De Klant is verantwoordelijk voor de communicatie en het leiden van alle inspanningen om te voldoen aan alle verzoeken van Gegevenssubjecten onder de wetgeving gegevensbescherming en alle communicatie van Toezichthouders die betrekking hebben op de Persoonsgegevens, in overeenstemming met de wetgeving gegevensbescherming. Voor zover dergelijke verzoeken of communicatie de hulp van Nu Modern Online vereisen, dient de Klant Nu Modern Online onmiddellijk schriftelijk op de hoogte te stellen van het verzoek van het Gegevenssubject of de Toezichthouder.

4.3. Kennisgeving, Toestemming en Andere Autorisaties - De Klant stemt ermee in dat de Persoonsgegevens die zij verzamelt in overeenstemming zijn met de wetgeving gegevensbescherming, inclusief alle wettelijk vereiste toestemmingen, verwerkingsgronden, goedkeuringen en autorisaties. Op verzoek van Nu Modern Online zal de Klant alle informatie verstrekken die nodig is om naleving van deze vereisten aan te tonen.

5. Details van Verwerkingsactiviteiten 

5.1. De volgende items geven de details van de verwerking aan:

Doelen waarvoor de Persoonsgegevens zullen worden verwerkt

Nu Modern Online zal Persoonsgegevens verwerken met als doel het leveren van de Gedekte Diensten zoals beschreven in de Dienstenovereenkomst. De Klant kan Persoonsgegevens indienen bij de Diensten en kan verzoeken dat haar gebruikers ("Eindgebruikers") Persoonsgegevens indienen bij de Diensten, waarvan de omvang wordt bepaald en gecontroleerd door de Klant naar eigen goeddunken. Beschrijving van de categorieën van de Gegevenssubjecten

Natuurlijke personen die persoonsgegevens indienen bij de Klant via het gebruik van de Diensten; Natuurlijke personen die werknemers, vertegenwoordigers of andere zakelijke contacten van Klanten zijn.

Beschrijving van de categorieën van Persoonsgegevens

Verwerkte persoonsgegevens omvatten naam, e-mailadres, telefoonnummer, creditcard- en/of andere factureringsinformatie; Persoonsgegevens over Eindgebruikers die de Klant verstrekt aan de Dienst of via de interactie van Eindgebruikers van de Klant met de Diensten; Persoonsgegevens van add-ons en andere diensten van derden die de Klant gebruikt in combinatie met onze Diensten; Gegevens over het gebruik van de Diensten door Klanten en Eindgebruikers, waaronder, maar niet beperkt tot, interacties met de gebruikersinterface van de Diensten, details van webbrowser of besturingssysteem en het IP-adres voor de computers waarmee Klanten en Eindgebruikers verbinding maken met de Diensten. Beschrijving van bijzondere categorieën van

Persoonsgegevens

Websitebezoekers of Eindgebruikers kunnen bijzondere categorieën van Persoonsgegevens indienen bij de Klant via de Diensten, waarvan de omvang wordt bepaald en gecontroleerd door de Klant. Voor de duidelijkheid, deze bijzondere categorieën van Persoonsgegevens kunnen informatie bevatten die raciale of etnische afkomst onthult, politieke opvattingen, religieuze of filosofische overtuigingen, lidmaatschap van een vakbond, biometrische gegevens, gezondheidsgegevens of gegevens over het seksuele leven of de seksuele geaardheid van een natuurlijke persoon.

6. Verplichtingen van de Verwerker ter aanvulling van de Standaardcontractuele clausules

6.1. Scope van de verwerking - Nu Modern Online zal de Persoonsgegevens verwerken op gedocumenteerde instructies van de Klant op een wijze die noodzakelijk is voor de levering van Diensten onder de Dienstenovereenkomst, behalve indien nodig om te voldoen aan enige wettelijke verplichting waaraan Nu Modern Online onderworpen is. Nu Modern Online kan redelijke inspanningen leveren om klanten te informeren als, naar haar mening, de uitvoering van een instructie met betrekking tot de verwerking van Persoonsgegevens inbreuk zou kunnen maken op enige wetgeving gegevensbescherming. In het geval Nu Modern Online Persoonsgegevens moet verwerken of stoppen met het verwerken van Persoonsgegevens om te voldoen aan een wettelijke verplichting, zal Nu Modern Online de Klant op de hoogte brengen van die wettelijke vereiste voordat zij begint met verwerken of ophoudt met verwerken, tenzij verboden door de wet.

6.2. Openbaarmaking aan derden - Behalve zoals uitdrukkelijk bepaald in deze DPA, zal Nu Modern Online geen Persoonsgegevens bekendmaken aan derden zonder de toestemming van de Klant. Indien een bevoegde overheidsinstantie verzoekt of verplicht is de Persoonsgegevens bekend te maken, voor zover wettelijk toegestaan en praktisch uitvoerbaar, zal Nu Modern Online de Klant voldoende voorafgaande schriftelijke kennisgeving verstrekken om de Klant de gelegenheid te geven zich te verzetten tegen een dergelijke openbaarmaking.

6.3. GDPR Artikelen 32-36 - Rekening houdend met de aard van de verwerking en de informatie beschikbaar voor Nu Modern Online, zal Nu Modern Online redelijke bijstand verlenen aan de Klant om te voldoen aan haar verplichtingen onder GDPR Artikelen 32-36, die betrekking hebben op verplichtingen met betrekking tot beveiliging, meldingen van inbreuken, gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging.

7. Audit 

7.1. Scope - Nu Modern Online zal administratieve registraties bijhouden van haar verwerkingsactiviteiten namens de Klant en zal de Klant de informatie ter beschikking stellen die redelijkerwijs noodzakelijk is om haar naleving van de verplichtingen zoals uiteengezet in deze DPA aan te tonen. Nu Modern Online kan de omvang van de informatie die aan de Klant ter beschikking wordt gesteld beperken als de Klant een concurrent van Nu Modern Online is, mits een dergelijke beperking niet in strijd is met de wetgeving gegevensbescherming of de Standaardcontractuele clausules. De inspectierechten van de Klant onder deze DPA strekken zich niet uit tot de salarisadministratie van Nu Modern Online, personeelsdossiers of enige delen van haar sites, boeken, documenten, records of andere informatie die geen betrekking hebben op de Diensten of voor zover zij betrekking hebben op derden.

7.2. Proces - Onder voorbehoud van een schriftelijke kennisgeving van dertig (30) dagen van de Klant en op kosten van de Klant (inclusief alle redelijke kosten en vergoedingen voor alle tijd die Nu Modern Online besteedt aan een dergelijke audit, naast de tarieven voor de door Nu Modern Online uitgevoerde diensten), zullen Nu Modern Online en de Klant gezamenlijk een onafhankelijke auditor aanstellen om te controleren of Nu Modern Online voldoet aan de verplichtingen uit hoofde van deze DPA. In geen geval zullen de Partijen akkoord gaan met een onafhankelijke auditor die een concurrent van Nu Modern Online is. Audits en inspecties worden uitgevoerd op tijden die gezamenlijk zijn overeengekomen tijdens reguliere kantooruren. Klanten hebben het recht om dit auditrecht niet meer dan eens per twaalf (12) maanden uit te oefenen. Klanten hebben geen recht op een audit op locatie van de Nu Modern Online-premises zonder een dwingende noodzaak voor een dergelijke audit op locatie aan te tonen. De Partijen zullen gezamenlijk de duur van de audit overeenkomen.

7.3. Vertrouwelijkheid - Alle informatie verkregen tijdens een verzoek om informatie of audit zal worden beschouwd als vertrouwelijke informatie van Nu Modern Online krachtens de Dienstenovereenkomst en deze DPA. De resultaten van de inspectie en alle tijdens een dergelijke inspectie beoordeelde informatie worden beschouwd als vertrouwelijke informatie van Nu Modern Online. De onafhankelijke auditor mag alleen specifieke schendingen van deze DPA aan de Klant bekendmaken, indien van toepassing, en de basis voor dergelijke bevindingen, en mag geen van de records of informatie die tijdens de inspectie zijn beoordeeld, bekendmaken.

8. Contracteren met Sub-verwerkers 

De Klant verleent hierbij algemene toestemming aan Nu Modern Online om nieuwe Sub-verwerkers in te schakelen in verband met de verwerking van de Persoonsgegevens zoals uiteengezet in clausule 9 van de Standaardcontractuele clausules. Een lijst van de huidige Sub-verwerkers van Nu Modern Online is te vinden op https://www.nu-modern-online.nl/privacy-policy. Klanten moeten zich aanmelden op de genoemde URL om e-mailmeldingen te ontvangen over de toevoeging van nieuwe Sub-verwerkers. Klanten kunnen redelijk bezwaar maken tegen de toevoeging van een nieuwe Sub-verwerker binnen 15 kalenderdagen na ontvangst van een dergelijke e-mailmelding, in welk geval Nu Modern Online redelijke inspanningen zal leveren om een wijziging in de Dienst door te voeren of een commercieel redelijke wijziging aan te bevelen om verwerking door een dergelijke Sub-verwerker te vermijden. Als Nu Modern Online niet in staat is een alternatief te bieden, kan de Klant de Diensten beëindigen en dient zij Nu Modern Online alle nog niet betaalde vergoedingen of kosten te betalen voor alle diensten die zijn verstrekt krachtens enige Dienstenovereenkomst. Als de Klant zich niet aanmeldt voor deze e-mailmeldingen, wordt de Klant geacht afstand te hebben gedaan van haar recht om bezwaar te maken tegen de nieuw toegevoegde Sub-verwerker(s).

9. Overdrachten buiten de EER (Europese Economische Ruimte)

9.1. Overdracht - De Klant erkent dat Nu Modern Online zonder voorafgaande schriftelijke toestemming van de Klant de Persoonsgegevens kan overdragen naar een buitenlandse jurisdictie, mits een dergelijke overdracht (i) naar een land of gebied is dat formeel door de Europese Commissie is erkend als een adequaat beschermingsniveau voor de Persoonsgegevens of (ii) de overdracht anderszins wordt beschermd door mechanismen zoals Standaardcontractuele clausules en andere certificeringsinstrumenten die van tijd tot tijd worden erkend en goedgekeurd door de Europese Commissie.

9.2. Standaardcontractuele clausules - Indien het gebruik van de Diensten door de Klant de overdracht van Persoonsgegevens vanuit het Verenigd Koninkrijk of de Europese Economische Ruimte naar Nu Modern Online omvat, of indien het sluiten van de Standaardcontractuele clausules zoals uiteengezet in de Bijlage bij deze DPA met Nu Modern Online de Klant anderszins zou helpen bij het nakomen van een wettelijke verplichting met betrekking tot de internationale overdracht van Persoonsgegevens, dan (i) worden de Partijen geacht deze Standaardcontractuele clausules te ondertekenen door het aangaan van deze DPA, inclusief elk van zijn toepasselijke Bijlagen, en (ii) maken dergelijke Standaardcontractuele clausules deel uit van deze DPA en gaan zij voor op enige andere bepalingen van deze DPA voor zover daar een conflict van is.

10. Aanvullende bepalingen voor Californische Gegevenssubjecten 

Voor zover de CCPA van toepassing is, stemt Nu Modern Online ermee in dat zij niet: (a) Persoonsgegevens van Californische Gegevenssubjecten zal verkopen (zoals "verkopen" is gedefinieerd in de CCPA); (b) Persoonsgegevens van Californische Gegevenssubjecten zal behouden, gebruiken of openbaar maken voor een commercieel doel anders dan het leveren van de in de Dienstenovereenkomst gespecificeerde diensten; (c) Persoonsgegevens van Californische Gegevenssubjecten zal behouden, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen Verwerker en Klant. Nu Modern Online verklaart dat zij deze beperkingen zoals uiteengezet in dit gedeelte begrijpt en daaraan zal voldoen.

11. Verplichtingen na beëindiging 

Beëindiging of vervaldatum van deze DPA ontslaat de Partijen niet van hun verplichtingen die naar hun aard redelijkerwijs worden geacht voort te duren na beëindiging of vervaldatum van deze DPA.

12. Aansprakelijkheid en vrijwaring 

Alle vorderingen die onder deze DPA worden ingediend, zijn onderworpen aan dezelfde voorwaarden en bepalingen, inclusief uitsluitingen en beperkingen van aansprakelijkheid, zoals uiteengezet in de Dienstenovereenkomst.

13. Scheidbaarheid

Elke bepaling van deze DPA die verboden is of niet-afdwingbaar is in enige jurisdictie, zal, voor zover dergelijk verbod of niet-afdwingbaarheid geldt, zonder het overige hierin ongeldig te maken, en een dergelijk verbod of niet-afdwingbaarheid in enige jurisdictie zal geen enkele bepaling ervan in een andere jurisdictie ongeldig of onafdwingbaar maken. De Partijen zullen te goeder trouw proberen een geldige en afdwingbare bepaling overeen te komen die een redelijk substituut vormt, en zullen een dergelijke vervangende bepaling in deze Overeenkomst opnemen.