Verwerkingsovereenkomst

Laatste update: 22 september 2025

Deze LensGo Verwerkingsovereenkomst en haar bijlagen ("DPA") weerspiegelt de overeenkomst tussen partijen met betrekking tot de verwerking van persoonsgegevens door ons namens u in verband met de LensGo-diensten onder de LensGo Servicevoorwaarden tussen de Gebruiker en ons ("Overeenkomst").

Deze DPA is een aanvulling op en vormt een integraal onderdeel van de Overeenkomst en is van kracht bij de opname in de Overeenkomst, die kan worden gespecificeerd in de Overeenkomst, of een ondertekende wijziging van de Overeenkomst. In geval van enig conflict of inconsistentie met de voorwaarden van de Overeenkomst, zal deze DPA voorrang hebben boven de voorwaarden van de Overeenkomst voor zover er sprake is van een dergelijk conflict of inconsistentie.

De looptijd van deze DPA zal de looptijd van de Overeenkomst volgen. Termen die niet anderszins in deze DPA zijn gedefinieerd, zullen de betekenis hebben zoals vastgelegd in de Overeenkomst.

1 - Definities en Interpretatie

1.1 Tenzij hier anders gedefinieerd, zullen de met hoofdletters geschreven termen en uitdrukkingen die in deze DPA worden gebruikt, de volgende betekenis hebben:

"DPA" betekent deze Verwerkingsovereenkomst en alle Bijlagen;

"Gebruikerspersoonsgegevens" betekent alle persoonsgegevens die door een Gecontracteerde Verwerker namens de Gebruiker worden verwerkt volgens of in verband met de Hoofdovereenkomst;

"Gecontracteerde Verwerker" betekent een Subverwerker;

"Wetten voor Gegevensbescherming" betekent EU-wetten voor gegevensbescherming en, voor zover van toepassing, de gegevensbeschermings- of privacywetten van elk ander land;

"EEA" betekent de Europese Economische Ruimte;

"EU-wetten voor gegevensbescherming" betekent EU-richtlijn 95/46/EG, zoals omgezet in nationale wetgeving van elke lidstaat en zoals gewijzigd, vervangen of aangevuld van tijd tot tijd, inclusief door de AVG en wetten die de AVG implementeren of aanvullen;

"AVG" betekent de Algemene Verordening Gegevensbescherming (EU) 2016/679;

"Gegevensoverdracht" betekent:

  • een overdracht van Gebruikerspersoonsgegevens van de Gebruiker naar een Gecontracteerde Verwerker; of
  • een verdere overdracht van Gebruikerspersoonsgegevens van een Gecontracteerde Verwerker naar een Subverwerker, of tussen twee vestigingen van een Gecontracteerde Verwerker, in elk geval waar een dergelijke overdracht verboden zou zijn volgens de Wetten voor Gegevensbescherming;

"Diensten" betekent een retrospectief hulpmiddel voor teams om hun prestaties te verbeteren, te organiseren en vooruitgang te boeken op een leukere manier, beschikbaar gesteld als software as a service.

"Subverwerker" betekent elke persoon die door of namens de Verwerker is aangesteld om persoonsgegevens namens de Gebruiker te verwerken in verband met de DPA.

"Standaardcontractuele clausules" betekent de standaardcontractuele clausules die zijn bijgevoegd bij Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 over standaardcontractuele clausules voor de overdracht van persoonsgegevens naar derde landen volgens Verordening (EU) 2016/679 van het Europees Parlement en de Raad.

1.2 De termen "Commissie", "Verwerkingsverantwoordelijke", "Betrokkene", "Lidstaat", "Persoonsgegevens", "Inbreuk in verband met persoonsgegevens", "Verwerking" en "Toezichthoudende Autoriteit" zullen dezelfde betekenis hebben als in de AVG, en hun verwante termen zullen dienovereenkomstig worden geïnterpreteerd.

2 - Verwerking van Persoonsgegevens van het Bedrijf

2.1 De Verwerker zal:

  • voldoen aan alle toepasselijke Wetten voor Gegevensbescherming bij de Verwerking van Persoonsgegevens van het Bedrijf; en
  • Gebruikerspersoonsgegevens niet verwerken anders dan op basis van de gedocumenteerde instructies van de relevante Gebruiker.

2.2 De Gebruiker instrueert de Verwerker om Gebruikerspersoonsgegevens te verwerken.

3 - Personeel van de Verwerker

3.1 De Verwerker zal redelijke stappen nemen om de betrouwbaarheid van elke werknemer, agent of aannemer van elke Gecontracteerde Verwerker die toegang kan hebben tot de Persoonsgegevens van het Bedrijf te waarborgen, waarbij in elk geval wordt gegarandeerd dat de toegang strikt beperkt is tot die personen die de relevante Persoonsgegevens van het Bedrijf moeten kennen/toegankelijk moeten hebben, zoals strikt noodzakelijk voor de doeleinden van de Hoofdovereenkomst, en om te voldoen aan Toepasselijke Wetten in de context van de taken van die persoon voor de Gecontracteerde Verwerker, waarbij wordt gegarandeerd dat al deze personen onderworpen zijn aan geheimhoudingsverplichtingen of professionele of wettelijke geheimhoudingsverplichtingen.

4 - Beveiliging

4.1 Rekening houdend met de stand der techniek, de implementatiekosten en de aard, omvang, context en doeleinden van de Verwerking, alsmede het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal de Verwerker met betrekking tot de Gebruikerspersoonsgegevens passende technische en organisatorische maatregelen implementeren om een beveiligingsniveau te garanderen dat passend is bij dat risico, waaronder, indien van toepassing, de maatregelen genoemd in Artikel 32(1) van de AVG.

4.2 Bij het beoordelen van het passende beveiligingsniveau zal de Verwerker met name rekening houden met de risico's die worden gepresenteerd door de Verwerking, met name vanuit een Inbreuk in verband met persoonsgegevens.

5 - Subverwerking

5.1 U gaat ermee akkoord dat wij Sub-Verwerkers kunnen inschakelen om Persoonsgegevens namens u te verwerken. Wij hebben momenteel de in Bijlage 1 bij deze DPA genoemde derde partijen aangesteld als Sub-Verwerkers.

5.2 Wanneer wij Sub-Verwerkers inschakelen, zullen wij gegevensbeschermingsvoorwaarden opleggen aan de Sub-Verwerkers die ten minste hetzelfde beschermingsniveau bieden voor Persoonsgegevens als die in deze DPA (inclusief, waar van toepassing, de Standaardcontractuele Clausules), voor zover van toepassing op de aard van de diensten die door dergelijke Sub-Verwerkers worden geleverd.

6 - Aansprakelijkheid

6.1 Elke partij bij deze DPA verbindt zich ertoe de andere partij schadeloos te stellen voor schade of kosten die voortvloeien uit haar eigen verwijtbare inbreuk op deze DPA, inclusief elke verwijtbare inbreuk begaan door haar wettelijke vertegenwoordiger, onderaannemers, werknemers of andere agenten. Bovendien verbindt elke partij zich ertoe de andere partij schadeloos te stellen tegen elke vordering van derde partijen als gevolg van, of in verband met, elke verwijtbare inbreuk door de respectievelijk andere partij.

6.2 Artikel 82 AVG blijft onverlet.

7 - Rechten van Betrokkenen

7.1 Rekening houdend met de aard van de Verwerking, zal de Verwerker de Gebruiker bijstaan door het implementeren van passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor de nakoming van de verplichtingen van de Gebruiker, zoals redelijkerwijs begrepen door de Gebruiker, om te reageren op verzoeken om de rechten van Betrokkenen uit te oefenen volgens de Wetten voor Gegevensbescherming.

7.2 De Verwerker zal:

  • de Gebruiker onverwijld informeren als deze een verzoek ontvangt van een Betrokkene volgens enige Wet voor Gegevensbescherming met betrekking tot Gebruikerspersoonsgegevens; en
  • ervoor zorgen dat deze niet reageert op dat verzoek, behalve op basis van de gedocumenteerde instructies van de Gebruiker of zoals vereist door Toepasselijke Wetten waaraan de Verwerker onderworpen is, in welk geval de Verwerker, voor zover toegestaan door Toepasselijke Wetten, de Gebruiker zal informeren over die wettelijke vereiste voordat de Gecontracteerde Verwerker reageert op het verzoek.

8 - Inbreuk op Persoonsgegevens

8.1 De Verwerker zal de Verwerkingsverantwoordelijke zonder onnodige vertraging informeren zodra de Verwerker op de hoogte is van een Inbreuk op Persoonsgegevens die Gebruikerspersoonsgegevens aantast, waarbij de Verwerkingsverantwoordelijke voldoende informatie verstrekt om de Verwerkingsverantwoordelijke in staat te stellen aan enige verplichtingen te voldoen om Betrokkenen te melden over de Inbreuk op Persoonsgegevens volgens de Wetten voor Gegevensbescherming.

8.2 De Verwerker zal samenwerken met de Verwerkingsverantwoordelijke en redelijke commerciële stappen nemen zoals aangegeven door de Gebruiker om te helpen bij het onderzoek, mitigatie en herstel van elke dergelijke Inbreuk op Persoonsgegevens.

8.3 Gegevensbeschermings effect beoordeling en Voorafgaande Raadpleging De Verwerker zal redelijke bijstand verlenen aan de Verwerkingsverantwoordelijke bij elke gegevensbeschermings effect beoordeling en voorafgaande raadplegingen met Toezichthoudende Autoriteiten of andere bevoegde gegevensprivacyautoriteiten, die de Verwerkingsverantwoordelijke redelijkerwijs noodzakelijk acht volgens artikel 35 of 36 van de AVG of equivalente bepalingen van enige andere Wet voor Gegevensbescherming, in elk geval uitsluitend met betrekking tot de Verwerking van Gebruikerspersoonsgegevens door, en rekening houdend met de aard van de Verwerking en de informatie beschikbaar voor, de Gecontracteerde Verwerkers.

9 - Verwijdering of Teruggave van Gebruikerspersoonsgegevens

9.1 Onder voorbehoud van deze sectie 9 zal de Verwerker, en in elk geval binnen 30 werkdagen na de datum van beëindiging van enige Diensten die de Verwerking van Gebruikerspersoonsgegevens betreffen (de "Beëindigingsdatum"), alle kopieën van die Gebruikerspersoonsgegevens verwijderen en de verwijdering daarvan bewerkstelligen.

10 - Gegevensoverdracht

10.1 U erkent en gaat ermee akkoord dat wij toegang kunnen hebben tot en Persoonsgegevens wereldwijd kunnen verwerken, voor zover noodzakelijk om de Dienst te leveren in overeenstemming met de DPA, en dat Persoonsgegevens kunnen worden overgedragen aan en verwerkt door LensGo naar rechtsgebieden waar Sub-Verwerkers opereren. Waar Persoonsgegevens ook worden overgedragen buiten het land van herkomst, zal elke partij ervoor zorgen dat dergelijke overdrachten plaatsvinden in overeenstemming met de vereisten van de Wetten voor Gegevensbescherming.

11 - Algemene Voorwaarden

11.1 Vertrouwelijkheid. Elke Partij moet deze DPA en informatie die het ontvangt over de andere Partij en haar bedrijf in verband met deze DPA ("Vertrouwelijke Informatie") vertrouwelijk houden en mag die Vertrouwelijke Informatie niet gebruiken of openbaar maken zonder de voorafgaande schriftelijke toestemming van de andere Partij, behalve voor zover:

  • openbaarmaking vereist is door de wet;
  • de relevante informatie al in het publiek domein is.

11.2 Kennisgevingen. Alle kennisgevingen en communicaties gegeven onder deze DPA moeten schriftelijk zijn en zullen persoonlijk worden afgeleverd, per post worden verzonden of per e-mail worden verzonden naar het adres of e-mailadres vermeld in de kop van deze DPA of naar een ander adres zoals van tijd tot tijd bekendgemaakt door de Partijen die hun adres wijzigen.

12 - Toepasselijk Recht en Bevoegdheid

12.1 Deze Overeenkomst valt onder de EU-wetten voor gegevensbescherming en het bevoegde forum voor het oplossen van problemen zijn de rechtbanken van Ierland.

Bijlage 1 - Details van Verwerking

A. Lijst van Partijen

Data exporter:

Name: Naam: De Gebruiker, zoals gedefinieerd in de LensGo Servicevoorwaarden.

Address: Adres: Het adres van de Gebruiker.

Contact: Naam, positie en contactgegevens van de contactpersoon: De contactgegevens van de Gebruiker, zoals vermeld in de registratie van de Gebruiker.

Activities: Activiteiten relevant voor de onder deze Clausules overgedragen gegevens: Verwerking van Persoonsgegevens in verband met het gebruik door de Gebruiker van lensgo.app onder de LensGo Servicevoorwaarden.

Role: Rol (verwerkingsverantwoordelijke/verwerker): Verwerkingsverantwoordelijke

Data importer:

Name: Naam: Acosh

Address: Adres: Sweelinckplantsoen 40, 1323 MT Almere, FL, NL.

Contact: Naam, positie en contactgegevens van de contactpersoon: Daan de Vos, Eigenaar.

Activities: Activiteiten relevant voor de onder deze Clausules overgedragen gegevens: Verwerking van Persoonsgegevens in verband met het gebruik door de Gebruiker van lensgo.app onder de LensGo Servicevoorwaarden.

Role: Rol (verwerkingsverantwoordelijke/verwerker): Verwerker

B. Beschrijving van Overdracht

Categorieën van Betrokkenen waarvan Persoonsgegevens worden Overgedragen: Contact van de Gebruiker.

Categorieën van Overgedragen Persoonsgegevens: Naam, E-mail, Geüploade Inhoud, Andere verstrekte informatie.

Frequentie: Continu.

Doel: Het leveren van de Diensten volgens de Overeenkomst.

Bewaring: Duur van de Overeenkomst, tenzij anders overeengekomen.

C. Bevoegde Toezichthoudende Autoriteit

Voor de doeleinden van de Standaardcontractuele Clausules, zal de toezichthoudende autoriteit die zal optreden als bevoegde toezichthoudende autoriteit, zijn: (i) waar de Gebruiker gevestigd is in een EU-lidstaat, de toezichthoudende autoriteit die verantwoordelijk is voor het waarborgen van de naleving door de Gebruiker van de AVG; (ii) waar de Gebruiker niet gevestigd is in een EU-lidstaat maar valt onder het extra-territoriale bereik van de AVG en een vertegenwoordiger heeft aangesteld, de toezichthoudende autoriteit van de EU-lidstaat waarin de vertegenwoordiger van de Gebruiker gevestigd is; of (iii) waar de Gebruiker niet gevestigd is in een EU-lidstaat maar valt onder het extra-territoriale bereik van de AVG zonder een vertegenwoordiger te hoeven aanstellen, de toezichthoudende autoriteit van de EU-lidstaat waarin de Betrokkenen voornamelijk gevestigd zijn.

Bijlage 2 - Beveiligingsmaatregelen

Vertrouwelijkheid

  • Geen ongeoorloofde toegang tot Gegevensverwerkingsfaciliteiten;
  • Elektronische Toegangcontrole;
  • Geen ongeoorloofd gebruik van de Gegevensverwerkings- en Gegevensopslagsystemen;
  • Interne Toegangcontrole (toegangsmachtigingen voor gebruikersrechten voor toegang tot en wijziging van gegevens);
  • Geen ongeoorloofd Lezen, Kopiëren, Wijzigingen of Verwijderingen van Gegevens binnen het systeem;
  • Isolatiecontrole;
  • De geïsoleerde Verwerking van Gegevens die voor verschillende doeleinden zijn verzameld;
  • Versleuteling; en,
  • De verwerking van persoonsgegevens op een zodanige wijze dat de gegevens niet kunnen worden gekoppeld aan een specifieke Betrokkene zonder de hulp van aanvullende Informatie, mits deze aanvullende informatie apart wordt opgeslagen en onderworpen is aan passende technische en organisatorische maatregelen.

Integriteit

  • Gegevensoverdrachtcontrole;
  • Geen ongeoorloofd Lezen, Kopiëren, Wijzigingen of Verwijderingen van Gegevens bij elektronische overdracht of transport;
  • Gegevensinvoercontrole; en,
  • Intrusiedetectie.

Beschikbaarheid en Veerkracht

  • Beschikbaarheidscontrole;
  • Voorkoming van toevallige of opzettelijke vernietiging of verlies, bv.: Backupstrategie (online/offline; on-site/off-site), Ononderbroken Stroomvoorziening (UPS), virusbescherming, firewall, rapportageprocedures en noodplanning; en,
  • Snelle Herstel.

Procedures voor regelmatige testen, beoordeling en evaluatie

  • Gegevensbeschermingsbeheer;
  • Incidentresponsbeheer;
  • Gegevensbescherming door ontwerp en standaard.

Bijlage 3 - Lijst van Sub-Verwerkers

  • Hetzner (Cloud Platform) – Gebruikt voor backend services inclusief hosting, real-time database en authenticatie (DE).
  • AWS S3 – Gebruikt voor het opslaan van alle geüploade media (foto's en video's) (EU - FR).
  • Brevo – Gebruikt voor het verzenden van transactie-e-mails zoals welkomst-e-mails, accountverificatie en evenementupdates (FR).
  • Cloudflare – Gebruikt voor content delivery (CDN), load balancing en bescherming van LensGo tegen kwaadwillend verkeer en DDoS-aanvallen (EU - SE).
  • Mollie – Gebruikt voor het beheren van upgrades, betalingsverwerking, facturering en optreden als onze merchant of record (EU - NL).
  • Google Ads – Gebruikt voor het uitvoeren en volgen van onze eigen marketing- en reclamecampagnes. Niet voor retargeting van gebruikers zonder toestemming (VS).
  • Rewardful – Gebruikt voor het beheren van affiliate tracking, verwijzingen en het berekenen van commissiebetalingen aan onze partners (CA).

Bijlage 4 - Standaardcontractuele Clausules

DEEL I

Module Twee: Overdracht Verwerkingsverantwoordelijke naar Verwerker (C2P)

Clausule 1 - Doel en reikwijdte

  1. Het doel van deze standaardcontractuele clausules is om te zorgen voor naleving van de vereisten van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming) voor de overdracht van persoonsgegevens naar een derde land.
  2. De Partijen: de natuurlijke of rechtspersoon(en), openbare instantie(s), agentschap(pen) of andere instantie(s) (hierna "entiteit(en)") die de persoonsgegevens overdragen, zoals vermeld in Bijlage I.A. (hierna elk een "gegevensuitvoerder"), en de entiteit(en) in een derde land die de persoonsgegevens van de gegevensuitvoerder ontvangen, rechtstreeks of via een andere entiteit die ook partij is bij deze Clausules, zoals vermeld in Bijlage I.A. (hierna elk een "gegevensimporteur") hebben ingestemd met deze standaardcontractuele clausules (hierna: "Clausules").
  3. Deze Clausules zijn van toepassing met betrekking tot de overdracht van persoonsgegevens zoals gespecificeerd in Bijlage I.B.
  4. De Bijlage bij deze Clausules die de daarin genoemde Bijlagen bevat, vormt een integraal onderdeel van deze Clausules.

Clausule 2 - Werking en onveranderlijkheid van de Clausules

  1. Deze Clausules stellen passende waarborgen vast, waaronder afdwingbare rechten voor betrokkenen en effectieve rechtsmiddelen, krachtens artikel 46, lid 1, en artikel 46, lid 2, onder c), van Verordening (EU) 2016/679 en, met betrekking tot gegevensoverdrachten van verwerkingsverantwoordelijken naar verwerkers en/of van verwerkers naar verwerkers, standaardcontractuele clausules krachtens artikel 28, lid 7, van Verordening (EU) 2016/679, mits zij niet worden gewijzigd, behalve om de passende Module(s) te selecteren of om informatie in de Bijlage toe te voegen of bij te werken. Dit belet de Partijen niet om de in deze Clausules neergelegde standaardcontractuele clausules op te nemen in een ruimere overeenkomst en/of om andere clausules of aanvullende waarborgen toe te voegen, mits zij niet, rechtstreeks of onrechtstreeks, in strijd zijn met deze Clausules of de fundamentele rechten of vrijheden van betrokkenen schaden.
  2. Deze Clausules doen geen afbreuk aan de verplichtingen waaraan de gegevensuitvoerder onderworpen is krachtens Verordening (EU) 2016/679.

Clausule 3 - Begunstigden van derden

  1. Betrokkenen kunnen deze Clausules als begunstigden van derden inroepen en afdwingen tegen de gegevensuitvoerder en/of gegevensimporteur, met de volgende uitzonderingen:
  2. Clausule 1, Clausule 2, Clausule 3, Clausule 6, Clausule 7;
  3. Clausule 8 - Clausule 8.1(b), 8.9(a), (c), (d) en (e);
  4. Clausule 9 - Clausule 9(a), (c), (d) en (e);
  5. Clausule 12 - Clausule 12(a), (d) en (f);
  6. Clausule 13;
  7. Clausule 15.1(c), (d) en (e);
  8. Clausule 16(e);
  9. Clausule 18 - Clausule 18(a) en (b).
  10. Lid (a) doet geen afbreuk aan de rechten van betrokkenen krachtens Verordening (EU) 2016/679.

Clausule 4 - Interpretatie

  1. Waar deze Clausules termen gebruiken die zijn gedefinieerd in Verordening (EU) 2016/679, hebben die termen dezelfde betekenis als in die verordening.
  2. Deze Clausules moeten worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.
  3. Deze Clausules mogen niet op een wijze worden geïnterpreteerd die in strijd is met de rechten en verplichtingen die zijn vastgelegd in Verordening (EU) 2016/679.

Clausule 5 - Hiërarchie

  1. In geval van een tegenspraak tussen deze Clausules en de bepalingen van gerelateerde overeenkomsten tussen de Partijen, die bestaan op het moment dat deze Clausules worden overeengekomen of daarna worden gesloten, prevaleren deze Clausules. In geval van een tegenspraak tussen deze Clausules en de bepalingen van gerelateerde overeenkomsten tussen de Partijen, die bestaan op het moment dat deze Clausules worden overeengekomen of daarna worden gesloten, prevaleren deze Clausules.

Clausule 6 - Beschrijving van de overdracht(en)

  1. De details van de overdracht(en), en in het bijzonder de categorieën persoonsgegevens die worden overgedragen en de doelstelling(en) waarvoor zij worden overgedragen, zijn gespecificeerd in Bijlage I.B.

Clausule 7 - Optioneel - Aansluitingsclausule

  1. Een entiteit die geen partij is bij deze Clausules, kan met instemming van de Partijen op elk moment toetreden tot deze Clausules, hetzij als gegevensuitvoerder, hetzij als gegevensimporteur, door de Bijlage in te vullen en Bijlage I.A. te ondertekenen.
  2. Zodra de toetredende entiteit de Bijlage heeft ingevuld en Bijlage I.A. heeft ondertekend, wordt de toetredende entiteit een partij bij deze Clausules en heeft zij de rechten en verplichtingen van een gegevensuitvoerder of gegevensimporteur in overeenstemming met haar aanduiding in Bijlage I.A.
  3. De toetredende entiteit heeft geen rechten of verplichtingen krachtens deze Clausules uit de periode vóór het een partij worden.

DEEL II - VERPLICHTINGEN VAN DE PARTIJEN

Clausule 8 - Waarborgen voor gegevensbescherming

dpa.annex4.clause8.content

Clausule 9 - Gebruik van sub-verwerkers

  1. De gegevensimporteur heeft de algemene autorisatie van de gegevensuitvoerder voor het inschakelen van sub-verwerkers van een overeengekomen lijst. De gegevensimporteur informeert de gegevensuitvoerder schriftelijk over eventuele beoogde wijzigingen in die lijst door toevoeging of vervanging van sub-verwerkers ten minste [specificeer tijdsperiode] van tevoren, waardoor de gegevensuitvoerder voldoende tijd heeft om bezwaar te kunnen maken tegen dergelijke wijzigingen voordat de sub-verwerker(s) worden ingeschakeld. De gegevensimporteur verstrekt de gegevensuitvoerder de informatie die nodig is om de gegevensuitvoerder in staat te stellen zijn recht op bezwaar uit te oefenen.
  2. Wanneer de gegevensimporteur een sub-verwerker inschakelt om specifieke verwerkingsactiviteiten uit te voeren (namens de gegevensuitvoerder), doet hij dit door middel van een schriftelijke overeenkomst die in wezen dezelfde gegevensbeschermings verplichtingen bevat als die waaraan de gegevensimporteur onder deze Clausules gebonden is, inclusief wat betreft rechten van begunstigden van derden voor betrokkenen. De Partijen komen overeen dat de gegevensimporteur door het naleven van deze clausule voldoet aan zijn verplichtingen onder Clausule 8.8. De gegevensimporteur zorgt ervoor dat de sub-verwerker voldoet aan de verplichtingen waaraan de gegevensimporteur onderworpen is krachtens deze Clausules.
  3. De gegevensimporteur verstrekt, op verzoek van de gegevensuitvoerder, een kopie van een dergelijke sub-verwerkersovereenkomst en eventuele daaropvolgende wijzigingen aan de gegevensuitvoerder. Voor zover noodzakelijk om bedrijfsgeheimen of andere vertrouwelijke informatie, inclusief persoonsgegevens, te beschermen, mag de gegevensimporteur de tekst van de overeenkomst zwart maken voordat een kopie wordt gedeeld.
  4. De gegevensimporteur blijft volledig verantwoordelijk tegenover de gegevensuitvoerder voor de nakoming van de verplichtingen van de sub-verwerker krachtens zijn overeenkomst met de gegevensimporteur. De gegevensimporteur informeert de gegevensuitvoerder over elk falen van de sub-verwerker om aan zijn verplichtingen krachtens die overeenkomst te voldoen.
  5. De gegevensimporteur komt overeen met de sub-verwerker over een clausule voor begunstigden van derden, waarbij - in het geval de gegevensimporteur feitelijk is verdwenen, heeft opgehouden te bestaan volgens de wet of insolvent is geworden - de gegevensuitvoerder het recht heeft om de sub-verwerkersovereenkomst te beëindigen en de sub-verwerker op te dragen de persoonsgegevens te wissen of terug te geven.

Clausule 10 - Rechten van betrokkenen

  1. De gegevensimporteur informeert de gegevensuitvoerder onverwijld over elk verzoek dat hij van een betrokkene heeft ontvangen. Hij reageert niet zelf op dat verzoek, tenzij hij daartoe gemachtigd is door de gegevensuitvoerder.
  2. De gegevensimporteur ondersteunt de gegevensuitvoerder bij het nakomen van zijn verplichtingen om te reageren op verzoeken van betrokkenen om hun rechten krachtens Verordening (EU) 2016/679 uit te oefenen. In dit verband leggen de Partijen in Bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking, waarmee de ondersteuning zal worden verleend, alsmede de omvang en de mate van de vereiste ondersteuning.
  3. Bij het nakomen van zijn verplichtingen onder de leden (a) en (b) voldoet de gegevensimporteur aan de instructies van de gegevensuitvoerder.

Clausule 11 - Rechtsherstel

  1. De gegevensimporteur informeert betrokkenen op een transparante en gemakkelijk toegankelijke manier, via individuele kennisgeving of op zijn website, over een contactpunt dat bevoegd is om klachten af te handelen. Hij behandelt klachten die hij van een betrokkene ontvangt, onverwijld.
  2. In geval van een geschil tussen een betrokkene en een van de Partijen met betrekking tot de naleving van deze Clausules, zal die Partij zijn uiterste best doen om het probleem op minzame wijze tijdig op te lossen. De Partijen houden elkaar op de hoogte van dergelijke geschillen en werken, waar passend, samen bij het oplossen ervan.
  3. Wanneer de betrokkene een recht van een begunstigde van derden inroept krachtens Clausule 3, aanvaardt de gegevensimporteur de beslissing van de betrokkene om:
  4. een klacht in te dienen bij de toezichthoudende autoriteit in de lidstaat van zijn/haar gewone verblijfplaats of werkplek, of bij de bevoegde toezichthoudende autoriteit krachtens Clausule 13;
  5. het geschil voor te leggen aan de bevoegde rechtbanken in de zin van Clausule 18.
  6. De Partijen aanvaarden dat de betrokkene vertegenwoordigd kan worden door een niet-commerciële organisatie, organisatie of vereniging onder de voorwaarden uiteengezet in artikel 80, lid 1, van Verordening (EU) 2016/679.
  7. De gegevensimporteur houdt zich aan een beslissing die bindend is krachtens het toepasselijke EU- of lidstaatrecht.
  8. De gegevensimporteur gaat ermee akkoord dat de keuze van de betrokkene zijn/haar materiële en procedurele rechten om rechtsmiddelen te zoeken in overeenstemming met het toepasselijke recht niet zal schaden.

Clausule 12 - Aansprakelijkheid

  1. Elke Partij is aansprakelijk tegenover de andere Partij(en) voor eventuele schade die zij de andere Partij(en) toebrengt door enige schending van deze Clausules.
  2. De gegevensimporteur is aansprakelijk tegenover de betrokkene, en de betrokkene heeft recht op schadevergoeding voor eventuele materiële of immateriële schade die de gegevensimporteur of zijn sub-verwerker de betrokkene toebrengt door schending van de rechten van begunstigden van derden onder deze Clausules.
  3. Ondanks lid (b) is de gegevensuitvoerder aansprakelijk tegenover de betrokkene, en heeft de betrokkene recht op schadevergoeding voor eventuele materiële of immateriële schade die de gegevensuitvoerder of de gegevensimporteur (of zijn sub-verwerker) de betrokkene toebrengt door schending van de rechten van begunstigden van derden onder deze Clausules. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensuitvoerder en, waar de gegevensuitvoerder een verwerker is die optreedt namens een verwerkingsverantwoordelijke, aan de aansprakelijkheid van de verwerkingsverantwoordelijke krachtens Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, voor zover van toepassing.
  4. De Partijen komen overeen dat, als de gegevensuitvoerder aansprakelijk wordt gesteld krachtens lid (c) voor schade veroorzaakt door de gegevensimporteur (of zijn sub-verwerker), hij het recht heeft om van de gegevensimporteur dat deel van de schadevergoeding terug te vorderen dat overeenkomt met de verantwoordelijkheid van de gegevensimporteur voor de schade.
  5. Wanneer meer dan één Partij verantwoordelijk is voor enige schade die een betrokkene wordt toegebracht als gevolg van een schending van deze Clausules, zijn alle verantwoordelijke Partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht om een rechtszaak aan te spannen tegen een van deze Partijen.
  6. De Partijen komen overeen dat, als één Partij aansprakelijk wordt gesteld krachtens lid (e), hij het recht heeft om van de andere Partij(en) dat deel van de schadevergoeding terug te vorderen dat overeenkomt met hun verantwoordelijkheid voor de schade.
  7. De gegevensimporteur kan het gedrag van een sub-verwerker niet aanvoeren om zijn eigen aansprakelijkheid te ontlopen.

Clausule 13 - Toezicht

  1. De toezichthoudende autoriteit van een van de lidstaten waarin de betrokkenen wier persoonsgegevens krachtens deze Clausules worden overgedragen in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gemonitord, gevestigd zijn, zoals aangegeven in Bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit.
  2. De gegevensimporteur gaat ermee akkoord zich te onderwerpen aan de rechtsmacht van en samen te werken met de bevoegde toezichthoudende autoriteit in procedures die gericht zijn op het waarborgen van de naleving van deze Clausules. In het bijzonder gaat de gegevensimporteur ermee akkoord om te reageren op vragen, zich te onderwerpen aan audits en te voldoen aan de maatregelen die door de toezichthoudende autoriteit zijn genomen, inclusief herstel- en compensatiemaatregelen. Hij verstrekt de toezichthoudende autoriteit een schriftelijke bevestiging dat de nodige acties zijn ondernomen.

DEEL III - LOKALE WETTEN EN VERPLICHTINGEN IN GEVAL VAN TOEGANG DOOR OPENBARE AUTORITEITEN

Clausule 14 - Lokale wetten en praktijken die de naleving van de Clausules beïnvloeden

  1. De Partijen verklaren dat zij geen reden hebben om aan te nemen dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur, inclusief eventuele vereisten om persoonsgegevens openbaar te maken of maatregelen die toegang door openbare autoriteiten autoriseren, de gegevensimporteur beletten om aan zijn verplichtingen onder deze Clausules te voldoen. Dit is gebaseerd op het begrip dat wetten en praktijken die de essentie van de fundamentele rechten en vrijheden respecteren en niet verder gaan dan wat noodzakelijk en proportioneel is in een democratische samenleving om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in strijd zijn met deze Clausules.
  2. De Partijen verklaren dat zij bij het verstrekken van de garantie in lid (a) in het bijzonder rekening hebben gehouden met de volgende elementen:
  3. de specifieke omstandigheden van de overdracht, inclusief de lengte van de verwerkingsketen, het aantal betrokken actoren en de gebruikte transmissiekanalen; beoogde verdere overdrachten; het type ontvanger; het doel van de verwerking; de categorieën en het formaat van de overgedragen persoonsgegevens; de economische sector waarin de overdracht plaatsvindt; de opslaglocatie van de overgedragen gegevens;
  4. de wetten en praktijken van het derde land van bestemming - inclusief die welke de openbaarmaking van gegevens aan openbare autoriteiten vereisen of toegang door dergelijke autoriteiten autoriseren - relevant in het licht van de specifieke omstandigheden van de overdracht, en de toepasselijke beperkingen en waarborgen;
  5. eventuele relevante contractuele, technische of organisatorische waarborgen die zijn getroffen om de waarborgen onder deze Clausules aan te vullen, inclusief maatregelen die tijdens de transmissie en voor de verwerking van de persoonsgegevens in het land van bestemming zijn toegepast.
  6. De gegevensimporteur garandeert dat hij bij het uitvoeren van de beoordeling onder lid (b) zijn uiterste best heeft gedaan om de gegevensuitvoerder relevante informatie te verstrekken en gaat ermee akkoord dat hij zal blijven samenwerken met de gegevensuitvoerder om de naleving van deze Clausules te waarborgen.
  7. De Partijen komen overeen om de beoordeling onder lid (b) te documenteren en deze op verzoek beschikbaar te stellen aan de bevoegde toezichthoudende autoriteit.
  8. De gegevensimporteur gaat ermee akkoord de gegevensuitvoerder onverwijld te informeren als hij, nadat hij heeft ingestemd met deze Clausules en voor de duur van de overeenkomst, reden heeft om aan te nemen dat hij onderworpen is aan of is geworden aan wetten of praktijken die niet in lijn zijn met de vereisten onder lid (a), inclusief na een wijziging in de wetten van het derde land of een maatregel (zoals een verzoek tot openbaarmaking) die aangeeft dat dergelijke wetten in de praktijk worden toegepast op een wijze die niet in lijn is met de vereisten in lid (a).
  9. Na een kennisgeving krachtens lid (e), of als de gegevensuitvoerder om andere redenen aanneemt dat de gegevensimporteur niet langer in staat is om aan zijn verplichtingen onder deze Clausules te voldoen, identificeert de gegevensuitvoerder onverwijld passende maatregelen (bijv. technische of organisatorische maatregelen om de veiligheid en vertrouwelijkheid te waarborgen) die door de gegevensuitvoerder en/of gegevensimporteur moeten worden genomen om de situatie aan te pakken. De gegevensuitvoerder schort de gegevensoverdracht op als hij van oordeel is dat geen passende waarborgen voor een dergelijke overdracht kunnen worden gewaarborgd, of als hij daartoe opgedragen wordt door de bevoegde toezichthoudende autoriteit. In dit geval is de gegevensuitvoerder gerechtigd om de overeenkomst te beëindigen, voor zover het de verwerking van persoonsgegevens onder deze Clausules betreft. Als de overeenkomst meer dan twee Partijen betreft, kan de gegevensuitvoerder dit recht op beëindiging alleen uitoefenen met betrekking tot de relevante Partij, tenzij de Partijen anders hebben overeengekomen. Wanneer de overeenkomst krachtens deze clausule wordt beëindigd, zijn Clausule 16(d) en (e) van toepassing.

Clausule 15 - Verplichtingen van de gegevensimporteur in geval van toegang door openbare autoriteiten

dpa.annex4.clause15.content

DEEL IV - SLOTBEPALINGEN

Clausule 16 - Niet-naleving van de Clausules en beëindiging

  1. De gegevensimporteur informeert de gegevensuitvoerder onverwijld als hij niet in staat is om aan deze Clausules te voldoen, om welke reden dan ook.
  2. In het geval dat de gegevensimporteur in strijd handelt met deze Clausules of niet in staat is om aan deze Clausules te voldoen, schort de gegevensuitvoerder de overdracht van persoonsgegevens naar de gegevensimporteur op totdat de naleving opnieuw is gewaarborgd of de overeenkomst is beëindigd. Dit doet geen afbreuk aan Clausule 14(f).
  3. De gegevensuitvoerder is gerechtigd om de overeenkomst te beëindigen, voor zover het de verwerking van persoonsgegevens onder deze Clausules betreft, wanneer:
  4. de gegevensuitvoerder de overdracht van persoonsgegevens naar de gegevensimporteur krachtens lid (b) heeft opgeschort en de naleving van deze Clausules niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting is hersteld;
  5. de gegevensimporteur in wezenlijke of aanhoudende strijd handelt met deze Clausules; of
  6. de gegevensimporteur niet voldoet aan een bindende beslissing van een bevoegde rechtbank of toezichthoudende autoriteit met betrekking tot zijn verplichtingen onder deze Clausules.
  7. In deze gevallen informeert hij de bevoegde toezichthoudende autoriteit over een dergelijke niet-naleving. Wanneer de overeenkomst meer dan twee Partijen betreft, kan de gegevensuitvoerder dit recht op beëindiging alleen uitoefenen met betrekking tot de relevante Partij, tenzij de Partijen anders hebben overeengekomen.
  8. Persoonsgegevens die vóór de beëindiging van de overeenkomst krachtens lid (c) zijn overgedragen, zullen naar keuze van de gegevensuitvoerder onmiddellijk aan de gegevensuitvoerder worden teruggegeven of in hun geheel worden gewist. Hetzelfde geldt voor eventuele kopieën van de gegevens. De gegevensimporteur zal de gegevensuitvoerder een bevestiging van de verwijdering van de gegevens verstrekken. Totdat de gegevens zijn gewist of teruggegeven, zal de gegevensimporteur blijven zorgen voor naleving van deze Clausules. In geval van lokale wetten die van toepassing zijn op de gegevensimporteur en die de teruggave of het wissen van de overgedragen persoonsgegevens verbieden, garandeert de gegevensimporteur dat hij zal blijven zorgen voor naleving van deze Clausules en de gegevens alleen zal verwerken in de mate en voor zolang als vereist onder die lokale wet.
  9. Elke Partij kan zijn instemming om gebonden te zijn aan deze Clausules intrekken wanneer (i) de Europese Commissie een besluit neemt krachtens artikel 45, lid 3, van Verordening (EU) 2016/679 dat de overdracht van persoonsgegevens waar deze Clausules op van toepassing zijn, dekt; of (ii) Verordening (EU) 2016/679 deel uitgaat maken van het juridische kader van het land waarnaar de persoonsgegevens worden overgedragen. Dit doet geen afbreuk aan andere verplichtingen die van toepassing zijn op de verwerking in kwestie onder Verordening (EU) 2016/679.

Clausule 17 - Toepasselijk recht

Deze Clausules vallen onder het recht van een van de EU-lidstaten, mits een dergelijk recht rechten van begunstigden van derden toestaat. De Partijen komen overeen dat dit het recht van Ierland zal zijn.

Clausule 18 - Keuze van forum en rechtsmacht

  1. Elk geschil dat voortvloeit uit deze Clausules zal worden opgelost door de rechtbanken van een EU-lidstaat.
  2. De Partijen komen overeen dat dit de rechtbanken van Ierland zullen zijn.
  3. Een betrokkene kan ook gerechtelijke procedures aanspannen tegen de gegevensuitvoerder en/of gegevensimporteur bij de rechtbanken van de lidstaat waar hij/zij zijn/haar gewone verblijfplaats heeft.
  4. De Partijen komen overeen zich te onderwerpen aan de rechtsmacht van dergelijke rechtbanken.