Deze Gegevensverwerkingsovereenkomst ("DPA") wijzigt en maakt deel uit van de Overeenkomst (zoals hieronder gedefinieerd) tussen de Provider en u als gebruiker van de Diensten van de Provider ("Klant"). 

Voor de doeleinden van deze DPA hebben de volgende termen de volgende betekenis:

• "Overeenkomsten" betekent elke overeenkomst tussen de Provider en de Klant voor de Diensten, ongeacht de titel, zoals "Bestelformulier", "Verkooporder", "Gebruiksvoorwaarden", "Voorwaarden voor dienstverlening", "SaaS-overeenkomst" of "Dienstenovereenkomst".
• "Verantwoordelijke" heeft de betekenis zoals gedefinieerd in de GDPR.
• "Klantaccount en gebruiksgegevens" betekent informatie over de Klant die de Klant aan de Provider verstrekt in verband met de creatie en administratie van een account, zoals de voor- en achternaam, gebruikersnaam, e-mailadres en facturerings- en betalingsinformatie van personen die aan een account zijn gekoppeld. Dit omvat ook statistische of analytische informatie met betrekking tot het gebruik van de Dienst door de Klant en alle afgeleide gegevens. 
• "Klantgegevens" betekent de gegevens die door de Provider worden verwerkt in verband met de levering van de Diensten, zoals beschreven in de Overeenkomst, met uitzondering van Klantaccount en gebruiksgegevens.
• "Klantpersoonsgegevens" betekent Klantgegevens, die bestaan uit Persoonsgegevens.
• "Gegevensbeschermingswet(ten)" betekent elke toepasselijke wetgeving of regeling met betrekking tot de verwerking van persoonsgegevens, inclusief (a) de California Consumer Privacy Act en de uitvoeringsregelingen daarvan; (b) de GDPR (zoals hieronder gedefinieerd) en gerelateerde gegevensbeschermings- en privacywetten van de lidstaten van de Europese Economische Ruimte; (c) de Data Protection Act 2018 van het Verenigd Koninkrijk ("UK GDPR"); en (d) de Zwitserse Federale Wet op Gegevensbescherming ("Zwitserse DPA"), elk voor zover van toepassing en zoals gewijzigd, ingetrokken, samengevoegd of vervangen van tijd tot tijd.
• "Europese Ruimte" betekent de Europese Unie, de Europese Economische Ruimte, Zwitserland en het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland ("VK"). 
• "GDPR" betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en inzake de vrije beweging van die gegevens, en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
• "Persoonsgegevens" betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon die de Provider verwerkt namens de Klant onder de Overeenkomst. 
• "Inbreuk op persoonsgegevens" betekent een inbreuk op de beveiliging die leidt tot de onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van, of toegang tot, Persoonsgegevens. Een inbreuk op persoonsgegevens omvat geen mislukte pogingen of activiteiten die de vertrouwelijkheid, beschikbaarheid of integriteit van Klantgegevens of vertrouwelijke informatie niet in gevaar brengen, inclusief mislukte inlogpogingen, pings, poortscans, denial-of-service-aanvallen en andere soortgelijke incidenten.
• "Verwerken" of "Verwerking" betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonsgegevens of op sets van persoonsgegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, registratie, organisatie, structurering, opslag, aanpassing of wijziging, ophalen, raadplegen, gebruiken, openbaarmaken door middel van overdracht, verspreiding of anderszins beschikbaar stellen, uitlijnen of combineren, beperking, wissen of vernietigen.
• "Beperkte overdracht" betekent (a) waar de GDPR van toepassing is, een overdracht van Klantpersoonsgegevens of Klantaccount en gebruiksgegevens van de EER naar een land buiten de EER dat niet onderworpen is aan een adequaatheidsbepaling door de Europese Commissie; (b) waar de Zwitserse DPA van toepassing is, een overdracht van Klantpersoonsgegevens of Klantaccount en gebruiksgegevens van Zwitserland naar een land dat niet onderworpen is aan een adequaatheidsbepaling door de Zwitserse Federale Gegevensbeschermings- en Informatiewaakhond; en (c) waar de UK GDPR van toepassing is, een overdracht van Klantpersoonsgegevens of Klantaccount en gebruiksgegevens van het VK naar een land dat niet onderworpen is aan adequaatheidsregelingen onder sectie 17A van de Britse Gegevensbeschermingswet van 2018.
• "Standaardcontractbepalingen" betekent (a) waar de GDPR van toepassing is, de standaardcontractbepalingen die zijn gehecht aan de Uitvoeringsbeslissing 2021/914 van de Europese Commissie van 4 juni 2021 over standaardcontractbepalingen voor de overdracht van persoonsgegevens naar Derde Landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad ("EU SCCs"); (b) waar de UK GDPR van toepassing is, de Internationale Gegevensoverdrachtsaanvulling bij de standaardcontractbepalingen van de EU Commissie, uitgegeven door de Britse Informatiecommissaris, Versie B1.0, van kracht op 21 maart 2022 ("UK SCCs"); en (c) waar de Zwitserse DPA van toepassing is, de toepasselijke standaard gegevensbeschermingsclausules die zijn uitgegeven, goedgekeurd of erkend door de Zwitserse Federale Gegevensbeschermings- en Informatiewaakhond (de "Zwitserse SCCs"), elk zoals van tijd tot tijd kan worden bijgewerkt.
• "Derde Land" betekent landen die, voor zover vereist door toepasselijke Gegevensbeschermingswetten, geen adequaatheidsbeslissing hebben ontvangen van een bevoegde autoriteit met betrekking tot grensoverschrijdende gegevensoverdrachten van Persoonsgegevens, inclusief toezichthouders zoals de Europese Commissie, UK ICO of Zwitserse FDPIC.

Hoofdletters die hierboven worden gebruikt maar niet gedefinieerd, hebben de betekenissen zoals uiteengezet in de Overeenkomst. Behalve zoals anders bepaald in deze DPA, hebben de termen "Bedrijf", "zakelijk doel", "commercieel doel", "Aannemer", "Verantwoordelijke", "Verwerken", "Verwerker", "Subverwerker", "Gegevenssubjecten", "de-identificeren", "Verkopen", "Dienstenaanbieder", "Delen" en "Derde Partij" dezelfde betekenis als in de toepasselijke Gegevensbeschermingswetten, en hun verwante termen zullen dienovereenkomstig worden geïnterpreteerd. Alle andere hoofdletters hebben dezelfde betekenis als in de Overeenkomst.

2.1. Klant Persoonsgegevens. De partijen komen overeen dat de Provider een Verwerker is met betrekking tot de Verwerking van Klant Persoonsgegevens. 

2.2. Account- en Gebruik Gegevens. De Partijen komen overeen dat Klant en Provider onafhankelijke Verantwoordelijken zijn met betrekking tot de Verwerking van Klant Account- en Gebruik Gegevens, en elke Partij zal voldoen aan zijn verplichtingen als Verantwoordelijke en stemt ermee in redelijke bijstand te verlenen aan de andere Partij wanneer dit door de Gegevens 2.3. Beschermingswetten. Met betrekking tot Klant Account- en Gebruik Gegevens is deze DPA niet van toepassing, behalve voor Sectie 7.

Het doel van de Verwerking onder deze DPA is het leveren van de Diensten onder de toepasselijke Overeenkomst(en). Bijlage A (Beschrijving van Verwerking en Overdrachtsdetails) beschrijft het onderwerp en de details van de Verwerking van Persoonsgegevens.

3.1. Klant stemt ermee in dat (a) hij moet voldoen aan zijn verplichtingen als Verwerkingsverantwoordelijke onder de GDPR en andere Gegevensbeschermingswetten waar dit concept wordt erkend met betrekking tot zijn verwerking van persoonsgegevens en eventuele verwerkingsinstructies die hij aan de Leverancier geeft zoals vermeld in Sectie 4.1; (b) hij kennis heeft gegeven en alle toestemmingen en rechten heeft verkregen die vereist zijn door de Gegevensbeschermingswetten voor de Leverancier om Klant Persoonsgegevens te verwerken overeenkomstig de Overeenkomst en deze DPA; en (c) de verwerking van Klant Persoonsgegevens door de Leverancier in overeenstemming met de gedocumenteerde instructies van de Klant onder Sectie 4.1 een wettelijke basis voor verwerking zal hebben overeenkomstig Artikel 6 van de GDPR en andere Gegevensbeschermingswetten die een wettelijke basis voor verwerking vereisen. 

3.2. Als Klant een Verwerker is, verklaart en garandeert Klant aan de Leverancier dat de instructies en acties van Klant met betrekking tot Klant Persoonsgegevens, inclusief de benoeming van de Leverancier als een andere verwerker, naar behoren zijn goedgekeurd door de relevante Verwerkingsverantwoordelijke. Klant moet de Leverancier schadeloosstellen, verdedigen en vrijwaren tegen eventuele claims, acties, procedures, kosten, schade en aansprakelijkheden (inclusief maar niet beperkt tot enige overheidsonderzoeken, klachten en acties) en redelijke advocaatkosten die voortvloeien uit de schending van deze Sectie door Klant. Ongeacht het tegendeel in de Overeenkomst, zijn de schadeloosstellingsverplichtingen van Klant onder deze Sectie niet onderhevig aan enige aansprakelijkheidsbeperkingen in de Overeenkomst.

4.1. Klant geeft de Provider instructies om Klant Persoonsgegevens te verwerken om de Diensten te leveren zoals gedocumenteerd in de Overeenkomst, tenzij anders vereist door toepasselijke wetgeving. Ter voorkoming van twijfel, deze DPA zal de gedocumenteerde instructies van de Klant aan de Provider vormen om de Persoonsgegevens van de Klant te verwerken in verband met de levering van de Dienst aan de Klant door de Provider. De Provider moet de Klant onmiddellijk informeren als, naar de mening van de Provider, een instructie in strijd is met de toepasselijke wetgeving.

4.2. Waar de Provider Klant Persoonsgegevens verwerkt in zijn hoedanigheid als Verwerker, zal de Provider Persoonsgegevens alleen gebruiken, bewaren, openbaar maken of anderszins verwerken voor zover nodig om namens de Klant te presteren en voor het specifieke zakelijke doel van het leveren van de Diensten. De Provider zal de Persoonsgegevens van de Klant niet "verkopen" binnen en in overeenstemming met de instructies van de Klant, inclusief zoals beschreven in de Overeenkomst. De Provider zal geen Persoonsgegevens Verkopen of Delen, noch gebruiken, bewaren, openbaar maken of anderszins Persoonsgegevens verwerken buiten zijn zakelijke relatie met de Klant of voor enig ander doel (inclusief het commerciële doel van de Provider) behalve zoals vereist of toegestaan door de wet. De Provider zal de Klant informeren als de Provider vaststelt dat hij niet langer in staat is om te voldoen aan zijn verplichtingen onder de Gegevensbeschermingswetten. De Provider of waar, naar de redelijke mening van de Provider, een van de instructies van de Klant inbreuk maakt op enige Gegevensbeschermingswetten. De Klant behoudt zich het recht voor om redelijke en passende stappen te ondernemen om (i) ervoor te zorgen dat de verwerking van Persoonsgegevens door de Provider consistent is met de verplichtingen van de Klant onder de Gegevensbeschermingswet en (ii) ongeoorloofd gebruik van Persoonsgegevens te beëindigen en te verhelpen. De Provider bevestigt dat hij de beperkingen van deze Sectie 4.2 begrijpt.

4.3. De Provider heeft het recht om Persoonsgegevens uitsluitend te gebruiken (i) voor zover nodig om (a) zijn verplichtingen onder de Overeenkomst en deze DPA uit te voeren; (b) om de Diensten te beheren, testen, onderhouden en verbeteren, inclusief als onderdeel van zijn bedrijfsvoering; (c) om aggregaten statistieken over de Diensten openbaar te maken op een manier die individuele identificatie of heridentificatie van de Klant, Klantgegevens, Persoonsgegevens, inclusief zonder beperking een individueel apparaat of individu voorkomt; en/of (d) om de Diensten te beschermen tegen een bedreiging voor de Diensten of Persoonsgegevens; of (ii) indien vereist door een gerechtelijk bevel van een rechtbank of bevoegde overheidsinstantie, op voorwaarde dat voorafgaand aan de Klant kennisgeving wordt gegeven; (iii) zoals anderszins uitdrukkelijk toegestaan door de Overeenkomst, deze DPA, of de Klant.

4.4. De Provider zal geen Persoonsgegevens die de Provider namens de Klant verwerkt, combineren met Persoonsgegevens die hij ontvangt van of namens een andere persoon of personen, of verzamelt uit zijn eigen interactie met individuen, op voorwaarde dat de Provider Persoonsgegevens kan combineren om een zakelijk doel te vervullen dat is toegestaan of vereist onder de Overeenkomst om de Diensten te leveren.

4.5. De Provider zal commercieel redelijke inspanningen leveren om ervoor te zorgen dat personen die door de Provider zijn gemachtigd om enige Klant Persoonsgegevens te verwerken, onderhevig zijn aan passende vertrouwelijkheidsverplichtingen. 

4.6. De Provider zal, rekening houdend met de aard van de verwerking, commercieel redelijke inspanningen leveren om de Klant, op kosten van de Klant, te helpen met passende technische en organisatorische maatregelen, voor zover mogelijk, bij de vervulling van de verplichting van de Klant om te reageren op verzoeken om de rechten van de betrokkenen met betrekking tot hun Persoonsgegevens onder de Gegevensbeschermingswetten uit te oefenen.

4.7. De Provider zal de Klant voorzien van bewijs over de naleving van de verplichtingen van de Provider onder deze DPA en de toepasselijke Gegevensbeschermingswetten, zoals samenvattende rapporten met betrekking tot SOC II Type 2 of ISO27001 beveiligingsaudits, of gelijkwaardig, op verzoek van de Klant en niet meer dan één keer per jaar, tenzij het verzoek verband houdt met een Persoonsgegevensinbreuk of een regelgevende enquête met betrekking tot het gebruik van de Diensten door de Klant.

4.8. Op verzoek van de Klant zal de Provider, naar keuze van de Klant, alle Klant Persoonsgegevens binnen dertig (30) dagen na het einde van de levering van de Diensten aan de Klant verwijderen of aan de Klant retourneren en bestaande kopieën verwijderen, tenzij de toepasselijke wetgeving het bewaren van Persoonsgegevens vereist.

4.9. De Provider zal de Klant onmiddellijk op de hoogte stellen als de Provider daadwerkelijk op de hoogte raakt van een Persoonsgegevensinbreuk, op voorwaarde dat de verstrekking van een dergelijke kennisgeving of enige reactie van de Provider niet zal worden opgevat als een erkenning van schuld of aansprakelijkheid met betrekking tot een dergelijke Persoonsgegevensinbreuk.

4.10. De Provider zal passende technische en organisatorische maatregelen nemen om de Persoonsgegevens van de Klant te beschermen die voldoen aan of de vereisten overtreffen die zijn opgenomen (a) onder de Gegevensbeschermingswet, en (b) Bijlage B bij deze DPA. De Klant erkent dat de beveiligingsmaatregelen die in Bijlage B zijn beschreven, onderhevig zijn aan technische vooruitgang en ontwikkeling en dat de Provider de beveiligingsmaatregelen van tijd tot tijd kan bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen de algehele beveiliging van de Diensten niet verslechteren of verminderen.

5.1. Onverminderd het bepaalde in Sectie 4, bij de verwerking van Persoonsgegevens met betrekking tot betrokkenen die zich in de Europese Economische Ruimte bevinden ("EU Persoonsgegevens"), zijn de volgende aanvullende voorwaarden van toepassing:

a) De Provider moet, rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor de Provider, commercieel redelijke inspanningen leveren om de Klant, op kosten van de Klant, te helpen bij het waarborgen van de naleving van de verplichtingen van de Klant zoals beschreven in Artikelen 32 tot en met 36 van de GDPR; en

b) De Provider moet, op redelijke verzoek van de Klant, informatie beschikbaar stellen die redelijk noodzakelijk is om materiële naleving van de verplichtingen in deze DPA aan te tonen en moet meewerken aan en bijdragen aan audits (elk een "Audit"), op kosten van de Klant, inclusief inspecties van verwerkingsfaciliteiten onder controle van de Provider, uitgevoerd door de Klant of een andere door de Klant gekozen auditor (een "Auditor"), tijdens normale kantooruren en na redelijke voorafgaande kennisgeving, op voorwaarde dat geen enkele Auditor een concurrent van de Provider zal zijn, en verder op voorwaarde dat de Klant in geen geval toegang zal hebben tot de informatie van enige andere klant van de Provider en de openbaarmakingen die krachtens deze Sectie 5.1(b) zijn gedaan ("Audit Informatie") vertrouwelijk zullen worden behandeld als vertrouwelijke informatie van de Provider en onderhevig zijn aan enige vertrouwelijkheidsverplichtingen in de Overeenkomst, en verder op voorwaarde dat er geen Audit zal worden uitgevoerd tenzij of totdat de Klant heeft verzocht, en de Provider documentatie heeft verstrekt krachtens deze Sectie en de Klant redelijkerwijs vaststelt dat een Audit noodzakelijk blijft om materiële naleving van de verplichtingen in deze DPA aan te tonen. Zonder afbreuk te doen aan de algemeenheid van enige bepaling in de Overeenkomst, moet de Klant dezelfde zorgvuldigheid hanteren om Audit Informatie te beschermen als die welke hij gebruikt om zijn eigen vertrouwelijke en eigendomsinformatie te beschermen en in elk geval niet minder dan een redelijke zorgvuldigheid onder de omstandigheden, en de Klant is aansprakelijk voor enige onjuiste openbaarmaking of gebruik van Audit Informatie door de Klant of zijn agenten.

6.1. Subverwerkers helpen de Provider bij het verwerken van Persoonsgegevens zoals uiteengezet in deze DPA. De Provider zal contractuele afspraken maken met subverwerkers die hetzelfde niveau van naleving van gegevensbescherming en informatiebeveiliging vereisen als voorzien in deze DPA. Door het aangaan van de Overeenkomst en deze DPA stemt de Klant in met de verwerking van Persoonsgegevens door de openbaarmaking en overdracht van Persoonsgegevens aan de subverwerkers die zijn vermeld op https://www.pdffiller.com/en/subprocessors.htm ("Subverwerkerlijst"). De Provider zal de Klant informeren over eventuele voorgenomen wijzigingen om subverwerkers aan de Subverwerkerlijst toe te voegen of te vervangen door een bijgewerkte lijst van subverwerkers te plaatsen ten minste tien (10) kalenderdagen voordat de nieuwe subverwerker EU Persoonsgegevens verwerkt. 

6.2. Klant kan binnen vijf (5) kalenderdagen na een dergelijke kennisgeving schriftelijk bezwaar maken tegen dergelijke wijzigingen, op voorwaarde dat dit bezwaar is gebaseerd op redelijke gronden met betrekking tot gegevensbescherming (een "Bezwaar") door het indienen van pdfFiller Subverwerker Actieformulier. In het geval van een Bezwaar zullen de partijen dergelijke zorgen te goeder trouw bespreken met de bedoeling een oplossing te bereiken. Als de partijen er niet in slagen een oplossing te bereiken zoals beschreven in de vorige zin, kan de Klant, als enige en exclusieve remedie, de Overeenkomst om gemak beëindigen, op voorwaarde dat de Klant schriftelijke kennisgeving aan de Provider geeft binnen vijf (5) kalenderdagen na te zijn geïnformeerd over de inschakeling van de subverwerker. De Klant heeft geen recht op terugbetaling van vergoedingen die vóór de datum van enige beëindiging op grond van deze Sectie zijn betaald.

7.1. Klant stemt in met de overdracht en de verwerking van EU Persoonsgegevens in de Verenigde Staten van Amerika.

7.2. Overdrachten vanuit de EER. Waar een Beperkte Overdracht wordt gedaan vanuit de EER, zijn de EU SCC's opgenomen in deze DPA en zijn van toepassing op de overdracht als volgt:

         a) Met betrekking tot Beperkte Overdrachten van Klant naar Provider, is Module Eén van toepassing waar zowel Klant als Provider Verwerkingsverantwoordelijken zijn, is Module Twee van toepassing waar Klant een Verwerkingsverantwoordelijke is en Provider een Verwerker is, en is Module Drie van toepassing waar zowel Klant als Provider Verwerkers zijn.

         b) In Clausule 7 is de optionele dockingclausule niet van toepassing;

         c) In Clausule 9 van Modules Twee en Drie is Optie 2 van toepassing, en de termijn voor voorafgaande kennisgeving van wijzigingen in subprocessors is gespecificeerd in Sectie 6 van deze DPA.

         d) In Clausule 11 is de optionele taal niet van toepassing

         e) In Clausule 17 is Optie 1 van toepassing met het toepasselijke recht dat is aangewezen in de Keuze van Recht; Jurisdictie sectie van de Overeenkomst. Als de Overeenkomst niet wordt beheerst door de wet van een EU-lidstaat, worden de Standaardcontractbepalingen beheerst door (i) de wetten van Ierland, of (ii) waar de Overeenkomst wordt beheerst door de wetten van het Verenigd Koninkrijk, de wetten van Engeland en Wales.

         f) in Clausule 18(b) zullen geschillen worden opgelost voor de rechtbanken in de toepasselijke jurisdictie van de Overeenkomst. Als de Overeenkomst geen EU-lidstaat rechtbank aanwijst als exclusief bevoegd om geschillen of rechtszaken die voortvloeien uit of verband houden met deze Overeenkomst op te lossen, stemmen de partijen ermee in dat de rechtbanken van (i) Ierland; of (ii) waar de Overeenkomst het Verenigd Koninkrijk aanwijst als exclusief bevoegd, de rechtbanken van Engeland en Wales exclusieve bevoegdheid hebben om geschillen die voortvloeien uit de Standaardcontractbepalingen op te lossen. Voor Betrokkenen die gewoonlijk in Zwitserland verblijven, zijn de rechtbanken van Zwitserland een alternatieve plaats van jurisdictie met betrekking tot geschillen.

         g) Bijlage I van de SCC's is aangevuld met de informatie in Schema A van deze DPA; en

         h) Bijlage II van de SCC's is aangevuld met de informatie in Schema B van deze DPA, en Bijlage III van de SCC's is aangevuld met de informatie in de Subprocessorslijst.

7.3. Overdrachten vanuit Zwitserland. In geval van enige overdrachten van Gegevens vanuit Zwitserland, (a) hebben algemene en specifieke verwijzingen in de EU SCC's naar GDPR of EU- of lidstaatwet dezelfde betekenis als de equivalente verwijzing in de Zwitserse DPA, voor zover van toepassing; en (b) verwijzen enige andere verplichtingen in de EU SCC's die zijn bepaald door de lidstaat waarin de gegevensexporteur of Betrokkene is gevestigd naar een verplichting onder de Zwitserse DPA, voor zover van toepassing.

7.4. Overdrachten vanuit het VK. Waar een Beperkte Overdracht wordt gedaan vanuit het VK, is de UK Transfer Addendum opgenomen in deze DPA en is van toepassing op de overdracht. De UK Transfer Addendum is aangevuld met de informatie in Sectie 7.2, de Subprocessorslijst, en Schema's A en B van deze DPA; en zowel "Importeur" als "Exporteur" zijn geselecteerd in Tabel 4.

7.5. Als Provider een alternatief gegevensexportmechanisme (inclusief enige nieuwe versie van of opvolger van de Standaardcontractbepalingen of Privacy Shield aangenomen op grond van de Gegevensbeschermingswet) aanneemt voor de overdracht van persoonsgegevens die niet in deze DPA worden beschreven ("Alternatief Overdrachtsmechanisme"), is het Alternatieve Overdrachtsmechanisme van toepassing in plaats van enig toepasselijk overdrachtsmechanisme dat in deze DPA wordt beschreven (maar alleen voor zover dit Alternatieve Overdrachtsmechanisme voldoet aan de Gegevensbeschermingswet en zich uitstrekt tot de gebieden waartoe Persoonsgegevens worden overgedragen).

8.1. De voorwaarden van deze DPA zullen de overhand hebben voor zover er een conflict is tussen de voorwaarden van deze DPA en de voorwaarden van de Overeenkomst. Als er een conflict is tussen deze DPA en de Standaard Contractuele Clausules, zullen de Standaard Contractuele Clausules prevaleren met betrekking tot EU-, Zwitserse of VK-persoonsgegevens. Behalve zoals specifiek gewijzigd en aangepast door deze DPA, blijven de voorwaarden en bepalingen van de Overeenkomst ongewijzigd en volledig van kracht. Behalve zoals uiteengezet in Sectie 3 van deze DPA, zijn de verplichtingen die in deze DPA zijn opgenomen (a) onderhevig aan eventuele aansprakelijkheidsbeperkingen die in de Overeenkomst zijn uiteengezet, en (b) naast de andere verplichtingen die in de Overeenkomst zijn opgenomen. Deze DPA kan elektronisch worden ondertekend, inclusief het gebruik van de elektronische handtekeningdiensten van de Provider.

Deze sectie in het document bevat de contactgegevens van de Partijen voor de kennisgevingen onder deze DPA.

• Categorieën van Gegevenssubjecten wiens persoonlijke gegevens worden overgedragen

Vertegenwoordigers van de Klant; vertegenwoordigers van partners; gebruikers en bezoekers van de Diensten, inclusief maar niet beperkt tot ontvangers van bestanden die in de Diensten zijn geüpload; en individuen genoemd in bestanden die in de Diensten zijn geüpload.

• Categorieën van Persoonlijke Gegevens die worden Overgedragen

EU Persoonlijke Gegevens met betrekking tot de hierboven beschreven categorie van gegevenssubjecten. De EU Persoonlijke Gegevens zijn afhankelijk van de specifieke Diensten, maar kunnen omvatten: Naam, e-mailadres, demografische gegevens, IP-adres, werkgever, adres, geolocatie, telefoonnummer, beroep en functie, en alle EU Persoonlijke Gegevens die door de Klant en gebruikers en bezoekers van de Diensten zijn verstrekt (inclusief maar niet beperkt tot ontvangers van bestanden die in de Diensten zijn geüpload) in verband met de Diensten, inclusief Klant Persoonlijke Gegevens die zijn opgenomen in bestanden die in de Diensten zijn geüpload.

• Gevoelige Gegevens die worden Overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de betrokken risico's, zoals bijvoorbeeld strikte doelbeperkingen, toegangsbeperkingen (inclusief toegang alleen voor personeel dat gespecialiseerde training heeft gevolgd), het bijhouden van een register van toegang tot de gegevens, beperkingen voor doorsturen of aanvullende beveiligingsmaatregelen.

De inhoud van de Persoonlijke Gegevens varieert en staat onder controle van de gegevensexporteur, maar kan van tijd tot tijd, afhankelijk van de specifieke Diensten, gevoelige gegevens bevatten onder de relevante Gegevensbeschermingswetten. 

• Overdrachtsfrequentie

Overdrachten zullen continu zijn voor de duur die nodig is voor de uitvoering van de Diensten, voor andere doeleinden die in de Overeenkomst zijn vastgelegd, en in overeenstemming met de toepasselijke wetten en regelgeving.

• Natuur van de Verwerking

De EU Persoonlijke Gegevens zullen onderworpen zijn aan basisverwerking, inclusief maar niet beperkt tot verzameling, registratie, organisatie, opslag, aanpassing of wijziging, ophalen, raadpleging, gebruik, openbaarmaking door middel van overdracht, verspreiding of anderszins beschikbaar stellen, uitlijning of combinatie, blokkeren, wissen of vernietigen ten behoeve van het leveren van Diensten door de Provider aan de Klant in overeenstemming met de voorwaarden van de Overeenkomst.

• Overdrachtsdoel(en)

EU Persoonlijke Gegevens zullen onderworpen zijn aan de Verwerkingsoperaties die in de Overeenkomst zijn beschreven. 

• Bewaarperiode of de Criteria ervan

Bij het verlenen van dergelijke Diensten aan de Klant, zal de Provider EU Persoonlijke Gegevens verwerken zoals geïnstrueerd door de Klant voor de duur van de Overeenkomst.

• Overdrachten aan Subverwerkers

Alle geautoriseerde subverwerkers zijn verplicht om dezelfde of substantieel vergelijkbare technische en organisatorische maatregelen, verantwoordelijkheden en verplichtingen te implementeren en te handhaven als die welke van de Provider worden vereist onder deze DPA.

• Zakelijke Doel(en) voor de Verwerking van Persoonlijke Informatie van Californische Consumenten

Voor verwerking die betrekking heeft op Californische consumenten, zijn alleen de volgende en gecontroleerde zakelijke doel(en) voor de verwerking van persoonlijke gegevens van toepassing:

     Helpen om de veiligheid en integriteit te waarborgen voor zover het gebruik van de persoonlijke informatie van de consument redelijkerwijs noodzakelijk en proportioneel is voor deze doeleinden 

     Debuggen om fouten te identificeren en te repareren die de bestaande bedoelde functionaliteit verstoren. 

     Diensten uitvoeren namens het bedrijf, inclusief het onderhouden of bedienen van accounts, het bieden van klantenservice, het verwerken of vervullen van bestellingen en transacties, het verifiëren van klantinformatie, het verwerken van betalingen, het bieden van financiering, het bieden van analytische diensten, het bieden van opslag, of het bieden van soortgelijke diensten namens het bedrijf. 

     Interne onderzoeken uitvoeren voor technologische ontwikkeling en demonstratie. 

     Activiteiten ondernemen om de kwaliteit of veiligheid van een dienst of apparaat dat eigendom is van, vervaardigd is voor, of gecontroleerd wordt door het bedrijf te verifiëren of te handhaven, en om de dienst of het apparaat dat eigendom is van, vervaardigd is voor, of gecontroleerd wordt door het bedrijf te verbeteren, upgraden of verbeteren. 

     Een andere dienstverlener of aannemer als onderaannemer aanstellen of gebruiken, waar de onderaannemer voldoet aan de vereisten voor een dienstverlener of aannemer onder de CCPA. 

     De kwaliteit van de diensten die het aan het bedrijf levert op te bouwen of te verbeteren, zelfs als dit Zakelijke Doel niet is gespecificeerd in het schriftelijke contract dat door de CCPA vereist is, op voorwaarde dat de Dienstverlener de Persoonlijke Gegevens niet gebruikt om diensten uit te voeren namens een andere persoon. 

Om gegevensbeveiligingsincidenten te voorkomen, detecteren of onderzoeken of te beschermen tegen kwaadaardige, misleidende, frauduleuze of illegale activiteiten, zelfs als dit Zakelijke Doel niet is gespecificeerd in het schriftelijke contract.

〇 Auditing met betrekking tot het tellen van advertentie-impressies voor unieke bezoekers, het verifiëren van positionering en kwaliteit van advertentie-impressies, en het auditen van de naleving van deze specificatie en andere normen.

〇 Het bieden van reclame- en marketingdiensten, behalve voor cross-context gedragsreclame, aan de consument, op voorwaarde dat, voor de doeleinden van reclame en marketing, een dienstverlener of aannemer de persoonlijke informatie van consumenten die zich hebben afgemeld, die de dienstverlener of aannemer ontvangt van, of namens, het bedrijf, niet combineert met persoonlijke informatie die de dienstverlener of aannemer ontvangt van, of namens, een andere persoon of personen of verzamelt uit zijn eigen interactie met consumenten. 

〇 Korte termijn, tijdelijke gebruik, inclusief, maar niet beperkt tot, niet-gepersonaliseerde reclame die wordt weergegeven als onderdeel van de huidige interactie van een consument met het bedrijf, op voorwaarde dat de persoonlijke informatie van de consument niet aan een derde partij wordt bekendgemaakt en niet wordt gebruikt om een profiel over de consument op te bouwen of anderszins de ervaring van de consument buiten de huidige interactie met het bedrijf te wijzigen.

• Waar de gegevensexporteur is gevestigd in een EU-lidstaat, zal de toezichthoudende autoriteit die verantwoordelijk is voor het waarborgen van de naleving door de gegevensexporteur van Verordening (EU) 2016/679 met betrekking tot de gegevensoverdracht, optreden als een bevoegde toezichthoudende autoriteit.
• Waar de gegevensexporteur niet is gevestigd in een EU-lidstaat maar valt binnen de territoriale reikwijdte van Verordening (EU) 2016/679 overeenkomstig artikel 3, lid 2, en een vertegenwoordiger heeft aangesteld overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679: De toezichthoudende autoriteit van de lidstaat waarin de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zal optreden als de bevoegde toezichthoudende autoriteit.
• Waar de gegevensexporteur niet is gevestigd in een EU-lidstaat maar valt binnen de territoriale reikwijdte van Verordening (EU) 2016/679 overeenkomstig artikel 3, lid 2, zonder echter een vertegenwoordiger aan te stellen overeenkomstig artikel 27, lid 2, van Verordening (EU) 2016/679: De Gegevensbeschermingscommissie (DPC) – 21 Fitzwilliam Square, South Dublin 2, D02 RD28 Ierland zal optreden als de bevoegde toezichthoudende autoriteit.
• Waar de gegevensexporteur is gevestigd in het Verenigd Koninkrijk of valt binnen de territoriale reikwijdte van de Britse gegevensbeschermingswetten en -regelingen, zal het kantoor van de informatiecommissaris optreden als de bevoegde toezichthoudende autoriteit.
• Waar de gegevensexporteur is gevestigd in Zwitserland of valt binnen de territoriale reikwijdte van de Zwitserse gegevensbeschermingswetten en -regelingen, zal de Zwitserse federale gegevensbeschermings- en informatiecommissaris optreden als de bevoegde toezichthoudende autoriteit voor zover de relevante gegevensoverdracht wordt beheerst door de Zwitserse gegevensbeschermingswetten en -regelingen.

• Programma. De provider zal een schriftelijk informatiebeveiligingsprogramma ("Informatiebeveiligingsprogramma") implementeren en onderhouden, dat redelijk geschikte administratieve, technische en organisatorische waarborgen bevat die voldoen aan deze bijlage. 
• Toegangscontroles. De provider zal maatregelen implementeren om: (a) zich te houden aan het "principe van de minste privilege," op grond waarvan de toegang tot Persoonsgegevens door personeel van de provider beperkt zal zijn op basis van noodzaak; en (b) onmiddellijk de toegang van zijn personeel tot Persoonsgegevens te beëindigen wanneer deze toegang niet langer vereist is voor de uitvoering onder de Overeenkomst.
• Accountbeheer. De provider zal het creëren, gebruiken en verwijderen van alle accountgegevens die worden gebruikt om toegang te krijgen tot de belangrijkste infrastructuur van de provider beheren, inclusief het vereisen van multi-factor authenticatie in alle kritieke systemen. 
• Kwetsbaarheidsbeheer. De provider zal (a) periodiek geautomatiseerde kwetsbaarheidsscanningtools gebruiken om het productiesysteem van de provider te scannen op kwetsbaarheden, inclusief maar niet beperkt tot penetratietests, en (b) patchbeheer en software-update-tools implementeren zoals aangegeven door de leveranciers van die tools. 
• Beveiligingssegmentatie. De provider zal de stroom van informatie op een gelaagde basis monitoren, detecteren en beperken met behulp van tools zoals firewalls, proxies en netwerkgebaseerde inbraakdetectiesystemen. 
• Gegevensverliespreventie. De provider zal maatregelen voor gegevensverliespreventie gebruiken om Persoonsgegevens in gebruik, in transit en in rust te identificeren, monitoren en beschermen. Dergelijke processen en tools voor gegevensverliespreventie zullen omvatten: (a) geautomatiseerde tools die zijn ontworpen om pogingen tot gegevensexfiltratie te identificeren; en (b) het gebruik van op encryptie gebaseerde beveiliging met certificaten.
• Encryptie. De provider zal, met behulp van encryptietools volgens de industrienormen, alle Persoonsgegevens die de provider over openbare netwerken verzendt, versleutelen. 
• Pseudonimisering. De provider zal technieken voor pseudonimisering volgens de industrienormen gebruiken om Persoonsgegevens te beschermen waar mogelijk en in overeenstemming met de Diensten. 
• Fysieke waarborgen. De provider zal fysieke toegangscontroles handhaven om de fysieke locaties die eigendom zijn van de provider, waar de relevante computeromgeving van de provider die wordt gebruikt voor het verwerken van Persoonsgegevens zich bevindt, te beveiligen, inclusief een toegangscontrolesysteem dat de provider in staat stelt de fysieke toegang tot elke faciliteit van de provider te controleren. 
• Administratieve waarborgen. Voordat toegang tot Klant Persoonsgegevens wordt verleend aan een van zijn personeel, zal de provider commercieel redelijke maatregelen nemen: (a) de betrouwbaarheid van dergelijk personeel verifiëren; en (b) passende beveiligingstraining aan dit personeel bieden.