Xactware AVG Addendum

Dit Xactware AVG-addendum (“Addendum”) is een aanvulling op de Xactware Solutions, Inc. License Agreement (“EULA”), zoals van tijd tot tijd gewijzigd. Tenzij anders gedefinieerd in dit Addendum, hebben alle in de EULA gedefinieerde termen dezelfde betekenis in het Addendum.

DEEL 1: GEGEVENSBESCHERMING

1. Definities

1.1. “Klantpersoneel” betekent de Xactware Klant, zijn werknemers, agenten, consultants en contractanten.

1.2. “Verwerkingsverantwoordelijke” betekent een persoon die alleen of samen met anderen het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt.

1.3. “Verwerker” betekent een persoon die Persoonsgegevens Verwerkt namens de Verwerker.

1.4. “Informatiebeveiligingsincident” betekent bevestigde vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens die namens de Xactware Klant worden verwerkt en die rechtstreeks het gevolg zijn van de niet-naleving door Xactware of door Xactware’s subverwerker van artikel 5.1 van dit Deel 1 of artikel 32, lid 1, van de AVG, die een nadelige invloed heeft op de bedrijfsactiviteiten van de Xactware Klant.

1.5. “Persoonsgegevens” betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare betrokkene uit de Europese Unie of het Verenigd Koninkrijk die aan Xactware is bekendgemaakt door de Xactware Klant, zijn gelieerde ondernemingen of hun respectieve gebruikers in afwachting van, in verband met of als bijkomstigheid bij de uitvoering van diensten voor of namens een van de voornoemde partijen.

1.6. “Verwerken” of “Verwerkt” betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het creëren, verzamelen, verkrijgen, toegang verkrijgen, vastleggen, ordenen, opslaan, aanpassen, wijzigen, opvragen, raadplegen, gebruiken, bekendmaken of vernietigen van de gegevens.

2. Verwachte Rollen en Bevoegdheid om Persoonlijke Informatie te Verwerken

2.1. Krachtens de Dienstenovereenkomst heeft de Xactware Klant de exclusieve bevoegdheid om het doel van en de middelen voor de Verwerking van Persoonsgegevens te bepalen. Xactware zal Persoonsgegevens uitsluitend Verwerken namens en in overeenstemming met de voorafgaande schriftelijke instructies van de Xactware Klant.

2.2. Partijen gaan ervan uit dat de Xactware Klant optreedt als Verwerkingsverantwoordelijke en Xactware als Verwerker met betrekking tot de Verwerking van Persoonsgegevens in het kader van de Dienstenovereenkomst.

2.3. Niettegenstaande het voorgaande behoudt Xactware zich het recht voor om Persoonsgegevens die in de loop van deze opdracht worden ontvangen, te anonimiseren voor productontwikkelingsdoeleinden.

3. Openbaarmaking van en toegang tot Persoonsgegevens

3.1. Xactware zal de toegang tot Persoonsgegevens beperken tot haar werknemers die de Persoonsgegevens moeten kennen voor de levering door Xactware van het (de) Product(en) onder licentie en die onderworpen zijn aan passende vertrouwelijkheidsverplichtingen met betrekking tot Persoonsgegevens waartoe zij toegang kunnen krijgen.

3.2. De Xactware Klant machtigt Xactware om sub-verwerkers in te schakelen voor de verwerking van Persoonsgegevens in overeenstemming met dit Deel 1. Xactware ziet erop toe dat alle subverwerkers gebonden zijn aan schriftelijke overeenkomsten die hen verplichten ten minste hetzelfde niveau van bescherming van Persoonsgegevens te bieden als door de Xactware Klant wordt vereist op grond van dit Deel 1. Een lijst van Xactware’s subverwerkers is op verzoek verkrijgbaar. De Xactware Klant geeft Xactware toestemming om Persoonsgegevens over te dragen buiten de EER, Zwitserland of het Verenigd Koninkrijk voor Verwerking ten behoeve van de levering van de Product(en) onder licentie onder de Dienstenovereenkomst.

3.3. Xactware zal, voor zover wettelijk toegestaan, de Xactware Klant onverwijld in kennis stellen van verzoeken met betrekking tot Persoonsgegevens die zij ontvangt van de Xactware Klant, consumenten, Klantpersoneel, betrokkenen of anderen. Xactware zal niet reageren op dergelijke verzoeken zonder toestemming van de Xactware Klant, behalve om te bevestigen dat het verzoek betrekking heeft op Persoonsgegevens in verband waarmee de Xactware Klant de Verwerkingsverantwoordelijke is.

3.4. Xactware zal de Persoonsgegevens van betrokkenen aan de Xactware Klant ter beschikking stellen op een wijze die in overeenstemming is met het (de) geleverde Product(en) onder licentie en in overeenstemming is met de voorwaarden van de Dienstenovereenkomst. Voor zover de Xactware Klant bij het gebruik en beheer van de Producten onder licentie niet over de mogelijkheid beschikt om Persoonsgegevens in de Producten onder licentie te corrigeren, aan te passen of te verwijderen, zal Xactware voldoen aan de in commercieel opzicht redelijke verzoeken van de Xactware Klant om dergelijke acties alsook het antwoord van de Xactware Klant op dergelijke verzoeken van betrokkenen te ondersteunen. De Xactware Klant is verantwoordelijk voor alle commercieel redelijke kosten die voortvloeien uit het verlenen van dergelijke bijstand door Xactware.

3.5. Xactware stelt de Xactware Klant onverwijld in kennis van een dagvaarding of een ander gerechtelijk of administratief bevel van een overheidsinstantie of -procedure die toegang tot of openbaarmaking van Persoonsgegevens eist. De Xactware Klant heeft het recht zich in plaats van en namens Xactware tegen een dergelijke actie te verweren. De Xactware Klant kan desgewenst verzoeken om een conservatoir bevel. Xactware zal de Xactware Klant commercieel redelijke medewerking verlenen bij een dergelijk verweer. De Xactware Klant is verantwoordelijk voor alle commercieel redelijke kosten die Xactware maakt in verband met het verlenen van een dergelijke medewerking.

4. Naleving van de Vereisten inzake Privacy en Informatiebeveiliging

4.1. Xactware houdt zich aan alle toepasselijke wetten, regels, voorschriften, richtlijnen en overheidsvereisten die momenteel van kracht zijn met betrekking tot de privacy, vertrouwelijkheid of beveiliging van Persoonsgegevens (gezamenlijk “Privacywetgeving”).

4.2. De Xactware Klant verklaart en garandeert dat hij de toepasselijke Privacywetgeving in alle wezenlijke opzichten heeft nageleefd met betrekking tot alle Persoonsgegevens die door Xactware namens de Xactware Klant worden Verwerkt op grond van dit Deel 1.

4.3. Xactware zal de Xactware Klant bijstaan bij het toezicht op de naleving van de verplichtingen op grond van de artikelen 35 en 36 van de AVG, rekening houdend met de aard van de Verwerking en de informatie die Xactware ter beschikking staat. De Xactware Klant is verantwoordelijk voor alle commercieel redelijke kosten die voortvloeien uit het verlenen van dergelijke bijstand door Xactware.

5. Waarborgen voor Persoonsgegevens en Informatiebeveiliging

5.1. Xactware zal passende technische en organisatorische maatregelen treffen om een beveiligingsniveau voor Persoonsgegevens te helpen handhaven dat is afgestemd op het risiconiveau dat aan de Verwerking is verbonden.

5.2. Xactware stelt de Xactware Klant zonder onnodige vertraging in kennis nadat zij kennis heeft genomen van een bevestigd Informatiebeveiligingsincident. Xactware zal commercieel redelijke inspanningen leveren om de Xactware Klant bij te staan bij het voldoen aan de verplichting van de Xactware Klant om de relevante toezichthoudende autoriteit en betrokkenen op de hoogte te stellen van een inbreuk in verband met persoonsgegevens op grond van de artikelen 33 en 34 van de AVG.

5.3. Bij afloop of eerdere beëindiging van de Dienstenovereenkomst zal Xactware Persoonsgegevens verwijderen of retourneren in overeenstemming met de voorwaarden voor elk (de) in de Dienstenovereenkomst uiteengezet(e) Gelicentieerd(e) Product(en), tenzij het recht van de Unie, de lidstaat of een andere toepasselijke wet opslag van de Persoonsgegevens vereist.

6. Recht op toezicht

6.1. Voor de levering van het (de) in de Dienstenovereenkomst geleverde Product(en) onder licentie stelt Xactware de Xactware Klant jaarlijks, uitsluitend voor inspectie in de bedrijfsruimten van Xactware, de informatie ter beschikking die nodig is om de naleving van de in artikel 28 van de AVG vervatte verplichtingen aan te tonen en audits mogelijk te maken die worden uitgevoerd door de Xactware Klant of een andere door de Xactware Klant gemandateerde en door Xactware goedgekeurde auditor, en om aan deze audits bij te dragen. De Xactware Klant stelt Xactware ten minste dertig (30) dagen op voorhand schriftelijk in kennis van zijn voornemen om een dergelijke audit uit te voeren, en een dergelijke kennisgeving bevat een gedetailleerd werkplan van alle zaken die door de Xactware Klant aan een audit moeten worden onderworpen. Een derde die van de Xactware Klant opdracht krijgt een audit van Xactware uit te voeren op grond van dit artikel, dient een passende vertrouwelijkheidsovereenkomst met Xactware aan te gaan alvorens met de audit te beginnen. Een audit wordt uitgevoerd tijdens de gewone werkuren van Xactware. Na afloop van de audit bepaalt Xactware welke corrigerende maatregelen nodig zijn, en komen de Xactware Klant en Xactware onderling een datum overeen voor de voltooiing van dergelijke corrigerende maatregelen. De Xactware Klant draagt uitsluitend alle kosten en uitgaven die Xactware maakt voor het verlenen van bijstand in verband met dergelijke audits, met inbegrip van de aanstelling en inschakeling van een derde.

6.2. Xactware zal alle verzoeken van de Xactware Klant met betrekking tot de Verwerking van Persoonsgegevens waarop dit Deel 1 van toepassing is, onverwijld en op passende wijze behandelen.

7. Beperking van aansprakelijkheid

7.1. De aansprakelijkheidsbeperkingen die zijn uiteengezet in artikel 12.8 (Beperking van verhaalsmogelijkheden van de Licentiehouder) van de EULA zijn van toepassing op alle vorderingen of het totale aantal vorderingen tegen Xactware die voortvloeien uit of verband houden met dit Addendum, met inbegrip van, maar niet beperkt tot, alle vorderingen die voortvloeien uit of verband houden met een Informatiebeveiligingsincident.

7.2. Xactware is in geen geval aansprakelijk met betrekking tot (i) een vordering of vorderingen van betrokkenen tot schadevergoeding die uitsluitend voortvloeit uit of verband houdt met de schending door de Xactware Klant van de vereisten van de toepasselijke Privacywetgeving, of (ii) een boete of sanctie die door een rechtbank of toezichthoudende autoriteit wordt opgelegd aan de Xactware Klant die uitsluitend voortvloeit uit of verband houdt met de schending door de Xactware Klant van de vereisten van de toepasselijke Privacywetgeving.

8. Gegevensoverdrachten

8.1. Op gegevensoverdrachten buiten het Verenigd Koninkrijk of de Europese Economische Ruimte, hetzij rechtstreeks, hetzij via doorgifte, is Deel 2: Standaardcontractbepalingen (Verwerkers) van toepassing. De modelcontractbepalingen zijn niet van toepassing op gegevens die niet, rechtstreeks of via verdere doorgifte, buiten het Verenigd Koninkrijk of de Europese Economische Ruimte worden doorgegeven.

Deel 2: modelcontractbepalingen (Verwerkers)

Voor de toepassing van artikel 26, lid 2, van Richtlijn 95/46/EG voor de doorgifte van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen die geen passend niveau van gegevensbescherming waarborgen,

De entiteit die in dit addendum wordt geïdentificeerd als de Xactware Klant
(de gegevensexporteur)

Xactware Solutions, Inc.
1100 West Traverse Parkway
Lehi, Utah 84043
Verenigde Staten van Amerika
+1 (801) 764-5900
legaladministrator2@verisk.com
(de gegevensimporteur)

elk een “partij”; tezamen “de partijen”,

HEBBEN OVEREENSTEMMING BEREIKT omtrent de volgende contractuele Bepalingen (hierna “de Bepalingen” genoemd) teneinde passende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van natuurlijke personen in verband met de doorgifte door de gegevensexporteur aan de gegevensimporteur van de in Bijlage 1 gespecificeerde persoonsgegevens.

Bepaling 1

Definities

Voor de toepassing van de Bepalingen wordt verstaan onder:

hebben “persoonsgegevens”, “bijzondere categorieën gegevens”, “verwerking/verwerken”, “verwerkingsverantwoordelijke”, “verwerker”, “betrokkene” en “toezichthoudende autoriteit” dezelfde betekenis als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
wordt onder “gegevensexporteur” verstaan: de verwerkingsverantwoordelijke die de persoonsgegevens doorgeeft;
wordt onder “gegevensimporteur” verstaan: de verwerker die aanvaardt om van de gegevensexporteur persoonsgegevens te ontvangen om deze na de doorgifte overeenkomstig zijn instructies en de voorwaarden van de Bepalingen namens hem te verwerken, en die niet onderworpen is aan een regeling van een derde land die een passende bescherming biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
“subverwerker”: een verwerker die door de gegevensimporteur of een andere subverwerker van de gegevensimporteur is gecontracteerd en die aanvaardt om van de gegevensimporteur of van een andere subverwerker van de gegevensimporteur persoonsgegevens te ontvangen, uitsluitend ten behoeve van verwerkingsactiviteiten die namens de gegevensexporteur worden uitgevoerd na de doorgifte, overeenkomstig zijn instructies, de voorwaarden van de Bepalingen en de Bepalingen van het schriftelijke subcontract;
“het toepasselijke recht inzake gegevensbescherming”: de wetgeving tot bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op de bescherming van hun persoonlijke levenssfeer met betrekking tot de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing is op een verwerkingsverantwoordelijke;
wordt onder “technische en organisatorische beveiligingsmaatregelen” verstaan: maatregelen die tot doel hebben persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.

Bepaling 2

Bijzonderheden van de doorgifte

De bijzonderheden van de doorgifte en in het bijzonder de bijzondere categorieën persoonsgegevens, indien van toepassing, worden gespecificeerd in Bijlage 1, dat een integrerend deel van de Bepalingen vormt.

Bepaling 3

Derden-begunstigdenbeding

De betrokkene kan deze Bepaling, Bepaling 4, onder b) tot en met i), Bepaling 5, onder a) tot en met e), en onder g) tot en met j), Bepaling 6, leden 1 en 2, Bepaling 7, Bepaling 8, lid 2, en de Bepalingen 9 tot en met 12 als derde-begunstigde tegenover de gegevensexporteur afdwingen.
De betrokkene kan deze Bepaling, Bepaling 5, onder a) tot en met e) en onder g), Bepaling 6, Bepaling 7, Bepaling 8, lid 2, en de Bepalingen 9 tot en met 12 tegenover de gegevensimporteur afdwingen wanneer de gegevensexporteur feitelijk is verdwenen of heeft opgehouden in rechte te bestaan, tenzij een rechtsopvolger contractueel of in rechte alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dat geval kan de betrokkene deze verplichtingen tegenover die rechtsopvolger afdwingen.
De betrokkene kan deze Bepaling, Bepaling 5, onder a) tot en met e) en onder g), Bepaling 6, Bepaling 7, Bepaling 8, lid 2, en de Bepalingen 9 tot en met 12 tegenover de subverwerker afdwingen, wanneer zowel de gegevensexporteur als de gegevensimporteur feitelijk zijn verdwenen, hebben opgehouden in rechte te bestaan of insolvent zijn geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, waardoor deze de rechten en verplichtingen van de gegevensexporteur overneemt; in dat geval kan de betrokkene deze rechten en verplichtingen tegenover deze rechtsopvolger afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingsactiviteiten in het kader van de Bepalingen.
De partijen hebben er geen bezwaar tegen dat een betrokkene door een vereniging of een andere instantie wordt vertegenwoordigd, indien de betrokkene dit uitdrukkelijk wenst en het nationale recht dit toestaat.

Bepaling 4

Verplichtingen van de gegevensexporteur

De gegevensexporteur stemt ermee in en garandeert:

dat de verwerking, met inbegrip van de doorgifte zelf, van de persoonsgegevens is geschied en zal blijven geschieden in overeenstemming met de toepasselijke Bepalingen van het toepasselijke recht inzake gegevensbescherming (en, waar van toepassing, is gemeld aan de bevoegde autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd) en niet in strijd is met de toepasselijke Bepalingen van die staat;
dat hij de gegevensimporteur heeft opgedragen en gedurende de gehele looptijd van de verwerking van persoonsgegevens zal opdragen de doorgegeven persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en de Bepalingen te verwerken;
de gegevensimporteur voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen als gespecificeerd in Bijlage 2 bij dit contract;
de beveiligingsmaatregelen, na beoordeling van de vereisten van het toepasselijke recht inzake gegevensbescherming, geschikt zijn om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en dat deze maatregelen een passend beveiligingsniveau garanderen gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging ervan;
dat hij zal toezien op de naleving van de beveiligingsmaatregelen;
dat, indien de doorgifte bijzondere categorieën gegevens betreft, de betrokkene ervan in kennis is gesteld of vóór of zo spoedig mogelijk na de doorgifte ervan in kennis zal worden gesteld dat zijn gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt in de zin van Richtlijn 95/46/EG;
elke van de gegevensimporteur of van een subverwerker op grond van Bepaling 5, onder b), en Bepaling 8, lid 3, ontvangen kennisgeving door te sturen naar de toezichthoudende autoriteit voor gegevensbescherming, indien de gegevensexporteur besluit de doorgifte voort te zetten of de opschorting op te heffen;
de betrokkenen op verzoek een afschrift van de Bepalingen, met uitzondering van Bijlage 2, en een beknopte beschrijving van de beveiligingsmaatregelen ter beschikking te stellen, alsmede een afschrift van elk contract voor subverwerkingsdiensten dat overeenkomstig de Bepalingen moet worden opgesteld, tenzij de Bepalingen of het contract commerciële informatie bevatten, in welk geval hij deze commerciële informatie kan verwijderen;
dat in geval van subverwerking de verwerkingsactiviteit overeenkomstig Bepaling 11 wordt uitgevoerd door een subverwerker die ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van de betrokkene biedt als de gegevensimporteur overeenkomstig de Bepalingen; en
dat hij toeziet op de naleving van Bepaling 4, onder a) tot en met i).

Bepaling 5

Verplichtingen van de gegevensimporteur

De gegevensimporteur stemt ermee in en garandeert:

de persoonsgegevens uitsluitend namens de gegevensexporteur en met inachtneming van diens instructies en van de Bepalingen te verwerken; indien hij om welke reden dan ook niet in staat is deze instructies uit te voeren, dient hij de gegevensexporteur onverwijld in kennis te stellen van zijn onvermogen om de instructies uit te voeren; in dat geval heeft de gegevensexporteur het recht de doorgifte van gegevens op te schorten en/of het contract te beëindigen; a) de persoonsgegevens uitsluitend namens de gegevensexporteur en met inachtneming van diens instructies en van de Bepalingen te verwerken;
hij geen reden heeft om aan te nemen dat de op hem toepasselijke wetgeving hem verhindert de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen, en dat hij in geval van een wijziging in deze wetgeving die waarschijnlijk een aanzienlijk nadelig effect zal hebben op de in de Bepalingen opgenomen garanties en verplichtingen, de gegevensexporteur, zodra hij daarvan op de hoogte is, onverwijld in kennis zal stellen van de wijziging, in welk geval de gegevensexporteur het recht heeft de gegevensdoorgifte op te schorten en/of het contract te beëindigen;
hij de in Bijlage 2 omschreven technische en organisatorische beveiligingsmaatregelen heeft getroffen alvorens de doorgegeven persoonsgegevens te verwerken;
d) hij de gegevensexporteur onverwijld in kennis zal stellen van

elk wettelijk bindend verzoek tot openbaarmaking van de persoonsgegevens door een rechtshandhavingsinstantie, tenzij dit anders is verboden, zoals een strafrechtelijk verbod om de vertrouwelijkheid van een rechtshandhavingsonderzoek te bewaren;
elke accidentele of ongeoorloofde toegang; en
elk verzoek dat rechtstreeks van de betrokkenen wordt ontvangen zonder dat op dat verzoek wordt ingegaan, tenzij zij daartoe anderszins is gemachtigd;

alle verzoeken van de gegevensexporteur in verband met zijn verwerking van de doorgegeven persoonsgegevens onverwijld en naar behoren af te handelen en het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de doorgegeven gegevens op te volgen;
op verzoek van de gegevensexporteur zijn gegevensverwerkingsfaciliteiten ter beschikking te stellen voor controle van de onder de Bepalingen vallende verwerkingsactiviteiten, die wordt uitgevoerd door de gegevensexporteur of door een controleorgaan bestaande uit onafhankelijke leden met de vereiste beroepskwalificaties en gebonden door een geheimhoudingsplicht, die door de gegevensexporteur, waar van toepassing, in overleg met de toezichthoudende autoriteit worden gekozen;
hij de betrokkene op verzoek een afschrift van de Bepalingen of van elk bestaand contract inzake subverwerking ter beschikking stelt, tenzij de Bepalingen of het contract commerciële informatie bevatten, in welk geval hij deze commerciële informatie kan verwijderen, met uitzondering van Bijlage 2, dat wordt vervangen door een beknopte beschrijving van de beveiligingsmaatregelen ingeval de betrokkene geen afschrift van de gegevensexporteur kan verkrijgen;
dat hij, in geval van subverwerking, de gegevensexporteur vooraf heeft ingelicht en diens voorafgaande schriftelijke toestemming heeft verkregen;
dat de verwerkingsdiensten van de subverwerker overeenkomstig Bepaling 11 zullen worden uitgevoerd;
dat hij de gegevensexporteur onverwijld een afschrift doet toekomen van elke subverwerkersovereenkomst die hij in het kader van de Bepalingen sluit.

Bepaling 6

Aansprakelijkheid

De partijen komen overeen dat elke betrokkene die schade heeft geleden ten gevolge van een niet-nakoming van de in Bepaling 3 of Bepaling 11 bedoelde verplichtingen door een partij of subverwerker, het recht heeft van de gegevensexporteur vergoeding voor de geleden schade te ontvangen.
Indien de betrokkene geen vordering tot schadevergoeding overeenkomstig lid 1 tegen de gegevensexporteur kan instellen wegens niet-nakoming door de gegevensimporteur of diens subverwerker van een van de in Bepaling 3 of Bepaling 11 bedoelde verplichtingen, omdat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene de in Bepaling 3 of Bepaling 11 bedoelde verplichtingen van de gegevensexporteur nakomt, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensimporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden. De gegevensimporteur kan zich niet beroepen op een niet-nakoming van zijn verplichtingen door een subverwerker om zijn eigen aansprakelijkheid te ontlopen.
Indien de betrokkene geen vordering kan instellen tegen de gegevensexporteur of de gegevensimporteur als bedoeld in de leden 1 en 2, wegens niet-nakoming door de subverwerker van een van hun verplichtingen als bedoeld in Bepaling 3 of Bepaling 11, omdat zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden stemt de subverwerker ermee in dat de betrokkene met betrekking tot zijn eigen verwerkingsactiviteiten uit hoofde van de Bepalingen een vordering tegen de subverwerker kan instellen alsof hij de gegevensexporteur of de gegevensimporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover deze rechtsopvolger kan doen gelden. De aansprakelijkheid van de subverwerker blijft beperkt tot zijn eigen verwerkingsactiviteiten uit hoofde van de Bepalingen.

Bepaling 7

Bemiddeling en rechterlijke bevoegdheid

De gegevensimporteur stemt ermee in dat, indien de betrokkene tegen zijn derde-begunstigde rechten doet gelden en/of schadevergoeding eist uit hoofde van de Bepalingen, de gegevensimporteur het besluit van de betrokkene aanvaardt:

het geschil voor te leggen aan bemiddeling, door een onafhankelijke persoon of, indien van toepassing, door de toezichthoudende autoriteit;
het geschil voor te leggen aan de rechter in de lidstaat waar de gegevensexporteur is gevestigd.

De partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan diens materiële of procedurele rechten om op grond van andere Bepalingen van nationaal of internationaal recht beroep in te stellen.

Bepaling 8

Samenwerking met toezichthoudende autoriteiten

De gegevensexporteur stemt ermee in een afschrift van dit contract bij de toezichthoudende autoriteit neer te leggen indien deze daarom verzoekt of indien een dergelijke neerlegging krachtens het toepasselijke recht inzake gegevensbescherming vereist is.
De partijen komen overeen dat de toezichthoudende autoriteit het recht heeft bij de gegevensimporteur en bij elke subverwerker een controle te verrichten die dezelfde reikwijdte heeft en aan dezelfde voorwaarden is onderworpen als een controle bij de gegevensexporteur op grond van het toepasselijke gegevensbeschermingsrecht zou gelden.
De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van het bestaan van wetgeving die op hem of op een subverwerker van toepassing is en die de uitvoering van een controle van de gegevensimporteur of een subverwerker krachtens lid 2 verhindert. In dat geval heeft de gegevensexporteur het recht de in Bepaling 5, onder b), bedoelde maatregelen te treffen.

Bepaling 9

Toepasselijk recht

De Bepalingen worden beheerst door het recht van de Lidstaat waar de gegevensexporteur is gevestigd.

Bepaling 10

Wijziging van het contract

De partijen verbinden zich ertoe de Bepalingen niet te wijzigen of aan te passen. Dit belet de partijen niet om zo nodig Bepalingen over met de bedrijfsactiviteiten verband houdende kwesties toe te voegen, mits deze niet in strijd zijn met de Bepalingen.

Bepaling 11

Subverwerking

De gegevensimporteur besteedt de verwerkingsactiviteiten die hij krachtens de Bepalingen namens de gegevensexporteur uitvoert, niet uit zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur zijn verplichtingen uit hoofde van de Bepalingen met toestemming van de gegevensexporteur uitbesteedt, doet hij dit uitsluitend door middel van een schriftelijke overeenkomst met de subverwerker, waarbij aan de subverwerker dezelfde verplichtingen worden opgelegd als die welke uit hoofde van de Bepalingen voor de gegevensimporteur gelden. Indien de subverwerker zijn verplichtingen inzake gegevensbescherming uit hoofde van een dergelijke schriftelijke overeenkomst niet nakomt, blijft de gegevensimporteur jegens de gegevensexporteur volledig aansprakelijk voor de nakoming van de verplichtingen van de subverwerker uit hoofde van die overeenkomst.
Het voorafgaande schriftelijke contract tussen de gegevensimporteur en de subverwerker dient tevens te voorzien in een derdenbeding als bedoeld in Bepaling 3 voor gevallen waarin de betrokkene zijn vordering tot schadevergoeding als bedoeld in Bepaling 6, lid 1, niet tegen de gegevensexporteur of de gegevensimporteur kan instellen omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, en geen rechtsopvolger contractueel of rechtens de volledige wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingsactiviteiten in het kader van de Bepalingen.
De Bepalingen betreffende de gegevensbeschermingsaspecten voor subverwerking van het in lid 1 bedoelde contract worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd.
De gegevensexporteur houdt een lijst bij van subverwerkingsovereenkomsten die krachtens de Bepalingen zijn gesloten en door de gegevensimporteur overeenkomstig Bepaling 5, onder j), zijn aangemeld; deze lijst wordt ten minste eenmaal per jaar bijgewerkt. De lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voor gegevensbescherming van de gegevensexporteur.

Bepaling 12

Verplichting na beëindiging van de diensten inzake verwerking van persoonsgegevens

De partijen komen overeen dat bij beëindiging van de verlening van de gegevensverwerkingsdiensten de gegevensimporteur en de subverwerker, naar keuze van de gegevensexporteur, alle doorgegeven persoonsgegevens en kopieën daarvan aan de gegevensexporteur terugbezorgen of alle persoonsgegevens vernietigen en aan de gegevensexporteur verklaren dat dit is gebeurd, tenzij de aan de gegevensimporteur opgelegde wetgeving hem verbiedt alle of een gedeelte van de doorgegeven persoonsgegevens terug te bezorgen of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens waarborgt en de doorgegeven persoonsgegevens niet meer actief zal verwerken.
De gegevensimporteur en de subverwerker garanderen dat zij op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit hun gegevensverwerkingsfaciliteiten zullen onderwerpen aan een controle van de in lid 1 bedoelde maatregelen.

Voetnoten

Partijen kunnen in deze Bepaling definities en betekenissen uit Richtlijn 95/46/EG overnemen, indien zij van oordeel zijn dat het beter is dat het contract op zichzelf staat.
Dwingende vereisten van de nationale wetgeving die van toepassing zijn op de gegevensimporteur en niet verder gaan dan hetgeen in een democratische samenleving noodzakelijk is op grond van een van de in artikel 13, lid 1, van Richtlijn 95/46/EG genoemde belangen, d.w.z. indien zij een noodzakelijke maatregel vormen ter vrijwaring van de veiligheid van een staat, de landsverdediging, de openbare veiligheid, het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen, een belangrijk economisch of financieel belang van de Staat of de bescherming van de betrokkene of van de rechten en vrijheden van anderen, zijn niet in strijd met de modelcontractbepalingen. Enkele voorbeelden van dergelijke dwingende eisen die niet verder gaan dan wat in een democratische samenleving noodzakelijk is, zijn onder meer internationaal erkende sancties, eisen inzake belastingaangifte of eisen inzake de bestrijding van het witwassen van geld.
Aan dit vereiste kan worden voldaan door medeondertekening door de subverwerker van het contract dat krachtens dit besluit tussen de gegevensexporteur en de gegevensimporteur wordt gesloten.

Bijlage 1 bij de Modelcontractbepalingen

Deze Bijlage maakt deel uit van de Bepalingen en moet door de partijen worden ingevuld en ondertekend.

De Lidstaten kunnen volgens hun nationale procedures aanvullingen op deze Bijlage geven of specificeren welke aanvullende informatie daarin moet worden opgenomen.

Gegevensexporteur

De gegevensexporteur is de entiteit die in het Addendum wordt aangeduid als de Xactware Klant.

Gegevensimporteur

De gegevensimporteur is Xactware Solutions, Inc.

Betrokkenen

De doorgegeven persoonsgegevens hebben betrekking op de volgende categorieën betrokkenen (gelieve te specificeren):

Klanten van de gegevensexporteur die een claim hebben ingediend voor een verzekerd verlies. Personen die door de klant van de gegevensexporteur zijn aangewezen om namens hen op te treden voor een schadegeval dat verband houdt met de klant van de gegevensexporteur.

Categorieën van gegevens

De doorgegeven persoonsgegevens betreffen de volgende categorieën gegevens (gelieve te specificeren):

Naam, woon- of vestigingsadres, telefoonnummer, e-mailadres, IP-adres, claimnummer, polisnummer, geocode van de locatie van onroerend goed, en afbeeldingen en live en opgenomen video (die persoonsgegevens kunnen bevatten).

Bijzondere categorieën van gegevens (indien van toepassing)

De doorgegeven persoonsgegevens betreffen de volgende bijzondere categorieën van gegevens (gelieve te specificeren):

Er worden geen gegevens van bijzondere categorieën of gegevens over strafrechtelijke veroordelingen verwerkt.

Verwerkingen

De doorgegeven persoonsgegevens worden onderworpen aan de volgende basisverwerkingsactiviteiten (gelieve te specificeren):

De verwerking heeft betrekking op computersoftware die wordt gebruikt voor het initiëren en afwikkelen van schadeclaims voor commerciële en residentiële eigendomsverzekeringen.

Bijlage 2 bij de Modelcontractbepalingen

Deze Bijlage maakt deel uit van de Bepalingen en moet door de partijen worden ingevuld en ondertekend.

Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur overeenkomstig Bepaling 4, onder d), en Bepaling 5, onder c), zijn getroffen (of bijgevoegd document/wetgeving):

De technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur worden geïmplementeerd, worden beschreven in Verisk’s Approach to Cybersecurity, beschikbaar op https://www.verisk.com/siteassets/media/corporate-social-responsibility/downloads/verisks-approach-to-cybersecurity.pdf, en Xactware Information Security Frequently Asked Questions, beschikbaar op https://www.verisk.com/csr/governance/managing-and-protecting-data/.. Deze documenten, zoals van tijd tot tijd gewijzigd, worden door middel van deze verwijzing hierin opgenomen.