Contractuele standaardbepalingen

Deze overeenkomst voor gegevensverwerking is zo opgesteld dat deze alle mogelijke configuraties van contractuele standaardbepalingen omvat. Deze zijn mogelijk niet allemaal van toepassing. Voor meer duidelijkheid:  

De CCPA (California Consumer Privacy Act) 

We hebben deze overeenkomst voor gegevensverwerking bijgewerkt in verband met wijzigingen op het gebied van privacyrechten in Californië in de CCPA. We accepteren geen aanpassingen of wijzigingen van klanten met betrekking tot deze overeenkomst voor gegevensverwerking. 

Deze Overeenkomst voor gegevensverwerking van Momentive (DPA) is onderdeel van uw overeenkomst met Momentive en bevat bepaalde begrippen die betrekking hebben op gegevensbescherming, privacy en beveiliging in overeenstemming met de wetgeving voor gegevensbescherming, waar van toepassing. In het geval (en alleen in die mate) dat er een conflict is tussen verschillende wetgevingen en voorschriften voor gegevensbescherming, voldoen de partijen aan de striktere eisen of hogere norm in dat opzicht. In dergelijke situaties wordt dit uitsluitend bepaald door Momentive. 

Deze OVG is tussen de klant en de toepasselijke Momentive-entiteit zoals hieronder bepaald: 

(i) voor klanten in andere landen dan de Verenigde Staten is Momentive Europe UC de aanbestedende dienst; 

(ii)  voor klanten binnen de Verenigde Staten is Momentive Inc. de aanbestedende dienst. 

Dit is de nieuwste versie van de Overeenkomst voor gegevensverwerking (datum: 1 januari 2023). 

In deze OVG hebben de onderstaande uitdrukkingen, tenzij de context anderszins vereist, de volgende betekenis: 

'Overeenkomst' betekent elke overeenkomst tussen Momentive Inc. of Momentive Europe en een klant voor de services. Een dergelijke overeenkomst kan verschillende titels hebben, zoals 'Bestelformulier', 'Verkooporder', 'Gebruiksvoorwaarden' of 'Hoofdovereenkomst of Toepasselijke serviceovereenkomst'. 

'Artikel 28' betekent artikel 28 van de AVG en de GDPR van het Verenigd Koninkrijk zoals van toepassing op de verwerking van Persoonsgegevens van de Klant. 

'Klant' of 'u' betekent de klant die is geïdentificeerd op, en/of partij is in de Overeenkomst. 

'Klantgegevens' betekent alle gegevens (met inbegrip van maar niet beperkt tot Persoonsgegevens van de Klant) die door of namens de Klant aan Momentive worden verstrekt via het gebruik van de Services door de Klant, en alle gegevens die derden via de Services aan de Klant verstrekken. 

'Persoonsgegevens van de klant' betekent alle Persoonsgegevens die door of aan de Klant worden verstrekt en die door Momentive worden verwerkt met het oog op het leveren van de Services aan de Klant, met inbegrip van, maar niet beperkt tot de persoonsgegevens die in bijlage 2 bij deze Overeenkomst inzake gegevensbescherming staan vermeld. 

Gegevensbeschermingswetgeving betekent: 
(i) gegevensbeschermingswetgeving (voorschrift (EU) 2016/679)(AVG) en alle andere toepasselijke wetten of voorschriften van de lidstaten van de EU, de EEA of de Europese interne markt of enige aanpassing, wijziging of vervanging hiervan die van toepassing zijn op de verwerking van persoonlijke gegevens onder de Overeenkomst;

(ii) de Zwitserse federale wet voor gegevensbescherming ('FADP'), of de nieuwe federale wet voor gegevensbescherming die vanaf 1 januari 2023 van kracht is ('nFADP');

(iii) alle Amerikaanse wetten en voorschriften die van toepassing zijn op de verwerking van persoonlijke gegevens onder de overeenkomst, met inbegrip van, maar niet beperkt tot de CCPA (California Consumer Privacy Act) van 2018 (Californisch burgerlijk wetboek §§ 1798.100 - 1798.199) ('CCPA'); 

(iv) alle wetten en voorschriften die van tijd tot tijd van toepassing zijn in het Verenigd Koninkrijk op de verwerking van persoonlijke gegevens onder overeenkomst (waaronder de GDPR van het Verenigd Koninkrijk); en

(v) de PIPEDA (Personal Information Protection and Electronic Documents Act), of elke aanpassing, wijziging of vervanging hiervan die van toepassing is op de verwerking van persoonlijke gegevens onder de overeenkomst in Canada.

De begrippen 'beheerder', 'impactbeoordeling gegevensbescherming', 'verwerken', 'verwerking', 'verwerker', 'toezichthoudende autoriteit' hebben dezelfde betekenis als in de AVG of de GDPR van het Verenigd Koninkrijk.

'Momentive' of 'wij/we/ons/onze' betekent in het geval van klanten in de Verenigde Staten, Momentive Inc. en in het geval van klanten buiten de Verenigde Staten, Momentive Europe. 

'Momentive Europe' betekent Momentive Europe UC, een Iers bedrijf, gevestigd op 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Ierland. 

'Momentive Inc.' betekent Momentive Inc., een in Delaware opgericht bedrijf aan One Curiosity Way, San Mateo, CA 94403, Verenigde Staten.  

'Momentive Privacymelding' betekent de Privacymelding van Momentive op https://nl.surveymonkey.com/mp/legal/privacy/.

'Persoonsgegevens' betekent informatie betreffende een levende persoon die, alleen of in combinatie met andere informatie, redelijkerwijs kan worden geïdentificeerd (een 'Betrokkene').

'Services' betekent de services besteld door de Klant van Momentive onder de Overeenkomst. 

'Contractuele standaardbepalingen' wil zeggen de contractuele standaardbepalingen die zijn toegevoegd aan het besluit van de Europese Commissie van: i) 4 juni 2021 betreffende contractuele standaardbepalingen voor de overdracht van persoonlijke gegevens aan derde landen onder de AVG of ii) (tot Momentive de onder i) genoemde Contractuele standaardbepalingen is aangegaan), de op 5 februari 2010 vastgestelde contractuele standaardbepalingen voor de Overdracht van Persoonlijke gegevens van Klanten aan in andere landen gevestigde Verwerkers onder Richtlijn 95/46/EG). Waar de FADP/nFADP van toepassing is, worden alle verwijzingen in de Contractuele standaardbepalingen uitgelegd als corresponderend met verwijzingen naar de FADP/nFADP. Voor alle begrippen die in deze context worden gebruikt, geldt de definitie die wordt gegeven in de FADP/nFADP.

'Addendum voor het Verenigd Koninkrijk' betekent (i) het modeladdendum dat door de Information Commissioner's Office van het Verenigd Koninkrijk is uitgegeven en op 2 februari 2022 aan het parlement van het Verenigd Koninkrijk is voorgelegd overeenkomstig artikel 119A van de UK Data Protection Act 2018, zoals van tijd tot tijd wordt herzien overeenkomstig artikel 18 van de Mandatory Clauses. Met het modeladdendum waarnaar in deze definitie wordt verwezen, wordt bedoeld het document getiteld: International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0, van kracht op 21 maart 2022; of (ii) (tot Momentive het onder (i) geschetste addendum voor het Verenigd Koninkrijk is aangegaan), het besluit van de Europese Commissie van 5 februari 2010 voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG.

'GDPR van het Verenigd Koninkrijk' betekent de AVG van de EU zoals deze deel uitmaakt van de wetgeving van Engeland en Wales, Schotland en Noord-Ierland krachtens artikel 3 van de European Union (Withdrawal) Act 2018 en zoals gewijzigd door de Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 respectievelijk 2020 en alle wetgeving die van tijd tot tijd in het Verenigd Koninkrijk van kracht is en die vervolgens de GDPR van het Verenigd Koninkrijk wijzigt of vervangt.

Voor het verzorgen van de Services aan de Klant is Momentive een verwerker van Persoonlijke klantgegevens voor de doeleinden van de AVG. Met betrekking tot de CCPA, zoals van toepassing, komen Momentive en de Klant hierbij overeen dat Momentive een dienstverlener is en dat de Klant het 'bedrijf' is met betrekking tot persoonlijke gegevens (zoals gedefinieerd in de CCPA).

Deze OVG blijft van kracht totdat de overeenkomst wordt beëindigd (in overeenstemming met de voorwaarden) of verloopt. 

De klant waarborgt en garandeert hierbij dat deze gerechtigd is om de klantgegevens over te dragen aan Momentive, zodat Momentive deze op een rechtmatige wijze kan verwerken en de persoonlijke gegevens in overeenstemming met deze DPA kan overdragen. De klant zorgt ervoor dat relevante  betrokkenen zijn geïnformeerd over een dergelijk gebruik, een dergelijke verwerking en een dergelijke overdracht, zoals vereist door de wetgeving inzake de overdracht van persoonlijke gegevens, en dat er wettelijke toestemmingen zijn verkregen (waar van toepassing). De klant waarborgt bovendien dat alle persoonlijke gegevens die door Momentive worden verwerkt of overgedragen wettelijk en juist plaatsvinden.

Waar Momentive namens de Klant Persoonlijke klantgegevens verwerkt, zal Momentive:

(a) dit alleen doen na gedocumenteerde klantinstructies en in overeenstemming met de gegevensbeschermingswetgeving, inclusief met betrekking tot overdrachten van persoonlijke gegevens naar andere jurisdicties of een internationale organisatie, en de partijen komen overeen dat de overeenkomst dergelijke gedocumenteerde instructies van de klant aan Momentive vormt voor het verwerken van persoonlijke klantgegevens (inclusief naar locaties buiten de EER) samen met andere redelijke instructies verstrekt door de klant aan Momentive (bijv. via e-mail) waar dergelijke instructies consistent zijn met de overeenkomst; 

(b) waarborgen dat al het Momentive-personeel dat betrokken is bij de verwerking van persoonlijke klantgegevens gebonden is aan vertrouwelijkheidsbepalingen met betrekking tot de persoonlijke gegevens; 

(c) informatie aan de Klant beschikbaar stellen die de naleving van de Klant aantoont van de verplichtingen uit hoofde van artikel 28 (indien van toepassing op de Klant), waar dergelijke informatie wordt bewaard door Momentive en deze niet anderszins beschikbaar is voor de Klant via de account- en gebruikersonderdelen of op Momentive-websites, op voorwaarde dat de Klant Momentive ten minste 14 dagen van tevoren schriftelijk van een dergelijk informatieverzoek in kennis stelt;

(d) samenwerken zoals redelijkerwijs gevraagd door de klant om de klant in staat te stellen te voldoen aan het uitoefenen van rechten door een betrokkene die zijn verleend aan betrokkenen door gegevensbeschermingswetgeving met betrekking tot persoonlijke gegevens die worden verwerkt door Momentive in het verstrekken van de services; 

(e) ondersteuning bieden, waar nodig, bij verzoeken die rechtstreeks zijn ontvangen van een Betrokkene in verband met Persoonlijke gegevens van de betreffende Betrokkene die via de Services zijn verzonden;

(f) bij verwijdering door u, geen Persoonlijke klantgegevens behouden binnen uw account, anders dan om toepasselijke wetten en regels na te leven en in routinematige back-upkopieën ten behoeve van herstel na noodgevallen en om de bedrijfscontinuïteit te garanderen volgens ons retentiebeleid; 

(g) samenwerken met alle toezichthouders of vervangers op opvolgende instantie van tijd tot tijd (of, in de mate waarin dit vereist door de klant, alle andere regelgevende instanties voor gegevensbescherming of privacy onder gegevensbeschermingswetgeving) bij het uitvoeren van de taken van deze toezichthouder waar vereist; 

(h) de klant ondersteunen zoals redelijkerwijs vereist waarbij de klant: 

(i) een impactassessment voor gegevensbescherming uitvoert met betrekking tot de services (wat kan inhouden door de levering van documentatie zodat de klant zijn eigen assessment kan uitvoeren); or

(ii) vereist is om een beveiligingsincident te melden (zoals hieronder gedefinieerd) aan een toezichthouder of een relevante betrokkene

(i) (a) geen persoonlijke informatie deelt of verkoopt (zoals gedefinieerd onder de CCPA) voor een commercieel doel, of (b) geen persoonlijke informatie verzamelt, bewaart, gebruikt, openbaar maakt of anderszins verwerkt anders dan (1) voor het voldoen aan zijn verplichtingen ten opzichte van de klant onder de overeenkomst, (2) namens de klant, (3) voor de operationele doeleinden van de klant, (4) voor het interne gebruik door Momentive, zoals toegestaan door de gegevensbeschermingswetgeving, (5) om gegevensbeveiligingsincidenten te detecteren of om te beschermen tegens frauduleuze of illegale activiteit, of (6) zoals anderszins toegestaan onder de gegevensbeschermingswetgeving; 

(j) Waar vereist door gegevensbeschermingswetgeving informeert Momentive de klant als deze ter ore komt dat instructies die zijn ontvangen door de klant inbreuk maken op de bepalingen van de gegevensbeschermingwetgeving. Niettegenstaande het voorafgaande heeft Momentive geen verplichting om de wettigheid van instructies ontvangen van de klant te monitoren of te beoordelen; en

(k) Momentive verklaart dat het de beperkingen en verplichtingen die in deze OVG zijn uiteengezet begrijpt en dat het deze zal naleven. 

6.1 Subverwerking. De Klant verstrekt een algemene autorisatie aan Momentive om verdere subverwerkers in te schakelen, onderhevig aan de naleving van de vereisten in deze sectie 6.

6.2 Subverwerkerslijst. Momentive zal, onderhevig aan de vertrouwelijkheidsbepalingen van de Overeenkomst of anderszins opgelegd door Momentive:

(a) een lijst van de onderaannemers van Momentive beschikbaar maken die betrokken zijn bij de verwerking of subverwerking van Persoonlijke klantgegevens in verband met de verlening van de Services (Subverwerkers) aan de klant, samen met een beschrijving van de aard van de door elke Subverwerker verleende services (Subverwerkerslijst). Een kopie van deze Subverwerkerslijst kan hier worden aangevraagd; 

(b) waarborgen dat alle subverwerkers op de lijst van subverwerkers zijn gebonden door contractuele voorwaarden die in alle belangrijke opzichten niet minder strikt zijn dan de voorwaarden in deze OVG; en 

(c) aansprakelijk zijn voor de daden en nalatigheden van zijn subverwerkers in dezelfde mate waarin Momentive aansprakelijk zou zijn als het de services van elke van deze subverwerkers zou uitvoeren rechtstreeks onder de voorwaarden van deze OVG, uitgezonderd indien anderszins bepaald in de overeenkomst. 

6.3 Nieuwe/vervangende Subverwerkers. Momentive zal de Klant op elk moment gedurende de looptijd van de Overeenkomst schriftelijk in kennis stellen in het geval van de toevoeging van een nieuwe Subverwerker of de vervanging van een bestaande Subverwerker ('Kennisgeving inzake nieuwe subverwerker'). De Klant schrijft zich in op een door Momentive beschikbaar gestelde mailinglijst die ervoor zorgt dat dergelijke kennisgevingen per e-mail worden bezorgd, of raadpleegt als alternatief hier zelf of er updates van de lijst zijn. Indien de Klant een redelijke grond heeft om bezwaar te maken tegen het gebruik door Momentive van een nieuwe of vervangende Subverwerker, zal de Klant Momentive daarvan onverwijld schriftelijk en in elk geval binnen 30 dagen na ontvangst van een kennisgeving van een nieuwe Subverwerker in kennis stellen. In geval van een dergelijk redelijk bezwaar, kan zowel de Klant als Momentive het gedeelte van de Overeenkomst met betrekking tot de Services die redelijkerwijs niet kunnen worden verleend zonder de nieuwe Subverwerker waartegen bezwaar wordt gemaakt (hetgeen, naar goeddunken en keuze van Momentive, beëindiging van de gehele Overeenkomst kan inhouden) met onmiddellijke ingang beëindigen via een schriftelijke kennisgeving aan de andere partij. Een dergelijke beëindiging vindt plaats zonder recht op terugbetaling van door de Klant vooruitbetaalde kosten voor de periode na beëindiging.

7.1 Beveiligingsmaatregelen. Momentive heeft, rekening houdend met de stand van de techniek, implementatiekosten en de aard, reikwijdte, context en doeleinden van de Services en het risiconiveau, toepasselijke technische en organisatorische maatregelen getroffen (in overeenstemming met bijlage 1) om een geschikt beveiligingsniveau te waarborgen van het risico op onbevoegde of onrechtmatige verwerking, onopzettelijk verlies van en/of schade aan Klantgegevens, zoals is gespecificeerd in onze beveiligingsverklaring die middels verwijzing in deze voorwaarden is opgenomen. Momentive test en evalueert met redelijke regelmaat de doeltreffendheid van deze technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

7.2 Beveiligingsincident en kennisgevingen bij inbreuk. Als Momentive zich bewust wordt van ongeautoriseerde of onwettige toegang tot of de verwerving, de wijziging, het gebruik, de openbaarmaking of de vernietiging van persoonlijke klantgegevens ('Beveiligingsincident'), neemt Momentive redelijke stappen om de klant zonder onnodige vertraging hiervan op de hoogte te stellen. Een Beveiligingsincident omvat geen onsuccesvolle pogingen of activiteiten die de beveiliging van Persoonlijke gegevens niet in gevaar brengen, inclusief mislukte inlogpogingen, pings, poortscans, DDOS-aanvallen of andere netwerkaanvallen op firewalls of met het netwerk verbonden systemen. Een kennisgeving van een Beveiligingsincident houdt geen aanvaarding van aansprakelijkheid in door Momentive.

7.3 Momentive zal ook redelijk met de Klant samenwerken bij eventuele onderzoeken met betrekking tot een beveiligingsincident om eventueel vereiste kennisgevingen voor te bereiden, en zal eventuele andere informatie verstrekken die redelijkerwijs door de Klant wordt gevraagd in relatie tot een Beveiligingsincident. 

8.1 Audits. Waar Momentive Persoonlijke klantgegevens verwerkt voor de Klant als (alleen) verwerker, verstrekt de Klant ten minste een maand vooraf een schriftelijke kennisgeving van een audit aan Momentive, die kan worden uitgevoerd door de Klant of een onafhankelijke auditor die is aangewezen door de Klant (op voorwaarde dat geen enkele persoon die de audit uitvoert een concurrent is van Momentive of handelt namens een concurrent van Momentive) ('Auditor'). De reikwijdte van een audit is als volgt:

(a) De klant heeft alleen het recht om eenmaal per abonnementsjaar een audit uit te voeren tenzij anderszins wettelijk verplicht of vereist door een regelgevende instantie met vastgestelde autoriteit over de klant om meer dan 1 audit uit te voeren in hetzelfde jaar of de uitvoering hiervan te faciliteren (in dergelijke omstandigheden komen de klant en Momentive, voorafgaand aan deze audits, een redelijk vergoedingspercentage overeen voor de auditkosten van Momentive).

(b) Momentive stemt er, onderworpen aan eventuele toepasselijke en redelijke vertrouwelijkheidsbeperkingen, mee in om bewijs van eventuele certificeringen en naleving van gehanteerde normen te verstrekken en om, op aanvraag, een overzicht aan de Klant te verstrekken van de meest recente jaarlijkse penetratietesten van Momentive. Dit overzicht zal eventuele herstelmaatregelen bevatten die door Momentive zijn getroffen na dergelijke penetratietesten.

(c) De reikwijdte van een audit zal beperkt blijven tot de systemen, processen en documentatie van Momentive die relevant zijn voor de verwerking en bescherming van Persoonlijke klantgegevens, en Auditoren zijn gehouden om audits uit te voeren die zijn onderworpen aan alle door Momentive verzochte, toepasselijke en redelijke vertrouwelijkheidsbeperkingen.

(d) De Klant dient Momentive zo spoedig mogelijk op vertrouwelijke basis in kennis te stellen van en volledig te informeren over elke vermeende niet-naleving of eventuele beveiligingskwesties die tijdens een audit aan het licht komen.

8.2 De partijen stemmen ermee in dat, uitgezonderd zoals daarin is voorzien door een verordening of een ander bindend besluit van een toezichthouder of regelgevende instantie die ten aanzien van de Klant rechtsbevoegd is, deze sectie 8 de volledige omvang behelst van de auditrechten van de Klant ten aanzien van Momentive.

9.1 Voor zover van toepassing vertrouwt Momentive voor de overdracht van persoonsgegevens van klanten in de Europese Economische Ruimte (EER), Zwitserland of het Verenigd Koninkrijk naar locaties buiten de EER, Zwitserland en het Verenigd Koninkrijk (rechtstreeks of via verdere overdracht) die geen adequate normen voor gegevensbescherming hebben, zoals bepaald door de Europese Commissie of relevante wetgeving voor gegevensbescherming, op het volgende:

(a) de VCA's; en

(b) voor doorgiften die onder de GDPR van het Verenigd Koninkrijk vallen, het addendum voor het Verenigd Koninkrijk; of

(c) andere passende waarborgen of uitzonderingen (in beperkte mate) die in de gegevensbeschermingswetgeving zijn gespecificeerd of toegestaan. 

9.2 Waar nodig sluiten de partijen hierbij de Contractuele standaardbepalingen (waarvan een kopie hier te vinden is) en het addendum voor het Verenigd Koninkrijk (Appendix 3). De Contractuele standaardbepalingen zijn door middel van verwijzing in deze overeenkomst opgenomen en zijn als volgt van toepassing: 

(a) indien de Klant in het kader van de Serviceovereenkomst in de Verenigde Staten een contract met Momentive Inc. sluit en een verantwoordelijke is voor de verwerking van Persoonsgegevens van klanten en door het gebruik van de Services die Persoonsgegevens van klanten vanuit de EER doorgeeft naar locaties waarvan de Europese Commissie niet heeft vastgesteld dat zij een passend beschermingsniveau voor Persoonsgegevens bieden, sluit Momentive de VCA's als gegevensimporteur en sluit de klant de VCA's als gegevensexporteur en is alleen module twee van de VCA's van toepassing; en/of

(b) wanneer de Klant in de Verenigde Staten een contract met Momentive Inc. sluit in het kader van de Serviceovereenkomst en een gegevensverwerker is van Persoonsgegevens van klanten en door het gebruik van de Services die Persoonsgegevens van klanten vanuit de EER doorgeeft naar locaties waarvan de Europese Commissie niet heeft vastgesteld dat zij een passend niveau van bescherming van Persoonsgegevens bieden, sluit Momentive de VCA's als gegevensimporteur en sluit de Klant de VCA's als gegevensexporteur en is alleen module drie van de VCA's van toepassing; en/of

(c) indien de Klant geen ingezetene van de EER is en een contract met Momentive Europe UC sluit om in het kader van de overeenkomst Persoonsgegevens van klanten binnen de EER op te slaan, en een verantwoordelijke voor de verwerking van Persoonsgegevens van klanten is, en door het gebruik van de Services die Persoonsgegevens vanuit de EER doorgeeft naar locaties waarvan de Europese Commissie niet heeft vastgesteld dat zij een passend niveau van bescherming van Persoonsgegevens bieden, treedt Momentive in de VCA's op als gegevensexporteur en treedt de Klant in de VCA's op als gegevensimporteur en is alleen module vier van de VCA's van toepassing; en

(d) in clausule 7 is de facultatieve koppelingsclausule van toepassing;

(e) in clausule 11 is de optionele taal niet van toepassing;

(f) in clausule 17 worden de VCA's beheerst door Iers recht;

(g) in clausule 18 worden geschillen voor de Ierse rechter beslecht; en

(h) Annex I en II van de VCA's worden geacht te zijn aangevuld met de in de Overeenkomst vermelde informatie en de in de bijlagen bij deze Overeenkomst inzake gegevensbescherming verstrekte gegevens.

9.3 Bij een overdracht die wordt beschermd door de FADP/nFADP, zijn de Contractuele standaardbepalingen van toepassing in overeenstemming met bovenstaande sectie 9.2, met uitzondering van: 

(a) eventuele verwijzingen in de contractuele standaardbepalingen naar de AVG. Deze verwijzingen worden geïnterpreteerd als verwijzingen naar de FADP/nFADP;  

(b) eventuele verwijzingen naar de EU of Unie en wetgeving van lidstaten. Deze worden geïnterpreteerd als verwijzingen naar Zwitserland en Zwitserse wetgeving; en  

(c ) eventuele verwijzingen naar de bevoegde toezichthoudende autoriteit en bevoegde rechtbanken. Deze worden geïnterpreteerd als verwijzingen naar de relevante gegevensbeschermingsautoriteit en rechtbanken in Zwitserland, tenzij de contractuele standaardbepalingen, geïmplementeerd zoals hiervoor beschreven, niet kunnen worden gebruikt voor rechtmatige overdracht van dergelijke persoonlijke gegevens van klanten in overeenstemming met de FADP/nFADP. In dat geval gelden in plaats hiervan de Zwitserse contractuele standaardbepalingen die via verwijzing worden opgenomen en die dan integraal onderdeel zullen zijn van de overeenkomst voor gegevensverwerking. Deze zijn dan van toepassing op dergelijke overdracht. Voor de doeleinden van de Zwitserse contractuele standaardbepalingen worden de relevante bijlagen van de Zwitserse contractuele standaardbepalingen ingevuld met informatie die is opgenomen in de bijlagen I en II bij deze overeenkomst voor gegevensverwerking (waar van toepassing) en de interpretatiebepalingen die zijn beschreven in deze Sectie 9.3, zijn dan van toepassing (zoals relevant en vereist voor de doeleinden van het voldoen aan de FADP/nFADP).  

9.4 Op schriftelijk verzoek en in overeenstemming met de Contractuele standaardbepalingen of het Addendum voor het Verenigd Koninkrijk (al naargelang het geval), zal Momentive kopieën van de Contractuele standaardbepalingen of het Addendum voor het Verenigd Koninkrijk die zij in haar hoedanigheid van verwerker met gegevensimporteurs heeft gesloten, aan de Klant verstrekken.

10.1 Aansprakelijkheid voor gegevensverwerking. De gezamenlijke, algehele aansprakelijkheid van elke partij voor alle claims, ongeacht of deze voortvloeien uit contract, onrechtmatige daad (waaronder nalatigheid), het niet nakomen van een wettelijke verplichting of anderszins voor eventuele en alle claims die voortvloeien uit of verband houden met deze OVG, zal zijn zoals deze is uiteengezet in de overeenkomst, tenzij door de partijen schriftelijk anderszins is overeengekomen.

10.2 Conflict. In het geval van een conflict of ambiguïteit tussen: (i) de voorwaarden van deze OVG en de voorwaarden van de Overeenkomst, met betrekking tot het onderwerp van deze OVG, prevaleren de voorwaarden van deze OVG ; (ii) de voorwaarden van een bepaling in deze OVG en van een bepaling in de Modelcontractbepalingen, prevaleert de bepaling in de Modelcontractbepalingen.

10.3 Onafhankelijke verwerking. De Klant blijft volledig aansprakelijk voor de eigen naleving van de wetgeving voor gegevensbescherming voor eventuele onafhankelijke verzameling en verwerking van persoonlijke gegevens die niet aan de Services zijn gerelateerd. De Klant verzorgt zelf duidelijke en opvallende privacymeldingen die nauwkeurig beschrijven hoe dit gebeurt en dat Momentive niet verantwoordelijk is voor de behandeling van persoonlijke gegevens door de Klant onder die omstandigheden. De Klant vrijwaart hierbij Momentive volledig voor elke en alle claims of aansprakelijkheid die optreedt als resultaat van een dergelijke verzameling en een dergelijk gebruik van persoonlijke gegevens van het bedrijf onder die omstandigheden

10.4 Gehele overeenkomst. De Overeenkomst (die deze OVG omvat) en bestelformulieren vertegenwoordigen de gehele overeenkomst tussen de partijen en vervangen alle andere eerdere of gelijktijdige overeenkomsten of algemene voorwaarden, schriftelijk of mondeling, met betrekking tot het onderwerp. Elke van de partijen bevestigt dat het niet heeft vertrouwd op verklaringen die niet zijn opgenomen in de Overeenkomst die ertoe hebben geleid dat ze deze overeenkomst aangaan.

10.5 Ontbinding. Als een bepaling van deze Overeenkomst inzake gegevensbescherming door een bevoegde rechtbank onuitvoerbaar wordt verklaard, zal die bepaling worden ontbonden en blijven de overige bepalingen volledig van kracht. Niets in deze Overeenkomst inzake gegevensbescherming is bedoeld, of wordt geacht een partnerschap of joint venture tussen een van de partijen tot stand te brengen, noch geeft deze een partij het recht om verbintenissen aan te gaan voor of namens een andere partij, behalve zoals hierin uitdrukkelijk bepaald.

10.6 Elektronische kopie. De OVG wordt geleverd als een elektronisch document.

10.7 Toepasselijke wetgeving. Op deze OVG is de wetgeving van Ierland van kracht en de partijen onderwerpen zich aan de exclusieve jurisdictie van het Ierse gerechtshof (in relatie tot alle contractuele en niet-contractuele geschillen) uitgezonderd in het geval van een vermeende inbreuk of inbreuk op huidige of toekomstige privacywetten, regelgeving, standaarden, wettelijke richtlijnen en zelfregulerende richtlijnen op staats- of federaal niveau in de Verenigde Staten, in welk geval de wetten van de staat Californië van toepassing zijn, tenzij anderszins wettelijk opgelegd.

Beschrijving van de technische en organisatorische beveiligingsmaatregelen van Momentive 

Momentive handhaaft geschikte administratieve, fysieke en technische beveiligingsmechanismen ('Beveiligingsmechanismen') voor het beschermen van de veiligheid, vertrouwelijkheid en integriteit van Persoonlijke gegevens die aan het bedrijf zijn verstrekt voor het leveren van de Services aan de Klant. 

De beveiligingsmechanismen omvatten de volgende zaken: 

(a) Domein: Organisatie van informatiebeveiliging.

(i) Beveiligingsrollen en -verantwoordelijkheden. Medewerkers van Momentive met toegang tot gegevens zijn gehouden aan vertrouwelijkheidsverplichtingen.

(ii) Programma voor risicobeheer. Momentive voert een risicoanalyse uit voordat de gegevens worden verwerkt, waar van toepassing.

(b) Domein: Beheer van bedrijfsmiddelen

(i) Omgaan met bedrijfsmiddelen.

(1) Momentive heeft procedures voor het afvoeren van gedrukte materialen die klantgegevens bevatten.

(2) Momentive onderhoudt een inventaris van alle hardware waarop klantgegevens worden opgeslagen.

(c) Domein: Beveiliging van Human Resources.

(i) Beveiligingstraining.

(1) Momentive informeert zijn medewerkers over relevante beveiligingsprocedures en hun betreffende rollen. Momentive informeert zijn personeel ook over mogelijke consequenties van het schenden van de beveiligingsregels en -procedures.

(d) Domein: Fysieke en omgevingsbeveiliging.

(i) Fysieke toegang tot faciliteiten. Momentive beperkt de toegang tot faciliteiten met informatiesystemen waarop Klantgegevens worden verwerkt tot geïdentificeerde geautoriseerde personen.

(ii) Bescherming tegen verstoringen. Momentive gebruikt verschillende systemen volgens industrienormen tegen gegevensverlies als gevolg van een stroomstoring of lijninterferentie.

(iii) Afvoeren van componenten. Momentive gebruikt processen volgens industrienormen om Klantgegevens te verwijderen als deze niet langer nodig zijn.

(e) Domein: Communicatie en operationeel beheer. 

(i) Operationeel beleid. Momentive onderhoudt beveiligingsdocumenten waarin de beveiligingsmaatregelen en de relevante procedures en verantwoordelijkheden van zijn personeel worden beschreven dat toegang heeft tot Klantgegevens. 

(ii) Procedures voor gegevensherstel. 

(1) Momentive maakt regelmatig en doorlopend back-upkopieën van Klantgegevens waarmee Klantgegevens kunnen worden hersteld in het geval van verlies van de primaire kopie. 

(2) Momentive slaat kopieën van Klantgegevens en procedures voor gegevensherstel op een andere plaats op dan waar de primaire computerapparatuur zich bevindt die de Klantgegevens verwerkt. 

(3) Momentive heeft specifieke procedures ingesteld die de toegang tot kopieën van klantgegevens regelen. 

(iii) Schadelijke software. Momentive heeft anti-malwarecontrolemechanismen om te helpen voorkomen dat schadelijke software ongeautoriseerde toegang krijgt tot Klantgegevens, inclusief schadelijke software die afkomstig is van openbare netwerken.

(iv) Gegevens voorbij grenzen. 

(1) Momentive versleutelt klantgegevens die worden verzonden over openbare netwerken. 

(v) Gebeurtenislogboeken.

(1) Momentive logt het gebruik van zijn systemen voor gegevensverwerking. 

(2) Momentive logt de toegang tot en het gebruik van informatiesystemen die klantgegevens bevatten, waarbij de toegangs-ID, tijdstempel en bepaalde relevante activiteiten worden geregistreerd.

(f) Domein: Beheer van beveiligingsincidenten.

(i) Incidentreactieproces. 

(1) Momentive onderhoudt een incidentreactieplan.  

(2) Momentive onderhoudt een registratie van beveiligingsinbreuken met een beschrijving van de inbreuk, de tijdperiode, de gevolgen van de inbreuk, de naam van de melder en aan wie de inbreuk werd gemeld, en de oplossingsstappen, indien van toepassing.

(g) Domein: Bedrijfscontinuïteitsbeheer.

(i) De redundante opslag van Momentive en de procedures voor het herstellen van gegevens zijn ontworpen om te proberen de persoonlijke gegevens van de klant naar de oorspronkelijke staat te reconstrueren van voor het tijdstip waarop de gegevens verloren gingen of vernietigd werden.   

(h) Controle van toegang tot verwerkingsonderdelen.  Processen om te voorkomen dat ongeautoriseerde personen toegang krijgen tot de apparatuur voor gegevensverwerking (namelijk, telefoons, database- en applicatieservers en gerelateerde hardware) waar de Persoonlijke klantgegevens worden verwerkt of gebruikt, waaronder: 

(i) het vaststellen van beveiligde onderdelen; 

(ii) bescherming en beperking van toegangswegen;

(iii) beveiligen van de mobiele telefoons;   

(iv) apparatuur voor gegevensverwerking en personal computers;

(v) alle toegang tot de datacenters waar Persoonlijke gegevens van de Klant worden gehost wordt opgeslagen, gemonitord en bijgehouden;  

(vi) de datacenters waar persoonlijke klantgegevens worden gehost, worden beveiligd door een beveiligingsalarmsysteem en andere geschikte beveiligingsmaatregelen; en 

(vii) de faciliteit is ontworpen om slechte weersomstandigheden en andere redelijkerwijs voorspelbare natuurlijke omstandigheden te weerstaan, wordt 24 uur per dag beveiligd door bewakers, screening met keycards en/of biometrische toegang (zoals toepasselijk voor het risiconiveau) en toegang onder begeleiding, en wordt ook ondersteund door back-upgeneratoren op locatie in het geval van een stroomuitval.

(i) Toegangscontrole tot systemen voor gegevensverwerking. Processen om te voorkomen dat systemen voor gegevensverwerking worden gebruikt door ongeautoriseerde personen, waaronder:  

(i) identificatie van de terminal en/of de gebruiker van de terminal naar de systemen voor gegevensverwerking; 

(ii) automatische time-out na 30 minuten of minder als de gebruiker de terminal niet heeft gebruikt, identificatie of wachtwoord vereist om te heropenen;

(iii) het uitgeven en veilig houden van identificatiecodes;  

(iv) vereisten voor wachtwoordcomplexiteit (minimumlengte, verlopen van wachtwoorden, etc.); en

(v) bescherming tegen externe toegang door middel van een firewall van industriële norm.  

(j) Toegangscontrole voor het gebruik van specifieke onderdelen van systemen voor gegevensverwerking. Maatregelen om te waarborgen dat personen die het recht hebben om systemen voor gegevensverwerking te gebruiken alleen toegang kunnen krijgen tot de gegevens binnen de reikwijdte en de mate waarin deze valt onder hun betreffende toegangspermissie (autorisatie) en dat Persoonlijke klantgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder autorisatie, onder andere door:

(i) het implementeren van bindend werknemersbeleid en het bieden van training met betrekking tot de toegangsrechten van iedere werknemer tot de persoonlijke gegevens van de klant;

(ii) effectieve en passende disciplinaire actie tegen personen die zonder toestemming toegang krijgen tot Persoonlijke klantgegevens; 

(iii) de vrijgave van gegevens alleen aan geautoriseerde personen; 

(iv) het implementeren van principes van toegang met de minste bevoegdheden tot informatie die persoonlijke klantgegevens bevat uitsluitend op basis van 'need to know'-vereisten;

(v) beheer van het productienetwerk en de gegevenstoegang met behulp van VPN, tweefactorauthenticatie en op rollen gebaseerde toegangscontrolemechanismen;

(vi) applicatie- en infrastructuursystemen loggen informatie op een centraal beheerde logfaciliteit voor probleemoplossing, beveiligingsevaluaties en analyse; en 

(vii) beleid waarmee de retentie van back-upkopieën wordt geregeld dat in overeenstemming is met de toepasselijke wetgeving en dat geschikt is voor de aard van de betreffende gegevens en het overeenkomstige risico.

(k) Overdrachtscontrole. Procedures om te voorkomen dat Persoonlijke klantgegevens worden gelezen, gekopieerd, gewijzigd of verwijderd door ongeautoriseerde partijen tijdens de overdracht daarvan of tijdens het transport van de gegevensmedia en om te waarborgen dat het mogelijk is om te controleren en te bepalen naar welke instanties de overdracht van Persoonlijke klantgegevens wordt uitgevoerd door middel van faciliteiten voor gegevensoverdracht, waaronder: 

(i) het gebruik van firewalls en versleutelingstechnologieën om de gateways en pijplijnen te beschermen waardoor de gegevens worden geleid;

(ii) implementatie van VPN-verbindingen om de verbinding met het interne bedrijfsnetwerk te beveiligen;

(iii) constante monitoring van infrastructuur (bijv. ICMP-Ping op netwerkniveau, onderzoek van schijfruimte op systeemniveau, geslaagde levering van gespecificeerde testpagina's op applicatieniveau); en

(iv) monitoring van de compleetheid en correctheid van de overdracht van gegevens (end-to-end-controle). 

(l) Opslagcontrole. Wanneer Persoonlijke klantgegevens worden opgeslagen: hiervan wordt een back-up gemaakt als onderdeel van een speciaal proces voor back-up en herstel in versleutelde vorm, met behulp van een commercieel ondersteunde versleutelingsoplossing. Alle gegevens gedefinieerd als Persoonlijke klantgegevens die zijn opgeslagen op een draagbaar computerapparaat of laptop of op een draagbaar opslagmedium worden op dezelfde manier versleuteld. Er worden versleutelingsoplossingen ingezet met minstens een 128-bits sleutel voor symmetrische versleuteling en een 1024-bits sleutel (of groter) voor asymmetrische versleuteling;

(m) Inputcontrole. Maatregelen om te waarborgen dat het mogelijk is om te controleren en te bepalen of en door wie Persoonlijke klantgegevens zijn ingevoerd in of verwijderd uit systemen voor gegevensverwerking, waaronder:

(i) authenticatie van het geautoriseerde personeel;

(ii) beschermende maatregelen voor de gegevensinvoer in het geheugen, evenals voor het lezen, wijzigen en verwijderen van opgeslagen gegevens;

(iii) inzet van gebruikerscodes (wachtwoorden);

(iv) bewijs vastgelegd binnen de organisatie van de gegevensimporteur van de invoerautorisatie; en

(v) waarborgen dat ingangen tot faciliteiten voor gegevensverwerking (de ruimtes waarin de computerhardware en gerelateerde apparatuur zich bevinden) zijn vergrendeld.

(n) Beschikbaarheidscontrole. Maatregelen om te waarborgen dat Persoonlijke klantgegevens worden beschermd tegen onopzettelijke vernietiging of verlies, om de redundantie van infrastructuur en regelmatige back-ups op te nemen die worden uitgevoerd op databaseservers. 

(o) Scheiding van verwerking. Procedures om te waarborgen dat gegevens verzameld voor verschillende doeleinden afzonderlijk kunnen worden verwerkt, met inbegrip van:

(i) het scheiden van gegevens door applicatiebeveiliging voor de geschikte gebruikers;

(ii) het opslaan van gegevens, op databaseniveau, in verschillende tabellen, gescheiden door de module of functie die ze ondersteunen;

(iii) het ontwerpen van interfaces, batchprocessen en rapporten alleen voor specifieke doeleinden en functies, zodat gegevens die zijn verzameld voor specifieke doeleinden afzonderlijk worden verwerkt; en

(iv) het voorkomen dat live gegevens worden gebruikt voor testdoeleinden aangezien alleen dummygegevens die zijn gegenereerd voor testdoeleinden hiervoor mogen worden gebruikt.

(p) Programma voor kwetsbaarheidsbeheer. Een programma om te waarborgen dat systemen regelmatig worden gecontroleerd op kwetsbaarheden en dat alle gedetecteerde kwetsbaarheden onmiddellijk worden verholpen, waaronder:

(i) dat alle netwerken, met inbegrip van test- en productieomgevingen, regelmatig worden gescand; en 

(ii) dat penetratietesten regelmatig worden uitgevoerd en kwetsbaarheden prompt worden verholpen.

(q) Gegevensvernietiging. In het geval van het verlopen of het beëindigen van de Overeenkomst door één van de partijen of anderszins op verzoek van de Klant na ontvangst van een verzoek van een betrokkene of een regelgevende instantie: 

(i) dat alle klantgegevens veilig worden vernietigd binnen 3 maanden; en

(ii) dat alle Klantgegevens worden verwijderd van alle opslagapparaten van Momentive en/of derden, met inbegrip van back-ups, binnen 6 maanden na beëindiging of ontvangst van een verzoek van de Klant, tenzij Momentive anderszins wettelijk verplicht is om een categorie gegevens voor langere perioden te bewaren. Momentive zal ervoor zorgen dat alle gegevens die niet langer vereist zijn worden vernietigd tot een niveau waarop kan worden verzekerd dat deze niet langer kunnen worden teruggehaald.

(r) Standaarden en certificeringen. Oplossingen en/of locaties voor gegevensopslag hebben ten minste een SOC 1- (SSAE 16) of SOC 2-rapport; equivalente of vergelijkbare certificeringen of beveiligingsniveaus worden per geval bekeken.

Doeleinden en aard van persoonlijke gegevensverwerking, categorieën persoonlijke gegevens, betrokkenen 

BIJLAGEN VOOR modelcontractbepalingen

ANNEX I -

A. LIJST VAN PARTIJEN

MODULE TWEE: overdracht van verantwoordelijke naar verwerker

MODULE DRIE: overdracht van verwerker naar verwerker

MODULE VIER: overdracht van verwerker naar verantwoordelijke

Gegevensexporteur(s): zoals vermeld in de Overeenkomst

Naam, functie en contactgegevens van de contactpersoon: zoals vermeld in de Overeenkomst

Activiteiten die relevant zijn voor de krachtens deze bepalingen doorgegeven gegevens: zoals vermeld in bijlage 2 van de Overeenkomst inzake gegevensbescherming

Gegevensimporteur(s): zoals vermeld in de Overeenkomst

Naam: zoals vermeld in de Overeenkomst

Naam, functie en contactgegevens van de contactpers