Producten

SurveyMonkey is ontwikkeld voor alle toepassingen en behoeften. Verken ons product om te ontdekken wat SurveyMonkey voor u kan doen.

Ontvang op gegevens gebaseerde inzichten van de expert in online enquêtes.

Integreer met 100+ apps en plug-ins voor meer productiviteit.

Maak online formulieren voor het verzamelen van informatie en betalingen.

Betere enquêtes maken en snel inzichten vinden met ingebouwde AI.

Gerichte oplossingen voor al uw marktonderzoek.

Sjablonen

Meet de klanttevredenheid en loyaliteit ten opzichte van uw bedrijf.

Ontdek wat de wensen van klanten zijn om klantentrouw te stimuleren.

Verzamel bruikbare inzichten om de gebruikerservaring te verbeteren.

Verzamel contactinformatie van prospects, genodigden en meer.

Verzamel gemakkelijk reacties op uw uitnodigingen voor evenementen.

Ontdek wat aanwezigen willen om toekomstige evenementen te verbeteren.

Vind inzichten om de betrokkenheid te boosten en resultaten te verbeteren.

Ontvang feedback van deelnemers om vergaderingen te verbeteren.

Gebruik feedback van collega's om personeelsprestaties te verbeteren.

Stel betere cursussen samen en verbeter lesmethoden.

Ontdek wat studenten van uw cursusmateriaal vinden.

Ontdek wat klanten van uw nieuwe productideeën vinden.

Hulpbronnen

Aanbevolen werkwijzen voor enquêtes en enquêtegegevens

Onze blog over enquêtes, tips voor bedrijven en meer.

Zelfstudies en handleidingen voor het gebruik van SurveyMonkey.

Hoe topmerken de groei stimuleren met SurveyMonkey.

Contact met verkoopAanmelden
Contact met verkoopAanmelden

63 % des personnes interrogées consultent l'historique de sécurité et la politique de confidentialité d'une entreprise avant de recourir à ses produits ou services.

Barre latérale du Centre de ressources juridiques

Download hier een exemplaar van de Overeenkomst voor gegevensverwerking voor Klanten van SurveyMonkey.

Contractuele standaardbepalingen

Deze overeenkomst voor gegevensverwerking is zo opgesteld dat deze alle mogelijke configuraties van contractuele standaardbepalingen omvat. Deze zijn mogelijk niet allemaal van toepassing. Voor meer duidelijkheid:  

  • Als u een klant in de EU of het Verenigd Koninkrijk bent, hebt u een contract met de Ierse rechtspersoon van SurveyMonkey. In dat geval zijn er geen contractuele standaardbepalingen nodig tussen rechtspersonen in de EU en het Verenigd Koninkrijk.
  • Als u een klant in de Verenigde Staten bent en u zich als gegevensbeheerder beschouwt, is sectie 9.2(a) op u van toepassing. U bent de beheerder en exporteur en SurveyMonkey is de verwerker en importeur. Module 2 voor contractuele standaardbepalingen is van toepassing op uw contract. 
  • Als u een klant in de Verenigde Staten bent en u zich als verwerker beschouwt, is sectie 9.2(a) op u van toepassing. U bent de verwerker en exporteur en SurveyMonkey is de (sub)verwerker en importeur. Module 3 voor contractuele standaardbepalingen is van toepassing op uw contract. 
  • Sectie 9.2(c) is op u van toepassing als u zich niet in de Verenigde Staten, de EU of het Verenigd Koninkrijk bevindt, maar u ervoor kiest om onze EU-gegevensopslag te gebruiken. U bent de beheerder en importeur en SurveyMonkey is de verwerker en exporteur. Module 4 voor contractuele standaardbepalingen is van toepassing op uw contract. 
  • Als u zich niet in de VS, de EU of het VK bevindt en onze gegevensopslag in de EU niet gebruikt, zijn er geen VCA's nodig omdat persoonlijke gegevens worden overgedragen aan SurveyMonkey Europe UC (in Ierland). Er is geen overdrachtsmechanisme nodig voor overdrachten naar de EU.

Deze Overeenkomst voor gegevensverwerking van SurveyMonkey (DPA) is onderdeel van uw overeenkomst met SurveyMonkey en bevat bepaalde begrippen die betrekking hebben op gegevensbescherming, privacy en beveiliging in overeenstemming met de wetgeving voor gegevensbescherming, waar van toepassing. In het geval (en alleen in die mate) dat er een conflict is tussen de verschillende wetten en voorschriften op het gebied van gegevensbescherming, voldoen de partijen aan de striktere vereisten of hogere norm die, in het geval van een geschil in dat opzicht, uitsluitend wordt bepaald door SurveyMonkey. 

Deze OVG is tussen de klant en de toepasselijke SurveyMonkey-entiteit zoals hieronder bepaald: 

(i) voor klanten in andere landen dan de Verenigde Staten is SurveyMonkey Europe UC de aanbestedende dienst; 

(ii)  voor klanten binnen de Verenigde Staten is SurveyMonkey Inc. de aanbestedende dienst. 

Dit is de nieuwste versie van de overeenkomst voor gegevensverwerking (van 15 februari 2024). 

In deze OVG hebben de onderstaande uitdrukkingen, tenzij de context anderszins vereist, de volgende betekenis: 

'Overeenkomst' betekent elke overeenkomst tussen SurveyMonkey Inc. of SurveyMonkey Europe en een klant voor de services. Een dergelijke overeenkomst kan verschillende titels hebben, zoals 'Bestelformulier', 'Verkooporder', 'Gebruiksvoorwaarden' of 'Hoofdovereenkomst of Toepasselijke serviceovereenkomst'. 

'Artikel 28' betekent artikel 28 van de AVG en de GDPR van het Verenigd Koninkrijk zoals van toepassing op de verwerking van Persoonsgegevens van de Klant. 

'Klant' of 'u' betekent de klant die is geïdentificeerd op, en/of partij is in de Overeenkomst. 

'Klantgegevens' betekent alle gegevens (met inbegrip van maar niet beperkt tot Persoonsgegevens van de Klant) die door of namens de Klant aan SurveyMonkey worden verstrekt via het gebruik van de Services door de Klant, en alle gegevens die derden via de Services aan de Klant verstrekken. 

'Persoonsgegevens van de klant' betekent alle Persoonsgegevens die door of aan de Klant worden verstrekt en die door SurveyMonkey worden verwerkt met het oog op het leveren van de Services aan de Klant, met inbegrip van, maar niet beperkt tot de persoonsgegevens die in bijlage 2 bij deze Overeenkomst inzake gegevensbescherming staan vermeld. 

Wetgeving inzake gegevensbescherming betekent alle verplichte gegevensbeschermings- of privacywetten die rechtstreeks van toepassing zijn op SurveyMonkey in de hoedanigheid van verwerker of serviceprovider (afhankelijk van wat het geval is) met betrekking tot de verwerking van Persoonsgegevens onder de Overeenkomst, met inbegrip van: 
(i) de algemene verordening gegevensbescherming (Verordening (EU) 2016/679)('AVG') en alle andere toepasselijke wet- of regelgeving in de EU, EER of lidstaten van de Europese interne markt, of elke update, wijziging of vervanging hiervan die van toepassing is op verwerking van Persoonsgegevens in het kader van de Overeenkomst;

(ii) de nieuwe Zwitserse federale wet inzake gegevensbescherming (nFADP);

(iii) alle Amerikaanse wetten en voorschriften die van toepassing zijn op de verwerking van persoonlijke gegevens onder de overeenkomst, met inbegrip van, maar niet beperkt tot de CCPA (California Consumer Privacy Act) van 2018 (Californisch burgerlijk wetboek §§ 1798.100 - 1798.199) ('CCPA'); 

(iv) alle wetten en voorschriften die van tijd tot tijd van toepassing zijn in het Verenigd Koninkrijk op de verwerking van persoonlijke gegevens onder overeenkomst (waaronder de GDPR van het Verenigd Koninkrijk); en

(v) de PIPEDA (Personal Information Protection and Electronic Documents Act), of elke aanpassing, wijziging of vervanging hiervan die van toepassing is op de verwerking van persoonlijke gegevens onder de overeenkomst in Canada.

De begrippen 'beheerder', 'impactbeoordeling gegevensbescherming', 'verwerken', 'verwerking', 'verwerker', 'toezichthoudende autoriteit' hebben dezelfde betekenis als in de AVG of de GDPR van het Verenigd Koninkrijk.

De termen 'Bedrijf', 'Zakelijk(e) doeleinde(n)', 'Commerciële doeleinde(n)', 'Persoonlijke informatie', 'Dienstverlener', 'Verkopen' en 'Delen' hebben dezelfde betekenis als is gedefinieerd in de CCPA. 

'SurveyMonkey' of 'wij/we/ons/onze' betekent in het geval van klanten in de Verenigde Staten, SurveyMonkey Inc. en in het geval van klanten buiten de Verenigde Staten, SurveyMonkey Europe. 

'SurveyMonkey Europe' betekent SurveyMonkey Europe UC, een Iers bedrijf, gevestigd op 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Ierland. 

'SurveyMonkey Inc.' betekent SurveyMonkey Inc., een in Delaware opgericht bedrijf aan One Curiosity Way, San Mateo, CA 94403, Verenigde Staten.  

'SurveyMonkey Privacymelding' betekent de Privacymelding van SurveyMonkey op https://nl.surveymonkey.com/mp/legal/privacy/.

Persoonsgegevens betekent informatie betreffende een levende persoon die, alleen of in combinatie met andere informatie, redelijkerwijs kan worden geïdentificeerd (een Betrokkene).

'Services' betekent de services besteld door de Klant van SurveyMonkey onder de Overeenkomst. 

Contractuele standaardbepalingen wil zeggen de Contractuele standaardbepalingen die zijn toegevoegd aan het besluit van de Europese Commissie van: i) 4 juni 2021 betreffende contractuele standaardbepalingen voor de overdracht van persoonsgegevens aan andere landen onder de AVG of ii) (tot SurveyMonkey de onder i)) genoemde Contractuele standaardbepalingen is aangegaan), de op 5 februari 2010 vastgestelde Contractuele standaardbepalingen voor de Overdracht van Persoonlijke gegevens van Klanten aan in andere landen gevestigde Verwerkers onder Richtlijn 95/46/EG. Waar de nFADP van toepassing is, worden alle verwijzingen in de Contractuele standaardbepalingen uitgelegd als corresponderend met verwijzingen naar de nFADP. Voor alle begrippen die in deze context worden gebruikt, geldt de definitie die wordt gegeven in de nFADP.

'Addendum voor het Verenigd Koninkrijk' betekent (i) het modeladdendum dat door de Information Commissioner's Office van het Verenigd Koninkrijk is uitgegeven en op 2 februari 2022 aan het parlement van het Verenigd Koninkrijk is voorgelegd overeenkomstig artikel 119A van de UK Data Protection Act 2018, zoals van tijd tot tijd wordt herzien overeenkomstig artikel 18 van de Mandatory Clauses. Met het modeladdendum waarnaar in deze definitie wordt verwezen, wordt bedoeld het document getiteld: International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0, van kracht op 21 maart 2022; of (ii) (tot SurveyMonkey het onder (i) geschetste addendum voor het Verenigd Koninkrijk is aangegaan), het besluit van de Europese Commissie van 5 februari 2010 voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG.

'GDPR van het Verenigd Koninkrijk' betekent de AVG van de EU zoals deze deel uitmaakt van de wetgeving van Engeland en Wales, Schotland en Noord-Ierland krachtens artikel 3 van de European Union (Withdrawal) Act 2018 en zoals gewijzigd door de Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 respectievelijk 2020 en alle wetgeving die van tijd tot tijd in het Verenigd Koninkrijk van kracht is en die vervolgens de GDPR van het Verenigd Koninkrijk wijzigt of vervangt.

Bij de levering van de Services aan de klant is SurveyMonkey een verwerker van Persoonlijke klantgegevens in de context van de AVG. Met betrekking tot de CCPA, zoals van toepassing, komen SurveyMonkey en de Klant hierbij overeen dat SurveyMonkey een Dienstverlener is en dat de Klant het 'Bedrijf' is wanneer het gaat om Persoonlijke gegevens.

Deze OVG blijft van kracht totdat de overeenkomst wordt beëindigd (in overeenstemming met de voorwaarden) of verloopt. 

De klant waarborgt en garandeert hierbij dat deze gerechtigd is om de klantgegevens over te dragen aan SurveyMonkey, zodat SurveyMonkey deze op een rechtmatige wijze kan verwerken en de Persoonlijke gegevens in overeenstemming met deze DPA kan overdragen. De klant zorgt ervoor dat relevante  betrokkenen zijn geïnformeerd over een dergelijk gebruik, een dergelijke verwerking en een dergelijke overdracht, zoals vereist door de wetgeving inzake de overdracht van persoonlijke gegevens, en dat er wettelijke toestemmingen zijn verkregen (waar van toepassing). De klant garandeert bovendien dat alle Persoonlijke gegevens die door SurveyMonkey worden verwerkt of overgedragen, rechtmatig en naar behoren zijn verzameld. De Klant voldoet aan alle toepasselijke Wetgeving voor gegevensbescherming.

Waar SurveyMonkey namens de Klant Persoonlijke klantgegevens verwerkt, zal SurveyMonkey:

(a) dit alleen doen na gedocumenteerde klantinstructies en in overeenstemming met de Gegevensbeschermingswetgeving, inclusief met betrekking tot overdrachten van Persoonlijke gegevens van de Klant naar andere jurisdicties of een internationale organisatie, en de partijen komen overeen dat de Overeenkomst dergelijke gedocumenteerde instructies van de Klant aan SurveyMonkey vormt voor het verwerken van Persoonlijke klantgegevens (inclusief naar locaties buiten de EER) samen met andere redelijke instructies verstrekt door de Klant aan SurveyMonkey (bijv. via e-mail) waar dergelijke instructies consistent zijn met de overeenkomst; 

(b) waarborgen dat al het SurveyMonkey-personeel dat betrokken is bij de verwerking van persoonlijke klantgegevens gebonden is aan vertrouwelijkheidsbepalingen met betrekking tot de persoonlijke gegevens; 

(c) informatie aan de klant beschikbaar stellen die de naleving van de klant aantoont van de verplichtingen uit hoofde van Artikel 28 (of vergelijkbare Wetgeving voor gegevensbescherming, indien van toepassing op de klant), waar dergelijke informatie wordt bewaard door SurveyMonkey en deze niet anderszins beschikbaar is voor de klant via het account en gebruikersonderdelen of op SurveyMonkey-websites, op voorwaarde dat de klant SurveyMonkey ten minste 14 dagen van tevoren schriftelijk van een dergelijk informatieverzoek in kennis stelt;

(d) samenwerken zoals redelijkerwijs gevraagd door de klant om de klant in staat te stellen te voldoen aan het uitoefenen van rechten door een betrokkene die zijn verleend aan betrokkenen door gegevensbeschermingswetgeving met betrekking tot persoonlijke gegevens die worden verwerkt door SurveyMonkey in het verstrekken van de services; 

(e) ondersteuning te bieden, wanneer daarom wordt gevraagd door de Klant, bij verzoeken die rechtstreeks zijn ontvangen van een Betrokkene in verband met Persoonsgegevens van de betreffende Betrokkene die via de Services zijn verzonden;

(f) bij verwijdering door u, geen Persoonlijke klantgegevens behouden binnen uw account, anders dan om toepasselijke wetten en regels na te leven en in routinematige back-upkopieën ten behoeve van herstel na noodgevallen en om de bedrijfscontinuïteit te garanderen volgens ons retentiebeleid; 

(g) samenwerken met alle toezichthouders of vervangers op opvolgende instantie van tijd tot tijd (of, in de mate waarin dit vereist door de klant, alle andere regelgevende instanties voor gegevensbescherming of privacy onder gegevensbeschermingswetgeving) bij het uitvoeren van de taken van deze toezichthouder waar vereist; 

(h) de klant ondersteunen zoals redelijkerwijs vereist waarbij de klant: 

(i) een impactassessment voor gegevensbescherming uitvoert met betrekking tot de services (wat kan inhouden door de levering van documentatie zodat de klant zijn eigen assessment kan uitvoeren); or

(ii) vereist is om een beveiligingsincident te melden (zoals hieronder gedefinieerd) aan een toezichthouder of een relevante Betrokkene.

(i) geen persoonlijke informatie deelt of verkoopt

(j) geen Persoonlijke informatie verzamelen, bewerken, gebruiken, bekendmaken of anderszins verwerken voor andere doeleinden dan de volgende specifieke Zakelijk en Commerciële doeleinden: (1) het verzorgen van onze Services zoals is beschreven in deze Overeenkomst; (2) het verbeteren van onze bestaande services en het ontwikkelen van nieuwe services (bijvoorbeeld door het uitvoeren van onderzoeken voor het ontwikkelen van nieuwe producten of functies); (3) voor onze operationele doeleinden en de operationele doeleinden van onze serviceproviders en integratiepartners; (4) het waarborgen van de veiligheid en integriteit van het gebruik van persoonlijke informatie van de betrokkene in die mate waarin dat redelijkerwijs noodzakelijk is en in verhouding staat tot deze doeleinden; (5) foutopsporing en het vaststellen van fouten die de bestaande functionaliteit belemmeren; (6) kortdurend, voorbijgaand gebruik, zoals het aanpassen van content die wij of onze serviceproviders tonen op de services; en (7) andere vormen van gebruik waarvan we u op de hoogte stellen die in de Wetgeving voor gegevensbescherming zijn gespecificeerd of toegestaan;

(k) buiten de directe zakelijk relatie tussen SurveyMonkey en de Klant geen Persoonsgegevens die zijn verzameld onder de Overeenkomst, bewaren, gebruiken of bekendmaken, tenzij dat nadrukkelijk is toegestaan onder de CCPA;  

(l) waar vereist door Wetgeving voor gegevensbescherming informeert SurveyMonkey de Klant als het bedrijf verneemt dat instructies die zijn ontvangen van de Klant inbreuk maken op de bepalingen van de Wetgeving voor gegevensbescherming. Niettegenstaande het voorafgaande heeft SurveyMonkey geen verplichting om de rechtmatigheid van instructies ontvangen van de Klant te monitoren of te beoordelen. Als SurveyMonkey vaststelt dat niet meer kan worden voldaan aan verplichtingen onder de CCPA, stelt SurveyMonkey de Klant in kennis; en

(m) SurveyMonkey verklaart dat het de beperkingen en verplichtingen die in deze OVG en alle toepasselijk Wetgeving voor gegevensbescherming zijn uiteengezet, begrijpt en dat het bedrijf deze vereisten zal naleven. 

6.1 Subverwerking. De Klant verstrekt een algemene autorisatie aan SurveyMonkey om verdere subverwerkers in te schakelen, onderhevig aan de naleving van de vereisten in deze sectie 6.

6.2 Subverwerkerslijst. SurveyMonkey zal, onderhevig aan de vertrouwelijkheidsbepalingen van de Overeenkomst of anderszins opgelegd door SurveyMonkey:

(a) een lijst van de onderaannemers van SurveyMonkey beschikbaar maken die betrokken zijn bij de verwerking of subverwerking van Persoonlijke klantgegevens in verband met de verlening van de Services (Subverwerkers) aan de klant, samen met een beschrijving van de aard van de door elke Subverwerker verleende services (Subverwerkerslijst). Een kopie van deze Subverwerkerslijst kan hier worden aangevraagd; 

(b) waarborgen dat alle subverwerkers op de lijst van subverwerkers zijn gebonden door contractuele voorwaarden die in alle belangrijke opzichten niet minder strikt zijn dan de voorwaarden in deze OVG; en 

(c) aansprakelijk zijn voor de daden en nalatigheden van zijn subverwerkers in dezelfde mate waarin SurveyMonkey aansprakelijk zou zijn als het de services van elke van deze subverwerkers zou uitvoeren rechtstreeks onder de voorwaarden van deze OVG, uitgezonderd indien anderszins bepaald in de overeenkomst. 

6.3 Nieuwe/vervangende Subverwerkers. SurveyMonkey zal de Klant op elk moment gedurende de looptijd van de Overeenkomst schriftelijk in kennis stellen in het geval van de toevoeging van een nieuwe Subverwerker of de vervanging van een bestaande Subverwerker ('Kennisgeving inzake nieuwe subverwerker').De Klant schrijft zich in op een door SurveyMonkey hier beschikbaar gestelde mailinglijst die ervoor zorgt dat dergelijke kennisgevingen per e-mail worden bezorgd, of raadpleegt als alternatief hier zelf of er updates van de lijst zijn. Als de Klant een redelijke grond heeft om bezwaar te maken tegen het gebruik door SurveyMonkey van een nieuwe of vervangende Subverwerker, zal de Klant SurveyMonkey daarvan onverwijld schriftelijk en in elk geval binnen 30 dagen na ontvangst van een kennisgeving van een nieuwe Subverwerker in kennis stellen. In geval van een dergelijk redelijk bezwaar, kan zowel de Klant als SurveyMonkey het gedeelte van de Overeenkomst met betrekking tot de Services die redelijkerwijs niet kunnen worden verleend zonder de nieuwe Subverwerker waartegen bezwaar wordt gemaakt (hetgeen, naar goeddunken en keuze van SurveyMonkey, beëindiging van de gehele Overeenkomst kan inhouden) met onmiddellijke ingang beëindigen via een schriftelijke kennisgeving aan de andere partij. Een dergelijke beëindiging vindt plaats zonder recht op terugbetaling van door de Klant vooruitbetaalde kosten voor de periode na beëindiging.

7.1 Beveiligingsmaatregelen. SurveyMonkey heeft, rekening houdend met de stand van de techniek, implementatiekosten en de aard, reikwijdte, context en doeleinden van de Services en het risiconiveau, toepasselijke technische en organisatorische maatregelen getroffen (in overeenstemming met bijlage 1) om een geschikt beveiligingsniveau te waarborgen van het risico op onbevoegde of onrechtmatige verwerking, onopzettelijk verlies van en/of schade aan Klantgegevens. SurveyMonkey test en evalueert met redelijke regelmaat de doeltreffendheid van deze technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

7.2 Beveiligingsincident en kennisgevingen bij inbreuk. Als SurveyMonkey zich bewust wordt van ongeautoriseerde of onwettige toegang tot of de verwerving, de wijziging, het gebruik, de openbaarmaking of de vernietiging van persoonlijke klantgegevens ('Beveiligingsincident'), neemt SurveyMonkey redelijke stappen om de klant zonder onnodige vertraging hiervan op de hoogte te stellen. Een Beveiligingsincident omvat geen onsuccesvolle pogingen of activiteiten die de beveiliging van Persoonlijke gegevens niet in gevaar brengen, inclusief mislukte inlogpogingen, pings, poortscans, DDOS-aanvallen of andere netwerkaanvallen op firewalls of met het netwerk verbonden systemen. Een kennisgeving van een Beveiligingsincident houdt geen aanvaarding van aansprakelijkheid in door SurveyMonkey.

7.3 SurveyMonkey zal ook redelijk met de Klant samenwerken bij eventuele onderzoeken met betrekking tot een beveiligingsincident om eventueel vereiste kennisgevingen voor te bereiden, en zal eventuele andere informatie verstrekken die redelijkerwijs door de Klant wordt gevraagd in relatie tot een Beveiligingsincident. 

8.1 Audits. Waar SurveyMonkey Persoonlijke klantgegevens verwerkt voor de Klant als (alleen) verwerker, verstrekt de Klant ten minste een maand vooraf een schriftelijke kennisgeving van een audit aan SurveyMonkey, die kan worden uitgevoerd door de Klant of een onafhankelijke auditor die is aangewezen door de Klant (op voorwaarde dat geen enkele persoon die de audit uitvoert een concurrent is van SurveyMonkey of handelt namens een concurrent van SurveyMonkey) ('Auditor'). De reikwijdte van een audit is als volgt:

(a) De klant heeft alleen het recht om eenmaal per abonnementsjaar een audit uit te voeren tenzij anderszins wettelijk verplicht of vereist door een regelgevende instantie met vastgestelde autoriteit over de klant om meer dan 1 audit uit te voeren in hetzelfde jaar of de uitvoering hiervan te faciliteren (in dergelijke omstandigheden komen de klant en SurveyMonkey, voorafgaand aan deze audits, een redelijk vergoedingspercentage overeen voor de auditkosten van SurveyMonkey).

(b) SurveyMonkey stemt er, onderworpen aan eventuele toepasselijke en redelijke vertrouwelijkheidsbeperkingen, mee in om bewijs van eventuele certificeringen en naleving van gehanteerde normen te verstrekken en om, op aanvraag, een overzicht aan de Klant te verstrekken van de meest recente jaarlijkse penetratietesten van SurveyMonkey. Dit overzicht zal eventuele herstelmaatregelen bevatten die door SurveyMonkey zijn getroffen na dergelijke penetratietesten. 

(c) De reikwijdte van een audit zal beperkt blijven tot de systemen, processen en documentatie van SurveyMonkey die relevant zijn voor de verwerking en bescherming van Persoonlijke klantgegevens, en Auditoren zijn gehouden om audits uit te voeren die zijn onderworpen aan alle door SurveyMonkey verzochte, toepasselijke en redelijke vertrouwelijkheidsbeperkingen.

(d) De Klant dient SurveyMonkey zo spoedig mogelijk op vertrouwelijke basis in kennis te stellen van en volledig te informeren over elke vermeende niet-naleving of eventuele beveiligingskwesties die tijdens een audit aan het licht komen.

8.2 De partijen stemmen ermee in dat, uitgezonderd zoals daarin is voorzien door een verordening of een ander bindend besluit van een toezichthouder of regelgevende instantie die ten aanzien van de Klant rechtsbevoegd is, deze sectie 8 de volledige omvang behelst van de auditrechten van de Klant ten aanzien van SurveyMonkey.

9.1 Voor zover van toepassing vertrouwt SurveyMonkey voor de overdracht van persoonsgegevens van klanten in de Europese Economische Ruimte (EER), Zwitserland of het Verenigd Koninkrijk naar locaties buiten de EER, Zwitserland en het Verenigd Koninkrijk (rechtstreeks of via verdere overdracht) die geen adequate normen voor gegevensbescherming hebben, zoals bepaald door de Europese Commissie of relevante wetgeving voor gegevensbescherming, op het volgende:

(a) de VCA's; en

(b) voor doorgiften die onder de GDPR van het Verenigd Koninkrijk vallen, het addendum voor het Verenigd Koninkrijk; of

(c) andere passende waarborgen of uitzonderingen (in beperkte mate) die in de gegevensbeschermingswetgeving zijn gespecificeerd of toegestaan. 

9.2 Waar nodig sluiten de partijen hierbij de Contractuele standaardbepalingen (waarvan een kopie hier te vinden is) en het addendum voor het Verenigd Koninkrijk (Appendix 3). De Contractuele standaardbepalingen zijn door middel van verwijzing in deze overeenkomst opgenomen en zijn als volgt van toepassing: 

(a) indien de Klant in het kader van de Serviceovereenkomst in de Verenigde Staten een contract met SurveyMonkey Inc. sluit en een verantwoordelijke is voor de verwerking van Persoonsgegevens van klanten en door het gebruik van de Services die Persoonsgegevens van klanten vanuit de EER doorgeeft naar locaties waarvan de Europese Commissie niet heeft vastgesteld dat zij een passend beschermingsniveau voor Persoonsgegevens bieden, sluit SurveyMonkey de VCA's als gegevensimporteur en sluit de klant de VCA's als gegevensexporteur en is alleen module twee van de VCA's van toepassing; en/of

(b) wanneer de Klant in de Verenigde Staten een contract met SurveyMonkey Inc. sluit in het kader van de Serviceovereenkomst en een gegevensverwerker is van Persoonsgegevens van klanten en door het gebruik van de Services die Persoonsgegevens van klanten vanuit de EER doorgeeft naar locaties waarvan de Europese Commissie niet heeft vastgesteld dat zij een passend niveau van bescherming van Persoonsgegevens bieden, sluit SurveyMonkey de VCA's als gegevensimporteur en sluit de Klant de VCA's als gegevensexporteur en is alleen module drie van de VCA's van toepassing; en/of

(c) indien de Klant geen ingezetene van de EER is en een contract met SurveyMonkey Europe UC sluit om in het kader van de overeenkomst Persoonsgegevens van klanten binnen de EER op te slaan, en een verantwoordelijke voor de verwerking van Persoonsgegevens van klanten is, en door het gebruik van de Services die Persoonsgegevens vanuit de EER doorgeeft naar locaties waarvan de Europese Commissie niet heeft vastgesteld dat zij een passend niveau van bescherming van Persoonsgegevens bieden, treedt SurveyMonkey in de VCA's op als gegevensexporteur en treedt de Klant in de VCA's op als gegevensimporteur en is alleen module vier van de VCA's van toepassing; en

(d) in clausule 7 is de facultatieve koppelingsclausule van toepassing;

(e) in clausule 11 is de optionele taal niet van toepassing;

(f) in clausule 17 worden de VCA's beheerst door Iers recht;

(g) in clausule 18 worden geschillen voor de Ierse rechter beslecht; en

(h) Annex I en II van de VCA's worden geacht te zijn aangevuld met de in de Overeenkomst vermelde informatie en de in de bijlagen bij deze Overeenkomst inzake gegevensbescherming verstrekte gegevens.

9.3 Bij een overdracht die wordt beschermd door de nFADP, zijn de Contractuele standaardbepalingen van toepassing in overeenstemming met bovenstaande sectie 9.2, met uitzondering van: 

(a) eventuele verwijzingen in de Contractuele standaardbepalingen naar de AVG. Deze verwijzingen worden geïnterpreteerd als verwijzingen naar de nFADP;  

(b) eventuele verwijzingen naar de EU of Unie en wetgeving van lidstaten. Deze worden geïnterpreteerd als verwijzingen naar Zwitserland en Zwitserse wetgeving; en  

(c ) eventuele verwijzingen naar de bevoegde toezichthoudende autoriteit en bevoegde rechtbanken. Deze worden geïnterpreteerd als verwijzingen naar de relevante gegevensbeschermingsautoriteit en rechtbanken in Zwitserland, tenzij de Contractuele standaardbepalingen, geïmplementeerd zoals hiervoor beschreven, niet kunnen worden gebruikt voor rechtmatige overdracht van dergelijke Persoonsgegevens van Klanten in overeenstemming met de nFADP. In dat geval gelden in plaats hiervan de Zwitserse Contractuele standaardbepalingen die via verwijzing worden opgenomen en die dan integraal onderdeel zullen zijn van de overeenkomst voor gegevensverwerking. Deze zijn dan van toepassing op dergelijke overdracht. Voor de doeleinden van de Zwitserse Contractuele standaardbepalingen worden de relevante bijlagen van de Zwitserse Contractuele standaardbepalingen ingevuld met informatie die is opgenomen in de bijlagen I en II bij deze overeenkomst voor gegevensverwerking (waar van toepassing) en de interpretatiebepalingen die zijn beschreven in deze sectie 9.3, zijn dan van toepassing (zoals relevant en vereist voor de doeleinden van het voldoen aan de nFADP).

9.4 Op schriftelijk verzoek en in overeenstemming met de Contractuele standaardbepalingen of het Addendum voor het Verenigd Koninkrijk (al naargelang het geval), zal SurveyMonkey kopieën van de Contractuele standaardbepalingen of het Addendum voor het Verenigd Koninkrijk die zij in haar hoedanigheid van verwerker met gegevensimporteurs heeft gesloten, aan de Klant verstrekken.

10.1 Aansprakelijkheid voor gegevensverwerking. De gezamenlijke, algehele aansprakelijkheid van elke partij voor alle claims, ongeacht of deze voortvloeien uit contract, onrechtmatige daad (waaronder nalatigheid), het niet nakomen van een wettelijke verplichting of anderszins voor eventuele en alle claims die voortvloeien uit of verband houden met deze OVG, zal zijn zoals deze is uiteengezet in de overeenkomst, tenzij door de partijen schriftelijk anderszins is overeengekomen.

10.2 Conflict. In het geval van een conflict of ambiguïteit tussen: (i) de voorwaarden van deze OVG en de voorwaarden van de Overeenkomst, met betrekking tot het onderwerp van deze OVG, prevaleren de voorwaarden van deze OVG ; (ii) de voorwaarden van een bepaling in deze OVG en van een bepaling in de Modelcontractbepalingen, prevaleert de bepaling in de Modelcontractbepalingen.

10.3 Onafhankelijke verwerking.De Klant blijft volledig aansprakelijk voor de eigen naleving van de wetgeving voor gegevensbescherming voor eventuele onafhankelijke verzameling en verwerking van persoonlijke gegevens die niet aan de Services zijn gerelateerd. De Klant verzorgt zelf duidelijke en opvallende privacymeldingen die nauwkeurig beschrijven hoe dit gebeurt en dat SurveyMonkey niet verantwoordelijk is voor de behandeling van persoonlijke gegevens door de Klant onder die omstandigheden. De Klant vrijwaart hierbij SurveyMonkey volledig voor elke en alle claims of aansprakelijkheid die optreedt als resultaat van een dergelijke verzameling en een dergelijk gebruik van persoonlijke gegevens van het bedrijf onder die omstandigheden.

10.4 Gehele overeenkomst. De Overeenkomst (die deze OVG omvat) en bestelformulieren vertegenwoordigen de gehele overeenkomst tussen de partijen en vervangen alle andere eerdere of gelijktijdige overeenkomsten of algemene voorwaarden, schriftelijk of mondeling, met betrekking tot het onderwerp. Elke van de partijen bevestigt dat het niet heeft vertrouwd op verklaringen die niet zijn opgenomen in de Overeenkomst die ertoe hebben geleid dat ze deze overeenkomst aangaan.

10.5 Ontbinding. Als een bepaling van deze Overeenkomst inzake gegevensbescherming door een bevoegde rechtbank onuitvoerbaar wordt verklaard, zal die bepaling worden ontbonden en blijven de overige bepalingen volledig van kracht. Niets in deze Overeenkomst inzake gegevensbescherming is bedoeld, of wordt geacht een partnerschap of joint venture tussen een van de partijen tot stand te brengen, noch geeft deze een partij het recht om verbintenissen aan te gaan voor of namens een andere partij, behalve zoals hierin uitdrukkelijk bepaald.

10.6 Elektronische kopie. De OVG wordt geleverd als een elektronisch document.

10.7 Toepasselijke wetgeving. Op deze OVG is de wetgeving van Ierland van kracht en de partijen onderwerpen zich aan de exclusieve jurisdictie van het Ierse gerechtshof (in relatie tot alle contractuele en niet-contractuele geschillen) uitgezonderd in het geval van een vermeende inbreuk of inbreuk op huidige of toekomstige privacywetten, regelgeving, standaarden, wettelijke richtlijnen en zelfregulerende richtlijnen op staats- of federaal niveau in de Verenigde Staten, in welk geval de wetten van de staat Californië van toepassing zijn, tenzij anderszins wettelijk opgelegd.

Beschrijving van de technische en organisatorische beveiligingsmaatregelen van SurveyMonkey 

SurveyMonkey handhaaft geschikte administratieve, fysieke en technische beveiligingsmechanismen ('Beveiligingsmechanismen') voor het beschermen van de veiligheid, vertrouwelijkheid en integriteit van Persoonlijke gegevens die aan het bedrijf zijn verstrekt voor het leveren van de Services aan de Klant. 

De beveiligingsmechanismen omvatten de volgende zaken: 

(a) Domein: Organisatie van informatiebeveiliging.

(i) Beveiligingsrollen en -verantwoordelijkheden.Medewerkers van SurveyMonkey met toegang tot gegevens zijn gehouden aan vertrouwelijkheidsverplichtingen.

(ii) Programma voor risicobeheer. SurveyMonkey voert een risicoanalyse uit voordat de gegevens worden verwerkt, waar van toepassing.

(b) Domein: Beheer van bedrijfsmiddelen

(i) Omgaan met bedrijfsmiddelen.

(1) SurveyMonkey heeft procedures voor het afvoeren van gedrukte materialen die klantgegevens bevatten.

(2) SurveyMonkey onderhoudt een inventaris van alle hardware waarop klantgegevens worden opgeslagen.

(3) SurveyMonkey classificeert de Persoonlijke informatie die wordt verwerkt, zodat de klant deze kan identificeren en de toegang ertoe kan beperken (bijvoorbeeld via gebruikersnamen, wachtwoorden en versleuteling). 

(c) Domein: Beveiliging van Human Resources.

(i) Beveiligingstraining.

(1) SurveyMonkey informeert zijn medewerkers over relevante beveiligingsprocedures en hun betreffende rollen. SurveyMonkey informeert zijn personeel ook over mogelijke consequenties van het schenden van de beveiligingsregels en -procedures.

(d) Domein: Fysieke en omgevingsbeveiliging.

(i) Fysieke toegang tot faciliteiten. SurveyMonkey beperkt de toegang tot faciliteiten met informatiesystemen waarop Klantgegevens worden verwerkt tot geïdentificeerde geautoriseerde personen.

(ii) Bescherming tegen verstoringen. SurveyMonkey gebruikt verschillende systemen volgens industrienormen tegen gegevensverlies als gevolg van een stroomstoring of lijninterferentie.

(iii) Afvoeren van componenten.SurveyMonkey gebruikt processen volgens industrienormen om Klantgegevens te verwijderen als deze niet langer nodig zijn.

(e) Domein: Communicatie en operationeel beheer. 

(i) Operationeel beleid. SurveyMonkey onderhoudt beveiligingsdocumenten waarin de beveiligingsmaatregelen en de relevante procedures en verantwoordelijkheden van zijn personeel worden beschreven dat toegang heeft tot Klantgegevens. 

(ii) Procedures voor gegevensherstel. 

(1) SurveyMonkey maakt regelmatig en doorlopend back-upkopieën van Klantgegevens waarmee Klantgegevens kunnen worden hersteld in het geval van verlies van de primaire kopie. 

(2) SurveyMonkey slaat kopieën van Klantgegevens en procedures voor gegevensherstel op een andere plaats op dan waar de primaire computerapparatuur zich bevindt die de Klantgegevens verwerkt. 

(3) SurveyMonkey heeft specifieke procedures ingesteld die de toegang tot kopieën van klantgegevens regelen. 

(iii) Schadelijke software. SurveyMonkey heeft anti-malwarecontrolemechanismen om te helpen voorkomen dat schadelijke software ongeautoriseerde toegang krijgt tot Klantgegevens, inclusief schadelijke software die afkomstig is van openbare netwerken.

(iv) Gegevens voorbij grenzen. 

(1) SurveyMonkey versleutelt klantgegevens die worden verzonden over openbare netwerken. 

(v) Gebeurtenislogboeken.

(1) SurveyMonkey logt het gebruik van zijn systemen voor gegevensverwerking. 

(2) SurveyMonkey logt de toegang tot en het gebruik van informatiesystemen die klantgegevens bevatten, waarbij de toegangs-ID, tijdstempel en bepaalde relevante activiteiten worden geregistreerd.

(f) Domein: Beheer van beveiligingsincidenten.

(i) Incidentreactieproces. 

(1) SurveyMonkey onderhoudt een incidentreactieplan.  

(2) SurveyMonkey onderhoudt een registratie van beveiligingsinbreuken met een beschrijving van de inbreuk, de tijdperiode, de gevolgen van de inbreuk, de naam van de melder en aan wie de inbreuk werd gemeld, en de oplossingsstappen, indien van toepassing.

(g) Domein: Bedrijfscontinuïteitsbeheer.

(i) De redundante opslag van SurveyMonkey en de procedures voor het herstellen van gegevens zijn ontworpen om te proberen de persoonlijke gegevens van de klant naar de oorspronkelijke staat te reconstrueren van voor het tijdstip waarop de gegevens verloren gingen of vernietigd werden.   

(h) Controle van toegang tot verwerkingsonderdelen.  Processen om te voorkomen dat ongeautoriseerde personen toegang krijgen tot de apparatuur voor gegevensverwerking (namelijk, telefoons, database- en applicatieservers en gerelateerde hardware) waar de Persoonlijke klantgegevens worden verwerkt of gebruikt, waaronder: 

(i) het vaststellen van beveiligde onderdelen; 

(ii) bescherming en beperking van toegangswegen;

(iii) beveiligen van de mobiele telefoons;   

(iv) apparatuur voor gegevensverwerking en personal computers;

(v) alle toegang tot de datacenters waar Persoonlijke gegevens van de Klant worden gehost wordt opgeslagen, gemonitord en bijgehouden;  

(vi) de datacenters waar persoonlijke klantgegevens worden gehost, worden beveiligd door een beveiligingsalarmsysteem en andere geschikte beveiligingsmaatregelen; en 

(vii) de faciliteit is ontworpen om slechte weersomstandigheden en andere redelijkerwijs voorspelbare natuurlijke omstandigheden te weerstaan, wordt 24 uur per dag beveiligd door bewakers, screening met keycards en/of biometrische toegang (zoals toepasselijk voor het risiconiveau) en toegang onder begeleiding, en wordt ook ondersteund door back-upgeneratoren op locatie in het geval van een stroomuitval.

(i) Toegangscontrole tot systemen voor gegevensverwerking. Processen om te voorkomen dat systemen voor gegevensverwerking worden gebruikt door ongeautoriseerde personen, waaronder:  

(i) identificatie van de terminal en/of de gebruiker van de terminal naar de systemen voor gegevensverwerking; 

(ii) automatische time-out na 30 minuten of minder als de gebruiker de terminal niet heeft gebruikt, identificatie of wachtwoord vereist om te heropenen;

(iii) het uitgeven en veilig houden van identificatiecodes;  

(iv) vereisten voor wachtwoordcomplexiteit (minimumlengte, verlopen van wachtwoorden, etc.); en

(v) bescherming tegen externe toegang door middel van een firewall van industriële norm.  

(j) Toegangscontrole voor het gebruik van specifieke onderdelen van systemen voor gegevensverwerking. Maatregelen om te waarborgen dat personen die het recht hebben om systemen voor gegevensverwerking te gebruiken alleen toegang kunnen krijgen tot de gegevens binnen de reikwijdte en de mate waarin deze valt onder hun betreffende toegangspermissie (autorisatie) en dat Persoonlijke klantgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder autorisatie, onder andere door:

(i) het implementeren van bindend werknemersbeleid en het bieden van training met betrekking tot de toegangsrechten van iedere werknemer tot de persoonlijke gegevens van de klant;

(ii) effectieve en passende disciplinaire actie tegen personen die zonder toestemming toegang krijgen tot Persoonlijke klantgegevens; 

(iii) de vrijgave van gegevens alleen aan geautoriseerde personen; 

(iv) het implementeren van principes van toegang met de minste bevoegdheden tot informatie die persoonlijke klantgegevens bevat uitsluitend op basis van 'need to know'-vereisten;

(v) beheer van het productienetwerk en de gegevenstoegang met behulp van VPN, tweefactorauthenticatie en op rollen gebaseerde toegangscontrolemechanismen;

(vi) applicatie- en infrastructuursystemen loggen informatie op een centraal beheerde logfaciliteit voor probleemoplossing, beveiligingsevaluaties en analyse; en 

(vii) beleid waarmee de retentie van back-upkopieën wordt geregeld dat in overeenstemming is met de toepasselijke wetgeving en dat geschikt is voor de aard van de betreffende gegevens en het overeenkomstige risico.

(k) Overdrachtscontrole. Procedures om te voorkomen dat Persoonlijke klantgegevens worden gelezen, gekopieerd, gewijzigd of verwijderd door ongeautoriseerde partijen tijdens de overdracht daarvan of tijdens het transport van de gegevensmedia en om te waarborgen dat het mogelijk is om te controleren en te bepalen naar welke instanties de overdracht van Persoonlijke klantgegevens wordt uitgevoerd door middel van faciliteiten voor gegevensoverdracht, waaronder: 

(i) het gebruik van firewalls en versleutelingstechnologieën om de gateways en pijplijnen te beschermen waardoor de gegevens worden geleid;

(ii) implementatie van VPN-verbindingen om de verbinding met het interne bedrijfsnetwerk te beveiligen;

(iii) constante monitoring van infrastructuur (bijv. ICMP-Ping op netwerkniveau, onderzoek van schijfruimte op systeemniveau, geslaagde levering van gespecificeerde testpagina's op applicatieniveau); en

(iv) monitoring van de compleetheid en correctheid van de overdracht van gegevens (end-to-end-controle). 

(l) Opslagcontrole. Wanneer Persoonlijke klantgegevens worden opgeslagen: hiervan wordt een back-up gemaakt als onderdeel van een speciaal proces voor back-up en herstel in versleutelde vorm, met behulp van een commercieel ondersteunde versleutelingsoplossing. Alle gegevens gedefinieerd als Persoonlijke klantgegevens die zijn opgeslagen op een draagbaar computerapparaat of laptop of op een draagbaar opslagmedium worden op dezelfde manier versleuteld. Er worden versleutelingsoplossingen ingezet met minstens een 128-bits sleutel voor symmetrische versleuteling en een 1024-bits sleutel (of groter) voor asymmetrische versleuteling;

(m) Inputcontrole. Maatregelen om te waarborgen dat het mogelijk is om te controleren en te bepalen of en door wie Persoonlijke klantgegevens zijn ingevoerd in of verwijderd uit systemen voor gegevensverwerking, waaronder:

(i) authenticatie van het geautoriseerde personeel;

(ii) beschermende maatregelen voor de gegevensinvoer in het geheugen, evenals voor het lezen, wijzigen en verwijderen van opgeslagen gegevens;

(iii) inzet van gebruikerscodes (wachtwoorden);

(iv) bewijs vastgelegd binnen de organisatie van de gegevensimporteur van de invoerautorisatie; en

(v) waarborgen dat ingangen tot faciliteiten voor gegevensverwerking (de ruimtes waarin de computerhardware en gerelateerde apparatuur zich bevinden) zijn vergrendeld.

(n) Beschikbaarheidscontrole. Maatregelen om te waarborgen dat Persoonlijke klantgegevens worden beschermd tegen onopzettelijke vernietiging of verlies, om de redundantie van infrastructuur en regelmatige back-ups op te nemen die worden uitgevoerd op databaseservers. 

(o) Scheiding van verwerking. Procedures om te waarborgen dat gegevens verzameld voor verschillende doeleinden afzonderlijk kunnen worden verwerkt, met inbegrip van:

(i) het scheiden van gegevens door applicatiebeveiliging voor de geschikte gebruikers;

(ii) het opslaan van gegevens, op databaseniveau, in verschillende tabellen, gescheiden door de module of functie die ze ondersteunen;

(iii) het ontwerpen van interfaces, batchprocessen en rapporten alleen voor specifieke doeleinden en functies, zodat gegevens die zijn verzameld voor specifieke doeleinden afzonderlijk worden verwerkt; en

(iv) het voorkomen dat live gegevens worden gebruikt voor testdoeleinden aangezien alleen dummygegevens die zijn gegenereerd voor testdoeleinden hiervoor mogen worden gebruikt.

(p) Programma voor kwetsbaarheidsbeheer. Een programma om te waarborgen dat systemen regelmatig worden gecontroleerd op kwetsbaarheden en dat alle gedetecteerde kwetsbaarheden onmiddellijk worden verholpen, waaronder:

(i) dat alle netwerken, met inbegrip van test- en productieomgevingen, regelmatig worden gescand; en 

(ii) dat penetratietesten regelmatig worden uitgevoerd en kwetsbaarheden prompt worden verholpen.

(q) Gegevensvernietiging. In het geval van het verlopen of het beëindigen van de Overeenkomst door één van de partijen of anderszins op verzoek van de Klant na ontvangst van een verzoek van een betrokkene of een regelgevende instantie: 

(i) dat alle klantgegevens veilig worden vernietigd binnen 3 maanden; en

(ii) dat alle Klantgegevens worden verwijderd van alle opslagapparaten van SurveyMonkey en/of derden, met inbegrip van back-ups, binnen 6 maanden na beëindiging of ontvangst van een verzoek van de Klant, tenzij SurveyMonkey anderszins wettelijk verplicht is om een categorie gegevens voor langere perioden te bewaren. SurveyMonkey zal ervoor zorgen dat alle gegevens die niet langer vereist zijn worden vernietigd tot een niveau waarop kan worden verzekerd dat deze niet langer kunnen worden teruggehaald.

(r) Standaarden en certificeringen. Oplossingen en/of locaties voor gegevensopslag hebben ten minste een SOC 1- (SSAE 16) of SOC 2-rapport; equivalente of vergelijkbare certificeringen of beveiligingsniveaus worden per geval bekeken.

(s) Onsite beheer. Alle werknemers en onderaannemers (indien van toepassing) zullen, wanneer ze aanwezig zijn op het terrein van de Klant, voldoen aan alle redelijke regels, voorschriften, praktijken en procedures (met inbegrip van, maar niet beperkt tot, aan beveiliging gerelateerde regelingen) die algemeen door de Klant zijn voorgeschreven. Ze zullen bovendien eigendommen van de klant alleen gebruiken voor de doeleinden uiteengezet in een Overeenkomst en zullen al deze eigendommen aan de Klant teruggeven na voltooiing van de toepasselijke Services.

(t) Strategie voor gegevenskwaliteit. SurveyMonkey implementeert een Strategie voor gegevenskwaliteit die is ontworpen om de kwaliteit van de gegevens op een passend niveau te houden en corrigeert gegevens wanneer we vaststellen dat deze onjuist of onvolledig zijn.  SurveyMonkey bewaart cryptografische hashes van bepaalde productiegegevens en wijzigingslogboeken van domeingegevens, zodat we wijzigingen kunnen controleren en bijhouden.  We beschikken over processen waarmee gebruikers hun persoonlijke informatie kunnen corrigeren of intrekken, en ook om gegevensproblemen in het systeem te corrigeren.

(i) SurveyMonkey verzamelt nauwkeurige, relevante en volledige informatie van klanten om hun zakelijke activiteiten mogelijk te maken. 

(ii) SurveyMonkey bewaart de gegevens op basis van een op tijd gebaseerd levenscyclusbeleid, waardoor consistente toegang tot de gegevens mogelijk wordt. 

(iii) De standaard voor gegevenskwaliteit kan van klant tot klant verschillen, afhankelijk van de gebruikssituaties. 

(u) Privacy op basis van ontwerp. SurveyMonkey heeft beleid en procedures geïmplementeerd om privacy op basis van ontwerp te implementeren.  Alle gegevens binnen het systeem zijn ingedeeld op basis van de juiste toegang (volgens beleid); de bijbehorende levenscyclus wordt beheerd op basis van beleid.  Alle aan productie gekoppelde systemen beschikken standaard over gegevensminimalisering en pseudo-anonimisering, zodat privacy- en beveiligingsproblemen kunnen worden voorkomen in plaats van dat deze later moeten worden opgelost.  

(i) We zien gegevensbeschermingskwesties als onderdeel van het ontwerp en de implementatie van systemen, services, producten en bedrijfspraktijken, en behandelen gegevensprivacy als een kernfunctie van onze service. 

(ii) Wij lopen vooruit op risico's en gebeurtenissen die privacy schenden voordat deze zich voordoen, en treffen maatregelen om schade bij personen te voorkomen.

(iii) We verwerken alleen de persoonlijke gegevens die we nodig hebben voor onze doeleinden en we gebruiken deze gegevens alleen voor die doeleinden. 

(iv) Wij zorgen ervoor dat persoonlijke gegevens automatisch worden beschermd in elk IT-systeem, elke service, elk product en/of zakelijke praktijk, zodat individuen geen specifieke actie hoeven te ondernemen om hun privacy te beschermen.

(v) We bieden krachtige standaardinstellingen voor privacy en gebruiksvriendelijke opties en besturingselementen, en we respecteren gebruikersvoorkeuren.

(vi) We maken gebruik van gegevensverwerkers die voldoende waarborgen bieden voor hun technische en organisatorische maatregelen voor gegevensbescherming op basis van ontwerp. 

(vii) Als we andere systemen, services of producten gebruiken bij onze verwerking, zorgen we ervoor dat we alleen die systemen, services of producten gebruiken waarvan de ontwerpers en fabrikanten rekening houden met privacykwesties. 

(v) Het testen van de stand van zaken voor gegevensbeveiliging. SurveyMonkey test minimaal jaarlijks de beveiliging van gegevens via penetratietesten met een tool die voldoet aan de industrienormen (zoals BurpScanner) of via een gecertificeerde externe dienstverlener of consultant. 

(x) Strategie voor voorkoming van gegevensverlies. SurveyMonkey gebruikt training en opleiding als strategie om gegevensverlies te voorkomen.  De toegang tot gegevens binnen het systeem wordt beperkt en geminimaliseerd om onnodige toegang tot gegevens te voorkomen.  Alle gebruikers moeten beleid voor passende toegang tot klantgegevens ondertekenen. Dit maakt deel uit van de jaarlijkse herhalingstraining op beveiligingsgebied. 

(y) Technische veiligheidsmaatregelen. SurveyMonkey is een verspreid bedrijf en heeft dus geen interne zakelijke firewalls of inbraakdetectie voor ons interne netwerk.  Alle toegang tot resources van het bedrijf verloopt via versleutelde kanalen.  Alle resources van het bedrijf moeten worden opgeslagen op systemen die compatibel zijn met tweestapsverificatie. 

Doeleinden en aard van persoonlijke gegevensverwerking, categorieën persoonlijke gegevens, betrokkenen 

Doel en aard van verwerkingSurveyMonkey kan Persoonlijke klantgegevens verwerken als dat nodig is om de Services technisch uit te voeren, waaronder: 
•      Hosting en opslag;
•      Back-up en herstel bij noodgevallen;
•      Technische verbetering van de service;
•      Beheer van wijzigingen service;
•      Problemen oplossen;
•      Veilige, versleutelde services verstrekken;
•      Nieuwe product- of systeemversies, patches, updates en upgrades toepassen;
•      Gebruik en prestaties systeem volgen en testen;
•      Proactief bugs vinden en verwijderen;
•      IT-beveiliging, waaronder beheer van incidenten;
•      Onderhoud en prestaties van systemen voor technische ondersteuning en IT-infrastructuur;
•      Migratie, implementatie, configuratie en prestatietests;
•      Productaanbevelingen doen;
•      Klanten helpen; gegevens overdragen en
•      Helpen bij verzoeken van betrokkenen (indien vereist).
Categorieën persoonlijke gegevensDe Klant kan Persoonlijke klantgegevens indienen bij de Services, waarvan de mate waarin wordt bepaald en gecontroleerd door de Klant naar eigen goeddunken, en die kunnen omvatten, zonder beperking: 

•      Persoonlijke gegevens van alle types die kunnen worden ingediend door de respondenten van de klant bij de Klant via gebruikers van de Services (zoals via enquêtes of andere feedbacktools). Bijvoorbeeld: naam, geografische locatie, leeftijd, contactgegevens, IP-adres, beroep, geslacht, financiële status, persoonlijke voorkeuren, persoonlijke koop- of consumentgewoonten en andere voorkeuren en andere persoonlijke gegevens die de Klant vraagt of wenst te verzamelen van zijn respondenten. 

•      Persoonlijke gegevens van alle typen kunnen worden opgenomen in formulieren en enquêtes die worden gehost op de Services voor de Klant (zoals kunnen worden opgenomen in enquêtevragen. 

•  Contact- en factureringsgegevens van de werknemers van de Klant, geautoriseerde eindgebruikers en andere contactpersonen. Bijvoorbeeld: naam, aanhef, werkgever, contactinformatie, (bedrijf, e-mail, telefoon, adres, etc.), betalingsinformate en andere aan het account gerelateerde gegevens.

•      De respondenten van de Klant kunnen speciale categorieën van persoonlijke gegevens indienen bij de Klant via de Services, waarvan de mate waarin wordt bepaald en gecontroleerd door de Klant. Ter verduidelijking, deze speciale categorieën persoonlijke gegevens kunnen informatie omvatten die raciale of etnische afkomst onthullen, politieke meningen, religieuze of filosofische overtuigingen, vakbondslidmaatschap en de verwerking van gegevens met betrekking tot de gezondheid of het seksleven.
Betrokkenen Gegevenssubjecten zijn onder meer:
•      Natuurlijke personen die persoonlijke gegevens versturen naar SurveyMonkey via de services (waaronder via online enquêtes en formulieren die door SurveyMonkey namens de klant worden gehost);
•      Natuurlijke personen van wie persoonlijke gegevens via het gebruik van de services door respondenten naar de klant mogen worden verstuurd;
•      Natuurlijke personen die werknemers, vertegenwoordigers of ander zakelijke contactpersonen zijn van de klant;
•      De gebruikers van die klant die door de klant zijn goedgekeurd voor toegang tot en het gebruik van de services.

BIJLAGEN VOOR modelcontractbepalingen

ANNEX I -

A. LIJST VAN PARTIJEN

MODULE TWEE: overdracht van verantwoordelijke naar verwerker

MODULE DRIE: overdracht van verwerker naar verwerker

MODULE VIER: overdracht van verwerker naar verantwoordelijke

Gegevensexporteur(s): zoals vermeld in de Overeenkomst

Naam, functie en contactgegevens van de contactpersoon: zoals vermeld in de Overeenkomst

Activiteiten die relevant zijn voor de krachtens deze bepalingen doorgegeven gegevens: zoals vermeld in bijlage 2 van de Overeenkomst inzake gegevensbescherming

Gegevensimporteur(s): zoals vermeld in de Overeenkomst

Naam: zoals vermeld in de Overeenkomst

Naam, functie en contactgegevens van de contactpersoon: zoals vermeld in de Overeenkomst

Activiteiten die relevant zijn voor de krachtens deze bepalingen doorgegeven gegevens: zoals vermeld in bijlage 2 van de Overeenkomst inzake gegevensbescherming

B. BESCHRIJVING VAN DE OVERDRACHT

MODULE TWEE: overdracht van verantwoordelijke naar verwerker

MODULE DRIE: overdracht van verwerker naar verwerker

MODULE VIER: overdracht van verwerker naar verantwoordelijke

Categorieën van betrokkenen wier persoonsgegevens worden doorgegeven: zoals vermeld in bijlage 2 van de Overeenkomst inzake gegevensbescherming

Categorieën van doorgegeven persoonsgegevens: zoals vermeld in B2 van de Overeenkomst inzake gegevensbescherming

Doorgegeven gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die ten volle rekening houden met de aard van de gegevens en de betrokken risico's, zoals bijvoorbeeld strikte doelbinding, toegangsbeperkingen (waaronder toegang voor personeel dat een gespecialiseerde opleiding heeft gevolgd), registratie van toegang tot gegevens, beperkingen op verdere doorgifte of aanvullende beveiligingsmaatregelen: zoals vermeld in bijlage 1 en 2 van de Overeenkomst inzake gegevensbescherming

De frequentie van de doorgifte (bijvoorbeeld of de gegevens eenmalig of continu worden doorgegeven): eenmalig en continu (afhankelijk van het gebruik van Services)

Aard van de verwerking: zoals vermeld in bijlage 2 van de Overeenkomst inzake gegevensbescherming

Doel(en) van de gegevensoverdracht en verdere verwerking: zoals vermeld in bijlage 2 van de Overeenkomst inzake gegevensbescherming

De periode gedurende welke de persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria aan de hand waarvan die periode wordt vastgesteld: zoals vermeld in de Overeenkomst en zoals hier vermeld

Vermeld bij doorgifte aan (sub)verwerkers ook onderwerp, aard en duur van de Verwerking: zie hier.

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

Geef de bevoegde toezichthoudende autoriteit(en) aan overeenkomstig clausule 13: Ierland

ANNEX II - TECHNISCHE EN ORGANISATORISCHE MAATREGELEN ZOALS VERMELD IN BIJLAGE 1 VAN DE OVEREENKOMST INZAKE GEGEVENSBESCHERMING

ANNEX III - LIJST VAN SUBVERWERKERS

MODULE TWEE: overdracht van verantwoordelijke naar verwerker

MODULE DRIE: overdracht van verwerker naar verwerker

MODULE VIER: overdracht van verwerker naar verantwoordelijke De Klant heeft toestemming gegeven voor het gebruik van de volgende subverwerkers: zie hier.

Addendum voor het Verenigd Koninkrijk 

1. Met betrekking tot gegevensoverdrachten die onderworpen zijn aan de GDPR van het Verenigd Koninkrijk, sluiten de partijen hierbij het addendum voor het Verenigd Koninkrijk (waarvan een kopie hier te vinden is) en is het addendum voor het Verenigd Koninkrijk door middel van verwijzing in deze Overeenkomst opgenomen. Bij overdracht van gegevens die is onderworpen aan wetgeving voor gegevensbescherming in het Verenigd Koninkrijk, worden eventuele verwijzingen naar de bevoegde toezichthoudende autoriteit en bevoegde rechtbanken geïnterpreteerd als verwijzingen naar de relevante gegevensbeschermingsautoriteit en rechtbanken in het Verenigd Koninkrijk. 

2. De partijen komen overeen dat het formaat en de inhoud van de tabellen in Deel 1 van het addendum voor het Verenigd Koninkrijk worden gewijzigd en vervangen door onderstaande tabel.

Referentietabel addendum voor het Verenigd KoninkrijkInformatie om de tabel in te vullen
Tabel 1: IngangsdatumIngangsdatum van de overeenkomst.
Tabel 1: Gegevens van de partijenWordt geacht te zijn aangevuld met de informatie in bijlage 2 van deze Overeenkomst.
Tabel 2: Addendum contractuele standaardbepalingen EUDe partijen kiezen de volgende optie uit tabel 2:

'Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum'.

Details van de 'modules', 'clausules' en 'facultatieve bepalingen' van de contractuele standaardbepalingen die in werking worden gesteld met het oog op het addendum voor het Verenigd Koninkrijk worden hierboven in artikel 9.2 van deze Overeenkomst uiteengezet.
Tabel 3: Annex 1A - Lijst van partijenWordt geacht te zijn aangevuld met de informatie in bijlage 2 bij deze Overeenkomst.
Tabel 3: Annex 1B - Beschrijving van de overdrachtWordt geacht te zijn aangevuld met de informatie in bijlage 2 bij deze Overeenkomst.
Tabel 3: bijlage II - Technische en organisatorische maatregelenWordt geacht te zijn aangevuld met de informatie in bijlage 1 bij deze Overeenkomst.
Tabel 3: Annex III: Subverwerkerslijst (modules 2)Een lijst van subverwerkers is te vinden overeenkomstig de bepalingen inzake subverwerkers van de Overeenkomst.
Tabel 4: Beëindiging van dit addendumDe partijen kiezen ervoor dat geen van beide partijen het addendum voor het Verenigd Koninkrijk kan beëindigen zoals deze in de Overeenkomst is opgenomen.

3. In het geval van een conflict of tegenstrijdigheid tussen deze Overeenkomst en het addendum voor het Verenigd Koninkrijk, heeft het addendum voor het Verenigd Koninkrijk voorrang met betrekking tot een dergelijk conflict of een dergelijke tegenstrijdigheid.