Laatst bijgewerkt: 16/07/2025
Dit addendum voor gegevensverwerking („DPA”) vormt een aanvulling op en is opgenomen in elke overeenkomst tussen Netradyne en een persoon of entiteit („Klant”) die het gebruik van Netradyne's producten en diensten door de Klant regelt, ongeacht of dit gebruik (i) op grond van een directe overeenkomst met Netradyne is, (ii) via een wederverkoper, of (iii) onder andere voorwaarden van dienst of overeenkomst die dergelijk gebruik toestaat (gezamenlijk de „Overeenkomst”). Wanneer de klant via een reseller toegang heeft tot de producten en diensten, kan de klant deze DPA via elektronische middelen aanvaarden, het product activeren of de producten en diensten blijven gebruiken. Deze DPA is een overeenkomst tussen de klant (samen met al zijn filialen die de producten en diensten in het kader van de overeenkomst gebruiken) en Netradyne (elk een „partij” en gezamenlijk „partijen”).
In dit addendum zullen de volgende termen de hieronder uiteengezette betekenis hebben:
1.1. „Persoonlijke gegevens van klanten” betekent alle persoonsgegevens die onderworpen zijn aan de wetgeving inzake gegevensbescherming die zijn opgenomen in klantgegevens die de klant aan Netradyne verstrekt of beschikbaar heeft gesteld en die door Netradyne namens de klant worden verwerkt op grond van de overeenkomst.
1.2. „Gegevensbeschermingswetten” betekent, indien van toepassing, (i) de Algemene Verordening Gegevensbescherming van de EU (EU 2016/679) (de „EU-AVG”), de opname ervan in de wetten van Engeland en Wales, Schotland en Noord-Ierland op grond van de Britse Europese Unie (terugtrekkingswet) 2018 (de „Britse GDPR”); (ii) de Zwitserse federale wet inzake gegevensbescherming („FADP”); (iii) Amerikaanse federale en/of nationale gegevensbescherming of privacystatuten, met inbegrip van maar niet beperkt tot de California Consumer Privacy Act van 2018, zoals gewijzigd door de California Privacy Rights Act van 2020 (samen met uitvoeringsverordeningen, de „CPRA”); (iv) de Belgische wet inzake gegevensbescherming van 30 juli 2018 (de „BDPA”) en/of (v) elke andere toepasselijke nationale wetgeving in de Europese Economische Ruimte of het Verenigd Koninkrijk die een aanvulling vormt op de AVG van de EU of de Britse GDPR (indien van toepassing), en/of de toepasselijke wetgeving inzake gegevensbescherming in elk land; die in elk geval van tijd tot tijd kunnen worden gewijzigd, vervangen of vervangen.
1.3. „Verwerkingsverantwoordelijke” betekent de entiteit die de middelen en doeleinden bepaalt voor de verwerking van persoonsgegevens.
1.4. „Betrokkene” betekent de persoon die het onderwerp is van persoonlijke gegevens.
1.5. „EU-SCC's” betekent de standaardcontractbepalingen die zijn gehecht aan het Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 betreffende modelcontractbepalingen voor de overdracht van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad.
1.6. „Persoonlijke gegevens” betekent „persoonlijke gegevens”, „persoonlijke informatie” of „persoonlijk identificeerbare informatie” of een vergelijkbare term volgens de wetgeving inzake gegevensbescherming, zoals deze termen worden gedefinieerd in de wetgeving inzake gegevensbescherming.
1.7. „Inbreuk in verband met persoonsgegevens” betekent elke inbreuk op de beveiliging die volgens de wetgeving inzake gegevensbescherming (i) Netradyne aan de klant moet melden of (ii) de klant moet melden aan een toezichthoudende autoriteit of betrokken personen, of een register moet bijhouden van, waarbij persoonsgegevens betrokken zijn die onder dit addendum vallen.
1.8. „Verwerking” betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonlijke gegevens of op sets van persoonlijke gegevens.
1.9. „Verwerker” betekent een entiteit die persoonsgegevens verwerkt namens een verwerkingsverantwoordelijke.
1,10. „Toezichthoudende autoriteit” betekent een overheids- of regelgevende instantie die verantwoordelijk is voor het beheer van, het toezicht op de naleving en/of handhaving van de wetgeving inzake gegevensbescherming.
1.11. Termen met een hoofdletter die hierin niet anderszins zijn gedefinieerd, hebben de betekenis die eraan wordt gegeven in de Overeenkomst.
Deze DPA is van toepassing wanneer en alleen voor zover Netradyne persoonsgegevens van klanten verwerkt namens de klant als verwerker (of subverwerker) en, met betrekking tot CPRA, als „dienstverlener” of „aannemer” tijdens de levering van de producten en diensten in het kader van de overeenkomst.
In het geval en voor zover er een conflict is tussen de voorwaarden van de Overeenkomst en deze DPA, hebben de voorwaarden van deze DPA voorrang. In het geval en voor zover er een conflict is tussen de voorwaarden van deze DPA en de SCC's of het Britse addendum, hebben de SCC's of het Britse addendum (indien van toepassing) voorrang, voor zover van toepassing. Behalve zoals hierin uitdrukkelijk gewijzigd, blijven de voorwaarden van de Overeenkomst volledig van kracht.
3.1. Rol van de partijen
Tussen de partijen treedt Netradyne op als verwerker (of subverwerker, dienstverlener of aannemer) van de persoonsgegevens van de klant.
3.2. Instructies voor de klant
3.2.1. Netradyne verwerkt de persoonsgegevens van klanten zoals specifiek uiteengezet in de Overeenkomst, deze DPA en/of de gedocumenteerde instructies van de Klant, of zoals anderszins vereist door de toepasselijke wetgeving waaraan Netradyne is onderworpen (de „Instructies van de Klant”). Indien Netradyne volgens de toepasselijke wetgeving verplicht is om persoonsgegevens van klanten te verwerken anders dan in overeenstemming met de instructies van de klant, zal Netradyne, voor zover toegestaan door de toepasselijke wetgeving, de klant vóór een dergelijke verwerking op de hoogte brengen van die wettelijke vereiste, tenzij die wet dergelijke informatie verbiedt om belangrijke redenen van algemeen belang.
3.2.2. Netradyne zal de Klant onmiddellijk op de hoogte brengen als, naar de mening van Netradyne, de instructies van de Klant in strijd zijn met de toepasselijke wetgeving of als Netradyne vaststelt dat zij niet langer aan haar verplichtingen op grond van de toepasselijke wetgeving kan voldoen. Netradyne heeft het recht om de uitvoering van een dergelijke instructie van de klant op te schorten.
3.2.3. De klant zal ervoor zorgen dat de instructies van de klant Netradyne niet in strijd brengen met toepasselijke wet- of regelgeving.
4.1. Netradyne zorgt ervoor dat haar werknemers, agenten, contractanten en ander personeel die toegang hebben tot persoonlijke gegevens: (a) dit alleen doen voor zover strikt noodzakelijk om de diensten te verlenen; en (b) gebonden zijn aan passende bindende vertrouwelijkheidsverplichtingen die niet minder beschermend zijn dan vastgelegd in de Overeenkomst.
5.1. Netradyne zal passende technische en organisatorische beveiligingsmaatregelen implementeren en handhaven die zijn ontworpen om de persoonsgegevens van klanten te beschermen. Netradyne voert de maatregelen uit die zijn opgenomen in schema II. Netradyne kan dergelijke maatregelen van tijd tot tijd wijzigen, op voorwaarde dat de wijzigingen de algehele beveiliging van de persoonsgegevens van de klant niet wezenlijk verminderen.
6.1. De klant geeft hierbij een algemene machtiging aan Netradyne-filialen, evenals aan andere derden die zijn vermeld in schema 3, om subverwerkers te zijn (elk een „subverwerker”). Netradyne mag persoonsgegevens van klanten aan haar subverwerkers bekendmaken met het oog op de levering van de producten en diensten, op voorwaarde dat de subverwerkers van Netradyne zich verbinden tot bindende gegevensbeschermingsverplichtingen die niet minder zwaar zijn dan de verplichtingen die zijn vastgelegd in deze DPA.
6.2. De klant heeft het recht om binnen dertig (30) kalenderdagen na een dergelijke kennisgeving van tijd tot tijd bezwaar te maken tegen elke wijziging van subverwerkers zoals gemeld door Netradyne. Als de klant niet binnen deze termijn bezwaar maakt tegen een dergelijke wijziging, wordt de klant geacht met een dergelijke wijziging te hebben ingestemd. Als er een wezenlijk belangrijke reden voor een dergelijk bezwaar bestaat en deze schriftelijk aan Netradyne wordt verstrekt, en als er geen minnelijke schikking van deze zaak door de partijen wordt bereikt (elke partij handelt redelijk en te goeder trouw), kan de Klant de toepasselijke Bestelformulieren beëindigen die uitsluitend betrekking hebben op de betreffende functies of functionaliteiten van de Producten en Diensten.
6.3. Netradyne blijft verantwoordelijk voor de handelingen of nalatigheden van subverwerkers in dezelfde mate als vereist op grond van de wetgeving inzake gegevensbescherming als wanneer de handelingen of nalatigheden door Netradyne zijn verricht en mag eventuele verplichtingen opnieuw uitvoeren of ervoor zorgen dat deze opnieuw worden uitgevoerd. De klant erkent en aanvaardt dat een dergelijke heruitvoering elke claim die de klant tegen Netradyne heeft met betrekking tot eventuele aansprakelijkheid van de subverwerker zal verminderen.
7.1. Netradyne zal de Klant op de hoogte stellen en bijstaan indien zij verzoeken ontvangt van de Betrokkenen om hun rechten uit te oefenen (Verzoeken van Betrokkenen), op voorwaarde dat Netradyne aan de hand van de door de Betrokkenen verstrekte informatie redelijkerwijs kan identificeren dat een dergelijk verzoek betrekking heeft op de persoonsgegevens van de Klant of de Klant. Netradyne zal niet reageren op een dergelijk verzoek, tenzij dit vereist is op grond van de toepasselijke wetgeving. Netradyne kan van de klant verlangen dat hij de werkelijke kosten draagt die zijn gemaakt als gevolg van de hulp die is verleend in overeenstemming met deze paragraaf, op basis van de op dat moment geldende servicetarieven van Netradyne.
7.2. Voor alle duidelijkheid: de klant is als verwerkingsverantwoordelijke verantwoordelijk voor het beantwoorden van verzoeken van betrokkenen. De producten en diensten van Netradyne omvatten technische en organisatorische maatregelen die zijn ontworpen om de klant te helpen bij het beantwoorden van verzoeken van betrokkenen.
Netradyne zal:
(een) tenzij het wettelijk verboden is om dit te doen, de Klant onmiddellijk en zonder onnodige vertraging (en in elk geval binnen 72 uur) op de hoogte stellen van elk verzoek om informatie van of een klacht van een toezichthoudende autoriteit, toezichthouder, wetshandhavingsinstantie of kredietinformatiebureau met betrekking tot persoonsgegevens die Netradyne verwerkt in verband met de Overeenkomst; en
(b) op verzoek van de klant, een reactie op een dergelijk verzoek bespreken en meewerken aan de voorbereiding van een dergelijk verzoek;
(c) niet op een dergelijk verzoek reageren zonder voorafgaande schriftelijke toestemming van de klant, tenzij wettelijk gedwongen om dit te doen.
Tenzij het wettelijk verboden is om dit te doen, zal Netradyne de Klant eerst op de hoogte stellen alvorens een melding of openbaarmaking aan een derde in verband met een inbreuk in verband met Persoonsgegevens te doen en de voorafgaande schriftelijke toestemming van de Klant verkrijgen.
9.1. Netradyne zal de klant onverwijld op de hoogte stellen wanneer zij kennis neemt van een inbreuk op persoonsgegevens die gevolgen heeft voor de persoonsgegevens van de klant. Voor alle duidelijkheid: een inbreuk op persoonsgegevens omvat niet (i) handelingen of nalatigheden die niet rechtstreeks te wijten zijn aan Netradyne of haar subverwerkers; of (ii) enige toegang tot of verwerking van persoonsgegevens van klanten die in overeenstemming is met de instructies van de klant. Op verzoek van de klant zal Netradyne redelijke hulp en medewerking bieden om de klant te helpen bij het nakomen van alle toepasselijke meldingsverplichtingen op grond van de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot de inbreuk op persoonsgegevens. Netradyne's melding van of reactie op een inbreuk in verband met persoonsgegevens mag niet worden opgevat als een erkenning door Netradyne of, indien relevant, haar subverwerkers van enige fout of aansprakelijkheid met betrekking tot de uitvoering van producten en diensten. Netradyne kan van de klant verlangen dat hij de werkelijke kosten draagt die zijn gemaakt als gevolg van de hulp die is verleend in overeenstemming met deze paragraaf, op basis van de op dat moment geldende servicetarieven van Netradyne.
10.1. Op verzoek van de klant zal Netradyne de klant redelijke hulp bieden bij alle gegevensbeschermingseffectbeoordelingen en voorafgaand overleg met toezichthoudende autoriteiten die vereist zijn op grond van de wetgeving inzake gegevensbescherming, in elk geval uitsluitend met betrekking tot de verwerking van persoonsgegevens van klanten door Netradyne in het kader van de overeenkomst en rekening houdend met de aard van de verwerking en de informatie waarover Netradyne beschikt. Netradyne behoudt zich het recht voor om een redelijke vergoeding in rekening te brengen voor dergelijke gevraagde assistentie, voor zover toegestaan door de toepasselijke wetgeving.
11.1. Op schriftelijk verzoek en zonder extra kosten voor de klant zal Netradyne de Klant en/of zijn naar behoren gekwalificeerde externe vertegenwoordiger (gezamenlijk de „Auditor”) toegang verlenen tot documentatie waaruit blijkt dat Netradyne voldoet aan zijn verplichtingen uit hoofde van deze DPA in de vorm van verslagen van relevante audits of certificeringen, zoals ISO 27001 of ingevulde vragenlijsten volgens industriestandaard (gezamenlijk „Rapporten”). Dergelijke rapporten zullen de vertrouwelijke informatie van Netradyne zijn volgens de vertrouwelijkheidsbepalingen van de Overeenkomst. De klant gaat ermee akkoord dat de rapporten worden gebruikt om te voldoen aan elk audit- of inspectieverzoek door of namens de klant met betrekking tot de wetgeving inzake gegevensbescherming, deze DPA en/of overeenkomst.
11.2. Wanneer de auditor een derde partij is, kan van de auditor worden verlangd dat hij een afzonderlijke vertrouwelijkheidsovereenkomst met Netradyne sluit voordat de verslagen of een audit van Netradyne worden beoordeeld. Netradyne kan schriftelijk bezwaar maken tegen een dergelijke accountant, indien de accountant naar het redelijke oordeel van Netradyne niet voldoende gekwalificeerd is of een concurrent van Netradyne is. Elk dergelijk bezwaar van Netradyne vereist dat de klant ofwel een andere auditor aanstelt, ofwel de audit zelf uitvoert. Alle kosten die een accountant maakt in verband met een beoordeling van verslagen of een audit komen uitsluitend voor rekening van de accountant.
11.3. Als een rapport niet beschikbaar is, kan de klant, na een voorafgaande schriftelijke kennisgeving van 30 dagen en maximaal één keer per kalenderjaar, verzoeken om op eigen kosten een beoordeling uit te voeren van het relevante beleid en de procedures van Netradyne die van toepassing zijn op de verwerking van persoonsgegevens van klanten van klanten in verband met de producten door Netradyne, met het oog op verificatie Netradyne's naleving van deze DPA. Deze beoordeling wordt uitgevoerd op een manier die de vertrouwelijkheidsverplichtingen van Netradyne jegens andere klanten van Netradyne niet in gevaar brengt. De partijen erkennen en komen overeen dat het beleid en de procedures van Netradyne en alle bevindingen van de beoordeling door de klant vertrouwelijke informatie van Netradyne zijn volgens de vertrouwelijkheidsbepalingen van de Overeenkomst.
11.4. Voor zover vereist door de wetgeving inzake gegevensbescherming, heeft de klant het recht om, na schriftelijke kennisgeving aan Netradyne, redelijke en passende maatregelen te nemen om elk gebruik van persoonlijke gegevens van klanten dat in strijd is met de overeenkomst te stoppen en te herstellen.
12,1. Netradyne kan persoonlijke gegevens van klanten overdragen naar elk land of gebied, indien redelijkerwijs noodzakelijk voor het leveren van de producten en diensten, in overeenstemming met deze DPA. Voor zover deze overdracht persoonsgegevens van klanten betreft die worden beschermd door de gegevensbeschermingswetten die van toepassing zijn op de Europese Unie, het Verenigd Koninkrijk en/of Zwitserland, komen Netradyne en de klant overeen om de persoonsgegevens van klanten te respecteren en te verwerken in overeenstemming met de hieronder gespecificeerde overdrachtmechanismen.
12.1.1. Voor zover Netradyne een ontvanger is van persoonsgegevens van klanten — in de hoedanigheid van gegevensverwerker — beschermd door de EU-AVG („EU-gegevens”) in een land buiten de Europese Economische Ruimte (EER) dat volgens de wetgeving inzake gegevensbescherming niet wordt erkend als een adequaat niveau van bescherming van persoonsgegevens, gaan de Klant (als „gegevensexporteur”) en Netradyne (als „" gegevensimporteur "”) ermee akkoord EU-gegevens naleven en verwerken in overeenstemming met de SCC's van de EU, die als volgt worden beschouwd als opgenomen in en deel uitmaken van deze DPA:
12.1.2. Voor zover Netradyne een ontvanger is van persoonlijke gegevens van klanten die worden beschermd door de Zwitserse DPA („Zwitserse gegevens”) in een land buiten Zwitserland dat volgens de wetgeving inzake gegevensbescherming niet wordt erkend als een land dat een adequaat niveau van bescherming biedt voor persoonlijke gegevens, komen de klant (als „gegevensexporteur”) en Netradyne (als „" gegevensimporteur "”) overeen om Zwitserse gegevens te respecteren en te verwerken in overeenstemming met de EU” SCC's, die worden beschouwd als opgenomen in en deel uitmaken van deze DPA in overeenstemming met paragraaf 12.1.1 hierboven en de wijzigingen in paragraaf hieronder.
12.1.3. Voor zover Netradyne een ontvanger is van persoonlijke gegevens van klanten die worden beschermd door de Britse wetgeving inzake gegevensbescherming („Britse gegevens”) in een land buiten het VK dat door het VK niet wordt erkend als een land dat een adequaat niveau van bescherming biedt voor persoonlijke gegevens, komen de klant (als „gegevensexporteur”) en Netradyne (als „" gegevensimporteur "”) overeen om Britse gegevens na te leven en te verwerken in overeenstemming met de” EU-SCC's zoals geïmplementeerd in overeenstemming met paragraaf 12.1.1 hierboven en de wijzigingen in paragraaf hieronder. Voor zover en zolang de SCC's van de EU, zoals geïmplementeerd in overeenstemming met deze DPA, niet kunnen worden gebruikt om persoonsgegevens van klanten rechtmatig over te dragen in overeenstemming met de Britse wetgeving inzake gegevensbescherming aan Netradyne, worden de Britse SCC's geacht te zijn opgenomen in en deel uit te maken van deze DPA en zijn ze van toepassing op overdrachten die onder de Britse GDPR vallen. Voor de doeleinden van de Britse SCC's worden de relevante bijlagen, aanhangsels of tabellen geacht te zijn gevuld met de informatie die is opgenomen in de schema's 1 en 2 van deze DPA.
12.1.4. Met betrekking tot de overdracht van gegevens uit het VK of Zwitserse gegevens zijn de SCC's van de EU, zoals geïmplementeerd in paragraaf 12.1.1 hierboven, van toepassing met de volgende wijzigingen (zoals van tijd tot tijd gewijzigd in overeenstemming met het Britse bureau van de informatiecommissaris of de richtlijnen van de Zwitserse federale commissaris voor gegevensbescherming):
12.1.4.1. verwijzingen naar „Verordening (EU) 2016/679" worden geïnterpreteerd als verwijzingen naar de Britse wetgeving inzake gegevensbescherming of de Zwitserse gegevensbeschermingswetgeving (indien van toepassing);
12.1.4.2. verwijzingen naar specifieke artikelen van „Verordening (EU) 2016/679" worden vervangen door het gelijkwaardige artikel of deel van de Britse wetgeving inzake gegevensbescherming of de Zwitserse gegevensbeschermingswetgeving (indien van toepassing);
12.1.4.3. verwijzingen naar „EU”, „Unie”, „lidstaat” en „wetgeving van de lidstaten” worden vervangen door verwijzingen naar het „" VK "” of „" Zwitserland "”, of „" Britse wetgeving "” of „" Zwitserse wetgeving "” (indien van toepassing);”
12.1.4.4. de term „lidstaat” mag niet zo worden geïnterpreteerd dat betrokkenen in het VK of Zwitserland worden uitgesloten van de mogelijkheid om een rechtszaak aan te spannen voor hun rechten in hun gewone verblijfplaats (d.w.z. het VK of Zwitserland);
12.1.4.5. Clausule 13 (a) van de SCC's van de EU en deel C van bijlage I worden niet gebruikt, en de „bevoegde toezichthoudende autoriteit” is de informatiecommissaris van het Verenigd Koninkrijk of de Zwitserse federale commissaris voor gegevensbescherming (indien van toepassing);
12.1.4.6. verwijzingen naar de „bevoegde toezichthoudende autoriteit” en „bevoegde rechtbanken” worden vervangen door verwijzingen naar de „" informatiecommissaris "” en de „" rechtbanken van Engeland en Wales "” of de „" Zwitserse federale gegevensbeschermingscommissaris "” en „" toepasselijke rechtbanken van Zwitserland "” (indien van toepassing);”
12.1.4.7. in clausule 17 worden de SCC's van de EU beheerst door de wetten van Engeland en Wales of Zwitserland (indien van toepassing); en
12.1.4.8. met betrekking tot overdrachten waarop de Britse wetgeving inzake gegevensbescherming van toepassing is, wordt clausule 18 gewijzigd om te bepalen: „Elk geschil dat voortvloeit uit deze clausules zal worden beslecht door de rechtbanken van Engeland en Wales. Een betrokkene kan een gerechtelijke procedure aanspannen tegen de gegevensexporteur en/of gegevensimporteur bij de rechtbanken van elk land in het VK. De partijen komen overeen zich te onderwerpen aan de jurisdictie van dergelijke rechtbanken”, en met betrekking tot overdrachten waarop de Zwitserse DPA van toepassing is, bepaalt clausule 18 (b) dat geschillen zullen worden beslecht door de toepasselijke rechtbanken van Zwitserland.
12,2. Netradyne kan persoonsgegevens van klanten overdragen aan een subverwerker buiten de Europese Unie, Zwitserland of het Verenigd Koninkrijk, op voorwaarde dat Netradyne maatregelen neemt om rechtmatige gegevensoverdracht te waarborgen. Deze maatregelen kunnen vereisen dat Netradyne (a) ervoor zorgt dat de derde partij de standaardcontractbepalingen uitvoert; of (b) een ander alternatief rechtmatig mechanisme voor gegevensoverdracht toepast (zoals erkend in de wetgeving inzake gegevensbescherming).
12,3. Voor zover de overdrachtsmechanismen die worden gebruikt voor de overdracht van persoonsgegevens niet kunnen worden gebruikt om persoonsgegevens rechtmatig van het ene rechtsgebied naar het andere over te dragen op grond van de toepasselijke wetgeving inzake gegevensbescherming, zullen de partijen zo snel als redelijkerwijs mogelijk een alternatief overdrachtsmechanisme of alternatieve aanvullende maatregelen bespreken en overeenkomen om rechtmatige overdracht van gegevens mogelijk te maken.
13,1. De klant gaat ermee akkoord dat het beleid voor het bewaren en verwijderen van gegevens onderworpen is aan de algemene voorwaarden die zijn vastgelegd in de overeenkomst. Na ontvangst van het verzoek van de klant om persoonlijke gegevens van de klant te verwijderen, zal Netradyne op verzoek onmiddellijk alle persoonlijke gegevens verwijderen of terugsturen naar de klant. Tenzij de Klant Netradyne anders op de hoogte stelt, zal Netradyne bij beëindiging van de Overeenkomst alle Persoonsgegevens binnen 30 dagen verwijderen. Niettegenstaande het voorgaande mag Netradyne persoonsgegevens uitsluitend bewaren voor zover anders vereist door de wetgeving inzake gegevensbescherming.
13,2. Voor zover toegestaan op grond van de toepasselijke wetgeving inzake gegevensbescherming, kan Netradyne persoonsgegevens van klanten onherkenbaar maken of anonimiseren voor latere bewaring en gebruik, onder voorbehoud van de publieke toezegging van Netradyne om de informatie in geanonimiseerde of geanonimiseerde vorm te bewaren en te gebruiken en niet om te proberen dergelijke informatie opnieuw te identificeren. Voor alle duidelijkheid en voor zover toegestaan op grond van de toepasselijke wetgeving inzake gegevensbescherming, wordt een dergelijke deidentificatie of anonimisering van persoonsgegevens van klanten geacht te voldoen aan de verplichtingen van Netradyne op grond van de Overeenkomst, deze DPA en de toepasselijke wetgeving inzake gegevensbescherming.
14.1. Alle claims die op grond van deze DPA worden ingesteld (inclusief de standaardcontractbepalingen) zijn onderworpen aan de algemene voorwaarden, met inbegrip van maar niet beperkt tot de uitsluitingen en beperkingen van aansprakelijkheid die in de overeenkomst zijn uiteengezet.
15,1. Voor zover de persoonlijke gegevens van klanten betrekking hebben op inwoners van Californië, zal Netradyne geen persoonlijke gegevens van klanten bewaren, gebruiken, verkopen, delen of anderszins openbaar maken (inclusief voor commerciële doeleinden of andere doeleinden buiten de directe zakelijke relatie tussen de partijen) anders dan zoals toegestaan door de wet of voor zover nodig om de producten en diensten te leveren en te ondersteunen, zoals uiteengezet in de Overeenkomst.
15,2. Voor zover de persoonsgegevens van klanten betrekking hebben op inwoners van Californië, zal Netradyne voldoen aan de toepasselijke beperkingen op grond van de CPRA voor het combineren van persoonsgegevens van klanten die Netradyne van of namens de klant ontvangt met persoonsgegevens die Netradyne ontvangt van of namens een andere persoon of personen, of die Netradyne verzamelt op basis van elke interactie tussen hen en een gegevenssubject.
15.3. Voor zover de persoonsgegevens van klanten betrekking hebben op inwoners van Californië, zal Netradyne voldoen aan de CPRA en, rekening houdend met de rol van Netradyne in de verwerking, het beschermingsniveau bieden voor de relevante persoonsgegevens van klanten dat vereist is door de CPRA.
16,1. Als een nieuwe wet inzake gegevensbescherming van kracht wordt en van toepassing is op Netradyne, zullen Netradyne en de Klant alle redelijke stappen ondernemen die vereist zijn op grond van deze wetgeving inzake gegevensbescherming om ervoor te zorgen dat de partijen hun verplichtingen uit hoofde van de toepasselijke wetgeving kunnen nakomen en ervoor zorgen dat Netradyne alle gegevensbeschermingswetten naleeft die van toepassing zijn op Netradyne.
17,1. Tenzij anders vereist op grond van de standaardcontractbepalingen of de toepasselijke wetgeving inzake gegevensbescherming, worden deze DPA en alle geschillen of vorderingen die voortvloeien uit of verband houden met de DPA of het onderwerp of de totstandkoming ervan, beheerst door en geïnterpreteerd in overeenstemming met de wetten van de staat Californië, zonder rekening te houden met de conflicterende wetsprincipes. Voor alle duidelijkheid: wanneer de standaardcontractbepalingen van toepassing zijn, worden ze beheerst door de wetten en de jurisdictie die daarin is gespecificeerd.
Beschrijving van de verwerking/overdracht
Voorwerp
Details
Gegevensexporteur
De klant is de gegevensexporteur
Gegevensimporteur
Netradyne, Inc.
9171 Towne Centre Drive, Suite 110
San Diego, CA 92122
Contactgegevens:
privacy@netradyne.com
dpo@netradyne.com
legal@netradyne.com
Beschrijving van de overdracht/verwerking
Voorwerp
Details
Betrokkenen:
Werknemers of onafhankelijke contractanten van de klant, dienstverleners van de klant, inclusief bestuurders van voertuigen („chauffeurs”). Leden van het publiek of voorbijgangers.
Categorieën van persoonsgegevens:
De verwerkte persoonsgegevens omvatten:
Speciale categorieën van persoonsgegevens:
Niet van toepassing
Aard, doel en frequentie van de verwerking:
Netradyne verwerkt persoonsgegevens van klanten zo lang als nodig is om de producten en diensten aan de klant te leveren in overeenstemming met en zoals anderszins toegestaan op grond van de overeenkomst, en voor alle openbaarmakingen die wettelijk verplicht zijn.
Duur:
Zo lang als nodig is voor het vervullen van de zakelijke doeleinden of zoals uiteengezet in de Overeenkomst en onder voorbehoud van sectie 13 van deze DPA.
Goedgekeurde subverwerkers (indien aanwezig):
Zoals vermeld in schema 3
Goedgekeurd overdrachtsmechanisme:
Standaardcontractbepalingen: zie paragraaf 12 van de DPA
Bevoegde toezichthoudende autoriteit:
Bepaald in overeenstemming met de wetgeving inzake gegevensbescherming.
Technische en organisatorische maatregelen, waaronder technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen
Netradyne zal redelijke fysieke, administratieve en technische controles ontwikkelen, implementeren en handhaven om de vertrouwelijkheid, beschikbaarheid en integriteit van de diensten en persoonsgegevens van klanten te beschermen („beveiligingsmaatregelen”). De beveiligingsmaatregelen moeten ten minste voldoen aan de toepasselijke wetgeving inzake gegevensbescherming. Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, evenals met het risico van verschillende waarschijnlijkheid en ernst voor de wettelijk beschermde belangen van natuurlijke personen, zal Netradyne de nodige technische en organisatorische maatregelen („Veiligheidsmaatregelen”) nemen om een beveiligingsniveau te waarborgen dat past bij het risico bij de verwerking van persoonsgegevens.
Netradyne zal veiligheidsmaatregelen handhaven die in overeenstemming zijn met de door de industrie aanvaarde beste praktijken (waaronder de normen ISO 27001 en 27002 van de International Organization for Standardization). Het informatiebeveiligingsprogramma van Netradyne omvat ten minste de volgende beveiligingen en controles:
Voorwerp
Details
Maatregelen voor pseudonimisering en versleuteling van persoonsgegevens.
Netradyne maakt gebruik van cryptografische technieken om klantgegevens te beschermen.
Maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen.
Netradyne implementeert strikte toegangscontroles om de toegang tot klantinformatie te beperken. Toegangscontroles omvatten gecontroleerd gebruik van beheerdersbevoegdheden, implementatie van beleid voor account- en wachtwoordbeheer en meervoudige authenticatie (MFA) voor servers en productiesystemen.
Netradyne heeft netwerkbeveiligingscontroles, kwetsbaarheidsbeoordeling, patchbeheer en geplande bewakingsprocedures geïmplementeerd om veiligheidsbedreigingen te identificeren, te beoordelen, te beperken en te beschermen. Het is de bedoeling dat patches voor kritieke ernst onmiddellijk of binnen vijf dagen worden beoordeeld, geëvalueerd en geïmplementeerd. Patches met een hoge ernst worden ook onmiddellijk of binnen 30 dagen beoordeeld en geïmplementeerd.
Patches met een gemiddelde en lage ernst worden beoordeeld als onderdeel van het interne auditproces en worden doorgaans binnen 3-12 maanden geïmplementeerd, afhankelijk van relevantie en ernst.
De diepe pakketinspectie van de Netradyne-firewallfunctie maakt het mogelijk om kwaadaardig verkeer te blokkeren. Ze worden 24/7 gemonitord op prestaties, beveiliging en correcte werking.
Segregatie van gegevens. Netradyne heeft maatregelen genomen om klantgegevens logisch te isoleren van de interne gegevens van Netradyne of gegevens van derden.
Fysieke beveiliging. Netradyne heeft fysieke beveiligingscontroles geïmplementeerd (toegangskaarten, cameratoezicht en bewakers) om de fysieke toegang tot haar faciliteiten te controleren en te controleren.
Netradyne voert prestatietests uit, controleert regelmatig de status van apparaten en maakt back-ups van gegevens om de beschikbaarheid en veerkracht van haar platforms en diensten te waarborgen.
Maatregelen om ervoor te zorgen dat de beschikbaarheid en toegang tot persoonsgegevens tijdig kunnen worden hersteld in geval van een fysiek of technisch incident.
Netradyne slaat alle gegevens op in de AWS-cloud (Elastic Block Storage- EBS), die is geconfigureerd om regelmatige back-up van gegevens of herstel van gegevens mogelijk te maken. Netradyne beschikt over een Security Incident Response Team (SIRT) om de inspanningen te coördineren die nodig zijn om incidenten in te dammen en het herstel van gegevens mogelijk te maken.
Processen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.
Netradyne voert minstens één keer per jaar een interne audit uit van zijn beveiligings- en privacycontroles. Er worden ook periodieke kwetsbaarheidsscans en penetratietests uitgevoerd door externe beoordelaars.
Maatregelen voor gebruikersidentificatie en autorisatie.
Netradyne kent aan alle gebruikers een gebruikers-ID toe. Toegangscontroles omvatten gecontroleerd gebruik van beheerdersbevoegdheden, implementatie van beleid voor account- en wachtwoordbeheer en meervoudige authenticatie (MFA) voor servers en productiesystemen.
Wachtwoorden moeten voldoen aan de vereisten voor wachtwoordcomplexiteit zoals beschreven in het wachtwoordbeleid van Netradyne.
Bevoorrechte accountvaardigheden worden toegekend aan een beperkt aantal Netradyne-medewerkers die dit toegangsniveau nodig hebben om hun functie uit te oefenen.
Maatregelen om de fysieke beveiliging te waarborgen van locaties waar persoonsgegevens worden verwerkt.
De productie- en ontwikkelingsdatacenters van Netradyne worden beschermd tegen milieu- en veiligheidsbedreigingen met behulp van technische, administratieve en fysieke beveiligingscontroles. Voor een hoge beschikbaarheid zijn onder meer redundante noodstroomvoorzieningen, brand- en rookdetectie- en -onderdrukkingssystemen, redundante ventilatie en airconditioning inbegrepen. Alle systemen ondergaan frequent en regelmatig preventief onderhoud.
De bedrijfsfaciliteiten van Netradyne worden bewaakt door cameratoezicht. Bij de ingang en in de hele faciliteit wordt een team van bewakers ingezet. De toegang tot het gebouw wordt gecontroleerd door middel van beveiligingssleutelkaarten.
Maatregelen om ervoor te zorgen dat gebeurtenissen worden geregistreerd.
Netradyne-systemen worden centraal beheerd en bewaakt door het gebruik van registratiemechanismen die voldoen aan de industriestandaard.
Netradyne-toepassingen zijn geconfigureerd om gegevens van de gebruikerssessies vast te leggen en de acties die gebruikers uitvoeren. Het registreert ook beheergebeurtenissen, zoals bewerkingen met gebruikersaccounts. Beheergebeurtenissen, zoals het aanmaken of deactiveren van een gebruikersaccount, het vergrendelen of vervallen van een account, het wijzigen van het wachtwoord, het toewijzen of verwijderen van een gebruikersrol, het toevoegen of verwijderen van een gebruiker uit een groep, worden ook geregistreerd.
Maatregelen om de systeemconfiguratie te waarborgen, met inbegrip van de standaardconfiguratie.
Netradyne heeft een standaard basislijn voor de configuratie van werkstations opgesteld om aan de beveiligingsdoelstellingen te voldoen. De serversystemen van Netradyne zijn geconfigureerd voor prestaties, stabiliteit, schaalbaarheid en beveiliging. Alle serversystemen, inclusief web-, applicatie- en databaseservers, zijn gebouwd volgens configuratiestandaarden. Alle SQL Server-services worden versterkt door alle services uit te schakelen die niet worden gebruikt door de Netradyne-toepassing. Het verhardingsproces omvat de volgende doelstellingen:
Alle onnodige functionaliteit verwijderen, zoals scripts, drivers, functies, subsystemen, bestandssystemen en onnodige webservers.
Maatregelen voor intern beheer en beheer van IT- en IT-beveiliging.
Netradyne heeft een speciaal InfoSec-team en heeft IT-beveiligingsbeleid en -procedures ingevoerd. Dit omvat een formeel proces voor wijzigingsbeheer en een beleid voor acceptabel gebruik.
Maatregelen voor certificering/borging van processen en producten.
Netradyne schakelt onafhankelijke beveiligingsauditors in voor de periodieke beoordeling van haar beveiligings- en privacycontroles als onderdeel van de ISO 27001- en Privacy by Design-certificeringen.
ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025
Privacy by Design - https://msecb.com/certifications-granted
Maatregelen om ervoor te zorgen dat gegevens tot een minimum worden beperkt.
Er kunnen verschillende privacymodi en privacyconfiguraties worden ingeschakeld om de hoeveelheid gegevens die door Netradyne wordt verwerkt, te verminderen.
De meeste videobeelden die met het Driver.i-apparaat zijn opgenomen, blijven op het apparaat staan en worden overschreven zodra het geheugen van het apparaat vol is.
Videobeelden worden alleen naar de Netradyne-cloud geüpload als er een gebeurtenis wordt gedetecteerd. Gemiddeld wordt minder dan 1% van het beeldmateriaal geüpload naar de cloud.
Afhankelijk van het evenementtype wordt alleen het relevante beeldmateriaal van de gebeurtenis (extern beeldmateriaal of beeldmateriaal in de cabine) geüpload naar de cloud.
Voor alle evenementen uploadt het apparaat de evenementgegevens naar de cloud.
Maatregelen om ervoor te zorgen dat gegevens beperkt worden bewaard.
De standaardgegevensbewaring is een evenwicht tussen ervoor zorgen dat gegevens gedurende een voldoende lange periode worden bewaard om nuttig te zijn voor de gegevensexporteur, en ervoor zorgen dat ze niet langer worden bewaard dan een dergelijke nuttige periode. De vereisten voor het bewaren en verwijderen van gegevens zijn vastgelegd in de overeenkomst of de DPA.
Maatregelen om de verantwoording te waarborgen.
Netradyne bewaart bewijzen van de stappen die zijn genomen om te voldoen aan de AVG van de EU. Netradyne neemt passende technische en organisatorische maatregelen, zoals: (i) het aannemen en implementeren van gegevensbeschermingsbeleid (indien evenredig), (ii) het uitvoeren van schriftelijke contracten met dienstverleners (iii) het bijhouden van documentatie van verwerkingsactiviteiten, (iv) het implementeren van passende beveiligingsmaatregelen, (v) het registreren en, indien nodig, melden van inbreuken in verband met persoonsgegevens, (vi) het uitvoeren van gegevensbeschermingseffectbeoordelingen voor het gebruik van persoonsgegevens dat waarschijnlijk zal resulteren in hoog risico voor de belangen van individuen, en (vii) het implementeren van logboekregistratie en controlemaatregelen.
Maatregelen om gegevensoverdraagbaarheid mogelijk te maken en te zorgen voor verwijdering.
Netradyne stelt betrokkenen in staat hun rechten uit te oefenen door contact op te nemen met aangewezen contactpunten. De primaire verantwoordelijkheid voor het beantwoorden van verzoeken van betrokkenen ligt bij de klant. Netradyne helpt de klant bij het beantwoorden van verzoeken van betrokkenen.
Lijst van goedgekeurde subverwerkers
De verwerkingsverantwoordelijke heeft toestemming gegeven voor het gebruik van de volgende subverwerkers:
Subverwerker
Doel van de verwerking
Locatie
Netradyne Technology India Private Limited („Netradyne India”)
Engineering en ondersteuning
India
Amazon Web Services (AWS)
Hosting van gegevens
Verenigde Staten
Elancer IT-oplossingen Private Limited
Diensten voor gegevensetikettering
India
Gainsight, Inc.
Platform voor klantensucces
Verenigde Staten
Mixpanel, Inc.
Activiteit/-ervaring van de gebruiker (gegevensanalyse)
Verenigde Staten
VVDN-technologieën
Renovatie van het apparaat
India