Het is officieel! G-P Gia™ is nu voor iedereen beschikbaar. We leveren Agentic AI voor wereldwijde HR-compliance op grote schaal. Probeer het nu!
Weg met het H-1B-visum. Krijg toegang tot toptalent met G-P EOR™.
Logo G-P
Offerte aanvragen

MSA Privacy Taal

Laatste update: maart 4, 2026

 ADDENDUM GEGEVENSBESCHERMING

De Klant is een Hoofdovereenkomst aangegaan of een overeenkomst met een soortgelijke aard en doel (hierna “Hoofdovereenkomst”) aangegaan met G-P. De uitvoering van een dergelijke Hoofdovereenkomst kan de Verwerking van Persoonsgegevens met zich meebrengen. De Klant en G-P (gezamenlijk aangeduid als “Partijen”) komen overeen dat dit Addendum voor gegevensbescherming (“DPA”) hun verplichtingen uiteenzet met betrekking tot de verwerking en beveiliging van Persoonsgegevens in verband met de Diensten die door de Klant G-P worden geleverd onder de Hoofdovereenkomst en de Partijen komen overeen gebonden te zijn aan deze DPA. Dit AGV vormt een aanvulling op de voorwaarden in de Hoofdovereenkomst en is daarin opgenomen. In het geval van een conflict tussen deze DPA en enige andere overeenkomst tussen de partijen over de hierin uiteengezette kwesties, heeft deze DPA voorrang. Als de Klant al een ondertekend addendum voor gegevensbescherming heeft dat van kracht is met G-P, dan heeft die overeenkomst voorrang op deze DPA en heeft deze DPA geen kracht of effect, tenzij schriftelijk anders overeengekomen door de Klant en G-P.

 

Overwegende dat:

  1. Wanneer de Klant de diensten van de Employer of Records (“EOR”) G-P verleent, G-P neemt hij de rol van de wettelijke werkgever op zich voor alle personen die door de Klant worden geselecteerd (“Beroepspersonen”) om in dienst te worden genomen.
  2. Met betrekking tot de Persoonsgegevens van dergelijke Professionals een Verwerkingsverantwoordelijke G-P is tijdens de duur van de arbeidsrelatie.
  3. Met betrekking tot de Persoonsgegevens van Professionals die door de Klant voor zijn eigen doeleinden worden verzameld en gebruikt, is de Klant ook een Verwerkingsverantwoordelijke met onafhankelijke privacyverplichtingen.
  4. Bij het leveren van de diensten van Employer of Record is de uitwisseling van Persoonsgegevens van Professionals tussen G-P en de Klant onder een onafhankelijke relatie tussen Verwerkingsverantwoordelijke en Verwerkingsverantwoordelijke en de in artikel 2 hieronder gedefinieerde termen  tussen Verwerkingsverantwoordelijke en Verwerkingsverantwoordelijke van toepassing.
  5. G-P biedt ook verschillende software-as-a-serviceproducten via het platform (“GPP”) G-Pvan waarmee de Klant de relatie met die Professionals G-P kan beheren.
  6. Door de Klant toegang te verlenen tot GPP, G-P is de Verwerker voor de accountgerelateerde gegevens die zijn geüpload naar de GPP door de door de Klant aangewezen Bevoegde Gebruikers van GPP en zijn de voorwaarden van Verwerkingsverantwoordelijke-tot-Verwerker zoals gedefinieerd in artikel 3 hieronder van toepassing.

 

G-P en de Klant is het volgende overeengekomen:

 

1. DEFINITIES

1.1. Termen die hierin niet zijn gedefinieerd, hebben de betekenis zoals uiteengezet in de Hoofdovereenkomst. De volgende woorden in deze DPA hebben de volgende betekenis:

1.2. Geautoriseerde gebruikerbetekent een persoon die door de Klant is toegestaan en die ofwel een werknemer en/of contractant van de Klant kan omvatten, om namens de Klant toegang te krijgen tot en gebruik te maken van de GPP , overeenkomstig de uitvoering van de Hoofdovereenkomst.

1.3. Klantgegevens” betekent alle Persoonsgegevens met betrekking tot een Geautoriseerde Gebruiker of identificeerbare natuurlijke persoon die worden overgedragen, verwerkt of opgeslagen door G-P namens de Klant voor het gebruik van de GPP door de Klant.

1.4. Gegevensbeschermingswetten” betekent alle gegevensbeschermings- en privacywetten waaraan een partij bij deze Overeenkomst is onderworpen en die van toepassing zijn op de geleverde Diensten, inclusief waar van toepassing, maar niet beperkt tot, AVG, UK AVG, Zwitserse gegevensbeschermingswetten, Amerikaanse privacywetgeving (inclusief staats- en federale wetten) en Braziliaanse LGPD.

1.5. AVG” betekent de Algemene Verordening Gegevensbescherming (EU) 2016/679.

1.6. GPP” betekent G-P'eigen software, inclusief maar niet beperkt tot de software, de mobiele versie, alle software die daarin is opgenomen en alle gegevens die beschikbaar worden gesteld door het gebruik van G-Pofwel 'eigen software of de diensten van derden, inclusief hun updates, upgrades, platform als een dienst en documentatie.

1.7. EER” betekent de Europese Economische Ruimte.

1.8. LGPD” betekent Braziliaanse wet nr. 13.709, de Algemene wet inzake de bescherming van persoonsgegevens, zoals kan worden gewijzigd, vervangen of vervangen.

1.9. Master Agreemen t” betekent de overeenkomst die is aangegaan tussen de Klant en G-P voor de levering van de Diensten.

1.10. Privacybeleid” betekent G-Phet privacybeleid, zoals van tijd tot tijd bijgewerkt, beschikbaar op https://www.globalization-partners.com/privacy-policy/

1.11. Gegevens van beroepsbeoefenarenbetekent Persoonsgegevens van beroepsbeoefenaren die worden verwerkt door G-P in de loop van de dienstverlening van de Employer of Record aan de Klant.

1.12. "Beperkte Overdracht" betekent elke overdracht van Persoonsgegevens naar een land buiten de EER, het Verenigd Koninkrijk, Zwitserland of Brazilië dat niet onderworpen is aan een adequaatheidsbesluit onder de toepasselijke Gegevensbeschermingswetgeving, en daarom passende waarborgen vereist onder de toepasselijke Gegevensbeschermingswetgeving.

1.13. “Diensten” betekent de diensten die door G-P de Klant moeten worden geleverd onder de Hoofdovereenkomst, waaronder de diensten van de Employer of Record en de toegang tot en het gebruik van GPP.

1.14. "Standaardcontractbepalingen" of "SCC's"  betekent (i) waar de AVG van toepassing is, de modelcontractbepalingen die zijn gehecht aan Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021 modelcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad; beschikbaar op https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("EU SCC's"); (ii) waar de Britse AVG van toepassing is, de toepasselijke standaardbepalingen inzake gegevensbescherming die zijn vastgesteld overeenkomstig artikel 46(2)(c), of (d) wanneer de Britse AVG het Internationale Addendum voor gegevensoverdracht (“Verenigd Koninkrijk Addendum”) betekent bij de standaardcontractbepalingen van de EU uitgegeven door het bureau van de Information Commissioner onder s.119A(1) van de Data Protection Act 2018, als dergelijk VK-addendum kan worden herzien op grond van Sectie 18 daarin ("UK SCC's"); (iii) waar de Zwitserse wetgeving inzake gegevensbescherming van toepassing is, de toepasselijke standaardbepalingen inzake gegevensbescherming, goedgekeurd of erkend door de Zwitserse federale gegevensbeschermingsautoriteit en het bureau van de Information Commissioner (de "Zwitserse SCC's); waar de Braziliaanse LGPD van toepassing is, de toepasselijke  modelcontractbepalingen, bijgevoegd aan Resolutie CD/ANPD nr. 19/2024 , afgekondigd door de Braziliaanse nationale autoriteit voor gegevensbescherming (“ANPD”), zoals ze van tijd tot tijd kunnen worden gewijzigd (“Brazilische SCC’s”).

1.15. “Zwitserse wetgeving inzake gegevensbescherming" of "FADP"  betekent (i) de Zwitserse federale wetgeving inzake gegevensbescherming (gedateerd juni 19, 1992, per 1 maart, 2019) ("FDPA"); (ii) de  verordening inzake de federale wet inzake gegevensbescherming ("FODP"); en (iii) alle nationale wetgeving inzake gegevensbescherming die is opgesteld krachtens, krachtens, ter vervanging of opvolger van, en alle wetgeving die een van de voorgaande vervangt of bijwerkt.

1.16. UK Addendumbetekent het addendum voor internationale gegevensoverdracht van het Verenigd Koninkrijk bij de standaardcontractbepalingen van de EU uitgegeven door de UK Information Commissioner.

1.17. “Gegevensbeschermingswetten van het Verenigd Koninkrijk” betekent de AVG zoals opgeslagen in de wetgeving van het Verenigd Koninkrijk op grond van artikel 3 van de Wet op de Europese Unie (terugtrekking) van het Verenigd Koninkrijk 2019 ("AVG van het Verenigd Koninkrijk") en de Wet op gegevensbescherming 2018 (samen  "Wetgeving inzake gegevensbescherming van het Verenigd Koninkrijk").

1.18. “Amerikaanse privacywetgeving” betekent toepasselijke Amerikaanse (VS) staatswetten, -bevelen, -voorschriften en -richtlijnen met betrekking tot de verwerking van persoonsgegevens, inclusief maar niet beperkt tot: (a) de CCPA; (b) Virginia's Consumer Data Protection Act; (c) de Colorado Privacy Act; (d) Connecticut's Act betreffende gegevensprivacy en online monitoring; (e) de Utah Consumer Privacy Act; en (f) alle soortgelijke staatswetten

1.19. "Verwerkingsverantwoordelijke" "Betrokkene", "Persoonsgegevens", "Persoonlijke informatie", "Inbreuk op persoonsgegevens", "Verwerker", "Verwerken/Verwerken", "Beperkte overdracht", "Dienstverlener" en/of andere soortgelijke termen en concepten hebben de betekenis zoals gedefinieerd in de Wetgeving inzake gegevensbescherming.

 

 

2. CONTROLE VAN PERSOONSGEGEVENS

2.1. Rollen van de Partijen. Wanneer G-P opereert als een onafhankelijke Verwerkingsverantwoordelijke, G-P zal voldoen aan zijn verplichtingen als Verwerkingsverantwoordelijke onder de Wetgeving inzake Gegevensbescherming bij het Verwerken van Persoonsgegevens en zal de Persoonsgegevens Verwerken zoals beschreven in het Privacybeleid G-Pvan , beschikbaar op https://www.globalization-partners.com/privacy-policy/. De Klant zal voldoen aan zijn verplichtingen uit hoofde van de wetgeving inzake gegevensbescherming bij het verwerken van Persoonsgegevens als Verwerkingsverantwoordelijke. In geen geval zullen de Partijen Persoonsgegevens onder deze DPA verwerken als gezamenlijke Verwerkingsverantwoordelijken.

2.2. Verantwoordelijkheden en erkenningen. Elke Partij kan Persoonsgegevens verwerken onder deze DPA met betrekking tot de Gegevens van Professionals als onafhankelijke verwerkingsverantwoordelijken. De Partijen komen overeen om te voldoen aan hun respectievelijke verplichtingen en om alle Persoonsgegevens eerlijk en rechtmatig te verwerken in overeenstemming met deze DPA en alle Wetgeving inzake gegevensbescherming die van toepassing is op de Verwerking van Persoonsgegevens van die Partij. Elke Partij zal ervoor zorgen dat haar Verwerking van Persoonsgegevens beperkt is tot het doel van de GPP verstrekt door G-P en gebaseerd is op een rechtsgrond voor rechtmatige verwerking. De Partijen zullen elkaar helpen bij het naleven van hun respectieve verplichtingen onder de Wetgeving inzake gegevensbescherming, inclusief, maar niet beperkt tot, het assisteren van elkaar als er een Inbreuk in verband met persoonsgegevens plaatsvindt, het reageren op verzoeken van Betrokkenen en/of regelgevende instanties. 

 

3. VERWERKING VAN PERSOONSGEGEVENS

 

3.1. Toepassingsgebied. Het gebruik van GPPkan de Verwerking van Klantgegevens door G-P als Verwerker of Dienstverlener namens Klant inhouden.

3.2. Instructies. G-P zal de Gegevens van de Klant verwerken in overeenstemming met de gedocumenteerde instructies van de Klant.  De Klant stemt ermee in dat deze DPA, de Hoofdovereenkomst, en Bijlage I, hieronder bijgevoegd, omvatten de volledige instructies van de Klant met G-P betrekking tot de Verwerking van Gegevens van de Klant. Eventuele aanvullende of alternatieve instructies moeten schriftelijk tussen de partijen worden overeengekomen, inclusief de kosten (indien van toepassing) in verband met het naleven van dergelijke instructies. De Klant zal ervoor zorgen dat zijn instructies voldoen aan de toepasselijke wetgeving inzake gegevensbescherming. De Klant erkent dat hij niet verantwoordelijk G-P is voor het bepalen welke wetten van toepassing zijn op de activiteiten van de Klant. De Klant zal ervoor zorgen dat G-Pde verwerking van Klantgegevens door , wanneer uitgevoerd in overeenstemming met de instructies van de Klant, niet zal leiden G-P tot schending van toepasselijke wetgeving, inclusief toepasselijke wetgeving inzake gegevensbescherming. G-P Indien echter van mening G-P is dat een instructie van de Klant in strijd is met de toepasselijke Gegevensbeschermingswetgeving, G-P zal de Klant zo snel als redelijkerwijs mogelijk is op de hoogte worden gesteld en zal deze niet verplicht zijn om aan dergelijke inbreukmakende instructies te voldoen.

3.3. Gegevens over verwerking. Details over het onderwerp van de Verwerking, de duur, aard en het doel en het type Klantgegevens en betrokkenen zijn zoals gespecificeerd in Bijlage I bij deze Overeenkomst. 

3.4. Naleving. De Klant en G-P gaan ermee akkoord om te voldoen aan hun respectieve verplichtingen onder de Gegevensbeschermingswetgeving die van toepassing is op de Gegevens van de Klant die worden Verwerkt zoals gespecificeerd in Bijlage I. De Klant is als enige verantwoordelijk voor het naleven van de Gegevensbeschermingswetgeving met betrekking tot de rechtmatigheid van de Verwerking van Gegevens van de Klant voorafgaand aan de openbaarmaking, overdragen, of anderszins beschikbaar stellen, alle Klantgegevens aan G-P. Voor alle duidelijkheid, in alle gevallen, De Klant zal waar nodig, alle toestemmingen van de Betrokkenen voor G-P het Verwerken van Klantgegevens zoals voorgeschreven door de Klant.

3.5. Subverwerkers. De Klant machtigt G-P om Verwerkers (“Subverwerkers”) aan te wijzen en te gebruiken voor het Verwerken van de Klantgegevens in verband met de Diensten. Subverwerkers kunnen derden of een lid van de G-P bedrijvengroep omvatten. G-P kan deze Subverwerkers die reeds zijn ingeschakeld G-P op de datum van dit DPA blijven gebruiken, en een lijst van dergelijke Subverwerkers is beschikbaar in Bijlage III die hieronder is bijgevoegd. Wanneer een Subverwerker zijn verplichtingen inzake gegevensbescherming zoals hierboven gespecificeerd niet nakomt, G-P is hij jegens de Klant aansprakelijk voor de uitvoering van de verplichtingen van de Subverwerker. G-P zal de Klant via GPP op de hoogte stellen van eventuele wijzigingen in zijn lijst van Subverwerkers. Indien de Klant binnen 10 (tien) dagen na ontvangst van die kennisgeving rechtmatig bezwaar maakt tegen de toevoeging of verwijdering van een Subverwerker op grond van gegevensbescherming en het bezwaar van de Klant redelijkerwijs G-P niet kan wegnemen, zullen de partijen te goeder trouw de zorgen van de Klant bespreken met het oog op het oplossen van de zaak.

3.6. Technische en organisatorische beveiligingsmaatregelen. Rekening houdend met industrienormen, de uitvoeringskosten, de natuur, toepassingsgebied, context en doeleinden van de Verwerking, en alle andere relevante omstandigheden met betrekking tot de Verwerking van de Klantgegevens, G-P passende technische en organisatorische beveiligingsmaatregelen treffen om de veiligheid te waarborgen; vertrouwelijkheid, integriteit, de beschikbaarheid en veerkracht van verwerkingssystemen en diensten die betrokken zijn bij de Verwerking van de Klantgegevens in verhouding staan tot het risico met betrekking tot dergelijke Klantgegevens, zoals uiteengezet in Bijlage II bij deze bijlage. G-P zal periodiek (i) de effectiviteit van de waarborgen testen en controleren, controles, systemen en procedures en (ii) redelijkerwijs voorzienbare interne en externe risico's voor de beveiliging identificeren, vertrouwelijkheid en integriteit van de Klantgegevens, en ervoor zorgen dat deze risico's worden aangepakt.

3.7. Vertrouwelijkheid. G-P zal ervoor zorgen dat personen die bevoegd zijn om toegang te krijgen tot de Klantgegevens (i) zich hebben verbonden tot vertrouwelijkheid of een passende wettelijke verplichting tot vertrouwelijkheid hebben en (ii) de Klantgegevens alleen openen na gedocumenteerde instructies van G-P, tenzij dit vereist is door de toepasselijke wetgeving.

3.8. Inbreuk op persoonsgegevens. G-P zal de Klant zonder onnodige vertraging op de hoogte stellen nadat hij zich bewust is geworden van een Inbreuk in verband met de Verwerking van Klantgegevens en zal redelijke inspanningen leveren om de Klant te helpen, waar mogelijk, de nadelige effecten van een Inbreuk in verband met persoonsgegevens te beperken.

3.9. Verwijdering van Persoonsgegevens. Bij beëindiging van de Diensten (om welke reden dan ook), G-P zullen, zo snel als redelijkerwijs mogelijk is, de Klantgegevens die zijn opgeslagen in de GPP worden geretourneerd of verwijderd, tenzij de toepasselijke wetgeving opslag van de Klantgegevens voor een langere periode vereist. Voor een dergelijke bewaring blijven de bepalingen van deze DPA van toepassing op dergelijke Klantgegevens.

3.10.Verzoeken van  Betrokkenen. G-P zal de Klant onmiddellijk op de hoogte stellen van verzoeken van Betrokkenen met betrekking tot Klantgegevens. De Klant is verantwoordelijk voor het reageren op dergelijke verzoeken. G-P zal de Klant redelijkerwijs helpen om te reageren op dergelijke verzoeken van Betrokkenen voor zover de Klant geen toegang heeft tot de relevante Klantgegevens bij het gebruik van de GPP.

3.11. Verzoeken van derden. Indien verzoeken van derden of een bevel van een rechtbank, tribunaal, regelgevende instantie of overheidsinstantie met bevoegde jurisdictie waaraan de verwerking van Klantgegevens onder de Overeenkomst G-P is onderworpen, G-P ontvangt, G-P zal het verzoek onmiddellijk worden doorgestuurd naar de Klant. G-P zal niet reageren op dergelijke verzoeken zonder voorafgaande toestemming van de Klant, tenzij wettelijk verplicht om dit te doen. G-P zal, tenzij dit wettelijk verboden is, de Klant vooraf informeren over het openbaar maken van Klantgegevens en zal redelijkerwijs samenwerken met de Klant om het bereik van een dergelijke openbaarmaking te beperken tot wat wettelijk vereist is. 

3.12. Impactbeoordeling en voorafgaand overleg inzake  gegevensbescherming. Voor zover vereist door de wetgeving inzake gegevensbescherming, G-P zal redelijke assistentie verlenen aan de Klant om een gegevensbeschermingseffectbeoordeling uit te voeren met betrekking tot de verwerking van Klantgegevens uitgevoerd door G-P en/of vereiste voorafgaande raadpleging(en) met toezichthoudende autoriteiten. G-P behoudt zich het recht voor om de Klant een redelijke vergoeding in rekening te brengen voor het verlenen van dergelijke assistentie.

3.13. Audit. Klant kan de G-P naleving van deze DPA en Gegevensbeschermingswetten controleren door een certificaat aan te vragen dat is afgegeven voor beveiligingsverificatie en dat het resultaat weergeeft van een audit uitgevoerd door een externe auditor (bijv. ISO27001 -certificering, SOC2 -certificaat), binnen twaalf (12) maanden vanaf de datum van het verzoek van de Klant. Als alternatief, indien de documentatie die onder dit artikel 3.13 valt, niet volstaat om de naleving aan te tonen, de Klant kan zijn eigen audit uitvoeren naast de verstrekte certificeringen of rapporten van derden, op voorwaarde dat een dergelijke audit wordt  uitgevoerd: i) niet meer dan eenmaal per periode van 12 (twaalf) maanden; ii) tijdens normale kantooruren en zonder de dagelijkse werkzaamheden G-Pte verstoren; iii) met een schriftelijke opzegtermijn van dertig (30) dagen; iv) op eigen kosten van de Klant; v) op basis van onderling overeengekomen parameters en reikwijdte, beperkt tot het specifieke toepassingsgebied van de diensten; systemen in gebruik en/of verwerkingsactiviteiten die hieronder worden overwogen; vi) op basis van een vooraf overeengekomen datum, onder voorbehoud van een redelijke uitstel door de Klant op redelijk verzoek G-Pvan ; en vii) in overeenstemming met alle vertrouwelijkheidsverplichtingen en beperkingen. Niettegenstaande het voorgaande wordt na beëindiging van de Hoofdovereenkomst geen controlerecht verleend, behoudens wettelijke verplichtingen die door de Klant zullen moeten worden aangetoond. Elke externe vertegenwoordiger die is geselecteerd om namens de Klant een audit uit te voeren, mag geen eigendomsbelang hebben in of verbonden zijn met een EOR-servicebedrijf, agentschap, een gerelateerde organisatie of consultant. Niets in deze DPA zal G-P aan de Klant of zijn externe auditor moeten onthullen, of om de Klant of zijn externe auditor toegang te geven tot: (i) alle gegevens van een andere G-Pklant; (ii) G-P’ interne boekhoudkundige of financiële informatie; (iii) enig handelsgeheim van G-P of zijn gelieerde ondernemingen; (iv) alle informatie die, naar G-Phet redelijke oordeel van , de beveiliging van een G-Psysteem in gevaar zou kunnen brengen of een schending zou kunnen veroorzaken van zijn verplichtingen onder de toepasselijke wetgeving of zijn beveiligings- of privacyverplichtingen jegens een derde partij; of (v) alle informatie die de Klant of zijn externe auditor wil inzien om een andere reden dan het te goeder trouw nakomen van de verplichtingen van de Klant onder de Wetgeving inzake gegevensbescherming.

3.14. Amerikaanse privacywetgeving. Onder dit artikel 3 (“Verwerking van Persoonsgegevens”), komen de Partijen overeen dat het een “Dienstverlener” of “Verwerker” G-P is zoals dergelijke termen zijn gedefinieerd onder de toepasselijke Amerikaanse privacywetgeving. Dienovereenkomstig voor zover de Amerikaanse privacywetgeving van toepassing is op de verwerking van klantgegevens door G-P, G-P niet (a) behouden, gebruik, of Klantgegevens openbaar maken buiten de directe zakelijke relatie tussen G-P en Klant, of voor enig ander doel dan voor het doel uiteengezet in bijlage I, bij deze bijlage gevoegd, en G-P zal alleen Klantgegevens Verwerken zolang deze diensten aan de Klant levert; (b) Klantgegevens te verkopen; (c) Klantgegevens delen; of (d) de Klantgegevens combineren die worden G-P ontvangen van, of namens, Klant met “persoonsgegevens” (zoals een dergelijke term of gelijkwaardig wordt gedefinieerd onder de toepasselijke wetgeving inzake gegevensbescherming) die hij ontvangt van, of namens, een andere persoon, of verzamelt uit zijn eigen interactie met een consument, op voorwaarde dat Gegevens van de Klant G-P kunnen worden gecombineerd als dit binnen het bereik van het leveren van de diensten aan de Klant valt. Indien van toepassing zal elke Partij de andere partij op de hoogte stellen als zij vaststelt dat zij niet langer aan haar verplichtingen onder de Amerikaanse Privacywetgeving kan voldoen.

 

 

4. Internationale gegevensoverdrachten

4.1. Gepaste bescherming. G-P is bevoegd om, in de normale gang van zaken, wereldwijd gegevens van de Klant over te dragen aan zijn gelieerde ondernemingen en/of Subverwerkers. Bij het uitvoeren van dergelijke overdrachten naar een gebied dat door de relevante gegevensbeschermingsautoriteiten niet is erkend als een adequaat niveau van bescherming voor Persoonsgegevens volgens de Gegevensbeschermingswetgeving, G-P moet ervoor worden gezorgd dat passende bescherming wordt geboden om de Klantgegevens die worden overgedragen onder of in verband met de Hoofdovereenkomst te beschermen.

4.2.  Kader voor gegevensbescherming. Professionals- en klantgegevens worden opgeslagen in GPP, dat wordt gehost in de VS en G-P is gecertificeerd onder de EU-VS. Kader voor gegevensbescherming (EU-VS DPF) en, indien van toepassing, de VK-uitbreiding naar de EU-VS. DPF en de Zwitsers-Amerikaanse Kader voor gegevensbescherming (Zwitserland-VS DPF). G-PDe certificering kan openbaar worden bevestigd op de DPF- websitehttps://www.dataprivacyframework.gov/list. De EU-VS Kader voor gegevensbescherming werd door de Europese Commissie als adequaat beschouwd, zijnde een rechtmatig mechanisme voor gegevensoverdracht overeenkomstig artikel 45 van respectievelijk de AVG, de AVG van het VK en het FADP. Als het/de DPF-kader(s) ongeldig, geschorst of anderszins niet langer erkend worden als het bieden van adequate bescherming voor internationale gegevensoverdrachten, stemt de Verwerker ermee in om de SCC's aan te gaan en na te leven die zijn uitgegeven of goedgekeurd door de Europese Commissie, het Britse Information Commissioner's Office (ICO) of de Zwitserse Federale Data Protection and Information Commissioner (FDPIC), indien van toepassing. De partijen werken te goeder trouw samen om aanvullende maatregelen te treffen die nodig zijn om een in wezen gelijkwaardig beschermingsniveau voor de overgedragen gegevens te waarborgen.

4.3. Standaardcontractbepalingen. De partijen komen overeen dat wanneer de overdracht van persoonsgegevens van de Klant (als "gegevensexporteur") naar G-P (als "gegevensimporteur") een Beperkte Overdracht is en de toepasselijke Gegevensbeschermingswetgeving vereist dat passende waarborgen worden ingesteld, deze overdracht onderworpen is aan de toepasselijke Modelcontractbepalingen, die als volgt worden geacht te zijn opgenomen in en deel uitmaken van deze DPA:

  1. Met betrekking tot de overdracht van Persoonsgegevens  die door de AVG worden beschermd, zijn de SCB's van de EU van toepassing, die als volgt worden ingevuld:
  1. De modules Eén en Twee zijn van toepassing;
  2. in Clausule is 7de optionele dockingclausule van toepassing;
  3. in Clausule 9 van Module Twee is Optie 2 van toepassing, en de termijn voor voorafgaande kennisgeving van wijzigingen van Subverwerkers is zoals uiteengezet in sectie 3.5 van deze DPA;
  4. in Clausule is 11de optionele taal niet van toepassing;
  5. in Clausule 12 zijn alle vorderingen die onder de SCC's van de EU worden ingediend, onderworpen aan de algemene voorwaarden zoals uiteengezet in de Hoofdovereenkomst;
  6. in Clausule 17 is Optie 1 van toepassing en de SCC's van de EU worden beheerst door het Ierse recht;
  7. in Clausule 18(b) worden geschillen beslecht voor de rechtbanken van Ierland;
  8. Bijlage I van de SCB's van de EU wordt geacht te zijn ingevuld met de informatie in bijlage 1 bij dit AGV, en
  9. Bijlage II van de SCB's van de EU wordt geacht te zijn ingevuld met de informatie in bijlage 2 bij dit AGV;
  10. Bijlage III van module twee van de SCB van de EU wordt geacht te zijn ingevuld met de informatie in bijlage 3 bij dit AGV.

b. Met betrekking tot de overdracht van persoonsgegevens die worden beschermd door de Britse wetgeving inzake gegevensbescherming of de Zwitserse wetgeving inzake gegevensbescherming, zijn de SCB's van de EU zoals geïmplementeerd onder subparagrafen (a) hierboven van toepassing met de volgende wijzigingen:

  1. verwijzingen naar "Verordening (EU) 2016/679" worden geïnterpreteerd als verwijzingen naar de Britse wetgeving inzake gegevensbescherming of de Zwitserse wetgeving inzake gegevensbescherming (indien van toepassing);
  2. verwijzingen naar specifieke artikelen van "Verordening (EU) 2016/679" worden vervangen door het equivalente artikel of artikel van de Britse wetgeving inzake gegevensbescherming of de Zwitserse wetgeving inzake gegevensbescherming (indien van toepassing);
  3. verwijzingen naar "EU", "Unie", "Lidstaat" en "Lidstaatrecht" worden vervangen door verwijzingen naar "VK" of "Zwitserland", of "VK-wetgeving" of "Zwitsers recht" (indien van toepassing);
  4. de term "lidstaat" mag niet zodanig worden uitgelegd dat betrokkenen in het Verenigd Koninkrijk of Zwitserland worden uitgesloten van de mogelijkheid om een rechtszaak aan te spannen voor hun rechten in hun gewone verblijfplaats (d.w.z. het Verenigd Koninkrijk of Zwitserland);
  5. Clausule 13(a) en deel C van bijlage I worden niet gebruikt en de "bevoegde toezichthoudende autoriteit" is de Britse Information Commissioner of de Zwitserse Federal Data Protection Information Commissioner (indien van toepassing);
  6. verwijzingen naar de "bevoegde toezichthoudende autoriteit" en "bevoegde rechtbanken" worden vervangen door verwijzingen naar de "Informatiecommissaris" en de "rechtbanken van Engeland en Wales" of de "Zwitserse federale gegevensbeschermingsinformatiecommissaris" en "toepasselijke rechtbanken van Zwitserland" (indien van toepassing);
  7. in Clausule 17 worden de Modelcontractbepalingen beheerst door de wetten van Engeland en Wales of Zwitserland (indien van toepassing); en
  8. met betrekking tot overdrachten waarop de Britse wetgeving inzake gegevensbescherming van toepassing is, zal Clausule 18 worden gewijzigd om te vermelden "Elk geschil dat voortvloeit uit deze Clausules zal worden beslecht door de rechtbanken van Engeland en Wales. Een betrokkene kan een gerechtelijke procedure starten tegen de gegevensexporteur en/of gegevensimporteur bij de rechtbanken van een land in het Verenigd Koninkrijk. De Partijen komen overeen zich te onderwerpen aan de jurisdictie van dergelijke rechtbanken", en met betrekking tot overdrachten waarop de Zwitserse wetgeving inzake gegevensbescherming van toepassing is, zal Clausule 18(b) bepalen dat geschillen zullen worden beslecht voor de toepasselijke rechtbanken van Zwitserland.
  9. Met betrekking tot gegevens die worden beschermd door de AVG van het VK, zijn de SCB van de EU als volgt van toepassing: (i) van toepassing zoals ingevuld in overeenstemming met de paragrafen (i) tot (viii) hierboven; en (ii) worden geacht te zijn gewijzigd zoals gespecificeerd in Deel 2 van het Addendum van het VK, dat wordt geacht te zijn opgenomen in en een integraal onderdeel vormt van deze DPA. Bovendien worden de tabellen 1 tot en met 3 in deel 1 van het addendum bij het Verenigd Koninkrijk respectievelijk ingevuld met de informatie in bijlage I en bijlage II van deze DPA en tabel 4 in deel 1 van het addendum bij het Verenigd Koninkrijk wordt geacht te zijn ingevuld door "geen van beide partijen" te selecteren.

c. Met betrekking tot de overdracht van persoonsgegevens die worden beschermd door de Braziliaanse LGPD, hetzij rechtstreeks, hetzij via verdere overdracht, naar een land buiten Brazilië dat niet onderworpen is aan een adequaatheidsbesluit van de ANPD, worden de Braziliaanse SCB's geacht te zijn aangegaan en door middel van deze verwijzing in deze DPA te zijn opgenomen en als volgt te zijn ingevuld :

  1. Clausule 2 van de SCB van Brazilië wordt vervuld door de informatie uiteengezet in Bijlage I, waarin de gegevensoverdracht wordt beschreven;
  2. I n Clausule 3 van de SCB van Brazilië, Optie B is van toepassing, waarbij verdere overdrachten zijn toegestaan in overeenstemming met Sectie 3.5 (“Subverwerkers”) van deze DPA. Het onderwerp, de aard en de duur van de verwerking worden uiteengezet in bijlage I van dit AGV;
  3. Clausule 4 van de SCB van Brazilië wordt vervuld door de informatie uiteengezet in Bijlage I van deze DPA. Wanneer een Verwerkingsverantwoordelijke G-P is, is dit de “Aangewezen Partij”, zoals gedefinieerd in de SCB van Brazilië, en voor de doeleinden van Clausule 14 (Transparantie), Clausule 15 (Rechten van Betrokkenen) en Clausule 16 (Incidentrapportage) van de SCB van Brazilië. De Klant blijft verantwoordelijk voor de naleving van Clausule 14 (Transparantie), Clausule 15 (Rechten van Betrokkenen) en Clausule 16 Incidentrapportage) van de Braziliaanse SCB voor alle persoonsgegevens waarvan hij anders de Verwerkingsverantwoordelijke zou kunnen zijn;
  4. In Clausule 9 van de Braziliaanse SCB is de optionele dockingclausule niet van toepassing; en
  5. Sectie III (Beveiligingsmaatregelen) van de SCB van Brazilië wordt geacht te zijn ingevuld met de informatie uiteengezet in bijlage II van dit AGV.

 

Bijlage I

Beschrijving gegevensverwerking

 

Partijen

Gegevensexporteur: Klantentiteit die de Hoofdovereenkomst uitvoert

Gegevensimporteur: G-P entiteit die de Hoofdovereenkomst uitvoert.

Contactgegevens partijen

Contactgegevens zoals uiteengezet in de Hoofdovereenkomst.

 

Activiteiten die relevant zijn voor de overgedragen gegevens

Activiteiten met betrekking tot de EOR-diensten en het gebruik van GPP die als een dienst aan de Klant worden verstrekt.

Verwerkingsactiviteiten

De verwerkte/overgedragen Persoonsgegevens kunnen onderworpen zijn aan de volgende verwerkingsactiviteiten: elke bewerking met betrekking tot Persoonsgegevens, ongeacht de toegepaste middelen en procedures, met name het verzamelen, organiseren, opslaan, bewaren, gebruiken, opvragen, raadplegen, archiveren, verzenden, blokkeren, wissen of vernietigen van gegevens, de werking en het onderhoud van systemen, nalevings-, juridische en auditfuncties.

Duur van de verwerking

G-P zal Klantgegevens Verwerken voor de duur van de Hoofdovereenkomst en op continue basis.

Aard en doel van de verwerking

De Klant mag Gegevens van de Klant overdragen aan G-P, waarvan de omvang naar eigen goeddunken wordt bepaald en gecontroleerd door de Klant. Het doel van de verwerking is het leveren van de Diensten in overeenstemming met de Hoofdovereenkomst.

Categorieën van betrokkenen

a) De Persoonsgegevens die door de Partijen worden uitgewisseld als onafhankelijke Verwerkingsverantwoordelijken met betrekking tot de Persoonsgegevens van Professionals.

b) De Klantgegevens die door G-P als Gegevensverwerker worden verwerkt, betreffen Geautoriseerde Gebruikers van hetGPP die werknemers en/of contractanten van de Klant kunnen omvatten.

Soorten persoonsgegevens

· Contactgegevens (zoals telefoonnummer en e-mail).

· Gegevens van werknemers/aannemers (zoals functietitel en naam van het bedrijf).

· Gebruik gegevens (zoals gegevens over het apparaat van de Bevoegde Gebruiker en hoe een dergelijk apparaat met de GPP communiceert).

· Locatiegegevens (zoals locatie afgeleid van het IP-adres).

· Inhoudsgegevens (zoals de inhoud van de bestanden van de Klant met betrekking tot de Professionals en gerelateerde communicatie).

· Aanmeldgegevens (zoals wachtwoorden, hints voor wachtwoorden en soortgelijke beveiligingsinformatie die wordt gebruikt voor verificatie en accounttoegang tot de GPP).

· Alle Persoonsgegevens die door Geautoriseerde Gebruikers worden verstrekt.

Speciale categorieën gegevens (indien van toepassing)

N.v.t.

Retentie

Persoonsgegevens worden ten minste bewaard zolang een toepasselijke wettelijk verplichte minimale bewaartermijn, die in overeenstemming is met de toepasselijke verjaringstermijnen en voldoet aan goede zakelijke praktijken.

Bevoegde toezichthoudende autoriteit

De Ierse Commissie voor gegevensbescherming

Overdrachten naar subverwerkers

Voor overdrachten aan verwerkers zijn het onderwerp, de aard en de duur van de verwerking hetzelfde als hierboven gedefinieerd.

G-P Contactgegevens voor privacy

 

privacy@G-P.com

t.a.v.: Global Privacy Office.

 

 

 

Bijlage II

Technische en organisatorische maatregelen

 

G-P door onafhankelijke auditors is gecertificeerd en bevestigd dat wordt voldaan aan SOC 2 - en ISO 27001 -normen. Dergelijke certificeringen tonen onze toewijding aan het beveiligen van Klantgegevens. G-PHet beveiligingsprogramma van is ontworpen om:

  • de vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens te beschermen die in het bezit G-Pzijn van of waartoe toegang G-P heeft;
  • Te beschermen tegen verwachte bedreigingen of gevaren voor de vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens;
  • Beschermen tegen onbevoegde of onwettige toegang, gebruik, openbaarmaking, wijziging of vernietiging van Klantgegevens;
  • Beschermen tegen onopzettelijk verlies of vernietiging van, of schade aan, Klantgegevens; en
  • Bescherm informatie zoals uiteengezet in alle voorschriften waaraan G-P kan worden gereguleerd.

 

Het volgende beschrijft de functies, processen, controles, systemen, procedures en maatregelen die G-P zijn genomen om de veiligheid van de verwerking van klantgegevens te waarborgen:

1) TECHNISCHE MAATREGELEN OM DE PRIVACY EN BESCHERMING VAN GEGEVENS TE WAARBORGEN 

  1. Privacy by Design and Default: G-P houdt rekening met de vereisten van artikel 25 AVG in de conceptie- en ontwikkelingsfase van productontwikkeling. Processen en functionaliteiten worden zodanig ingericht dat de beginselen van gegevensbescherming zoals wettigheid, transparantie, doelbeperking, gegevensminimalisatie, enz. en de beveiliging van de verwerking in een vroeg stadium worden overwogen.

  2. Versleuteling van persoonsgegevens: ervoor zorgen dat persoonsgegevens alleen in het systeem worden opgeslagen op een manier die derden niet in staat stelt om de betrokkene te identificeren.

    1. Database- en opslagencryptie: op alle databases die worden gebruikt door G-P een encryptie “in rust” volgens de stand van de techniek wordt gebruik gemaakt zodat de gegevens uit de database pas kunnen worden gelezen na juiste authenticatie op het betreffende databasesysteem.

    2. Versleuteling van mobiele datamedia: Het gebruik van mobiele datadragers voor het opslaan van klantgegevens is niet toegestaan.

    3. Versleuteling van gegevensdragers op laptops: op de laptops van alle werknemers wordt de juiste, geavanceerde versleuteling van de harde schijf geïnstalleerd.

    4. Versleutelde uitwisseling van informatie en bestanden: in principe wordt de uitwisseling van informatie en bestanden rechtstreeks versleuteld via een speciale toepassing. Als persoonsgegevens of vertrouwelijke informatie moeten worden overgedragen naar servers die niet kunnen worden verzonden via TLS-gecodeerde HTTPS-uploads, worden deze overgedragen met behulp van Secure File Transfer Protocol (SFTP), gecodeerde envelopservice of een ander versleuteld mechanisme volgens de stand van de techniek.

    5. E-mailcodering: in principe worden alle e-mails die door werknemers van G-P worden verzonden, versleuteld met TLS. Uitzonderingen kunnen zijn als de ontvangende mailserver geen TLS ondersteunt. De Klant dient ervoor te zorgen dat de overeenkomstige e-mailservers die binnen het toepassingsgebied van de bestelling worden gebruikt, TLS-versleuteling ondersteunen.

  3. Toegangscontrole: Toegangscontrolemaatregelen zijn bedoeld en ingesteld om het gebruik en de verwerking van gegevens te voorkomen die door de wetgeving inzake gegevensbescherming door onbevoegde personen worden beschermd.

    1. Gebruik van authenticatiemethoden: Toegang tot persoonsgegevens gebeurt altijd via versleutelde protocollen: SSH, SSL/TLS, HTTPS of vergelijkbare protocollen. Authenticatieprocedure voor IT-systeem: Multifactor authenticatie inloggen op IT-systeem.

    2. Automatische blokkering in geval van inactiviteit: laptops die worden gebruikt door G-P werknemers die zijn vergrendeld met wachtwoord- of pincodebeveiliging wanneer ze niet in gebruik zijn door de gebruiker. Daarnaast wordt een automatische schermvergrendeling met wachtwoordbeveiliging ingesteld na 15 minuten van inactiviteit.

    3. Gebruik van antivirussoftware: Laptops die door G-P werknemers worden gebruikt, zijn uitgerust met geavanceerde antivirussoftware die op alle operationele of zakelijke IT-systemen wordt bijgewerkt. In principe mogen geen computers worden gebruikt zonder bescherming tegen ingezeten virussen, tenzij andere gelijkwaardige, geavanceerde beveiligingsmaatregelen zijn genomen of er geen risico is. Standaard beveiligingsinstellingen mogen niet worden gedeactiveerd of omzeild.

    4. "Clean Desk-beleid": Werknemers van G-P krijgen de instructie om geen persoonsgegevens van betrokkenen af te drukken of lokaal op te slaan, om werkmaterialen niet achter te laten op een locatie waar ze door derden kunnen worden bekeken en om alle werkmaterialen op de juiste manier op te slaan. Documenten die wettelijk G-P verplicht zijn om op papier te bewaren, worden opgeslagen in afgesloten kasten.

  4. Toegangscontroles binnen het Platform: Toegangscontroles zorgen ervoor dat personen die bevoegd zijn om een verwerkingssysteem te gebruiken alleen toegang hebben tot de persoonsgegevens die onder hun toegangsautorisatie vallen.

    1. Rollen en autorisatie

      1. Rollen en autorisatieplatform – Klanttoegang: Klantgebruikers kunnen klantaccountinformatie bekijken en bewerken.

      2. Rollen en autorisatieplatform – Professionele toegang: Professionele gebruikers kunnen hun eigen professionele informatie bekijken en bewerken. Professionals kunnen ook een rol als klant krijgen na vereiste + goedkeuring

      3. Rollen en autorisatieplatform – Interne toegang: Interne toegang gebruikers hebben verschillende rollen. Ze hebben gevarieerde toegang om het volgende te creëren, bekijken, bewerken en goedkeuren:

        • Klantinformatie

        • Factureringsinformatie

        • Informatie over partners

        • Informatie over professionele personeelsdossiers

      4. Toegang tot het admin-systeem is over het algemeen beperkt tot getrainde werknemers op het gebied van klantenondersteuning en productontwikkeling.

  5. Firewall as a Service: G-P gebruikt een externe firewall als een service waarmee het toegang tot websites kan verlenen of blokkeren om ervoor te zorgen dat systemen geen toegang hebben tot kwaadaardige inhoud en om de toegang tot ongepaste inhoud te beperken.

  6. Registratie van inloggen op het platform: G-P houdt een registratie bij van alle inlogactiviteiten.

  7. Scheidbaarheid: ervoor zorgen dat persoonsgegevens die voor verschillende doeleinden worden verzameld, afzonderlijk kunnen worden verwerkt en zodanig van andere gegevens en systemen worden gescheiden dat ongepland gebruik van deze gegevens voor andere doeleinden wordt uitgesloten.

    1. Scheiding van ontwikkelings-, test- en operationele omgevingen: gegevens uit de operationele omgeving mogen alleen worden overgedragen naar test- of ontwikkelingsomgevingen als deze vóór de overdracht volledig anoniem zijn gemaakt. De overdracht van de geanonimiseerde gegevens moet worden versleuteld of via een betrouwbaar netwerk. De naar de werkomgeving over te dragen software moet eerst in een identieke testomgeving worden getest ("fasering"). Programma's voor foutanalyse of het maken/compileren van software mogen alleen in de werkomgeving worden gebruikt als dit niet kan worden vermeden. Dit is met name het geval als foutsituaties afhangen van gegevens die zouden worden vervalst vanwege de vereisten voor anonimisering bij overdracht naar testomgevingen.

    2. Scheiding in netwerken: G-P scheidt zijn netwerken op basis van taken. De volgende netwerken worden permanent gebruikt: operationele omgeving ("Productie"), testomgeving ("Staging", "Sandbox"), ontwikkelingsomgeving ("Dev") kantoor IT-personeel. Naast deze netwerken worden indien nodig ook andere afzonderlijke netwerken gecreëerd, bijvoorbeeld voor hersteltests en penetratietests. Afhankelijk van de technische mogelijkheden worden de netwerken fysiek of via virtuele netwerken gescheiden.

  8. Beschikbaarheidscontrole : G-P neemt de volgende stappen om ervoor te zorgen dat persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies.

    1. Procedures voor gegevensbescherming/back-up: om te zorgen voor voldoende beschikbaarheid, worden dagelijkse snapshots van de database G-P geïmplementeerd met replicatie naar een andere regio. Er worden ook maatregelen genomen om ervoor te zorgen dat werknemers met taakgebaseerde noodzaak om gegevens te beoordelen alleen toegang krijgen tot replica datasets.

    2. Georedundantie met betrekking tot serverinfrastructuur van productieve data en back-ups

    3. IT-incidentmanagement ("Incident Response Management"): er is een concept en gedocumenteerde procedures voor het omgaan met incidenten en veiligheidsgerelateerde gebeurtenissen. Dit omvat de planning en voorbereiding van de respons op incidenten, procedures voor het bewaken, opsporen en analyseren van beveiligingsrelevante gebeurtenissen en de definitie van overeenkomstige verantwoordelijkheden en rapportagekanalen in geval van een schending van de bescherming van persoonsgegevens in het kader van de wettelijke vereisten.

2) ORGANISATORISCHE MAATREGELEN OM DE PRIVACY EN BESCHERMING VAN GEGEVENS TE WAARBORGEN

G-P heeft de volgende organisatorische maatregelen genomen om ervoor te zorgen dat de organisatie werkt op een manier die voldoet aan de vereisten voor gegevensprivacy en -bescherming.

  1. Organisatorische instructies: G-P heeft een programma voor gegevensbeheer ontwikkeld en ontwikkelt dit, inclusief beleid, procedures en richtlijnen die werknemers moeten volgen. Documentatie omvat hoe problemen met gegevensprivacy kunnen worden geïdentificeerd en beheerd, best practices voor het waarborgen van privacynaleving en beleid voor het aanpakken van privacy-incidenten.
  2. Toewijding aan vertrouwelijkheid en gegevensbescherming: G-P heeft een programma voor gegevensbeheer ontwikkeld en ontwikkelt dit, inclusief beleid, procedures en richtlijnen die werknemers moeten volgen. Alle werknemers en aannemers zijn schriftelijk gebonden aan vertrouwelijkheid en gegevensbescherming, evenals andere relevante wetten. Alle werknemers krijgen privacy- en beveiligingstraining. Interne audits van gegevensbescherming en informatiebeveiliging worden regelmatig uitgevoerd. Audits worden uitgevoerd op basis van gemeenschappelijke testcriteria/-schema's. De werknemers en aannemers van G-P worden geïnstrueerd om persoonsgegevens alleen te verwerken om wettelijke redenen, overeenkomstig toepasselijke contracten met de klant en professional, met inachtneming van uitdrukkelijke toestemming die door de betrokkene wordt gegeven of onthouden, en in overeenstemming met een wettelijke plicht van de organisatie.
  3. Gegevensbeschermingstraining: Alle werknemers ontvangen privacy- en beveiligingstraining die op elk moment beschikbaar blijft voor beoordeling op het G-P trainingsplatform.
  4. Fysieke toegangscontroles: G-P beschikt over de volgende fysieke controles om onbevoegde personen toegang te ontzeggen tot IT-systeemapparatuur die wordt gebruikt voor verwerking.
    1. Elektronische deurbeveiliging: De toegangsdeuren van de G-P kantoren zijn altijd vergrendeld en elektronisch beveiligd. De deuren worden geopend via een persoonlijke elektronische transponder.
    2. Gecontroleerde verdeling van sleutels: Een centrale, gedocumenteerde toewijzing van sleutels aan de werknemers van G-P vindt plaats. Deze elektronische transponders/sleutels kunnen centraal worden gedeactiveerd door elke kantoormanager of de afdeling People Resources.
    3. Toezicht op en begeleiding van externe personen: Externe dienstverleners en andere derden mogen alleen toegang krijgen tot het pand via voorafgaande toestemming of indien vergezeld door een werknemer van G-P. G-P past het schriftelijke bezoekersbeleid toe wanneer bezoekers worden uitgenodigd op het terrein.
    4. Beveiliging van gebouwen met verhoogde beschermingsbehoefte: gebouwen of kasten met verhoogde beschermingsvereisten, zoals juridische kantoren en bepaalde operationele locaties, zijn uitgerust met vergrendelingskasten en laden. Kasten en laden waar juridische documenten, contracten en vertrouwelijke documentatie worden bewaard, moeten te allen tijde worden vergrendeld, behalve wanneer ze in gebruik zijn.
    5. Gesloten deuren en ramen: Werknemers worden organisatorisch geïnstrueerd om ramen en deuren buiten kantooruren gesloten of vergrendeld te houden.
  5. Herstelbaarheid: G-P zorgt ervoor dat in gebruik zijnde systemen hersteld kunnen worden in geval van fysieke of technische storing.

    1. Regelmatige tests van het gegevensherstel ("Hersteltests"): er worden regelmatig volledige hersteltests uitgevoerd om de herstelbaarheid in geval van nood/ramp te garanderen.

    2. Noodplan ("Noodherstelconcept"): er is een concept voor de behandeling van calamiteiten/rampen en een bijbehorend noodplan. G-P zorgt voor het herstel van alle systemen op basis van de databack-ups/back-ups, meestal binnen 48 uur.

    3. Beoordelings- en evaluatiemaatregelen: presentatie van de procedures voor regelmatige beoordeling, beoordeling en evaluatie van de doeltreffendheid van de technische en organisatorische maatregelen.

  6. Privacyteam: De organisatie heeft een Global Data Privacy Office dat is belast met het plannen, implementeren, evalueren en aanpassen van maatregelen op het gebied van gegevensbescherming.

  7. Risicomanagement: er is een proces voor het analyseren, evalueren en toewijzen van risico’s en voor het afleiden van maatregelen op basis van deze risico’s.

3) ONAFHANKELIJKE BEOORDELING VAN INFORMATIEBEVEILIGING

  1. Uitvoeren van audits: Interne audits op gegevensbescherming en informatiebeveiliging worden regelmatig uitgevoerd. Audits worden uitgevoerd op basis van gemeenschappelijke testcriteria/-schema's.
  2. Beoordeling van naleving van beveiligingsbeleid en -normen: Naleving van de toepasselijke beveiligingsrichtlijnen, -normen en andere beveiligingsvereisten voor de verwerking van persoonsgegevens wordt regelmatig gecontroleerd. Waar mogelijk worden deze controles op willekeurige en onverwachte basis uitgevoerd.
  3. Verificatie van naleving van technische specificaties: regelmatige geautomatiseerde en handmatige kwetsbaarheidsscans worden uitgevoerd door de IT-afdeling of ander gekwalificeerd personeel om de beveiliging van de toepassingen en infrastructuur te verifiëren, evenals de regelmatige ontwikkeling van het product. Gedetailleerde penetratietests worden uitgevoerd door een externe dienstverlener om specifiek de applicaties en infrastructuur te onderzoeken op kwetsbaarheden.
  4. Verwerking op instructie: De werknemers van G-P worden geïnstrueerd om persoonsgegevens alleen te verwerken om wettige redenen, overeenkomstig toepasselijke contracten met de klant en professional, met inachtneming van uitdrukkelijke toestemming die door de betrokkene wordt gegeven of onthouden, en in overeenstemming met een wettige plicht van de organisatie.
  5. Zorgvuldige selectie van leveranciers: G-P houdt zich aan het Prekwalificatieproces voor leveranciers bij het selecteren van leveranciers die te maken kunnen krijgen met beschermde gegevens. Dit proces omvat feedback van de afdelingen Finance en Legal/Privacy en omvat stappen voor risicobeoordeling, beveiligingsprekwalificatie en documentatiecertificering. Leveranciers die beschermde gegevens verwerken, moeten aantonen dat ze zich houden aan de toepasselijke wetgeving inzake gegevensbescherming, inclusief artikel 28 AVG voor gedekte gegevens.

 

Bijlage III 

Lijst van subverwerkers

 

Subverwerker

Locatie- en contactgegevens

Beschrijving van verwerking

G-P dochterondernemingen

https://www.globalization- partners.com/contact-us/

Het platform en klantrelatiebeheer bieden

Acumatica

3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, VS

Financiële diensten

 Webservice van Amazon

Postbus 81226

Seattle, WA 98108-1226, VS

Hosting – Cloud Services Provider

Microsoft

Microsoft Corporation Eén Microsoft-manier

Redmond, Washington 98052 VS Telefoon: (+1) 425-882-8080.

Ondersteuning van bedrijfsprocessen voor communicatie (e-mail) en dienstenbeheer

Atlassisch

350 Bush Street verdieping 13

San Francisco, CA 94104, VS

+1 415 701 1110

Ondersteuning van bedrijfsprocessen voor dienstenbeheer

DocuSign

DocuSign International (EMEA) Ltd, ter attentie van: Privacy Team, 5 Hanover Quay, Begane grond, Dublin2, Ierland

Documentbeheer

Salesforce.com

Salesforce Tower, 415 Mission Street, 3e verdieping, San Francisco, CA 94105, VS

1-800-387-3285

Business Process Support voor Customer Relationship Management (CRM)

Zendesk

989 Markt St

San Francisco, CA 94103, VS zendesk.com

888-670-4887

Helpdeskvragen voor klantenondersteuning

Workday

6110 Stoneridge Mall Road
Pleasanton, CA 94588, VS

Ondersteuning van bedrijfsprocessen voor het beheren van salarisadministratie, secundaire arbeidsvoorwaarden, HR en werknemersgegevens.

Nu onderhoud

2225 Lawson Lane
Santa Clara, CA, Verenigde Staten, 95054

VS

 

Ondersteuning van bedrijfsprocessen voor IT-service en operationeel beheer, de werknemers- en klantervaringen via (geautomatiseerde cloudgebaseerde workflow)

Databricks

160 Spear Street, 15th verdieping
San Francisco, CA 94105
1-866-330-0121

VS

Infrastructuur van clouddatawarehouse.

Datadog

620 8th Ave 45th Verdieping

New York, NY 10018

VS

 Tool voor servicebewaking en foutopsporing

Wijsheid

Avenue Louise 54, kamer s52,

1050 Brussel

België

Online betalingsverwerker

Google

1600 Amfitheater Pkwy, Uitzicht op de bergen, CA 94043

Ondersteuning van bedrijfsprocessen voor communicatie (e-mail) en interne documentopslag