Dit Addendum Gegevensbescherming (“Addendum”) is een aanvulling op de algemene voorwaarden in de Hoofdovereenkomst en is daarin opgenomen. In het geval van een conflict tussen dit Addendum en enige andere overeenkomst tussen de partijen over de hierin uiteengezette kwesties, heeft dit Addendum voorrang.
ADDENDUM GEGEVENSBESCHERMING
1. DEFINITIES
1.1. Termen die hierin niet worden gedefinieerd, hebben de betekenis zoals uiteengezet in de Master Services Agreement. De volgende woorden in dit Addendum hebben de volgende betekenissen:
1.2. “Geautoriseerde Gebruiker” betekent een persoon die door de Klant is toegestaan en die ofwel een werknemer en/of contractant van de Klant kan omvatten, om namens de Klant toegang te krijgen tot en gebruik te maken van het Platform, overeenkomstig de uitvoering van de Hoofdovereenkomst.
1.3. “CCPA” betekent de California Consumer Privacy Act.
1.4. “Klantgegevens”betekent alle persoonsgegevens of persoonsgegevens met betrekking tot een geautoriseerde gebruiker of identificeerbare natuurlijke persoon die door Globalization Partners namens de klant worden overgedragen, verwerkt of opgeslagen voor het gebruik van het platform door de klant.
1.5. “Wetgeving inzake gegevensbescherming” betekent alle wetten inzake gegevensbescherming en privacy waaraan een partij bij deze Overeenkomst is onderworpen en die van toepassing zijn op de geleverde Diensten, inclusief, indien van toepassing, maar niet beperkt tot, AVG, UK AVG, Amerikaanse privacywetten (inclusief staats- en federale wetten) en Singapore's Personal Data Protection Act.
1.6. “AVG” betekent de Algemene Verordening Gegevensbescherming (EU) 2016/679 en/of de Britse AVG.
1.7. “EER” betekent de Europese Economische Ruimte.
1.8. “EU SCC’s” betekent de standaardcontractbepalingen voor de overdracht van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad die zijn goedgekeurd bij Uitvoeringsbesluit (EU) van de Europese Commissie 2021/914 van 4 juni 2021.
1.9. “EOR-diensten” betekent de diensten voor de werkgever van dossiers die door Globalization Partners aan de klant moeten worden geleverd in overeenstemming met de Hoofdovereenkomst.
1.10. “Hoofdovereenkomst” betekent de overeenkomst tussen de Klant en Globalization Partners voor het leveren van de EOR-diensten.
1.11. “Platform” betekent de bedrijfseigen software van Globalization Partners, inclusief maar niet beperkt tot de software, de mobiele versie, alle software die daarin is opgenomen en alle gegevens die beschikbaar worden gesteld door het gebruik van de bedrijfseigen software van Globalization Partners of de diensten van derden, inclusief hun updates, upgrades, platform als een dienst, documentatie, waarvan een beschrijving is uiteengezet op https://www.globalization-partners.com/employer-of-record-solutions/.
1.12. “VK-addendum” betekent het VK-addendum voor internationale gegevensoverdracht bij de EU-standaardcontractbepalingen uitgegeven door de UK Information Commissioner en bijgevoegd als Bijlage IV.
1.13. “Verwerkingsverantwoordelijke” “Betrokkene”, “Persoonsgegevens”, “Persoonsgegevens”, “Persoonsgegevensinbreuk”, “Verwerker”, “Verwerken/Verwerken”, “Beperkte Overdracht”, “Dienstverlener” en/of andere soortgelijke termen en concepten hebben de betekenis zoals gedefinieerd in de Wetgeving inzake Gegevensbescherming
2. RELATIE VAN PARTIJEN EN ROLLEN
2.1. Rollen van de partijen en details van de verwerking. Globalization Partners zal persoonsgegevens verwerken als een onafhankelijke verwerkingsverantwoordelijke wanneer Globalization Partners EOR-diensten levert. In geen geval zullen de Partijen Persoonsgegevens onder dit Addendum verwerken als gezamenlijke Verwerkingsverantwoordelijken. Wanneer Globalization Partners opereert als een onafhankelijke verwerkingsverantwoordelijke, zal Globalization Partners voldoen aan zijn verplichtingen als verwerkingsverantwoordelijke onder de wetgeving inzake gegevensbescherming bij het verwerken van persoonsgegevens en zal Globalization Partners de persoonsgegevens verwerken zoals beschreven in het privacybeleid van Globalization Partners dat beschikbaar is op https://www.globalization-partners.com/privacy-policy/. De Klant zal voldoen aan zijn verplichtingen uit hoofde van de wetgeving inzake gegevensbescherming bij het verwerken van Persoonsgegevens als Verwerkingsverantwoordelijke. Voor zover Globalization Partners optreedt als verwerker tijdens het verwerken van klantgegevens, wordt een dergelijke verwerking uitgevoerd in overeenstemming met de onderstaande sectie 3 (“Verwerking van persoonsgegevens”).
2.2. Verantwoordelijkheden en erkenningen. Elke Partij kan Persoonsgegevens verwerken onder dit Addendum met betrekking tot Persoonsgegevens als onafhankelijke verwerkingsverantwoordelijken. De Partijen komen overeen om te voldoen aan hun respectieve verplichtingen en om alle Persoonsgegevens eerlijk en rechtmatig te verwerken in overeenstemming met dit Addendum en alle Wetgeving inzake gegevensbescherming die van toepassing is op de Verwerking van Persoonsgegevens van die Partij. Elke partij zorgt ervoor dat haar verwerking van persoonsgegevens beperkt is tot het doel van de EOR-diensten die door Globalization Partners worden geleverd en is gebaseerd op een rechtsgrond voor rechtmatige verwerking. De Partijen zullen elkaar helpen bij het naleven van hun respectieve verplichtingen onder de Wetgeving inzake gegevensbescherming, inclusief, maar niet beperkt tot, het assisteren van elkaar als er een Inbreuk in verband met persoonsgegevens plaatsvindt, het reageren op verzoeken van Betrokkenen en/of regelgevende instanties.
3. VERWERKING VAN PERSOONSGEGEVENS
3.1. Reikwijdte. Het gebruik van het platform door de klant en de relatie met het klantenbeheer kan de verwerking van klantgegevens door Globalization Partners als verwerker of dienstverlener namens de klant inhouden.
3.2. Instructies. Globalization Partners zal klantgegevens verwerken in overeenstemming met de gedocumenteerde instructies van de klant. De klant stemt ermee in dat dit addendum, de hoofdovereenkomst en bijlage I die hieronder is bijgevoegd, de volledige instructies van de klant aan Globalization Partners omvatten met betrekking tot de verwerking van klantgegevens. Alle aanvullende of alternatieve instructies moeten schriftelijk tussen de partijen worden overeengekomen, inclusief de kosten (indien van toepassing) die verband houden met het naleven van dergelijke instructies. Globalization Partners is niet verantwoordelijk voor het bepalen of de instructies van de klant voldoen aan de toepasselijke wetgeving. Als Globalization Partners echter van mening is dat een instructie van een klant inbreuk maakt op de toepasselijke wetgeving inzake gegevensbescherming, zal Globalization Partners de klant zo snel als redelijkerwijs mogelijk is op de hoogte stellen en niet verplicht zijn om dergelijke inbreukmakende instructies na te leven.
3.3. Gegevens van verwerking. Details van het onderwerp van de Verwerking, de duur, aard en het doel ervan en het type Klantgegevens en betrokkenen zijn zoals gespecificeerd in Bijlage I bij deze Overeenkomst.
3.4. Compliance. De klant en Globalization Partners komen overeen om te voldoen aan hun respectievelijke verplichtingen onder de wetgeving inzake gegevensbescherming die van toepassing is op de klantgegevens die worden verwerkt zoals gespecificeerd in bijlage I. De klant heeft de exclusieve verantwoordelijkheid om te voldoen aan de wetgeving inzake gegevensbescherming met betrekking tot de rechtmatigheid van de verwerking van klantgegevens voorafgaand aan het openbaar maken, overdragen of anderszins beschikbaar maken van klantgegevens aan Globalization Partners. Voor alle duidelijkheid, in alle gevallen zal de klant, waar nodig, alle toestemmingen van de betrokkenen verkrijgen voor Globalization Partners om klantgegevens te verwerken zoals aangegeven door de klant.
3.5. Subverwerkers. De klant machtigt Globalization Partners om verwerkers aan te wijzen en te gebruiken (“subverwerkers”) om de klantgegevens te verwerken in verband met de diensten. Subverwerkers kunnen derden of een lid van de Globalization Partners-bedrijvengroep omvatten. Globalization Partners kan die subverwerkers die al door Globalization Partners zijn ingeschakeld, blijven gebruiken vanaf de datum van dit addendum, en een lijst van dergelijke subverwerkers is beschikbaar in bijlage III die hieronder is bijgevoegd. Wanneer een subverwerker zijn verplichtingen inzake gegevensbescherming zoals hierboven gespecificeerd niet nakomt, is Globalization Partners jegens de klant aansprakelijk voor de uitvoering van de verplichtingen van de subverwerker. Globalization Partners zal de klant op de hoogte stellen van eventuele wijzigingen in zijn lijst van subverwerkers. Als de klant binnen 10 (tien) dagen na ontvangst van die kennisgeving rechtmatig bezwaar maakt tegen de toevoeging of verwijdering van een subverwerker op grond van gegevensbescherming en Globalization Partners het bezwaar van de klant redelijkerwijs niet kan verwerken, zullen de partijen de zorgen van de klant te goeder trouw bespreken om de zaak op te lossen.
3.6. Technische en organisatorische beveiligingsmaatregelen. Rekening houdend met industrienormen, de uitvoeringskosten, de natuur, toepassingsgebied, context en doeleinden van de Verwerking, en alle andere relevante omstandigheden met betrekking tot de verwerking van de Klantgegevens binnen het Platform, Globalization Partners zal passende technische en organisatorische beveiligingsmaatregelen implementeren om de veiligheid te waarborgen, vertrouwelijkheid, integriteit, de beschikbaarheid en veerkracht van verwerkingssystemen en diensten die betrokken zijn bij de Verwerking van de Klantgegevens in verhouding staan tot het risico met betrekking tot dergelijke Klantgegevens. Globalization Partners zal periodiek (i) de doeltreffendheid van zijn waarborgen, controles, systemen en procedures testen en controleren en (ii) redelijkerwijs voorzienbare interne en externe risico's voor de veiligheid, vertrouwelijkheid en integriteit van de klantgegevens identificeren en ervoor zorgen dat deze risico's worden aangepakt.
3.7. Vertrouwelijkheid. Globalization Partners zorgt ervoor dat personen die bevoegd zijn om toegang te krijgen tot de klantgegevens (i) zich hebben verbonden tot vertrouwelijkheid of een passende wettelijke verplichting tot vertrouwelijkheid hebben en (ii) alleen toegang hebben tot de klantgegevens na gedocumenteerde instructies van Globalization Partners, tenzij dit vereist is door de toepasselijke wetgeving.
3.8. Inbreuk op persoonsgegevens. Globalization Partners zal de klant zonder onnodige vertraging op de hoogte stellen nadat hij zich bewust is geworden van een gegevensinbreuk met betrekking tot de verwerking van klantgegevens en zal redelijke inspanningen leveren om de klant te helpen, waar mogelijk, de nadelige gevolgen van een gegevensinbreuk te beperken.
3.9. Internationale transfers . Globalization Partners is bevoegd om, in de normale gang van zaken, wereldwijde overdrachten van klantgegevens aan haar gelieerde ondernemingen en/of subverwerkers uit te voeren. Bij het uitvoeren van dergelijke overdrachten zorgt Globalization Partners voor passende bescherming om de klantgegevens die worden overgedragen onder of in verband met de hoofdovereenkomst als volgt te beschermen:
- 3.9.1. Wanneer Globalization klantgegevens overdraagt naar landen buiten de EER (die niet onderworpen zijn aan een adequaatheidsbesluit onder de privacywetgeving), zal Globalization Partners zijn verplichtingen onder de SCB's van de EU uitvoeren en naleven, die door middel van verwijzing in dit addendum zijn opgenomen en als volgt worden ingevuld:
-
- Module 2 (Verwerkingsverantwoordelijke tot verwerker) is van toepassing wanneer de klant een verwerkingsverantwoordelijke van persoonsgegevens is en Globalization Partners een verwerker van persoonsgegevens is;
- in Clausule is 7de optionele dockingclausule van toepassing;
- in Clausule is 9de optie van 2 toepassing met 10 dagen;
- in Clausule is 11de optionele taal niet van toepassing;
- in Clausule 12, zijn alle vorderingen die onder de SCB's van de EU worden ingediend, onderworpen aan de algemene voorwaarden uiteengezet in de Overeenkomst;
- in clausule 17, is optie 1 van toepassing, EU SCC's worden beheerst door het Ierse recht;
- in Clausule 18(b) worden geschillen beslecht voor de rechtbanken van Ierland;
- Bijlage I van de SCB's van de EU wordt geacht te zijn ingevuld met de informatie in bijlage I bij dit addendum;
- Bijlage II van de SCB's van de EU wordt geacht te zijn ingevuld met de informatie in bijlage II bij dit addendum, en
- Bijlage III van de SCB's van de EU wordt geacht te zijn ingevuld met de informatie in bijlage III bij dit addendum.
- 3.9.2. Met betrekking tot Klantgegevens die worden beschermd door de AVG van het Verenigd Koninkrijk, is het de Partijen wettelijk toegestaan om te vertrouwen op de SCB's van de EU voor Beperkte Overdrachten vanuit het Verenigd Koninkrijk, onder voorbehoud van het Addendum van het Verenigd Koninkrijk dat door middel van deze verwijzing is opgenomen in dit Addendum en is ingevuld zoals gedefinieerd in Bijlage IV bij dit Addendum. Als deze sectie niet van toepassing 3.9.2 is, zullen Globalization Partners Exporting Company en de klant te goeder trouw samenwerken om zonder onnodige vertraging passende waarborgen te implementeren voor de overdracht van dergelijke persoonsgegevens zoals vereist of toegestaan door de Britse AVG.
- 3.9.3. Niets in de interpretaties in deze Sectie 3.9 is bedoeld om in strijd te zijn met de rechten of verantwoordelijkheden van een van de Partijen onder de EU SCC's en/of het VK Addendum en, in het geval van een dergelijk conflict, de EU SCC's en/of het VK Addendum, indien van toepassing, prevaleren.
3.10. Verwijdering van Persoonsgegevens. Bij beëindiging van de diensten (om welke reden dan ook) en indien schriftelijk verzocht door de klant, zal Globalization Partners, zo snel als redelijkerwijs mogelijk is, de klantgegevens die zijn opgeslagen op het platform retourneren of verwijderen, tenzij de toepasselijke wetgeving opslag van de klantgegevens voor een langere periode vereist. Voor een dergelijke bewaring blijven de bepalingen van dit Addendum van toepassing op dergelijke Klantgegevens.
3.11. Verzoeken van betrokkenen. Globalization Partners zal de klant onmiddellijk op de hoogte stellen van alle verzoeken van betrokkenen met betrekking tot klantgegevens. De Klant is verantwoordelijk voor het reageren op dergelijke verzoeken. Globalization Partners zal de klant redelijkerwijs helpen om te reageren op dergelijke verzoeken van betrokkenen voor zover de klant geen toegang heeft tot de relevante klantgegevens bij zijn gebruik van het platform.
3.12. Verzoeken van derden. Als Globalization Partners verzoeken ontvangt van derden of een bevel van een rechtbank, tribunaal, regelgevende instantie of overheidsinstantie met een bevoegde jurisdictie waaraan Globalization Partners is onderworpen met betrekking tot de verwerking van klantgegevens onder de overeenkomst, zal Globalization Partners het verzoek onmiddellijk doorsturen naar de klant. Globalization Partners zal niet reageren op dergelijke verzoeken zonder de voorafgaande toestemming van de klant, tenzij dit wettelijk verplicht is. Globalization Partners zal, tenzij dit wettelijk verboden is, de klant vooraf informeren over het openbaar maken van klantgegevens en zal redelijkerwijs samenwerken met de klant om het bereik van een dergelijke openbaarmaking te beperken tot wat wettelijk vereist is.
3.13. Gegevensbeschermingseffectbeoordeling en voorafgaand overleg. Voor zover vereist door de wetgeving inzake gegevensbescherming, zal Globalization Partners redelijke bijstand verlenen aan de klant om een gegevensbeschermingseffectbeoordeling uit te voeren met betrekking tot de verwerking van klantgegevens door Globalization Partners en/of vereiste voorafgaande raadpleging(en) met toezichthoudende autoriteiten. Globalization Partners behoudt zich het recht voor om de klant een redelijke vergoeding in rekening te brengen voor het verlenen van dergelijke assistentie.
3.14. Naleving aantonen. Globalization Partners voert regelmatig externe audits uit op de beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacycontroles van de organisatie en zal de klant op schriftelijk verzoek een kopie van het meest recente samenvattende auditrapport of certificering verstrekken. Als de Klant er de voorkeur aan geeft om zijn eigen audit uit te voeren naast de verstrekte certificeringen of rapporten van derden, een dergelijke audit wordt uitgevoerd: i) niet meer dan één keer per 12 (twaalf) maanden periode; ii) tijdens normale kantooruren en zonder de dagelijkse activiteiten van Globalization Partners te verstoren; iii) met dertig (30) dagen voorafgaande schriftelijke kennisgeving; iv) op eigen kosten van de klant (inclusief de tijd die Globalization Partner besteedt aan het assisteren van de klant tijdens de audit op basis van het dagelijkse tarief van een beveiligingsmanager); v) op basis van onderling overeengekomen parameters en reikwijdte, beperkt tot het specifieke toepassingsgebied van de diensten; systemen in gebruik en/of verwerkingsactiviteiten overwogen en specifiek zijn voor de feitelijke vereiste; vi) op basis van onderling overeengekomen datum vooraf, onderhevig aan redelijke uitstel door de klant op redelijk verzoek van Globalization Partners; en vii) in overeenstemming met alle vertrouwelijkheidsverplichtingen en -beperkingen. Niettegenstaande het voorgaande wordt na beëindiging van de Hoofdovereenkomst geen controlerecht verleend, behoudens wettelijke verplichtingen die door de Klant zullen moeten worden aangetoond. Elke externe vertegenwoordiger die is geselecteerd om een audit uit te voeren namens de klant mag geen eigendomsbelang hebben in of verbonden zijn met een EOR-servicebureau, een gerelateerde organisatie of consultant.
3.15. Geen informatieverkoop. Globalization Partners zal geen rechten of voordelen met betrekking tot persoonsgegevens afleiden of uitoefenen, behalve zoals bepaald in dit addendum. Om twijfel te voorkomen, zal Globalization Partners geen klantgegevens bewaren, gebruiken, delen of openbaar maken voor enig ander doel dan voor het specifieke doel van het verstrekken van het platform aan de klant in overeenstemming met de hoofdovereenkomst. Globalization Partners zal geen persoonsgegevens verkopen, omdat de term “verkoop” wordt gedefinieerd in de CCPA. Globalization Partners verklaart en garandeert dat het de regels, vereisten en definities van de CCPA begrijpt en stemt ermee in om geen actie te ondernemen die ertoe zou leiden dat overdrachten van persoonsgegevens naar of van Globalization Partners in aanmerking komen als “het verkopen van persoonsgegevens” onder de CCPA.
Bijlage I - Beschrijving gegevensverwerking
| Partijen | Verwerkingsverantwoordelijke/gegevensexporteur: Klantentiteit die de Master Agrement Processor/gegevensimporteur uitvoert: Globalization Partners-entiteit die de Master Agreement uitvoert. |
| Contactgegevens partijen | Contactgegevens van de klant zoals uiteengezet in de Hoofdovereenkomst. Contactgegevens van Globalization Partners zoals uiteengezet in de Hoofdovereenkomst. |
| Activiteiten die relevant zijn voor de overgedragen gegevens | Activiteiten met betrekking tot het Platform die als een dienst worden geleverd. |
| Verwerkingsactiviteiten | Globalization Partners zal klantgegevens verwerken bij het leveren van het platform als een dienst aan de klant. |
| Duur van de Verwerking | Globalization Partners verwerkt klantgegevens voor de duur van de hoofdovereenkomst en op continue basis. |
| Aard en doel van de verwerking | De klant kan klantgegevens overdragen aan Globalization Partners, waarvan de omvang naar eigen goeddunken door de klant wordt bepaald en gecontroleerd. Globalization Partners zal indien nodig klantgegevens verwerken voor het leveren van het platform als een dienst aan de klant in overeenstemming met de hoofdovereenkomst. |
| Categorieën van betrokkenen | De Klantgegevens hebben betrekking op Geautoriseerde gebruikers van het Platform die werknemers en/of aannemers van de Klant kunnen omvatten, naast personen van wie de Persoonsgegevens worden verstrekt door Geautoriseerde gebruikers van het Platform. |
| Soorten persoonsgegevens | De overgedragen Klantgegevens kunnen de volgende categorieën gegevens omvatten:
|
| Speciale categorieën gegevens (indien van toepassing) | N.v.t. |
| Behoud | Gegevens van de Klant worden ten minste bewaard zolang een toepasselijke wettelijk verplichte minimale bewaartermijn geldt, die in overeenstemming is met de toepasselijke verjaringstermijnen en voldoet aan goede zakelijke praktijken. |
| Bevoegde toezichthoudende autoriteit | De Ierse Commissie voor gegevensbescherming |
| Overdrachten naar subverwerkers | Voor overdrachten aan verwerkers zijn het onderwerp, de aard en de duur van de verwerking hetzelfde als hierboven gedefinieerd. |
| Contactgegevens privacy van Globalization Partners | privacy@globalization-partners.com t.a.v. Global Privacy Office. |
Bijlage II - Technische en organisatorische maatregelen
Globalization Partners is door onafhankelijke auditors gecertificeerd en bevestigd om naleving van SOC-2normen te bevestigen. Rapporten van Service Organization Controls (SOC) tonen onze toewijding aan het beveiligen van klantgegevens. Het beveiligingsprogramma van Globalization Partners is ontworpen om:
- de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens in het bezit van Globalization Partners te beschermen of waartoe Globalization Partners toegang heeft;
- Te beschermen tegen verwachte bedreigingen of gevaren voor de vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens;
- Beschermen tegen onbevoegde of onwettige toegang, gebruik, openbaarmaking, wijziging of vernietiging van Klantgegevens;
- Beschermen tegen onopzettelijk verlies of vernietiging van, of schade aan, Klantgegevens; en
- Bescherm informatie zoals uiteengezet in alle regelgeving waarmee Globalization Partners kan worden gereguleerd.
Het volgende beschrijft de functies, processen, controles, systemen, procedures en maatregelen die Globalization Partners heeft genomen om de veiligheid van de verwerking van klantgegevens te waarborgen:
1) TECHNISCHE MAATREGELEN OM GEGEVENSPRIVACY EN -BESCHERMING TE WAARBORGEN
a) Privacy door ontwerp en standaard:
Globalization Partners houdt rekening met de vereisten van artikel 25 AVG in de conceptie- en ontwikkelingsfase van productontwikkeling. Processen en functionaliteiten worden zodanig ingericht dat de beginselen van gegevensbescherming zoals wettigheid, transparantie, doelbeperking, gegevensminimalisatie, enz. en de beveiliging van de verwerking in een vroeg stadium worden overwogen.
b) Versleuteling van Persoonsgegevens:
Ervoor zorgen dat persoonsgegevens alleen in het systeem worden opgeslagen op een manier die derden niet in staat stelt om de betrokkene te identificeren.
- Database- en opslagversleuteling:
op alle databases die door Globalization Partners worden gebruikt, wordt een versleuteling “in rust” gebruikt volgens de stand van de techniek, zodat de gegevens uit de database alleen kunnen worden gelezen na de juiste verificatie op het respectieve databasesysteem. - Versleuteling van mobiele gegevensmedia:
Het gebruik van mobiele gegevensdragers voor het opslaan van klantgegevens is niet toegestaan. - Versleuteling van gegevensdragers op laptops:
Gepaste geavanceerde versleuteling van harde schijven wordt geïnstalleerd op de laptops van alle werknemers. - Versleutelde uitwisseling van informatie en bestanden:
In principe wordt de uitwisseling van informatie en bestanden rechtstreeks versleuteld via een speciale toepassing. Als persoonsgegevens of vertrouwelijke informatie moeten worden overgedragen naar servers die niet kunnen worden verzonden via TLS-gecodeerde HTTPS-uploads, worden deze overgedragen met behulp van Secure File Transfer Protocol (SFTP), gecodeerde envelopservice of een ander versleuteld mechanisme volgens de stand van de techniek. - E-mailcodering:
In principe zijn alle e-mails die door werknemers van Globalization Partners worden verzonden, versleuteld met TLS. Uitzonderingen kunnen zijn als de ontvangende mailserver geen TLS ondersteunt. De Klant dient ervoor te zorgen dat de overeenkomstige mailservers die binnen het toepassingsgebied van de bestelling worden gebruikt, TLS-versleuteling ondersteunen
c) Opnamecontrole
Toegangscontroles zijn bedoeld en ingesteld om het gebruik en de verwerking van gegevens te voorkomen die worden beschermd door gegevensbeschermingswetten door onbevoegde personen.
- Gebruik van authenticatiemethoden
Toegang tot persoonsgegevens gebeurt altijd via versleutelde protocollen: SSH, SSL/TLS, HTTPS of vergelijkbare protocollen. Authenticatieprocedure voor IT-systeem: Multifactor authenticatie inloggen op IT-systeem. - Automatische blokkering in geval van inactiviteit
Laptops die worden gebruikt door werknemers van Globalization Partners die zijn vergrendeld met wachtwoord- of pincodebeveiliging wanneer ze niet in gebruik zijn door de gebruiker. Daarnaast wordt een automatische schermvergrendeling met wachtwoordbeveiliging ingesteld na 15 minuten van inactiviteit. - Het gebruik van laptops met antivirussoftware
die door werknemers van Globalization Partners worden gebruikt, is uitgerust met geavanceerde antivirussoftware die op alle operationele of zakelijke IT-systemen wordt bijgewerkt. In principe mogen geen computers worden gebruikt zonder bescherming tegen ingezeten virussen, tenzij andere gelijkwaardige, geavanceerde beveiligingsmaatregelen zijn genomen of er geen risico is. Standaard beveiligingsinstellingen mogen niet worden gedeactiveerd of omzeild. - “Clean Desk-beleid”
Werknemers van Globalization Partners worden geïnstrueerd om persoonsgegevens van betrokkenen niet af te drukken of lokaal op te slaan, om werkmaterialen niet achter te laten op een locatie waar ze door derden kunnen worden bekeken en om al het werkmateriaal op de juiste manier op te slaan. Documenten die Globalization Partners wettelijk verplicht is op papier te bewaren, worden opgeslagen in afgesloten kasten.
d) Toegangsbeheer binnen het platform
Toegangscontroles zorgen ervoor dat personen die bevoegd zijn om een verwerkingssysteem te gebruiken alleen toegang hebben tot de persoonsgegevens die onder hun toegangsautorisatie vallen.
- Rollen en autorisatie
- Rollen en autorisatieplatform – Klanttoegang Klantgebruikers kunnen klantaccountinformatie bekijken en bewerken.
- Rollen en autorisatieplatform – Professionele gebruikers van Access Professional kunnen hun eigen professionele informatie bekijken en bewerken.
Professionals kunnen ook een rol als klant krijgen na vereiste + goedkeuring - Rollen en autorisatieplatform – Interne toegang
Interne toegang gebruikers hebben verschillende rollen. Ze hebben gevarieerde toegang om het volgende te creëren, bekijken, bewerken en goedkeuren:- Klantinformatie
- Factureringsinformatie
- Informatie over partners
- Informatie over professionele personeelsdossiers
Toegang tot het admin-systeem is over het algemeen beperkt tot getrainde werknemers op het gebied van klantenondersteuning en productontwikkeling.
e) Firewall as a Service
Globalization Partners gebruikt een externe firewall als dienst waarmee het toegang tot websites kan verlenen of blokkeren om ervoor te zorgen dat systemen geen toegang hebben tot kwaadaardige inhoud en om de toegang tot ongepaste inhoud te beperken.
f) Registratie van aanmelding op het platform
Globalization Partners houdt een dossier bij van alle inlogactiviteiten.
g) Scheidbaarheid
Ervoor zorgen dat persoonsgegevens die voor verschillende doeleinden worden verzameld, afzonderlijk kunnen worden verwerkt en zodanig van andere gegevens en systemen worden gescheiden dat ongepland gebruik van deze gegevens voor andere doeleinden wordt uitgesloten.
- Scheiding van ontwikkelings-, test- en bedrijfsomgevingen
Gegevens van de bedrijfsomgeving mogen alleen worden overgedragen naar test- of ontwikkelingsomgevingen als deze volledig anoniem zijn gemaakt vóór overdracht. De overdracht van de geanonimiseerde gegevens moet worden versleuteld of via een betrouwbaar netwerk. - Scheiding in netwerken
Globalization Partners scheidt zijn netwerken op basis van taken. De volgende netwerken worden permanent gebruikt: operationele omgeving (“Productie”), testomgeving (“Staging”, “Sandbox”), ontwikkelingsomgeving (“Dev”) kantoor IT-personeel. Naast deze netwerken worden indien nodig ook andere afzonderlijke netwerken gecreëerd, bijvoorbeeld voor hersteltests en penetratietests. Afhankelijk van de technische mogelijkheden worden de netwerken fysiek of via virtuele netwerken gescheiden.
h) Beschikbaarheidsregeling
Globalization Partners neemt de volgende stappen om ervoor te zorgen dat persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies.
- Procedures/back-ups voor gegevensbescherming
Om voldoende beschikbaarheid te garanderen, implementeert Globalization Partners dagelijkse snapshots van zijn database met replicatie naar een andere regio. Er worden ook maatregelen genomen om ervoor te zorgen dat werknemers met taakgebaseerde noodzaak om gegevens te beoordelen alleen toegang krijgen tot replica datasets. - Georedundantie met betrekking tot serverinfrastructuur van productieve data en back-ups
- IT incident management (“Incident Response Management”)
Er is een concept en gedocumenteerde procedures voor het omgaan met incidenten en veiligheidsgerelateerde gebeurtenissen. Dit omvat de planning en voorbereiding van de respons op incidenten, procedures voor het bewaken, opsporen en analyseren van beveiligingsrelevante gebeurtenissen en de definitie van overeenkomstige verantwoordelijkheden en rapportagekanalen in geval van een schending van de bescherming van persoonsgegevens in het kader van de wettelijke vereisten.
2) ORGANISATORISCHE MAATREGELEN OM GEGEVENSPRIVACY EN -BESCHERMING TE WAARBORGEN
Globalization Partners heeft de volgende organisatorische maatregelen genomen om ervoor te zorgen dat de organisatie op een manier werkt die voldoet aan de vereisten voor gegevensprivacy en -bescherming.
a) Organisatorische instructies
Globalization Partners heeft een programma voor gegevensbeheer ontwikkeld en is bezig met het ontwikkelen van een programma, inclusief beleid, procedures en richtlijnen die werknemers moeten volgen. Documentatie omvat hoe problemen met gegevensprivacy kunnen worden geïdentificeerd en beheerd, best practices voor het waarborgen van privacynaleving en beleid voor het aanpakken van privacy-incidenten.
b) Toewijding aan vertrouwelijkheid en gegevensbescherming
Globalization Partners heeft een programma voor gegevensbeheer ontwikkeld en is bezig met het ontwikkelen van een programma, inclusief beleid, procedures en richtlijnen die werknemers moeten volgen. Alle werknemers en aannemers zijn schriftelijk gebonden aan vertrouwelijkheid en gegevensbescherming, evenals andere relevante wetten. Alle werknemers krijgen privacy- en beveiligingstraining. Interne audits van gegevensbescherming en informatiebeveiliging worden regelmatig uitgevoerd. Audits worden uitgevoerd op basis van gemeenschappelijke testcriteria/-schema's. De werknemers en aannemers van Globalization Partners worden geïnstrueerd om persoonsgegevens alleen te verwerken om wettige redenen, overeenkomstig toepasselijke contracten met de klant en professional, met inachtneming van uitdrukkelijke toestemming die door de betrokkene wordt gegeven of ingehouden, en in overeenstemming met elke wettige plicht van de organisatie.
c) Training gegevensbescherming
Alle werknemers ontvangen privacy- en beveiligingstraining die op elk moment beschikbaar blijft voor beoordeling op het trainingsplatform van Globalization Partners.
d) Fysieke toegangscontroles
Globalization Partners heeft de volgende fysieke controles om onbevoegde personen toegang te weigeren tot IT-systeemapparatuur die wordt gebruikt voor verwerking.
- Elektronische deurbescherming
De toegangsdeuren tot de gebouwen van de kantoren van Globalization Partners zijn altijd vergrendeld en elektronisch beveiligd. De deuren worden geopend via een persoonlijke elektronische transponder. - Gecontroleerde distributie van sleutels
Er vindt een centrale, gedocumenteerde toewijzing van sleutels aan de werknemers van Globalization Partners plaats. Deze elektronische transponders/sleutels kunnen centraal worden gedeactiveerd door elke kantoormanager of de afdeling People Resources. - Toezicht op en begeleiding van externe personen
Externe dienstverleners en andere derden kunnen alleen toegang krijgen tot het pand via voorafgaande toestemming of indien vergezeld door een werknemer van Globalization Partners. Globalization Partners past zijn schriftelijke bezoekersbeleid toe wanneer bezoekers worden uitgenodigd op het terrein. - Beveiliging van gebouwen met een verhoogde behoefte aan bescherming
Bedrijfsruimten of kasten met verhoogde beschermingsvereisten, zoals juridische kantoren en bepaalde operationele locaties, zijn uitgerust met vergrendelingskasten en laden. Kasten en laden waar juridische documenten, contracten en vertrouwelijke documentatie worden bewaard, moeten te allen tijde worden vergrendeld, behalve wanneer ze in gebruik zijn. - Gesloten deuren en ramen
Werknemers worden organisatorisch geïnstrueerd om ramen en deuren buiten kantooruren gesloten of vergrendeld te houden.
e) Herstelbaarheid
Globalization Partners zorgt ervoor dat systemen in gebruik kunnen worden hersteld in geval van fysieke of technische storingen.
- Regelmatige tests van het gegevensherstel (“Hersteltests”)
Regelmatige volledige hersteltests worden uitgevoerd om de herstelbaarheid in geval van nood/ramp te garanderen. - Noodplan (“Noodherstelconcept”)
Er is een concept voor de behandeling van calamiteiten/rampen en een bijbehorend noodplan. Globalization Partners zorgt voor het herstel van alle systemen op basis van de back-ups/back-ups van gegevens, meestal binnen 48 uur. - Beoordelings- en evaluatiemaatregelen
Presentatie van de procedures voor regelmatige beoordeling, beoordeling en evaluatie van de effectiviteit van de technische en organisatorische maatregelen.
f) Privacyteam
De organisatie heeft een Global Data Privacy Office dat is belast met het plannen, implementeren, evalueren en aanpassen van maatregelen op het gebied van gegevensbescherming.
g) Risicomanagement
Er is een proces voor het analyseren, evalueren en toewijzen van risico’s en voor het afleiden van maatregelen op basis van deze risico’s.
3) ONAFHANKELIJKE BEOORDELING VAN INFORMATIEBEVEILIGING
a) Uitvoeren van audits
Interne audits van gegevensbescherming en informatiebeveiliging worden regelmatig uitgevoerd. Audits worden uitgevoerd op basis van gemeenschappelijke testcriteria/-schema's.
b) Beoordeling van naleving van beveiligingsbeleid en -normen
De naleving van de toepasselijke beveiligingsrichtlijnen, normen en andere beveiligingsvereisten voor de verwerking van persoonsgegevens wordt regelmatig gecontroleerd. Waar mogelijk worden deze controles op willekeurige en onverwachte basis uitgevoerd.
c) Verificatie van naleving van technische specificaties
Regelmatige geautomatiseerde en handmatige kwetsbaarheidsscans worden uitgevoerd door de IT-afdeling of ander gekwalificeerd personeel om de beveiliging van de toepassingen en infrastructuur te verifiëren, evenals de regelmatige ontwikkeling van het product. Gedetailleerde penetratietests worden uitgevoerd door een externe dienstverlener om specifiek de applicaties en infrastructuur te onderzoeken op kwetsbaarheden.
d) Verwerking op instructie
De werknemers van Globalization Partners worden geïnstrueerd om persoonsgegevens alleen te verwerken om wettelijke redenen, overeenkomstig toepasselijke contracten met de klant en professional, met inachtneming van uitdrukkelijke toestemming die door de betrokkene wordt gegeven of onthouden, en in overeenstemming met een wettelijke plicht van de organisatie.
e) Zorgvuldige selectie van leveranciers
Globalization Partners houdt zich aan het prekwalificatieproces voor leveranciers bij het selecteren van leveranciers die te maken kunnen krijgen met beschermde gegevens. Dit proces omvat feedback van de afdelingen Finance en Legal/Privacy en omvat stappen voor risicobeoordeling, beveiligingsprekwalificatie en documentatiecertificering. Leveranciers die beschermde gegevens verwerken, moeten aantonen dat ze zich houden aan de toepasselijke wetgeving inzake gegevensbescherming, inclusief artikel 28 AVG voor gedekte gegevens.
Bijlage III - Lijst van subverwerkers
| Subverwerker | Contactgegevens | Beschrijving van verwerking | Locatie |
|---|---|---|---|
| Dochterondernemingen van Globalization Partners | https://www.globalization- partners.com/contact-us/ | Het platform en klantrelatiebeheer bieden | VS |
| Acumatica | 3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, VS | Financiële diensten | VS |
| Webservice van Amazon | Postbus 81226 Seattle, WA 98108-1226, VS https://aws.amazon.com/contact-us/ |
Hosting – Cloud Services Provider | VS |
| Microsoft | One Microsoft Way Redmond, Washington 98052 USA Telefoon: (+1) 425-882-8080. |
Communicaties voor ondersteuning van bedrijfsprocessen (e-mail); servicebeheer | VS |
| Atlassisch | 350 Bush Street Floor 13 San Francisco, CA 94104, VS +1 415 701 1110 |
Ondersteuning van bedrijfsprocessen voor dienstenbeheer | VS |
| Conga | https://conga.com/contact-us 62 Margaret St, 3e verdieping Londen W1W8TF Verenigd Koninkrijk |
Contractenbeheer | VK |
| DocuSign | DocuSign International (EMEA) Ltd, ter attentie van: Privacy Team, 5 Hanover Quay, Begane grond, Dublin2, Ierland | Documentbeheer | Ierland |
| ong | 265 Cambridge Ave, Suite 60717 Palo Alto, CA 94306, VS | Telecommunicatiediensten | VS |
| iCertis | 2 Kingdom Street Paddington London W2 6BD Verenigd Koninkrijk | Contractenbeheer | VK |
| Salesforce.com | Salesforce Tower, 415 Mission Street, 3e verdieping, San Francisco, CA 94105, VS 1-800-387-3285 |
Business Process Support voor Customer Relationship Management (CRM) | VS |
| Zendesk | 989 Market St San Francisco, CA 94103, VS zendesk.com 888-670-4887 |
Helpdeskvragen voor klantenondersteuning | VS |
Bijlage IV - UK Addendum bij EU-standaardcontractbepalingen
DEEL 1: TABELLEN
Tabel 1: Partijen
| Startdatum | Ingangsdatum van dit addendum | |
|---|---|---|
| De Partijen | Exporteur (die de beperkte overdracht verzendt) | Importeur (die de beperkte overdracht ontvangt) |
| Gegevens van de partijen | Gegevens van de klantentiteit zoals uiteengezet in de Hoofdovereenkomst. | Gegevens over de entiteit van Globalization Partners zoals uiteengezet in de Hoofdovereenkomst. |
| Belangrijkste contactpersonen | Contactgegevens van de klant zoals uiteengezet in de Hoofdovereenkomst. | Contactgegevens van Globalization Partners zoals uiteengezet in de Hoofdovereenkomst en contactgegevens van Globalization Partners inzake privacy zoals gedefinieerd in Bijlage I hierboven. |
Tabel 2: Geselecteerde SCC's, modules en geselecteerde clausules
| Addendum EU SCC's | De versie van de goedgekeurde EU SCC's opgenomen in Sectie 3.9 van het Addendum, inclusief de Bijlage-informatie bijgevoegd aan dit Addendum. |
Tabel 3: Bijlage-informatie
“Bijlage-informatie” betekent de informatie die moet worden verstrekt voor de geselecteerde modules zoals uiteengezet in de Bijlage van de goedgekeurde EU SCC’s (anders dan de Partijen), en die voor dit Addendum is uiteengezet in:
- Bijlage 1A: Lijst van partijen: bijlage I
- Bijlage 1B : Beschrijving van overdracht: bijlage I
- Bijlage II: Technische en organisatorische maatregelen, met inbegrip van technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen: bijlage II
- Bijlage III: Lijst van subverwerkers: bijlage III
Tabel 4: Dit addendum beëindigen wanneer het goedgekeurde addendum verandert
| Dit addendum beëindigen wanneer het goedgekeurde addendum verandert | Welke partijen kunnen dit addendum beëindigen zoals uiteengezet in paragraaf 19: ☐ Invoerder - Uitvoerder ☐ Geen van beide partijen |
DEEL 2: VERPLICHTE CLAUSES
| Verplichte clausules | Deel 2: Verplichte bepalingen van het Goedgekeurde Addendum, zijnde het model Addendum B.1.0 uitgegeven door de ICO en opgesteld voor het Parlement in overeenstemming met de Wet bescherming s119A persoonsgegevens 2018 op 2 februari 2022, zoals herzien onder Sectie 18 van die Verplichte bepalingen. |