Logo van G-P​​ 
Verzoek om een voorstel​​ 

MSA Privacy Taal​​ 

Laatste update: 26juni 2026​​ 

BIJLAGE OVER GEGEVENSBESCHERMING​​ 

Klant en G-P zijn partijen bij een raamovereenkomst of een overeenkomst met een vergelijkbare aard en doel (hierna “Raamovereenkomst”). Deze DPA vormt een aanvulling op de bepalingen en voorwaarden in de Hoofdovereenkomst en is daarin opgenomen. In geval van een conflict tussen deze DPA en enige andere overeenkomst tussen de partijen over de hierin uiteengezette kwesties, prevaleert deze DPA. Indien de klant reeds een geldige en ondertekende gegevensbeschermingsovereenkomst met G-P heeft, prevaleert die overeenkomst boven deze gegevensverwerkingsovereenkomst en is deze gegevensverwerkingsovereenkomst niet van kracht, tenzij de klant en G-P schriftelijk anders overeenkomen.​​ 
 

1. DEFINITIES​​  

Termen die hier niet zijn gedefinieerd, hebben de betekenissen zoals vastgelegd in de Master Agreement. De volgende woorden in deze DPA hebben de volgende betekenissen:​​ 
1.1 "​​ Geautoriseerde gebruiker​​ "" betekent een persoon die door de Klant is gemachtigd, waaronder een werknemer en/of zzp'er van de Klant, om namens de Klant toegang te krijgen tot en gebruik te maken van de GPP, conform de ondertekening van de Hoofdovereenkomst.​​ 
1.2 "​​ Klantgegevens​​ "Persoonlijke gegevens" betekent alle persoonsgegevens met betrekking tot een geautoriseerde gebruiker of een identificeerbare natuurlijke persoon die door G-P namens de klant worden overgedragen, verwerkt of opgeslagen in verband met de diensten voor het gebruik van de GPP door de klant.​​ 
1.3 "​​ Gegevensbescherming​​  Wetten​​ " betekent alle gegevensbeschermings- en privacywetten waaraan een partij bij deze overeenkomst valt en die van toepassing zijn op de geleverde diensten, waaronder, waar van toepassing, maar niet beperkt tot, Algemene verordening gegevensbescherming (AVG), UK Algemene verordening gegevensbescherming (AVG), Zwitserse gegevensbeschermingswetten, Amerikaanse privacywetten (inclusief staats- en federale wetten) en Brazilië LGPD.​​ 
1.4 "​​ Employer of Record​​ " betekent Employer of Record.​​ 
1.5 "​​ Algemene verordening gegevensbescherming (AVG)​​ ” betekent de Algemene verordening gegevensbescherming (AVG) (EU) 2016/679.​​ 
1.6 "​​ GPP​​ " betekent de propriëtaire software van G-P, inclusief zonder beperking de software, de mobiele versie, alle daarin opgenomen software en alle gegevens die beschikbaar zijn gemaakt via het gebruik van G-P's propriëtaire software of de diensten van derden, inclusief hun updates, upgrades, platform as a service en documentatie.​​ 
1.7 "​​ EEA​​ " betekent de Europese Economische Ruimte.​​ 
1.8 "​​ LGPD​​ " betekent Brazilië Wet nr. 13.709, de Algemene Wet op de Bescherming van Persoonsgegevens, zoals gewijzigd, vervangend of vervangen.​​ 
1.9 "​​ Privacybeleid​​ " verwijst naar het privacybeleid van G-P , zoals dat van tijd tot tijd wordt bijgewerkt, beschikbaar op​​   
1.10 "​​ Professionals Data​​ " betekent persoonsgegevens van professionals die door G-P worden verwerkt in het kader van het verlenen van Employer of Record-diensten aan de klant.​​ 
1.11 "​​ Beperkte overdracht​​  betekent elke overdracht van persoonsgegevens naar een land buiten de EER, het Verenigd Koninkrijk, Zwitserland of Brazilië die niet onderhevig is aan een toereikendheidsbeslissing onder de toepasselijke gegevensbeschermingswetten, en daarom passende waarborgen vereist onder de toepasselijke gegevensbeschermingswetten.​​ 
1.12 "​​ Diensten”​​  gemeen​​  de diensten​​  De diensten die G-P aan de klant levert krachtens de raamovereenkomst, waaronder mogelijk de levering van diensten als officiële werkgever en de toegang tot en het gebruik van GPP.​​ 
1.13 "​​ Standaard contractuele clausules​​  of​​  "SCC's"​​  bedoel (i) waar de Algemene verordening gegevensbescherming (AVG) van toepassing is, de standaardcontractbepalingen die zijn bijgevoegd bij het uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021 standaardcontractbepalingen voor de overdracht van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad, beschikbaar op​​   (“EU SCC’s”); (ii) waar de Britse Algemene verordening gegevensbescherming (AVG) van toepassing is, de toepasselijke standaardbepalingen inzake gegevensbescherming die zijn vastgesteld overeenkomstig artikel 46(2)(c), of (d) waar de Britse Algemene verordening gegevensbescherming (AVG) het International Data Transfer Addendum (“Brits Addendum”) op de EU-standaardcontractbepalingen betekent, uitgegeven door het Information Commissioner's Office krachtens artikel 119A(1) van de Data Protection Act 2018, zoals dat Britse Addendum kan worden herzien krachtens artikel 18 daarin (“Britse SCC’s”); (iii) waar de Zwitserse wetgeving inzake gegevensbescherming van toepassing is, de toepasselijke standaardbepalingen inzake gegevensbescherming die zijn uitgevaardigd, goedgekeurd of erkend door de Zwitserse federale autoriteit voor gegevensbescherming en het bureau van de informatiecommissaris (de "Zwitserse SCC's"); waar de Braziliaanse LGPD van toepassing is, de toepasselijke standaardcontractbepalingen, die zijn opgenomen in Resolutie CD/ANPD nr. 19/2024 uitgevaardigd door de Braziliaanse nationale autoriteit voor gegevensbescherming ("ANPD"), zoals deze van tijd tot tijd kunnen worden gewijzigd ("Braziliaanse SCC's").​​ 
1.14 "​​ Zwitserse wetgeving inzake gegevensbescherming​​ " of​​  "FADP"​​  betekent (i) de Zwitserse federale wet op gegevensbescherming ("​​ FDPA​​ ”); (ii) De verordening inzake de federale wet op gegevensbescherming ("​​ FODP​​ “); en (iii) alle nationale gegevensbeschermingswetten die zijn gemaakt onder, volgend op, vervangend of opgevolgd en enige wetgeving die een van de voorgaande wetten vervangt of bijwerkt.​​ 
1.15 "​​ Aanvulling op het Britse addendum​​ " betekent het United Kingdom International-addendum voor gegevensoverdracht bij de EU Standard Contractual Clauses, uitgegeven door de Britse Information Commissioner.​​ 
1.16 "​​ Britse gegevensbeschermingswetten"​​  Met de Algemene verordening gegevensbescherming (AVG) wordt bedoeld zoals deze is opgenomen in de Britse wetgeving krachtens artikel 3 van de European Union (Withdrawal) Act 2019 van het Verenigd Koninkrijk ("Britse Algemene verordening gegevensbescherming (AVG)") en de Data Protection Act 2018 (tezamen "Britse wetgeving inzake gegevensbescherming").​​ 
1.17 "​​ Amerikaanse privacywetgeving​​ " betekent toepasselijke staatswetten, bevelen, voorschriften en regelgevende richtlijnen van de Verenigde Staten (VS) met betrekking tot de verwerking van persoonsgegevens, waaronder zonder beperking: (a) de CCPA; (b) Virginia's Consumer Data Protection Act; (c) de Colorado Privacy Act; (d) Connecticuts wet betreffende gegevensprivacy en online monitoring; (e) de Utah Consumer Privacy Act; en (f) alle vergelijkbare staatswetten.​​ 
1.18 "​​ Verantwoordelijke" "Gegevenspersoon", "Persoonsgegevens", "Persoonlijke Informatie" "Gegevenslek", "Verwerker", "Proces/Verwerking", "Beperkte overdracht", "Dienstverlener"​​  en/of andere vergelijkbare termen en concepten moeten de betekenissen hebben zoals gedefinieerd in de Gegevensbeschermingswetten.​​ 
 
 

2. RELATIE TUSSEN ONAFHANKELIJKE CONTROLLER EN CONTROLLER​​  

2.1​​  Rollen van de partijen.​​  Wanneer G-P de klant Employer of Record-diensten aanbiedt, neemt G-P de rol van juridisch werkgever op zich voor alle door de klant geselecteerde personen ("Professionals)") om in dienst te nemen. Wat betreft de persoonsgegevens van dergelijke professionals is G-P een onafhankelijke Controller gedurende de arbeidsrelatie. Wat betreft de persoonsgegevens van Professionals die door de klant worden verzameld en gebruikt voor eigen doeleinden, is de klant ook een onafhankelijke Beheerder met onafhankelijke privacyverplichtingen. Bij het leveren van de Employer of Record-diensten valt de uitwisseling van persoonsgegevens van professionals tussen G-P en de klant onder een onafhankelijke Controller-tot-Controller-relatie en zijn de bepalingen van deze sectie 2 ("Onafhankelijke Controller-Controller Relatie") van toepassing. In geen geval zullen de partijen persoonsgegevens onder deze DPA verwerken als gezamenlijke verwerkingsverantwoordelijken.​​ 
2.2​​  Verantwoordelijkheden en Erkenningen​​ De partijen zullen in hun hoedanigheid als verwerkingsverantwoordelijken het volgende doen:​​ 
2.2.1 Voldoen aan de toepasselijke gegevensbeschermingswetten met betrekking tot de verwerking van persoonsgegevens van professionals.​​ 
2.2.2 De persoonsgegevens van de professionals eerlijk en rechtmatig verwerken en delen met als doel (naargelang het geval) het uitvoeren of ontvangen van de diensten als officiële werkgever, in het kader van de eigen legitieme belangen.​​ 
2.2.3 Zorg ervoor dat er een rechtmatige grondslag is voor de verwerking van persoonsgegevens van de professional tussen de partijen.​​ 
2.2.4 Elkaar bijstaan bij het nakomen van de respectieve verplichtingen onder de wetgeving inzake gegevensbescherming, waaronder, maar niet beperkt tot, elkaar bijstaan in geval van een datalek en het reageren op verzoeken van betrokkenen en/of toezichthouders.​​  
 

3. RELATIE TUSSEN CONTROLLER EN PROCESSOR​​ 

3.1​​  Rollen van de partijen​​ . G-P biedt ook diverse software als een dienst aan via GPP, waardoor G-P de klant in staat stelt de relatie met die professionals te beheren. Wanneer G-P de klant toegang geeft tot GPP, is G-P de verwerker van de accountgerelateerde persoonsgegevens die door de door de klant aangewezen gemachtigde gebruikers van GPP naar de GPP zijn geüpload en is de klant de beheerder van deze gegevens; de bepalingen van deze sectie 3 ("Controller-Verwerker-relatie") zijn van toepassing.​​ 
3.2​​  Instructies.​​  G-P verwerkt klantgegevens in overeenstemming met de door de klant verstrekte instructies.  De klant stemt ermee in dat deze DPA, de raamovereenkomst en bijlage I, die hierbij is gevoegd, de volledige instructies van de klant aan G-P vormen met betrekking tot de verwerking van klantgegevens.  Eventuele aanvullende of afwijkende instructies dienen schriftelijk tussen de partijen te worden overeengekomen, inclusief de kosten (indien van toepassing) die verbonden zijn aan de uitvoering van dergelijke instructies.  De klant zorgt ervoor dat zijn instructies voldoen aan de geldende wetgeving inzake gegevensbescherming. De klant erkent dat G-P niet verantwoordelijk is voor het bepalen welke wetten van toepassing zijn op de bedrijfsactiviteiten van de klant. De klant garandeert dat de verwerking van klantgegevens door G-P , indien deze plaatsvindt conform de instructies van de klant, er niet toe leidt dat G-P enige toepasselijke wetgeving overtreedt, waaronder de toepasselijke wetgeving inzake gegevensbescherming. Indien G-P echter van mening is dat een instructie van de klant in strijd is met de toepasselijke wetgeving inzake gegevensbescherming, zal G-P de klant zo spoedig mogelijk op de hoogte stellen en is GP niet verplicht om aan een dergelijke in strijd zijnde instructie te voldoen.​​  
3.3​​  Details van de verwerking​​ . Details van het onderwerp van de verwerking, de duur, aard en het doel, en het type klantgegevens en gegevenspersonen zijn zoals gespecificeerd in bijlage I die hieraan is gehecht.​​   
3.4​​  Compliance.​​  Klant en G-P komen ermee in hun respectievelijke verplichtingen te voldoen onder de gegevensbeschermingswetten die van toepassing zijn op de Klantgegevens die worden verwerkt zoals gespecificeerd in Bijlage I. De Klant is alleenverantwoordelijk voor het naleven van de gegevensbeschermingswetten met betrekking tot de wettigheid van de verwerking van Klantgegevens voordat klantgegevens aan G-P worden verstrekt, overgedragen of anderszins beschikbaar worden gesteld.  Ter voorkoming van twijfel zal de Klant, waar nodig, eventuele toestemmingen van de Gegevenspersonen verkrijgen voor G-P om Klantgegevens te verwerken zoals door de Klant opgedragen.​​ 
3.5​​  Subverwerkers​​ . De klant machtigt G-P om verwerkers ("subprocessors") aan te wijzen en te gebruiken om de klantgegevens in verband met de diensten te verwerken.  Subverwerkers kunnen derden of elk lid van de G-P-groep van bedrijven omvatten. G-P kan de Subprocessors blijven gebruiken die op de datum van deze DPA al door G-P zijn ingeschakeld, en een lijst van dergelijke Subprocessors is beschikbaar in bijlage III, die hieronder is bijgevoegd. Wanneer een Subverwerker zijn hierboven gespecificeerde gegevensbeschermingsverplichtingen niet nakomt, is G-P aansprakelijk tegenover de Klant voor de nakoming van de verplichtingen van de Subverwerker. G-P zal de klant via GPP op de hoogte stellen van wijzigingen in haar lijst van Subprocessors. Indien de klant binnen 10 (tien) dagen na ontvangst van die kennisgeving terecht bezwaar maakt tegen de toevoeging of verwijdering van een Subverwerker op grond van gegevensbescherming en G-P het bezwaar van de klant redelijkerwijs niet kan accommoderen, zullen de partijen de zorgen van de klant te goeder trouw bespreken met het oog op een oplossing van de zaak.​​ 
3.6​​  Technische en organisatorische beveiligingsmaatregelen​​ . Rekening houdend met industrienormen, de implementatiekosten, de aard, reikwijdte, context en doeleinden van de verwerking, en alle andere relevante omstandigheden met betrekking tot de verwerking van klantgegevens, zal G-P passende technische en organisatorische beveiligingsmaatregelen implementeren om te waarborgen dat de veiligheid, vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten die betrokken zijn bij de verwerking van klantgegevens in verhouding staan tot het risico met betrekking tot dergelijke klantgegevens, zoals uiteengezet in bijlage II die hieraan is bijgevoegd.  G-P zal periodiek (i) de effectiviteit van haar waarborgen, controles, systemen en procedures testen en monitoren en (ii) redelijk voorzienbare interne en externe risico's voor de beveiliging, vertrouwelijkheid en integriteit van de klantgegevens identificeren, en ervoor zorgen dat deze risico's worden aangepakt.​​  
3.7​​  Vertrouwelijkheid​​ . G-P zorgt ervoor dat personen die toegang hebben tot de Klantgegevens (i) zich aan vertrouwelijkheid hebben verbonden of onder een passende wettelijke vertrouwelijkheidsverplichting staan en (ii) de Klantgegevens alleen toegang krijgen tot gedocumenteerde instructies van G-P, tenzij dit verplicht is volgens de toepasselijke wet.​​ 
3.8​​  Persoonlijke datalek.​​  G-P zal de klant onverwijld op de hoogte stellen zodra er een datalek is geconstateerd met betrekking tot de verwerking van klantgegevens en zal redelijke inspanningen leveren om de klant, waar mogelijk, te helpen de nadelige gevolgen van een dergelijk datalek te beperken.​​ .​​ 
3.9​​  Verwijdering van persoonsgegevens.​​   Bij ontslag van de Diensten (om welke reden dan ook) zal G-P zo snel mogelijk de in de GPP opgeslagen Klantgegevens teruggeven of verwijderen, tenzij de toepasselijke wet de opslag van de Klantgegevens voor een langere periode vereist. Voor dergelijke bewaring blijven de bepalingen van deze DPA van toepassing op dergelijke klantgegevens.​​ 
3.10​​  Verzoeken van gegevenspersonen​​ G-P zal de klant onmiddellijk op de hoogte stellen van verzoeken van betrokkenen met betrekking tot klantgegevens. De klant is verantwoordelijk voor het beantwoorden van dergelijke verzoeken. G-P zal de Klant op redelijke wijze bijstaan bij het beantwoorden van dergelijke verzoeken van betrokkenen, voor zover de Klant geen toegang heeft tot de relevante Klantgegevens bij het gebruik van de GPP.​​  
3.11​​  Verzoeken van derden​​ . Indien G-P verzoeken ontvangt van derden of een bevel van een rechtbank, tribunaal, toezichthouder of overheidsinstantie met bevoegde bevoegdheid waaraan G-P valt met betrekking tot de verwerking van klantgegevens onder de overeenkomst, zal G-P het verzoek onmiddellijk doorverwijzen naar de klant. G-P zal niet reageren op dergelijke verzoeken zonder voorafgaande toestemming van de klant, tenzij wettelijk verplicht is om dit te doen. G-P zal, tenzij wettelijk verboden dit, de klant vooraf informeren bij het vrijmaken van klantgegevens en zal redelijkerwijs samenwerken met de klant om de reikwijdte van dergelijke openbaarmaking te beperken tot wat wettelijk vereist is.​​   
3.12​​  Gegevensbeschermingsimpactbeoordeling en voorafgaande consultatie​​ . Voor zover vereist door de gegevensbeschermingswetten, zal G-P redelijke hulp bieden aan de klant bij het uitvoeren van een gegevensbeschermingseffectbeoordeling met betrekking tot de verwerking van klantgegevens uitgevoerd door G-P en/of eventuele vereiste voorafgaande consultatie(s) met toezichthoudende autoriteiten. G-P behoudt zich het recht voor om de klant een redelijke vergoeding in rekening te brengen voor het verlenen van dergelijke hulp.​​ 
3.13​​  Audit.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  Amerikaanse privacywetten.​​  Onder deze sectie 3komen de partijen overeen dat G-P een "Dienstverlener" of "Verwerker" is, zoals deze termen zijn gedefinieerd volgens de toepasselijke Amerikaanse privacywetgeving. Voor zover de Amerikaanse privacywetten van toepassing zijn op de verwerking van klantgegevens door G-P, mag G-P geen (a) Klantgegevens buiten de directe zakelijke relatie tussen G-P en Klant bewaren, gebruiken of openbaarmaken, en zal G-P Klantgegevens alleen verwerken zolang zij diensten aan de Klant levert; (b) klantgegevens verkopen; (c) delen van klantgegevens; of (d) de klantgegevens die G-P ontvangt van, of namens de klant ontvangt, te combineren met "persoonsgegevens" (zoals zo'n term of equivalent is gedefinieerd onder toepasselijke gegevensbeschermingswetten) die het ontvangt van, of namens een andere persoon, of verzamelt uit eigen interactie met een consument, mits G-P klantgegevens mag combineren als het binnen het bereik valt van het leveren van de diensten aan de klant. Waar van toepassing, moet elke partij de andere partij op de hoogte stellen als zij vaststelt dat zij niet langer aan haar verplichtingen onder de Amerikaanse privacywetgeving kan voldoen.​​ 
 

4. INTERNATIONALE GEGEVENSOVERDRACHTEN​​ 

4.1​​  Passende bescherming​​ . G-P is bevoegd om, in de normale bedrijfsvoering, wereldwijde overdrachten van klantgegevens te doen aan haar dochterondernemingen en/of subverwerkers.  Bij het uitvoeren van dergelijke overdrachten naar een gebied dat niet door de relevante gegevensbeschermingsautoriteiten is erkend als voldoende beschermingsniveau voor persoonsgegevens volgens de gegevensbeschermingswetten, zorgt G-P ervoor dat passende bescherming is om de klantgegevens te beschermen die onder of in verband met de Master Agreement zijn overgedragen.​​ 
4.2​​  Gegevensprivacy-framework.​​  Professionals​​  en Klantgegevens worden opgeslagen in GPP dat in de VS wordt gehost. G-P is gecertificeerd onder het EU-U.S. Data Privacy Framework (EU-U.S. DPF) en, indien van toepassing, de UK Extension op de EU-U.S. DPF, en de Zwitserse-Amerikaanse Gegevensprivacykader (Zwitsers-VS) DPF). De certificering van G-P kan publiekelijk worden bevestigd op de website van de DPF​​   Het EU-VS-kader voor gegevensbescherming werd door de Europese Commissie als adequaat beschouwd, aangezien het een rechtmatig mechanisme voor gegevensoverdracht is overeenkomstig artikel 45 van de Algemene verordening gegevensbescherming (AVG), de Britse Algemene verordening gegevensbescherming (AVG) en de FADP. Indien het DPF-raamwerk ongeldig wordt verklaard, wordt opgeschort of anderszins niet langer wordt erkend als een adequate bescherming voor internationale gegevensoverdrachten, stemt de verwerker ermee in de standaardcontractbepalingen (SCC's) aan te gaan en na te leven die zijn uitgevaardigd of goedgekeurd door de Europese Commissie, het Britse Information Commissioner's Office (ICO) of de Zwitserse Federale Commissaris voor Gegevensbescherming en Informatie (FDPIC), al naar gelang van toepassing. De partijen zullen te goeder trouw samenwerken om alle aanvullende maatregelen te treffen die nodig zijn om een nagenoeg gelijkwaardig niveau van bescherming voor de overgedragen gegevens te waarborgen.​​ 
4.3​​  Standaard contractuele clausules.​​  Partijen komen overeen dat wanneer de overdracht van persoonsgegevens van de Klant (als "gegevensexporteur") naar G-P (als "gegevensimporteur") een Beperkte Overdracht is en de toepasselijke Wetgeving inzake Gegevensbescherming vereist dat passende waarborgen worden getroffen, een dergelijke overdracht onderworpen is aan de relevante Standaard Contractuele Bepalingen, die geacht worden te zijn opgenomen in en deel uit te maken van deze DPA, als volgt:​​ 
a. Met betrekking tot overdrachten van persoonsgegevens die worden beschermd door de Algemene verordening gegevensbescherming (AVG), zijn de EU-SCC's van toepassing, ingevuld als volgt:​​ 
i. Modules Eén en Twee zijn van toepassing;​​ 
ii. in Clausule 7geldt de optionele dockingclausule;​​ 
iii. in Clausule 9 van Module Twee is optie 2 van toepassing, en de termijn voor voorafgaande kennisgeving van wijzigingen in de Subverwerker is zoals vastgelegd in sectie 3.5 van deze DPA;​​ 
iv. in Clausule 11 is de optionele taal niet van toepassing;​​ 
v. in Clausule 12 zijn alle vorderingen die worden ingesteld op grond van de EU-standaardcontractbepalingen onderworpen aan de voorwaarden zoals uiteengezet in de Hoofdovereenkomst;​​ 
vi. in Clausule 17geldt optie 1 , en de EU-SCC's zullen worden beheerst door Iers recht;​​ 
vii. in clausule 18(b) worden geschillen beslecht voor de rechtbanken van Ierland;​​ 
viii. Bijlage I van de EU-standaardcontractbepalingen wordt geacht te zijn aangevuld met de informatie zoals opgenomen in bijlage 1 bij deze DPA; en​​ 
ix. Bijlage II van de EU-SCC's wordt geacht te zijn voltooid met de informatie zoals vermeld in Bijlage 2 van deze DPA;​​ 
x. Bijlage III van Module Twee van de EU SCC's wordt geacht voltooid te zijn met de informatie zoals vermeld in Bijlage 3 van deze DPA.​​ 
B. Met betrekking tot de overdracht van persoonsgegevens die worden beschermd door de Britse wetgeving inzake gegevensbescherming of de Zwitserse wetgeving inzake gegevensbescherming, zijn de EU-standaardcontractbepalingen zoals geïmplementeerd onder subparagraaf (a) hierboven van toepassing met de volgende wijzigingen:​​ 
i. verwijzingen naar "Verordening (EU) 2016/679" worden uitgelegd als verwijzingen naar de Britse wetgeving inzake gegevensbescherming of de Zwitserse wetgeving inzake gegevensbescherming (naargelang van toepassing);​​ 
ii. verwijzingen naar specifieke artikelen van "Verordening (EU) 2016/679" worden vervangen door het equivalente artikel of onderdeel van de Britse Gegevensbeschermingswetten of de Zwitserse Gegevensbeschermingswetten (indien van toepassing);​​ 
iii. verwijzingen naar "EU", "Unie", "Lidstaat Staat" en "Lidstaat Wetgeving" worden vervangen door verwijzingen naar "VK" of "Zwitserland", of "Brits recht" of "Zwitsers recht" (indien van toepassing);​​ 
iv. de term "lidstaat" mag niet zo worden geïnterpreteerd dat gegevenspersonen in het VK of Zwitserland worden uitgesloten van de mogelijkheid om hun rechten te procederen op hun woonplaats (d.w.z. het VK of Zwitserland);​​ 
v. Clausule 13(a) en Deel C van Bijlage I worden niet gebruikt en de "bevoegde toezichthoudende autoriteit" is de Britse Information Commissioner of de Zwitserse federale Data Protection Information Commissioner (indien van toepassing);​​ 
vi. verwijzingen naar de "bevoegde toezichthoudende autoriteit" en "bevoegde rechtbanken" worden vervangen door verwijzingen naar de "Information Commissioner" en de "rechtbanken van Engeland en Wales" of de "Zwitserse federale Commissaris voor gegevensbescherming" en "toepasselijke rechtbanken van Zwitserland" (indien van toepassing);​​ 
vii. in Clausule 17, worden de standaard contractuele clausules beheerst door de wetten van Engeland en Wales of Zwitserland (indien van toepassing); en​​ 
viii. Met betrekking tot overdrachten waarop de Britse wetgeving inzake gegevensbescherming van toepassing is, wordt clausule 18 gewijzigd in: "Elk geschil dat voortvloeit uit deze clausules zal worden beslecht door de rechtbanken van Engeland en Wales." Een betrokkene kan een rechtszaak aanspannen tegen de gegevensexporteur en/of gegevensimporteur voor de rechtbanken van elk land in het Verenigd Koninkrijk. De partijen komen overeen zich te onderwerpen aan de jurisdictie van dergelijke rechtbanken, en met betrekking tot overdrachten waarop de Zwitserse wetgeving inzake gegevensbescherming van toepassing is, bepaalt clausule 18(b) dat geschillen zullen worden beslecht voor de bevoegde rechtbanken van Zwitserland.​​ 
ix. Met betrekking tot gegevens die beschermd zijn door de Britse Algemene verordening gegevensbescherming (AVG), zijn de EU-SCC's als volgt van toepassing: (i) van toepassing zijn zoals ingevuld overeenkomstig de paragrafen (i) tot (viii) hierboven; en (ii) geacht te worden gewijzigd zoals gespecificeerd in Deel 2 van het VK Addendum, dat wordt beschouwd als opgenomen in en een integraal onderdeel vormt van deze DPA. Daarnaast worden tabellen 1 aan 3 in Deel 1 van het VK Addendum respectievelijk aangevuld met de informatie in Bijlage I en Bijlage II van deze DPA, en tabel 4 in Deel 1 van het VK Addendum wordt geacht voltooid te zijn door "geen van beide partijen" te selecteren.​​ 
C. Met betrekking tot de overdracht van persoonsgegevens die worden beschermd door de Braziliaanse LGPD, hetzij direct hetzij via doorgifte, naar een land buiten Brazilië dat niet onderworpen is aan een adequaatheidsbesluit van de ANPD, worden de Braziliaanse standaardcontractbepalingen geacht te zijn aangegaan en opgenomen in deze gegevensverwerkingsovereenkomst door middel van deze verwijzing, en worden als volgt aangevuld:​​ 
i. Clausule 2 van de Braziliaanse SCC's wordt vervuld door de informatie in Bijlage I, die de gegevensoverdracht beschrijft;​​ 
ii. In clausule 3 van de Braziliaanse SCC's is optie B van toepassing, waarbij verdere overdrachten zijn toegestaan overeenkomstig sectie 3.5 (“Subverwerkers”) van deze DPA. Het onderwerp, de aard en de duur van de verwerking zijn uiteengezet in Bijlage I van deze DPA;​​ 
iii. Aan clausule 4 van de Braziliaanse standaardcontractbepalingen is voldaan door de informatie in bijlage I van deze DPA. Wanneer G-P een verwerkingsverantwoordelijke is, is het de "aangewezen partij", zoals gedefinieerd in de Braziliaanse standaardcontractbepalingen (SCC's), en voor de doeleinden van clausule 14 (Transparantie), clausule 15 (Rechten van de betrokkene) en clausule 16 (Rapportage van incidenten) van de Braziliaanse SCC's. De klant blijft verantwoordelijk voor compliance van clausule 14 (Transparantie), clausule 15 (Rechten van de betrokkene) en clausule 16 Incidentrapportage) van de Braziliaanse standaardcontractbepalingen voor alle persoonsgegevens waarvan hij anderszins de verwerkingsverantwoordelijke zou kunnen zijn;​​ 
iv. In clausule 9 van de Braziliaanse standaardcontractbepalingen is de optionele koppelingsclausule niet van toepassing; en​​ 
v. Sectie III (Beveiligingsmaatregelen) van de Braziliaanse standaardcontractbepalingen wordt geacht te zijn voltooid met de informatie zoals uiteengezet in Bijlage II van deze gegevensverwerkingsovereenkomst.​​ 
4.4​​  Onvoorziene gegevensoverdrachten​​ Indien een van beide partijen tijdens de levering van de Diensten vaststelt dat er een overdracht van Persoonsgegevens plaatsvindt of waarschijnlijk zal plaatsvinden die niet reeds wordt geregeld door de mechanismen zoals uiteengezet in de artikelen 4,1 tot en met 4 3 van deze DPA, zullen de Partijen elkaar onmiddellijk op de hoogte stellen en te goeder trouw samenwerken om, zonder onnodige vertraging, de aanvullende overdrachtsmechanismen of aanvullende maatregelen te implementeren die krachtens de toepasselijke wetgeving inzake gegevensbescherming vereist zijn om de rechtmatigheid van een dergelijke overdracht te waarborgen. Geen van beide partijen is verplicht om over te gaan tot een dergelijke onvoorziene overdracht totdat het passende mechanisme is overeengekomen en in werking is gesteld.​​ 
 

Bijlage I​​  

Beschrijving van gegevensverwerking​​ 
DETAILS VAN ONAFHANKELIJKE CONTROLLER - CONTROLLERRELATIE​​ 
(Deze sectie betreft de details van persoonsgegevens die tussen de partijen worden gedeeld in hun hoedanigheid als Beheerders)​​ 
Partijen​​ 
Gegevensexporteur: Klantentiteit die de Hoofdovereenkomst uitvoert​​ 
Gegevensimporteur: Globalization Partners LLC.​​ 
Contactgegevens partijen​​ 
Contactgegevens zoals vastgelegd in de Master Agreement.​​ 
Activiteiten die relevant zijn voor de overgedragen gegevens​​ 
Activiteiten gerelateerd aan de Employer of Record Services.​​ 
Rollen​​ 
Data Exporter: Controller.​​ 
Gegevensimporteur: Controller.​​ 
Verwerkingsactiviteiten​​ 
De verwerkte/overgedragen persoonsgegevens kunnen onderworpen zijn aan de volgende verwerkingsactiviteiten: elke handeling met betrekking tot persoonsgegevens, ongeacht de gebruikte middelen en procedures, in het bijzonder het verzamelen, organiseren, opslaan, bewaren, gebruiken, opvragen, raadplegen, archiveren, verzenden, blokkeren, wissen of vernietigen van gegevens, de werking en het onderhoud van systemen, compliance van wet- en regelgeving en auditfuncties.​​ 
Duur van de verwerking​​ 
De looptijd van de raamovereenkomst en op doorlopende basis.​​ 
Aard en doel van verwerking​​ 
De klant kan klantgegevens overdragen aan G-P, waarvan de omvang wordt bepaald en gecontroleerd door de klant naar eigen goeddunken. Het doel van de verwerking is om de Employer of Record-diensten te leveren in overeenstemming met de Master Agreement.​​ 
Categorieën van Gegevenspersonen​​ 
Professionals.​​ 
Soorten persoonsgegevens​​ 
Contactgegevens (waaronder naam, adres, e-mailadres, telefoonnummer, faxnummer, contactgegevens voor noodgevallen en de bijbehorende lokale tijdzone).​​ 
Werkgegevens (waaronder mogelijk opleiding, curriculum vitae, functietitel, functieniveau, demografische gegevens, locatiegegevens, nationaliteit en compliance , salaris en bonus).​​ 
De e-mailinhoud van de betrokkenen.​​ 
Details van diensten die worden geleverd aan of ten behoeve van betrokkenen.​​ 
Speciale categorieën van gegevens (indien van toepassing)​​  
N.v.t.​​ 
Behoud​​ 
Persoonsgegevens worden ten minste bewaard zolang een wettelijk verplichte minimale bewaartermijn van toepassing is, die in overeenstemming is met de toepasselijke verjaringstermijnen en voldoet aan goede bedrijfspraktijken.​​ 
Bevoegde Toezichthoudende Autoriteit​​ 
De bevoegde toezichthoudende autoriteit wordt bepaald overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming en omvat: de Ierse Data Protection Commission (voor de EU Algemene verordening gegevensbescherming (AVG)); de Zwitserse Federale Commissaris voor Gegevensbescherming en Informatie / FDPIC (voor de Zwitserse FADP); het Britse Information Commissioner's Office / ICO (voor de Britse Algemene verordening gegevensbescherming (AVG)); en de Autoridade Nacional de Proteção de Dados / ANPD (voor de Braziliaanse LGPD).​​ 
Overgangen naar subprocessors​​  
Voor overdrachten naar verwerkers zijn het onderwerp, de aard en de duur van de verwerking hetzelfde als hierboven gedefinieerd.​​ 
G-P Privacy contactgegevens​​  
 
Attn: Global Privacy Office.​​  
 
 
 
DETAILS OVER DE RELATIE TUSSEN CONTROLLER EN PROCESSOR​​ 
(Dit gedeelte heeft betrekking op de details van de persoonsgegevens die door G-P namens de klant worden verwerkt.)​​ 
Partijen​​ 
Gegevensexporteur: Klantentiteit die de Hoofdovereenkomst uitvoert​​ 
Gegevensimporteur: Globalization Partners LLC.​​ 
Contactgegevens partijen​​ 
Contactgegevens zoals vastgelegd in de Master Agreement.​​ 
Activiteiten die relevant zijn voor de overgedragen gegevens​​ 
Activiteiten gerelateerd aan de Employer of Record Services en het gebruik van GPP die aan de klant worden geleverd als dienst.​​ 
Rollen​​ 
Data Exporter: Controller​​ 
Gegevensimporteur: Verwerker​​ 
Verwerkingsactiviteiten​​ 
De verwerkte of overgedragen persoonsgegevens kunnen onderworpen zijn aan de volgende verwerkingsactiviteiten: elke handeling met betrekking tot persoonsgegevens, ongeacht de gebruikte middelen en procedures, met name het verzamelen, organiseren, opslaan, bewaren, gebruiken, opvragen, raadplegen, archiveren, verzenden, blokkeren, wissen of vernietigen van gegevens, het bedienen en onderhoud van systemen, compliance, juridische en auditfuncties.​​ 
Duur van de verwerking​​ 
De looptijd van de raamovereenkomst en op doorlopende basis.​​ 
Aard en doel van verwerking​​ 
De klant kan klantgegevens overdragen aan G-P, waarvan de omvang wordt bepaald en gecontroleerd door de klant naar eigen goeddunken. Het doel van de verwerking is om GPP als een dienst aan de klant te leveren in overeenstemming met de Master Agreement.​​ 
Categorieën van Gegevenspersonen​​ 
Geautoriseerde gebruikers van de GPP, waaronder mogelijk werknemers en/of contractanten van de klant.​​ 
Soorten persoonsgegevens​​ 
Contactgegevens (zoals telefoonnummer en e-mail).​​ 
Gegevens van werknemers / aannemers (zoals functietitel en naam van het bedrijf).​​ 
Gebruiksgegevens (zoals gegevens over het apparaat van de geautoriseerde gebruiker en hoe dat apparaat met de GPP omgaat).​​ 
Locatiegegevens (zoals locatie afgeleid van het IP-adres).​​ 
Inhoudsgegevens (zoals de inhoud van de bestanden van de klant met betrekking tot de professionals en gerelateerde communicatie).​​ 
Inloggegevens (zoals wachtwoorden, wachtwoordhints en soortgelijke beveiligingsinformatie die wordt gebruikt voor authenticatie en accounttoegang tot de GPP).​​ 
Alle persoonsgegevens die door geautoriseerde gebruikers worden verstrekt.​​ 
Speciale categorieën van gegevens (indien van toepassing)​​  
N.v.t.​​ 
Behoud​​ 
Persoonsgegevens worden ten minste bewaard zolang een wettelijk verplichte minimale bewaartermijn van toepassing is, die in overeenstemming is met de toepasselijke verjaringstermijnen en voldoet aan goede bedrijfspraktijken.​​ 
Bevoegde Toezichthoudende Autoriteit​​ 
De bevoegde toezichthoudende autoriteit wordt bepaald overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming en omvat: de Ierse Data Protection Commission (voor de EU Algemene verordening gegevensbescherming (AVG)); de Zwitserse Federale Commissaris voor Gegevensbescherming en Informatie / FDPIC (voor de Zwitserse FADP); het Britse Information Commissioner's Office / ICO (voor de Britse Algemene verordening gegevensbescherming (AVG)); en de Autoridade Nacional de Proteção de Dados / ANPD (voor de Braziliaanse LGPD).​​ 
Overgangen naar subprocessors​​  
Voor overdrachten naar verwerkers zijn het onderwerp, de aard en de duur van de verwerking hetzelfde als hierboven gedefinieerd.​​ 
G-P Privacy contactgegevens​​  
 
Attn: Global Privacy Office.​​  
 

Bijlage II​​ 

Technische en organisatorische maatregelen​​ 

G-P is door onafhankelijke auditors gecertificeerd en geattesteerd om te bevestigen compliance aan de SOC 2 en ISO 27001 -normen. Dergelijke certificeringen tonen onze toewijding aan de beveiliging van klantgegevens aan. Het beveiligingsprogramma van G-P is ontworpen om:​​ 

Bescherm de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens in het bezit van G-P of waartoe G-P toegang heeft;​​ 

Beschermen tegen verwachte bedreigingen of gevaren voor de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens;​​ 

Beschermen tegen ongeautoriseerde of onwettige toegang, gebruik, openbaarmaking, wijziging of vernietiging van klantgegevens;​​ 

Beschermen tegen accidenteel verlies of vernietiging van, of schade aan, klantgegevens; en​​ 

Bescherm informatie zoals vastgelegd in eventuele regelgeving waarmee de G-P kan worden gereguleerd.​​ 

Het volgende beschrijft de functies, processen, controles, systemen, procedures en maatregelen die G-P heeft genomen om de veiligheid van de verwerking van klantgegevens te waarborgen:​​ 

1) TECHNISCHE MAATREGELEN OM DE PRIVACY EN BESCHERMING VAN GEGEVENS TE WAARBORGEN​​ 

Privacy door ontwerp en standaard:​​ 

G-P houdt in de concept- en ontwikkelingsfase van productontwikkeling rekening met de eisen van artikel 25 van de Algemene verordening gegevensbescherming (AVG). Processen en functionaliteiten zijn zo ingericht dat de beginselen van gegevensbescherming, zoals rechtmatigheid, transparantie, doelbinding, dataminimalisatie, enz., alsook de veiligheid van de verwerking, in een vroeg stadium worden meegenomen.​​ 

b) Versleuteling van persoonsgegevens:​​ 

Ervoor zorgen dat persoonsgegevens alleen in het systeem worden opgeslagen op een manier die het voor derden onmogelijk maakt de betrokkene te identificeren.​​ 

Database- en opslagversleuteling:​​ 

Op alle databases die door G-P worden gebruikt, wordt een encryptie "in rust" volgens de stand van de techniek toegepast, zodat de gegevens uit de database pas kunnen worden gelezen na correcte authenticatie op het betreffende databasesysteem.​​ 

Versleuteling van mobiele datadragers:​​ 

Het gebruik van mobiele dataproviders voor het opslaan van klantgegevens is niet toegestaan.​​ 

Versleuteling van datadragers op laptops:​​ 

Op alle laptops van de medewerkers is de meest geavanceerde harde schijfversleuteling geïnstalleerd.​​ 

Versleutelde uitwisseling van informatie en bestanden:​​ 

In principe vindt de uitwisseling van informatie en bestanden direct versleuteld plaats via een speciale applicatie. Indien persoonsgegevens of vertrouwelijke informatie moeten worden overgedragen naar servers die niet via TLS-versleutelde HTTPS-uploads kunnen worden verzonden, zal deze worden overgedragen met behulp van Secure File Transfer Protocol (SFTP), een versleutelde envelopservice of een ander versleuteld mechanisme conform de huidige stand van de techniek.​​ 

E-mailversleuteling:​​ 

In principe zijn alle e-mails die door medewerkers van G-P worden verzonden, versleuteld met TLS. Een uitzondering hierop kan zich voordoen als de ontvangende mailserver geen TLS ondersteunt. De klant dient ervoor te zorgen dat de betreffende mailservers die in het kader van de bestelling worden gebruikt, TLS-versleuteling ondersteunen.​​ 

c) Toelatingscontrole​​ 

Toegangscontroles zijn bedoeld en ingevoerd om te voorkomen dat onbevoegden gegevens die onder de wetgeving inzake gegevensbescherming vallen, gebruiken en verwerken.​​ 

Gebruik van authenticatiemethoden​​ 

Toegang tot persoonsgegevens verloopt altijd via versleutelde protocollen: SSH, SSL/TLS, HTTPS of vergelijkbare protocollen. Authenticatieprocedure voor IT-systeem: Aanmelden bij het IT-systeem met multifactorauthenticatie.​​ 

Automatische blokkering bij inactiviteit​​ 

Laptops die door G-P medewerkers worden gebruikt, zijn vergrendeld met een wachtwoord of pincode wanneer ze niet door de gebruiker worden gebruikt. Bovendien wordt na 15 minuten inactiviteit een automatische schermvergrendeling met wachtwoordbeveiliging ingesteld.​​ 

Gebruik van antivirussoftware​​ 

De laptops die door G-P medewerkers worden gebruikt, zijn uitgerust met geavanceerde antivirussoftware die op alle operationele en zakelijke IT-systemen up-to-date wordt gehouden. In principe mogen computers niet zonder ingebouwde virusbescherming worden gebruikt, tenzij er andere gelijkwaardige, geavanceerde beveiligingsmaatregelen zijn getroffen of er geen risico bestaat. De standaard beveiligingsinstellingen mogen niet worden gedeactiveerd of omzeild.​​ 

"Beleid voor een opgeruimd bureau"​​ 

Werknemers van G-P krijgen de instructie om persoonlijke gegevens van betrokkenen niet uit te printen of lokaal op te slaan, geen werkmaterialen achter te laten op een plek waar deze door derden kunnen worden inzicht, en alle werkmaterialen correct op te slaan. Documenten die G-P wettelijk verplicht is in papieren vorm te bewaren, worden bewaard in afgesloten kasten.​​ 

d) Toegangscontrole binnen het Platform​​ 

Toegangscontroles zorgen ervoor dat personen die gemachtigd zijn om een verwerkingssysteem te gebruiken, alleen toegang hebben tot de persoonsgegevens die onder hun toegangsautorisatie vallen.​​ 

Rollen en autorisatie​​ 

Rollen- en Platform – Klanttoegang: Klantgebruikers kunnen klantaccountinformatie bekijken en bewerken.​​ 

Rollen- en Platform – Professionele toegang Professionele gebruikers kunnen hun eigen professionele gegevens bekijken en bewerken.​​ 

Professionals kunnen, indien nodig en na goedkeuring, ook de rol 'Klanttoegang' verkrijgen.​​ 

Rollen en autorisatie Platform – Interne Toegang​​ 

Interne gebruikers hebben uiteenlopende rollen. Ze hebben verschillende toegangsmogelijkheden om het volgende te creëren, bekijken, bewerken en goedkeuren:​​ 

Klantinformatie​​ 

Factureringsinformatie​​ 

Partnerinformatie​​ 

Informatie over professionele personeelsdossiers​​ 

Toegang tot het administratiesysteem is over het algemeen beperkt tot getrainde medewerkers op het gebied van klantondersteuning en productontwikkeling.​​ 

e) Firewall als een service​​ 

G-P gebruikt een externe firewall als een dienst waarmee het toegang tot websites kan verlenen of blokkeren, zodat systemen geen toegang kunnen krijgen tot kwaadaardige inhoud en om toegang tot ongepaste inhoud te beperken.​​ 

f) Registratie van inloggegevens bij de Platform​​ 

G-P houdt een register bij van alle inlogactiviteiten.​​ 

g) Scheidbaarheid​​ 

Ervoor zorgen dat persoonsgegevens die voor verschillende doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt en gescheiden worden van andere gegevens en systemen, zodat onbedoeld gebruik van deze gegevens voor andere doeleinden wordt uitgesloten.​​ 

Scheiding van ontwikkel-, test- en operationele omgevingen​​ 

Gegevens uit de operationele omgeving mogen alleen naar test- of ontwikkelomgevingen worden overgebracht als ze vóór de overdracht volledig geanonimiseerd zijn. De overdracht van de geanonimiseerde gegevens moet versleuteld zijn of via een betrouwbaar netwerk verlopen.​​ 

Software die naar de operationele omgeving wordt overgezet, moet eerst worden getest in een identieke testomgeving ("staging"). Programma's voor foutanalyse of het maken/compileren van software mogen alleen in de besturingsomgeving worden gebruikt als dit niet anders kan. Dit is met name het geval wanneer foutsituaties afhankelijk zijn van gegevens die zouden worden vervalst vanwege de vereisten voor anonimisering bij overdracht naar testomgevingen.​​ 

Scheiding in netwerken​​ 

G-P scheidt zijn netwerken op basis van taken. De volgende netwerken worden permanent gebruikt: operationele omgeving ("Productie"), testomgeving ("Staging", "Sandbox"), ontwikkelomgeving ("Dev"), kantoor-IT-medewerkers. Naast deze netwerken worden er indien nodig nog meer aparte netwerken aangemaakt, bijvoorbeeld voor hersteltests en penetratietests. Afhankelijk van de technische mogelijkheden worden de netwerken fysiek gescheiden of via virtuele netwerken.​​ 

h) Beschikbaarheidscontrole​​ 

G-P neemt de volgende stappen om ervoor te zorgen dat persoonsgegevens worden beschermd tegen onbedoelde vernietiging of verlies.​​ 

Gegevensbeschermingsprocedures/back-ups​​ 

Om voldoende beschikbaarheid te garanderen, maakt G-P dagelijks momentopnamen van de database met replicatie naar een andere regio. Er worden ook maatregelen genomen om ervoor te zorgen dat medewerkers die vanwege hun functie gegevens moeten kunnen inzien, alleen toegang krijgen tot replica's van de datasets.​​ 

Geo-redundantie met betrekking tot de serverinfrastructuur van productieve data en back-ups​​ 

IT-incidentbeheer ("Incident Response Management")​​ 

Er bestaat een concept en gedocumenteerde procedures voor het afhandelen van incidenten en veiligheidsgerelateerde gebeurtenissen. Dit omvat de planning en voorbereiding van de reactie op incidenten, procedures voor het monitoren, detecteren en analyseren van beveiligingsrelevante gebeurtenissen en de vaststelling van de bijbehorende verantwoordelijkheden en meldingskanalen in geval van een schending van de bescherming van persoonsgegevens binnen het kader van de wettelijke vereisten.​​ 

2) Organisatorische maatregelen ter waarborging van gegevensprivacy en -bescherming​​ 

G-P heeft de volgende organisatorische maatregelen ingevoerd om ervoor te zorgen dat de organisatie opereert op een manier die voldoet aan de privacy- en beschermingseisen.​​ 

a) Organisatie-instructies​​ 

G-P heeft een datagovernanceprogramma ontwikkeld en ontwikkelt dat onder andere beleidslijnen, procedures en richtlijnen bevat voor medewerkers om te volgen. De documentatie beschrijft hoe gegevensprivacyproblemen kunnen worden geïdentificeerd en beheerd, de beste werkwijzen om compliance van de privacywetgeving te waarborgen en het beleid voor het afhandelen van privacyincidenten.​​ 

b) Toewijding aan vertrouwelijkheid en gegevensbescherming​​ 

G-P heeft een datagovernanceprogramma ontwikkeld en ontwikkelt dat onder andere beleidslijnen, procedures en richtlijnen bevat voor medewerkers om te volgen. Alle werknemers en opdrachtnemers zijn schriftelijk gebonden aan vertrouwelijkheid en gegevensbescherming, evenals andere relevante wetten. Alle medewerkers krijgen training in privacy en beveiliging. Interne audits op het gebied van gegevensbescherming en informatiebeveiliging worden regelmatig uitgevoerd. Audits worden uitgevoerd op basis van gemeenschappelijke testcriteria/-schema's. De werknemers en aannemers van G-P zijn geïnstrueerd om persoonsgegevens uitsluitend om wettige redenen te verwerken, overeenkomstig toepasselijke contracten met de klant en professional, met de nodige rekening met eventuele uitdrukkelijke toestemming die door de betrokkene is gegeven of achtergehouden, en in overeenstemming met eventuele wettelijke plicht van de organisatie.​​ 

c) Training in gegevensbescherming​​ 

Alle medewerkers ontvangen privacy- en beveiligingstrainingen die op elk moment beschikbaar blijven voor inzicht in het G-P trainingsplatform.​​ 

d) Fysieke toegangscontrole​​ 

G-P heeft de volgende fysieke beveiligingsmaatregelen getroffen om te voorkomen dat onbevoegden toegang krijgen tot de IT-systemen en -apparatuur die voor de verwerking worden gebruikt.​​ 

Elektronische deurbeveiliging​​ 

De toegangsdeuren van G-P zijn altijd vergrendeld en elektronisch beveiligd. De deuren worden geopend met behulp van een persoonlijke elektronische transponder.​​ 

Gecontroleerde verdeling van sleutels​​ 

Er vindt een centrale, gedocumenteerde toewijzing van sleutels aan de werknemers van G-P plaats. Deze elektronische transponders/sleutels kunnen centraal worden gedeactiveerd door elke kantoormanager of de afdeling People Middelen.​​ 

Toezicht en begeleiding van externe personen​​ 

Externe dienstverleners en andere derden mogen alleen toegang krijgen tot het pand na voorafgaande toestemming of onder begeleiding van een medewerker van G-P. G-P hanteert het schriftelijke bezoekersbeleid wanneer bezoekers op het terrein worden uitgenodigd.​​ 

Beveiliging van panden met een verhoogde behoefte aan bescherming​​ 

Ruimtes of kasten met verhoogde beveiligingsvereisten, zoals advocatenkantoren en bepaalde operationele locaties, zijn uitgerust met afsluitbare kasten en laden. Kasten en lades waarin juridische documenten, contracten en vertrouwelijke documenten worden bewaard, moeten te allen tijde op slot zijn, behalve wanneer ze in gebruik zijn.​​ 

Gesloten deuren en ramen​​ 

Medewerkers krijgen organisatorisch de instructie om ramen en deuren gesloten of op slot te houden buiten kantooruren.​​ 

e) Herstelbaarheid​​ 

G-P zorgt ervoor dat systemen die in gebruik zijn, kunnen worden hersteld in geval van een fysieke of technische storing.​​ 

Regelmatige tests van het gegevensherstel ("Restore-Tests")​​ 

Er worden regelmatig volledige hersteltests uitgevoerd om de herstelbaarheid in geval van een noodsituatie of ramp te garanderen.​​ 

Noodplan ("Disaster Recovery Concept")​​ 

Er is een concept voor de behandeling van noodsituaties/rampen en een bijbehorend noodplan. G-P zorgt voor het herstel van alle systemen op basis van de data-back-ups/back-ups, meestal binnen 48 uur.​​ 

Beoordelings- en evaluatiemaatregelen​​ 

Presentatie van de procedures voor regelmatige beoordeling, beoordeling en evaluatie van de effectiviteit van de technische en organisatorische maatregelen.​​ 

f) Privacyteam​​ 

De organisatie heeft een wereldwijd bureau voor gegevensbescherming dat belast is met het plannen, implementeren, evalueren en aanpassen van maatregelen op het gebied van gegevensbescherming.​​ 

g) Risicomanagement​​ 

Er is een proces voor het analyseren, evalueren en toewijzen van risico's en voor het afleiden van maatregelen op basis van deze risico's.​​ 

3) ONAFHANKELIJKE BEOORDELING VAN INFORMATIEBEVEILIGING​​ 

Uitvoering van audits​​ 

Er worden regelmatig interne audits uitgevoerd op het gebied van gegevensbescherming en informatiebeveiliging. Audits worden uitgevoerd op basis van gemeenschappelijke testcriteria/schema's.​​ 

b) Beoordeling van compliance met beveiligingsbeleid en -standaarden​​ 

De naleving van de geldende beveiligingsrichtlijnen, -normen en andere beveiligingsvereisten voor de verwerking van persoonsgegevens wordt regelmatig gecontroleerd. Waar mogelijk worden deze controles willekeurig en onverwacht uitgevoerd.​​ 

c) Verificatie van compliance met technische specificaties​​ 

Regelmatig worden door de IT-afdeling of ander gekwalificeerd personeel geautomatiseerde en handmatige kwetsbaarheidsscans uitgevoerd om de beveiliging van de applicaties en infrastructuur te controleren, evenals de doorlopende productontwikkeling. Een externe dienstverlener voert gedetailleerde penetratietests uit om de applicaties en infrastructuur specifiek te onderzoeken op kwetsbaarheden.​​ 

d) Verwerking op instructie​​ 

De werknemers van G-P zijn geïnstrueerd om persoonsgegevens uitsluitend om wettelijke redenen te verwerken, overeenkomstig toepasselijke contracten met de klant en de professional, met inachtneming van eventuele uitdrukkelijke toestemming die door de betrokkene wordt gegeven of achtergehouden, en in overeenstemming met eventuele wettelijke plicht van de organisatie.​​ 

e) Zorgvuldige selectie van leveranciers​​ 

G-P houdt zich aan het Supplier Prequalification Process bij het selecteren van leveranciers en leveranciers die mogelijk beschermde gegevens tegenkomen. Dit proces omvat feedback van de afdelingen Financiën en Juridisch/Privacy en omvat risicobeoordeling, beveiligingsprekwalificatie en documentatiecertificeringstappen. Leveranciers die beschermde gegevens verwerken, moeten aantonen dat zij voldoen aan de toepasselijke gegevensbeschermingswetten, waaronder Artikel 28 Algemene verordening gegevensbescherming (AVG) voor gedekte gegevens​​ 

Bijlage III​​ 

Lijst van Subprocessors​​ 
Subprocessor​​ 
Locatie en contactinformatie​​ 
Beschrijving van de verwerking​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, VS​​ 
Financiële dienstverlening​​ 
P.O. Box 81226​​ 
Seattle, WA 98108-1226, VS​​ 
Hosting – Cloud Services Provider​​ 
Microsoft Corporation One Microsoft Way​​ 
Redmond, Washington 98052 VS Telefoon: (+1) 425-882-8080.​​ 
Ondersteuning van bedrijfsprocessen voor communicatie (e-mail) en dienstenbeheer​​ 
350 Bush Street Vloer 13​​ 
San Francisco, CA 94104, VS​​ 
+1 415 701 1110​​ 
Ondersteuning van bedrijfsprocessen voor dienstenbeheer​​ 
DocuSign International (EMEA) Ltd, Attentie: Privacy Team, 5 Hanover Quay, Ground Floor, Dublin 2, Republiek Ierland​​ 
Documentbeheer​​ 
Salesforce Tower, 415 Mission Street, 3Rd Floor, San Francisco, CA 94105, VS​​ 
1-800-387-3285​​ 
Business Process Support voor Customer Relationship Management (CRM)​​ 
989 Market St​​ 
San Francisco, CA 94103, VS​​ 
888-670-4887​​ 
Helpdesk-vragen voor klantondersteuning​​ 
2225 Lawson Lane Santa Clara, CA , 95054​​ 
VS​​ 
Bedrijfsprocesondersteuning voor IT-service- en operationeel beheer, de werknemers- en klantervaringen via (​​ geautomatiseerde cloudgebaseerde workflow)​​ 
160 Spear Street, 15e verdieping San Francisco, CA 94105 1-866-330-0121​​ 
VS​​ 
Cloud datawarehouse-infrastructuur.​​ 
620 8e​​  Ave 45​​ e​​  Vloer​​ 
New York, NY 10018​​ 
VS​​ 
Service monitoring en debugging tool​​ 
Avenue Louise 54, Kamers52,​​ 
1050 Brussel​​ 
België​​ 
Online betalingsverwerker​​ 
1600 Amfitheater Pkwy, Mountain View, CA 94043​​ 
Business Process Support voor communicatie (e-mail) en interne documentopslag​​