1. Toepassingsgebied

1.1. Deze gegevensverwerkingsovereenkomst (“Gegevensverwerkingsovereenkomst”) is van toepassing op de Verwerking van persoonsgegevens in verband met de levering door TRAXXEO van de MYLEGALDOCS BY TRAXXEO Cloud Service.

1.2. In het geval van een conflict of inconsistentie tussen deze Gegevensverwerkingsovereenkomst en enige andere overeenkomst met u waarin de voorwaarden van de levering van TRAXXEO Cloud Services worden beschreven, prevaleren de voorwaarden van deze Gegevensverwerkingsovereenkomst.

2. Definities

2.1. “Wet van toepassing op gegevensbescherming” betekent Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna de “AVG”), van kracht vanaf 25 mei 2018; en (ii) enige andere wet- of regelgeving inzake gegevensbescherming of gegevensprivacy die van toepassing is op de verwerking van persoonsgegevens onder deze Gegevensverwerkingsovereenkomst;

2.2. “U” betekent de klantentiteit van TRAXXEO;

2.3. “Gegevenshouder”, “Gegevenssubject”, “Gegevensbeschermingseffectbeoordelingen”, “Gegevensbeschermingsfunctionaris”, “Verwerken”, “Toezichthoudende Autoriteit”, “Verwerkingsverantwoordelijke”, “Verwerker” en “Bindende bedrijfsregels” (of enige andere equivalente term) hebben de betekenis die eraan wordt gegeven in de AVG;

2.4. “Standaardcontractbepalingen” betekent de modelcontractbepalingen die zijn gehecht aan Besluit 2010/87/EU van 5 februari 2010 van de Europese Commissie met betrekking tot de doorgifte van persoonsgegevens aan verwerkers die in derde landen zijn gevestigd overeenkomstig Richtlijn 95/46/EG, of enige andere opvolger van de modelcontractbepaling die is aangenomen ingevolge een besluit van de Europese Commissie;

2.5. “Persoonsgegevens” betekent alle informatie met betrekking tot een Betrokkene die TRAXXEO namens U kan verwerken in verband met de Cloud Services;

2.6. “Gevoelige of bijzondere categorieën van persoonsgegevens” betekent gegevens met betrekking tot ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of vakbondslidmaatschap, evenals genetische gegevens, biometrische gegevens die de identificatie van een unieke natuurlijke persoon mogelijk maken, gegevens over gezondheid of gegevens over het seksleven of seksuele geaardheid en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

2.7. “Externe verwerker” betekent een externe verwerker ingeschakeld door TRAXXEO die persoonsgegevens kan verwerken zoals uiteengezet in artikel 3.3.

3. Verantwoordelijke en Verwerker van persoonsgegevens en doel van verwerking

3.1. U bent en blijft te allen tijde de Verwerkingsverantwoordelijke van de persoonsgegevens die door TRAXXEO worden verwerkt onder deze Gegevensverwerkingsovereenkomst. U bent verantwoordelijk voor uw verplichtingen als verwerkingsverantwoordelijke onder de toepasselijke wetgeving inzake gegevensbescherming, inclusief het rechtvaardigen van elke overdracht van persoonsgegevens aan TRAXXEO (inclusief het verstrekken van vereiste kennisgevingen en het verkrijgen van de nodige toestemmingen en/of autorisaties, of het bepalen van een geschikte wettelijke basis onder de toepasselijke wetgeving inzake gegevensbescherming), en uw beslissingen en acties met betrekking tot de verwerking van dergelijke persoonsgegevens.

3.2. TRAXXEO is en blijft te allen tijde een Verwerker van de persoonsgegevens die U aan TRAXXEO heeft verstrekt onder deze Gegevensverwerkingsovereenkomst. TRAXXEO is verantwoordelijk voor het nakomen van haar verplichtingen onder deze Gegevensverwerkingsovereenkomst en haar verplichtingen als Verwerker onder de Toepasselijke Wetgeving inzake Gegevensbescherming.

3.3. TRAXXEO en iedereen die handelt onder het gezag van TRAXXEO, inclusief externe Verwerkers zoals gedefinieerd in artikel 8, zullen persoonsgegevens alleen verwerken voor de volgende doeleinden:

• om de Cloud Services te leveren in overeenstemming met de Klantovereenkomst en deze Verwerkersovereenkomst;
• om te voldoen aan uw schriftelijke instructies onder artikel 5, of;
• om te voldoen aan de wettelijke verplichtingen van TRAXXEO onder artikel 14.

4. Categorieën van Persoonsgegevens en Betrokkenen

4.1. Om de Cloud Services uit te voeren en afhankelijk van de Cloud Services die u hebt besteld, kan TRAXXEO sommige of alle van de volgende categorieën van persoonsgegevens verwerken: contactgegevens en persoonlijke informatie zoals naam, nationaal identificatienummer, thuisadres, vast of mobiel telefoonnummer, e-mailadres, geboortedatum, wachtwoorden en juridische documenten; informatie zoals naam van de werkgever, functietitel, salaris en andere secundaire arbeidsvoorwaarden, werkprestaties en andere vaardigheden, graden/kwalificaties; geolocatiegegevens zoals huidige positie of afgelegde afstanden op basis van voertuig- of apparaatgegevens; prestatiegegevens zoals werkzaamheden, afwezigheden, check-ins.

4.2. De categorieën Gegevenssubjecten van wie persoonsgegevens kunnen worden verwerkt om de Cloud Services uit te voeren, omvatten Uw vertegenwoordigers en eindgebruikers, zoals Uw werknemers, kandidaten, uitzendkrachten, aannemers, onderaannemers, medewerkers, partners, leveranciers en klanten.

4.3. Tenzij anders aangegeven in Uw bestelling, mag Uw inhoud geen gevoelige of speciale categorie van persoonsgegevens bevatten die TRAXXEO specifieke beveiligings- of gegevensbeschermingsverplichtingen oplegt naast of anders dan die uiteengezet in deze Gegevensverwerkingsovereenkomst.

5. Uw instructies

5.1. TRAXXEO zal persoonsgegevens verwerken volgens uw schriftelijke instructies zoals gespecificeerd in deze Gegevensverwerkingsovereenkomst.
5.2. U kunt TRAXXEO schriftelijk aanvullende instructies geven met betrekking tot de verwerking van persoonsgegevens in overeenstemming met de toepasselijke Wetgeving inzake gegevensbescherming. TRAXXEO zal al uw instructies opvolgen voor zover nodig zodat TRAXXEO:

• voldoet aan haar verplichtingen als Verwerker onder Toepasselijk Gegevensbeschermingsrecht;
• U helpt bij het nakomen van Uw verplichtingen als Verwerkingsverantwoordelijke onder de toepasselijke Wetgeving inzake gegevensbescherming met betrekking tot uw gebruik van de Cloud Services, inclusief hulp bij het melden van Inbreuken op persoonsgegevens zoals uiteengezet in artikel 11 en verzoeken van Betrokkenen zoals uiteengezet in artikel 6.

5.3. Voor zover vereist door de toepasselijke Wetgeving inzake gegevensbescherming, zal TRAXXEO U onmiddellijk op de hoogte stellen als, naar haar mening, Uw instructies in strijd zijn met de toepasselijke Wetgeving inzake gegevensbescherming. U erkent hierbij en stemt ermee in dat TRAXXEO niet verantwoordelijk is voor het uitvoeren van juridisch onderzoek en/of het verstrekken van juridisch advies aan U.

5.4. Onverminderd de verplichtingen van TRAXXEO onder dit artikel 5, zullen de partijen te goeder trouw onderhandelen met betrekking tot de kosten of vergoedingen die TRAXXEO kan oplopen om te voldoen aan de instructies met betrekking tot de Verwerking van persoonsgegevens die het gebruik van aanvullende of andere bronnen dan die nodig zijn om de Cloud Services te leveren.

6. Rechten van de Betrokkenen

6.1. TRAXXEO zal u elektronische toegang verlenen tot uw Cloud Services-omgeving die persoonsgegevens bevat om u in staat te stellen te reageren op verzoeken van Betrokkenen om hun rechten uit te oefenen onder de toepasselijke Wetgeving inzake gegevensbescherming, inclusief verzoeken om toegang, verwijdering, beperking, rectificatie , ontvangst en overdraagbaarheid, blokkering van toegang of bezwaar tegen de verwerking van bepaalde persoonsgegevens of datasets van persoonlijke aard.

6.2. Voor zover u niet over dergelijke elektronische toegang beschikt, kunt u een “Serviceverzoek” indienen door contact op te nemen met TRAXXEO Support via: support@traxxeo.com en gedetailleerde schriftelijke instructies te geven aan TRAXXEO (inclusief persoonsgegevens die nodig zijn om de Betrokkene te identificeren) over hoe te reageren op dergelijke verzoeken van Betrokkenen met betrekking tot Persoonsgegevens die worden bewaard in uw Cloud Services-omgeving. TRAXXEO zal dergelijke instructies onmiddellijk uitvoeren. Indien van toepassing, zullen de partijen te goeder trouw onderhandelen over de kosten of vergoedingen die TRAXXEO waarschijnlijk zal maken om te voldoen aan de instructies die de mobilisatie van andere of aanvullende middelen vereisen dan die welke nodig zijn voor het leveren van de Cloud Services.

6.3. Als TRAXXEO rechtstreeks verzoeken van een Betrokkene om Persoonsgegevens ontvangt, zal TRAXXEO dergelijke verzoeken onmiddellijk kosteloos naar u doorsturen, zonder te reageren op de Betrokkene als de Betrokkene u identificeert als de Verwerkingsverantwoordelijke. Als de Betrokkene u niet identificeert als de Gegevensbeheerder, zal TRAXXEO de Betrokkene vragen contact op te nemen met de entiteit die verantwoordelijk is voor het verzamelen van zijn persoonsgegevens.

7. Overdracht van persoonsgegevens

7.1. Persoonlijke gegevens die in uw Cloud Services-omgeving worden bewaard, worden gehost in het door TRAXXEO geselecteerde datacenter binnen de Europese Unie. TRAXXEO zal uw Cloud Services-omgeving niet migreren naar een datacenter in een andere regio zonder uw voorafgaande schriftelijke toestemming.

7.2. Zonder afbreuk te doen aan paragraaf 7.1, mag TRAXXEO toegang hebben tot persoonsgegevens en die verwerken op Europese schaal voor zover nodig om de Cloud Services uit te voeren, inclusief voor IT-beveiliging, onderhoud en prestaties van de Cloud Services en gerelateerde infrastructuur, Cloud Services technische ondersteuning en Cloud Services-beheer.

7.3. In geen geval zullen persoonlijke gegevens worden doorgegeven aan externe verwerkers in landen buiten de Europese Economische Ruimte (“EER”) of Zwitserland, die niet zijn onderworpen aan een bindend adequaatheidsbesluit van de Europese Commissie of een bevoegde nationale gegevensbeschermingsautoriteit in de EER.

8. Externe TRAXXEO Verwerkers

8.1. Met inachtneming van de bepalingen van artikelen 3.3, 7 en 8, stemt u ermee in dat TRAXXEO externe Verwerkers kan inschakelen om TRAXXEO bij te staan bij de uitvoering van de Cloud Services.

8.2. TRAXXEO houdt lijsten bij van externe Verwerkers die mogelijk persoonsgegevens verwerken. Deze lijsten worden u ter beschikking gesteld in de bijlage bij deze overeenkomst. We zullen u op de hoogte stellen van elke substantiële wijziging van deze lijst en u stemt ermee in u niet op onredelijke wijze tegen deze wijzigingen te verzetten. Als U een wijziging niet wenst te accepteren en er geen overeenkomst kan worden bereikt tussen de partijen die te goeder trouw onderhandelen, hebt U het recht om de Cloud Services te beëindigen in overeenstemming met de voorwaarden van de Klantovereenkomst.

8.3. Externe Verwerkers zijn verplicht om een niveau van gegevensbescherming en -beveiliging te bieden dat ten minste gelijkwaardig is aan het niveau dat TRAXXEO toepast op de verwerking van persoonsgegevens onder deze Gegevensverwerkingsovereenkomst.

8.4. Behoudens artikel 12, blijft TRAXXEO te allen tijde verantwoordelijk voor het nakomen van de verplichtingen van externe Verwerkers in overeenstemming met de voorwaarden van deze Gegevensverwerkingsovereenkomst en de toepasselijke Wetgeving inzake gegevensbescherming.

9. Technische en organisatorische maatregelen en vertrouwelijkheid van de verwerking

9.1. TRAXXEO heeft passende technische en organisatorische beveiligingsmaatregelen geïmplementeerd en zal deze handhaven voor de Verwerking van persoonsgegevens. Deze maatregelen houden rekening met de aard, omvang en het doel van de verwerking zoals bepaald in deze Verwerkersovereenkomst en hebben tot doel persoonsgegevens te beschermen tegen de risico’s die inherent zijn aan de verwerking van persoonsgegevens persoonlijk karakter in verband met de uitvoering van de Cloud Services, in het bijzonder de risico’s van onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens die op een andere manier worden verzonden, opgeslagen of verwerkt.

9.2. TRAXXEO heeft passende beveiligingscontroles en maatregelen geïmplementeerd voor fysieke toegang, systeemtoegang, gegevenstoegang, verzending en codering, gegevensinvoer, gegevensback-up, gegevensscheiding en monitoring. Een gedetailleerde lijst van deze controles en beveiligingsmaatregelen zal aan U ter beschikking worden gesteld op eenvoudig schriftelijk verzoek aan het adres: support@traxxeo.com.

9.3. TRAXXEO verbindt zich ertoe om de vertrouwelijkheid van alle Persoonsgegevens te bewaren en deze op geen enkele manier bekend te maken aan een derde partij zonder de voorafgaande toestemming van het bedrijf, behalve wanneer (1) dergelijke bekendmaking noodzakelijk is voor het uitvoeren van de Verwerking (bijvoorbeeld in in het geval van een Overdracht aan een Verwerker), (2) behoudens artikel 14, moeten de persoonsgegevens worden bekendgemaakt aan een bevoegde overheidsinstantie om te voldoen aan een wettelijke verplichting of voor auditdoeleinden.

9.4. Alle TRAXXEO-medewerkers, evenals alle externe Verwerkers die mogelijk toegang hebben tot persoonlijke gegevens, zijn onderworpen aan vertrouwelijkheidsovereenkomsten die zijn aangepast aan de nagestreefde doeleinden. TRAXXEO verleent alleen toegang tot gegevens aan haar werknemers of externe Verwerkers voor zover strikt noodzakelijk om de verwerking uit te voeren.

10. Auditrechten en samenwerking met u en uw toezichthoudende autoriteiten

10.1. U kunt eenmaal per jaar controleren of TRAXXEO haar verplichtingen onder deze Gegevensverwerkingsovereenkomst nakomt. Daarnaast kunnen U of Uw Toezichthoudende Autoriteit, voor zover vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming, inclusief waar Uw Toezichthoudende Autoriteit dit aangeeft, vaker audits uitvoeren, waaronder inspecties van datacenters, gegevens van de Cloud Service die persoonsgegevens verwerkt. TRAXXEO zal U assisteren bij het uitvoeren van dergelijke audits door U of Uw Toezichthoudende Autoriteit de informatie en hulp te bieden die redelijkerwijs nodig is om de audit uit te voeren, inclusief alle relevante verslagen van verwerkingsactiviteiten die van toepassing zijn op de Cloud Services die U hebt besteld.

10.2. Wanneer een derde partij vereist is om de audit uit te voeren, moet met een dergelijke derde partij worden ingestemd door U en TRAXXEO (tenzij een dergelijke derde partij optreedt als de bevoegde Toezichthoudende Autoriteit). TRAXXEO mag niet op onredelijke gronden weigeren om toestemming te geven voor een audit die op Uw verzoek wordt uitgevoerd door een derde partij. De derde partij moet een schriftelijke vertrouwelijkheidsovereenkomst ondertekenen die aanvaardbaar is voor TRAXXEO of anderszins gebonden zijn aan een wettelijke geheimhoudingsplicht alvorens verder te gaan met de audit.

10.3. Om een audit aan te vragen, bent u verantwoordelijk voor het indienen bij TRAXXEO van een gedetailleerd voorstel voor een auditplan, ten minste twee weken voor de voorgestelde datum voor de audit. Het voorgestelde auditplan moet met name de reikwijdte, duur en startdatum van de audit beschrijven. TRAXXEO zal het voorgestelde auditplan beoordelen en u op de hoogte stellen van eventuele zorgen of vragen (bijvoorbeeld verzoeken om informatie die de veiligheid, privacy, werkgelegenheid of ander TRAXXEO-beleid in gevaar kunnen brengen). TRAXXEO zal te goeder trouw met u samenwerken om overeenstemming te bereiken over een definitief auditplan.

10.4. De audit moet worden uitgevoerd tijdens de normale werkuren in de relevante faciliteit, met inachtneming van het overeengekomen definitieve auditplan en het gezondheids- en veiligheidsbeleid of ander toepasselijk beleid van TRAXXEO, en mag de zakelijke activiteiten van TRAXXEO niet op onredelijke wijze verstoren.

10.5. U zult TRAXXEO voorzien van elk auditrapport dat is opgesteld in verband met een audit die is uitgevoerd onder dit artikel 10, tenzij verboden door de toepasselijke Wetgeving inzake gegevensbescherming of een Toezichthoudende Autoriteit u anders opdraagt. U mag de auditrapporten alleen gebruiken om te voldoen aan uw wettelijke auditvereisten en/of om te bevestigen dat u voldoet aan de vereisten van deze Gegevensverwerkingsovereenkomst. De auditrapporten vormen vertrouwelijke informatie van partijen in overeenstemming met de bepalingen van de Cloud Services Overeenkomst.

10.6. Elke audit wordt uitgevoerd op uw kosten. De partijen moeten te goeder trouw onderhandelen over de kosten of honoraria die TRAXXEO waarschijnlijk zal maken om assistentie te verlenen in het kader van een audit die de mobilisatie vereist van middelen die verschillen van of een aanvulling vormen op die welke nodig zijn voor het leveren van de Cloud Services.

11.Incidentbeheer en melding van inbreuk op persoonsgegevens

11.1. TRAXXEO verbindt zich ertoe om incidenten die aanleiding geven tot vermoedens of die wijzen op ongeoorloofde toegang tot persoonsgegevens of de verwerking ervan (“Incident”), snel te beoordelen en erop te reageren. Al het personeel van TRAXXEO dat toegang heeft tot persoonsgegevens of verantwoordelijk is voor de verwerking ervan, wordt geïnstrueerd om in te grijpen in het geval van een incident, onder meer door een snelle interne melding uit te voeren en door procedures voor escalatie en bewakingsketens op te zetten om potentiële bewijs. De overeenkomsten van TRAXXEO met externe Verwerkers bevatten vergelijkbare verplichtingen voor het melden van incidenten.

11.2. Wanneer TRAXXEO zich bewust wordt van en vaststelt dat een Incident wordt beschouwd als een inbreuk op de beveiliging die leidt tot verduistering of onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens die zijn verzonden, opgeslagen of anderszins verwerkt op TRAXXEO-systemen of in de Cloud Services-omgeving, die de veiligheid, vertrouwelijkheid of integriteit van dergelijke persoonsgegevens in het gedrang brengt (een “Inbreuk in verband met persoonsgegevens”), zal TRAXXEO U onverwijld, uiterlijk binnen 24 uur, op de hoogte stellen van een dergelijke Inbreuk in verband met persoonsgegevens door een e-mail te sturen mail naar uw functionaris voor gegevensbescherming – of uw contactpersoon voor gegevensbescherming of de gegevensbeveiliging, als hun contactgegevens aan TRAXXEO zijn verstrekt. In het geval dat TRAXXEO dergelijke contactgegevens niet heeft ontvangen, stuurt TRAXXEO de informatie naar de contactpersoon vermeld in de Klantenovereenkomst.

11.3. TRAXXEO verbindt zich ertoe redelijke maatregelen te nemen om de onderliggende oorzaak(en) van de Inbreuk in verband met persoonsgegevens te identificeren, eventuele nadelige gevolgen te beperken en herhaling te voorkomen.

11.4. Behalve zoals anders vereist door de toepasselijke Wetgeving inzake gegevensbescherming, komen de partijen overeen om te goeder trouw te coördineren om de inhoud te ontwikkelen van een gerelateerde openbare verklaring of kennisgeving die vereist is voor Gegevenssubjecten en/of kennisgeving aan bevoegde Toezichthoudende Autoriteiten.

12. Teruggave en verwijdering van persoonlijke gegevens bij beëindiging van Cloud Services

12.1. Na beëindiging van de Cloud Services zal TRAXXEO Uw persoonsgegevens die dan beschikbaar zijn in Uw Cloud Services-omgeving teruggeven of beschikbaar stellen voor opvraging.

12.2. Na beëindiging van de Cloud Services of het verstrijken van de herstelperiode na beëindiging van de Cloud Services (indien van toepassing), zal TRAXXEO onmiddellijk stoppen met het verwerken en alle kopieën van persoonsgegevens verwijderen uit de omgeving Cloud Services door dergelijke persoonsgegevens onherstelbaar te maken, tenzij anders vereist volgens de wet.

13. Wettelijk vereiste openbaarmakingsverzoeken

13.1.  Als TRAXXEO een dagvaarding ontvangt of het onderwerp is van een gerechtelijk, administratief of arbitraal bevel van een uitvoerende of administratieve instantie, een regelgevende instantie of enige andere overheidsinstantie met betrekking tot de Verwerking van persoonsgegevens (“Verzoek om openbaarmaking”), zal TRAXXEO onmiddellijk dit openbaarmakingsverzoek naar u doorsturen zonder erop te reageren, tenzij vereist door de toepasselijke wetgeving (in het bijzonder om een ontvangstbevestiging af te geven aan de autoriteit die het openbaarmakingsverzoek heeft gedaan).

13.2. Op Uw verzoek zal TRAXXEO U voorzien van redelijke informatie waarover zij beschikt die kan reageren op het Openbaarmakingsverzoek en alle hulp die redelijkerwijs nodig is om U in staat te stellen tijdig te reageren op het Openbaarmakingsverzoek.

14. Functionaris voor Gegevensbescherming

14.1. TRAXXEO heeft een Data Protection Officer (DPO) aangesteld. Er kan op elk moment contact worden opgenomen met de DPO door een verzoek te sturen naar: dpo@traxxeo.com.

14.2. Als u een functionaris voor gegevensbescherming heeft aangesteld, kunt u TRAXXEO vragen om de contactgegevens van uw functionaris voor gegevensbescherming in de bestelling op te nemen, of kunt u vervolgens de relevante contactgegevens elektronisch aan TRAXXEO verstrekken op het adres: dpo@traxxeo.com.

Bijlage 1: Externe Verwerkers