Dit addendum voor gegevensverwerking ("DPA") is een formele overeenkomst tussen Simbase INC., een vennootschap naar het recht van de staat Delaware ("Simbase") en de in de overeenkomst genoemde entiteit ("Klant"). Beide partijen worden hierin individueel aangeduid als een "Partij" en samen als de "Partijen".

Deze DPA is naadloos geïntegreerd in en vormt een essentieel onderdeel van de abonnementsovereenkomst die het gebruik van de Service (de "Overeenkomst") tussen de Partijen regelt. Termen met een hoofdletter in deze DPA, tenzij anders gedefinieerd, hebben dezelfde betekenis als gespecificeerd in de Overeenkomst. In geval van discrepanties of inconsistenties tussen deze DPA, een eerder uitgevoerde gegevensverwerkingsovereenkomst en andere delen van de Overeenkomst, prevaleren de bepalingen van deze DPA.

De essentie van deze DPA draait om de voorwaarden die van toepassing zijn wanneer Simbase Persoonsgegevens verwerkt in het kader van de Overeenkomst. Zij is opgesteld om ervoor te zorgen dat een dergelijke verwerking in overeenstemming is met de Toepasselijke Wetgeving en de rechten handhaaft van personen van wie Persoonsgegevens worden verwerkt.

1. Definities

"Toepasselijk recht" betekent alle toepasselijke federale en staatswetten van de Verenigde Staten, regelgeving en andere wettelijke of regelgevende vereisten in enig rechtsgebied met betrekking tot de Overeenkomst, inclusief maar niet beperkt tot de California Consumer Privacy Act zoals gewijzigd door de California Privacy Rights Act ("CCPA/CPRA"), de Virginia Consumer Data Protection Act ("VCDPA"), de Colorado Privacy Act ("CPA"), de Connecticut Data Privacy Act ("CTDPA") en enige andere toepasselijke privacy- of gegevensbeschermingswetgeving van een staat.

"Persoonlijke informatie". betekent informatie die identificeert, betrekking heeft op, beschrijft, redelijkerwijs in verband kan worden gebracht met, of redelijkerwijs direct of indirect in verband kan worden gebracht met een geïdentificeerde of identificeerbare persoon of huishouden, zoals gedefinieerd onder Toepasselijke Wetgeving. Dit omvat, indien van toepassing, "persoonlijke informatie" zoals gedefinieerd onder de CCPA/CPRA en gelijkwaardige termen onder andere privacywetten van staten.

"Dienstverlener" betekent Simbase wanneer zij Persoonsgegevens verwerkt namens de Klant ingevolge de Overeenkomst, zoals die term wordt verstaan onder Toepasselijk Recht (met inbegrip van "verwerker" ingevolge de toepasselijke privacywetgeving van een staat).

"Subprocessor". betekent elke derde die door Simbase wordt ingeschakeld om te assisteren bij de verwerking van Persoonsgegevens namens de Klant.

"Consument" betekent een individu die het onderwerp is van Persoonlijke Informatie die verwerkt wordt onder deze DPA, inclusief elke "consument" of "datasubject" zoals gedefinieerd onder de Toepasselijke Wetgeving.

"Inbreuk op persoonlijke informatie betekent een inbreuk op de beveiliging die leidt tot de toevallige of onwettige vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of toegang tot Persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt door Simbase of haar Subverwerkers in verband met de Overeenkomst.

2. Reikwijdte en toepasselijkheid

Deze DPA is van toepassing op de verwerking van Persoonsgegevens door Simbase namens de Klant in verband met de levering van Diensten uit hoofde van de Overeenkomst. Deze DPA is van toepassing op Klanten gevestigd in de Verenigde Staten of Canada en op de verwerking van Persoonsgegevens van Consumenten gevestigd in de Verenigde Staten of Canada.

Simbase zal Persoonsgegevens uitsluitend verwerken voor zover dit noodzakelijk is om haar verplichtingen uit hoofde van de Overeenkomst na te komen en in overeenstemming met de gedocumenteerde instructies van de Klant, tenzij verwerking wordt vereist door Toepasselijk Recht, in welk geval Simbase, voor zover wettelijk toegestaan, de Klant voorafgaand aan de verwerking zal informeren over een dergelijk wettelijk vereiste.

3. Verplichtingen van Simbase

In haar hoedanigheid van Dienstverlener onder deze DPA zal Simbase:

(a) Persoonsgegevens alleen verwerken voor zover dit redelijkerwijs noodzakelijk en evenredig is om de operationele doeleinden zoals uiteengezet in de Overeenkomst te bereiken, en in overeenstemming met de gedocumenteerde instructies van de Klant;

(b) geen Persoonlijke Informatie verkopen, zoals die term wordt gedefinieerd onder de CCPA/CPRA of gelijkwaardige privacywetten van staten;

(c) Persoonlijke Informatie niet bewaren, gebruiken of bekendmaken voor andere doeleinden dan de specifieke doeleinden die in de Overeenkomst worden uiteengezet, waaronder het bewaren, gebruiken of bekendmaken van Persoonlijke Informatie voor een commercieel doel anders dan het leveren van de Diensten die in de Overeenkomst worden gespecificeerd;

(d) geen Persoonlijke Informatie delen voor cross-context gedragsadvertentiedoeleinden, zoals gedefinieerd onder de CCPA/CPRA;

(e) de van of namens de Klant ontvangen Persoonsgegevens niet combineren met Persoonsgegevens die Simbase ontvangt van of namens een andere persoon of andere personen, of verzamelt uit haar eigen interacties met Consumenten, behalve voor zover uitdrukkelijk toegestaan onder Toepasselijk Recht;

(f) redelijke administratieve, technische en fysieke waarborgen implementeren en handhaven die zijn ontworpen om Persoonsgegevens te beschermen tegen ongeoorloofde toegang, vernietiging, gebruik, wijziging of openbaarmaking, in overeenstemming met de normen die zijn beschreven in de Simbase Data Security Standards, beschikbaar op www.simbase.com/terms/data-security-standards;

(g) ervoor te zorgen dat alle werknemers, agenten en personeelsleden die bevoegd zijn om Persoonsgegevens te verwerken, zich hebben verplicht tot geheimhouding of onder een toepasselijke wettelijke of contractuele geheimhoudingsverplichting vallen;

(h) op schriftelijk verzoek van de Klant Persoonsgegevens (en kopieën daarvan) wissen of retourneren aan de Klant bij beëindiging van deze Overeenkomst, tenzij de Toepasselijke Wet verplicht om dergelijke Persoonsgegevens te bewaren;

(i) aan de Klant alle informatie ter beschikking te stellen die redelijkerwijs nodig is om de naleving van de verplichtingen in dit artikel aan te tonen, en audits, met inbegrip van inspecties, door de Klant of de door hem aangewezen auditor toe te staan en er een zinvolle bijdrage aan te leveren (op kosten en voor rekening van de Klant, tenzij anders overeengekomen);

(j) de Klant zonder onnodige vertraging op de hoogte stellen nadat zij zich bewust zijn geworden van een inbreuk op Persoonsgegevens, en redelijke medewerking en assistentie verlenen bij het identificeren, verhelpen en beperken van de gevolgen van een dergelijke inbreuk; en

(k) op redelijk verzoek aan de Klant een samenvatting of kopie verstrekken van de resultaten van alle relevante beveiligingsaudits of -beoordelingen van derden die in verband met de Diensten zijn uitgevoerd.

4. Verplichtingen van de Klant

De Klant zal:

(a) ervoor te zorgen dat haar gebruik van de Diensten en haar instructies voor de verwerking van Persoonsgegevens voldoen aan de Toepasselijke Wetgeving, met inbegrip van het verstrekken van alle vereiste kennisgevingen aan en het verkrijgen van alle vereiste toestemmingen of machtigingen van Consumenten van wie Persoonsgegevens worden verwerkt op grond van de Overeenkomst;

(b) als enige verantwoordelijk zijn voor de juistheid, kwaliteit en rechtmatigheid van de aan Simbase verstrekte Persoonsgegevens en de wijze waarop de Klant deze Persoonsgegevens heeft verkregen;

(c) Simbase onverwijld op de hoogte stellen van verzoeken om rechten van de Consument waarvoor de hulp van Simbase nodig is om deze te voldoen, en met Simbase samenwerken bij het voldoen aan dergelijke verzoeken binnen de door de Toepasselijke Wetgeving vereiste termijnen; en

(d) ervoor te zorgen dat hij aan Simbase geen categorieën Persoonsgegevens bekend maakt die Simbase krachtens de Overeenkomst niet mag verwerken.

5. Verzoeken voor consumentenrechten

Simbase zal de Klant redelijke bijstand verlenen bij het reageren op verifieerbare verzoeken om Consumentenrechten op grond van Toepasselijke Wetgeving, met inbegrip van verzoeken tot toegang, verwijdering, correctie of opt-out van de verkoop of het delen van Persoonsgegevens.

Indien Simbase rechtstreeks een verzoek om Consumentenrechten ontvangt, zal Simbase de Klant hiervan onverwijld op de hoogte stellen en niet rechtstreeks op een dergelijk verzoek reageren, tenzij de Klant hiertoe gemachtigd is of Simbase hiertoe verplicht is op grond van het Toepasselijk Recht. Simbase zal met de Klant samenwerken om aan dergelijke verzoeken te voldoen binnen de door de Toepasselijke Wetgeving voorgeschreven termijnen, welke over het algemeen zijn:

(a) Californië (CCPA/CPRA): 45 dagen na ontvangst van een verifieerbaar verzoek, met een mogelijke verlenging van 45 dagen na kennisgeving aan de consument;

(b) Virginia (VCDPA): 45 dagen na ontvangst, met een mogelijke verlenging van nog eens 45 dagen na kennisgeving;

(c) Colorado (CPA) en Connecticut (CTDPA): 45 dagen na ontvangst, met een mogelijke verlenging van nog eens 45 dagen na kennisgeving; en

(d) andere toepasselijke staten: zoals voorgeschreven door de betreffende privacywetgeving van de staat.

6. Subprocessoren

De Klant verleent Simbase hierbij een algemene schriftelijke machtiging om Subverwerkers in te schakelen voor de verwerking van Persoonsgegevens onder deze DPA. Een actuele lijst van Subverwerkers van Simbase is beschikbaar op www.simbase.com/terms/subprocessors.

Simbase zal de Klant een redelijke voorafgaande kennisgeving doen toekomen alvorens een nieuwe Subverwerker in te schakelen of een bestaande Subverwerker te vervangen, door het bijwerken van de Subverwerkers pagina waarnaar hierboven wordt verwezen of door rechtstreekse kennisgeving. Indien de Klant bezwaar maakt tegen een nieuwe Subverwerker op redelijke gronden die verband houden met gegevensbescherming, zal de Klant Simbase daarvan binnen veertien (14) dagen na ontvangst van de kennisgeving schriftelijk in kennis stellen. De Partijen zullen te goeder trouw samenwerken om een wederzijds aanvaardbare oplossing te vinden. Indien geen oplossing kan worden bereikt, kan de Klant de betreffende Dienst zonder boete beëindigen na schriftelijke kennisgeving aan Simbase.

Simbase draagt er zorg voor dat iedere Subverwerker gebonden is aan verplichtingen die niet minder beschermend zijn dan die welke in deze DPA zijn opgenomen en Simbase blijft jegens de Klant volledig aansprakelijk voor het handelen en nalaten van haar Subverwerkers.

7. Inbreuk op persoonlijke informatie

In het geval van een inbreuk op de Persoonsgegevens zal Simbase de Klant hiervan zonder onnodige vertraging en in ieder geval binnen tweeënzeventig (72) uur na kennisname van de inbreuk in kennis stellen. Deze kennisgeving omvat, voor zover redelijkerwijs beschikbaar:

(a) een beschrijving van de aard van de inbreuk, zo mogelijk met vermelding van de categorieën en bij benadering het aantal betrokken consumenten en dossiers;

(b) de naam en contactgegevens van het contactpunt binnen Simbase waar nadere informatie kan worden verkregen;

(c) een beschrijving van de waarschijnlijke gevolgen van de schending; en

(d) een beschrijving van de door Simbase genomen of voorgestelde maatregelen om de schending aan te pakken en de mogelijke nadelige gevolgen ervan te beperken.

Simbase zal met de Klant samenwerken bij het voldoen aan eventuele verplichtingen tot kennisgeving van een inbreuk onder Toepasselijk Recht, die in het algemeen kennisgeving aan getroffen Consumenten en, indien van toepassing, aan de procureur-generaal van de staat vereisen binnen termijnen variërend van dertig (30) tot negentig (90) dagen, afhankelijk van het rechtsgebied.

8. Veiligheidsmaatregelen

Simbase zal een uitgebreid informatiebeveiligingsprogramma implementeren en onderhouden dat passende administratieve, technische en fysieke beveiligingen omvat om Persoonsgegevens te beschermen, in overeenstemming met industriestandaarden waaronder het NIST Cybersecurity Framework en ISO/IEC 27001. De beveiligingsmaatregelen van Simbase worden verder beschreven in de Gegevensbeveiligingsnormen die beschikbaar zijn op www.simbase.com/terms/data-security-standards.

Deze maatregelen omvatten minimaal: versleuteling van Persoonlijke Informatie in doorvoer en in rust; toegangscontroles en verificatiemechanismen; regelmatige kwetsbaarheidsbeoordelingen en penetratietests; bewustmakingstraining voor werknemers; en procedures om op incidenten te reageren.

9. Audits en naleving

Op redelijk schriftelijk verzoek van de Klant, en met inachtneming van de toepasselijke geheimhoudingsverplichtingen, zal Simbase informatie beschikbaar stellen die nodig is om de naleving van deze DPA aan te tonen. De Klant kan een audit (laten) uitvoeren van de verwerkingsactiviteiten van Simbase, mits:

(a) de Klant Simbase ten minste dertig (30) dagen van tevoren schriftelijk in kennis stelt;

(b) audits worden uitgevoerd tijdens reguliere kantooruren en de bedrijfsvoering van Simbase niet onredelijk verstoren;

(c) de Klant draagt alle kosten in verband met de audit, tenzij anders overeengekomen; en

(d) auditresultaten en alle verkregen informatie worden behandeld als Vertrouwelijke Informatie van Simbase.

Indien Simbase relevante certificeringen of auditrapporten van derden heeft verkregen (zoals SOC 2 Type II), kan Simbase naar eigen goeddunken deze rapporten aan de Klant ter beschikking stellen in plaats van een directe audit.

10. Gegevens retourneren en verwijderen

Bij beëindiging of afloop van de Overeenkomst en op schriftelijk verzoek van de Klant zal Simbase, naar keuze van de Klant, ofwel alle Persoonlijke Gegevens aan de Klant retourneren in een algemeen gebruikt, machineleesbaar formaat, ofwel alle Persoonlijke Gegevens in haar bezit, met inbegrip van alle kopieën, veilig verwijderen binnen dertig (30) dagen na ontvangst van een dergelijk verzoek.

Simbase zal op verzoek van de Klant een schriftelijke verklaring van verwijdering verstrekken. Simbase kan Persoonsgegevens bewaren voor zover vereist door Toepasselijke Wetgeving, op voorwaarde dat Simbase dergelijke bewaarde Persoonsgegevens zal blijven beschermen in overeenstemming met deze DPA en deze uitsluitend zal verwerken voor de door de wet vereiste doeleinden.

11. Aansprakelijkheid en schadeloosstelling

De aansprakelijkheid van elke Partij onder deze DPA is onderworpen aan de beperkingen en uitsluitingen van aansprakelijkheid die in de Overeenkomst zijn uiteengezet. Niets in deze DPA beperkt de aansprakelijkheid van een Partij voor opzettelijk wangedrag, grove nalatigheid of enige aansprakelijkheid die niet beperkt of uitgesloten kan worden door de Toepasselijke Wetgeving.

Elke Partij vrijwaart, verdedigt en stelt de andere Partij schadeloos van en tegen claims van derden, schade, verliezen, kosten en uitgaven (inclusief redelijke honoraria van advocaten) die voortvloeien uit of verband houden met een schending van deze DPA door de schadeloosstellende Partij, met inachtneming van de aansprakelijkheidsbeperkingen in de Overeenkomst.

12. Toepasselijk recht en geschillenbeslechting

Deze DPA valt onder en wordt geïnterpreteerd in overeenstemming met de wetten van de staat Delaware, zonder rekening te houden met de principes inzake wetsconflicten, en de toepasselijke federale wetten van de Verenigde Staten. Voor zover een specifieke privacywet van een staat van toepassing is op de verwerking van Persoonsgegevens in het kader van deze DPA, is deze wet ook van toepassing op de relevante verwerkingsactiviteiten.

Elk geschil dat voortvloeit uit of verband houdt met deze DPA en dat niet door de partijen kan worden opgelost door te goeder trouw te onderhandelen, zal worden onderworpen aan de exclusieve jurisdictie van de federale rechtbanken of staatsrechtbanken in de staat Delaware.

13. Opzegging en beëindiging

Deze DPA treedt in werking op de datum waarop de Overeenkomst wordt ondertekend en blijft van kracht voor de duur van de Overeenkomst. Bij beëindiging van de Overeenkomst wordt deze DPA automatisch beëindigd, met inachtneming van de bepalingen van Sectie 10 (Gegevensretournering en -verwijdering) en alle andere bepalingen die door hun aard bedoeld zijn om na beëindiging van kracht te blijven, waaronder vertrouwelijkheidsverplichtingen, aansprakelijkheid en schadeloosstelling.

14. Diverse

Deze DPA vormt samen met de Overeenkomst de volledige overeenkomst tussen de Partijen met betrekking tot het onderwerp hiervan en vervangt alle eerdere en gelijktijdige overeenkomsten, voorstellen of verklaringen, schriftelijk of mondeling, met betrekking tot het onderwerp van deze DPA.

Als een bepaling van deze DPA onafdwingbaar of ongeldig wordt bevonden, zal die bepaling worden beperkt of geëlimineerd tot de minimale mate die nodig is zodat deze DPA anders volledig van kracht en uitvoerbaar blijft.

Simbase kan deze DPA van tijd tot tijd aanpassen aan wijzigingen in de Toepasselijke Wetgeving of de verwerkingspraktijken van Simbase. Simbase zal de Klant redelijke kennisgeving doen van materiële wijzigingen. Voortgezet gebruik van de Services na een dergelijke kennisgeving houdt aanvaarding in van de bijgewerkte DPA.

Contactgegevens

Voor vragen over deze DPA of voor het uitoefenen van rechten onder deze DPA kunt u contact opnemen met:

Simbase INC.

1401 Pennsylvania Ave, Suite 105 Wilmington, DE 19806

E-mail: privacy@simbase.com

Website: www.simbase.com