Datum inwerkingtreding
18 maart 2019

Voor de vorige versie, klik hier.

Lees de Bijlage Gegevensverwerking (BGV) zorgvuldig, aangezien het een contract tussen U (”Klant”) en Ons (”Freshworks”) vertegenwoordigt. Zoals vermeld in paragraaf 8.4 (a) en 9.4 van de Freshworks Servicevoorwaarden die beschikbaar zijn via https://www.freshworks.com/terms/ ("Voorwaarden"), is deze BGV van toepassing wanneer Wij en onze Groepsbedrijven verwerkers van EU-persoonsgegevens zijn. De met een hoofdletter geschreven termen die in deze BGV worden gebruikt, maar die hierin niet zijn gedefinieerd, hebben dezelfde betekenis zoals gedefinieerd in de Voorwaarden. In geval van een conflict tussen de BGV en de Voorwaarden krijgt deze BGV voorrang.

Deze Nederlandse versie van de BGV dient alleen als informatie. In geval van een conflict tussen deze taalversie en de Engelstalige versie van Het Cookiesbeleid zal de Engelse versie prevaleren.

 

1. Gegevensbescherming

1.1 Definities: In deze BGV hebben de volgende begrippen de volgende betekenis:

a) ”beheerder", “verwerker", “betrokkene", "persoonsgegevens", "verwerking" (en "proces") en "speciale categorieën van persoonsgegevens" hebben de betekenis die daaraan wordt gegeven in de toepasselijke gegevensbeschermingswetgeving; en

b) “Toepasselijke gegevensbeschermingswetgeving" betekent: (i) voor 25 mei 2018, de EU Gegevensbeschermingsrichtlijn (Richtlijn 95/46/EC); (ii) op en na 25 mei 2018, de EU Algemene Verordening Gegevensbescherming (Verordening 2016/679) en (iii) alle andere toepasselijke wetgeving en reglementering op gebied van gegevensbescherming.

1.2 Relatie tussen de partijen: De klant (de beheerder) benoemt Freshworks als een verwerker om de persoonsgegevens die deel uitmaken van de Servicegegevens (de "Gegevens") te verwerken voor de doeleinden die worden beschreven in de Voorwaarden (of zoals anderszins schriftelijk door de partijen is overeengekomen) (het "Toegestane doeleinde"). Elke partij zal zich houden aan de verplichtingen die op hem van toepassing zijn krachtens de Toepasselijke gegevensbeschermingswetgeving

1.3 Verboden gegevens: De Klant zal geen speciale categorieën persoonsgegevens aan Freshworks bekendmaken voor verwerking (en zal niet toestaan dat gegevens bekend worden gemaakt).

1.4 Internationale transfers: Freshworks zal de Gegevens niet buiten de Europese Economische Ruimte ("EER") overdragen, tenzij zij de maatregelen heeft genomen, die nodig zijn om ervoor te zorgen dat de overdracht in overeenstemming is met de Toepasselijke gegevensbeschermingswetgeving.

1.5 Vertrouwelijkheid van verwerking: Freshworks zal ervoor zorgen dat elke persoon die het autoriseert om de Gegevens te verwerken (een "Geautoriseerde Persoon") de Gegevens beschermt in overeenstemming met de vertrouwelijkheidsverplichtingen van Freshworks uit de Voorwaarden.

1.6 Beveiliging: De verwerker moet de nodige technische en organisatorische maatregelen nemen om de Gegevens te beschermen (i) tegen onbedoelde of onwettige vernietiging, en (ii) verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot de Gegevens (een "Veiligheidsincident").

1.7 Onderaanneming: De Klant stemt ermee in dat Freshworks externe onderverwerkers inschakelt om de Gegevens voor het Toegestane doeleinde te verwerken, onder voorwaarde dat: (i) Freshworks een actuele lijst met onderverwerkers bijhoudt op https://www.freshworks.com/sub-processor/, die wordt bijgewerkt met details over eventuele wijzigingen in onderverwerkers voorafgaand aan een dergelijke wijziging; (ii) Freshworks de gegevensbeschermingsvoorwaarden oplegt aan elke onderverwerker die zij aanwijst en vereist dat deze de Gegevens beschermt volgens de norm zoals vereist door de Toepasselijke gegevensbeschermingswetgeving; en (iii) Freshworks aansprakelijk blijft voor elke inbreuk op deze Clausule die wordt veroorzaakt door een handeling, een fout of een nalaten van zijn onderverwerker. De Klant kan voorafgaand aan zijn benoeming of vervanging bezwaar maken tegen de aanstelling of vervanging van een onderverwerker door Freshworks, op voorwaarde dat dit bezwaar is gebaseerd op redelijke gronden met betrekking tot gegevensbescherming. In een dergelijk geval zal Freshworks de onderverwerker niet aanstellen of vervangen of, indien dit niet mogelijk is, kan de Klant de Voorwaarden opschorten of beëindigen (onverminderd eventuele kosten die de Klant heeft gemaakt vóór de opschorting of beëindiging).

1.8 Samenwerking en rechten van de betrokkene: Freshworks zal de Klant (op kosten van de Klant) redelijke en tijdige bijstand verlenen om de Klant in staat te stellen te reageren op: (i) elk verzoek van een betrokkene om een van zijn rechten uit te oefenen krachtens de Toepasselijke gegevensbeschermingswetgeving (inclusief zijn recht op toegang, correctie, bezwaar, verwijdering en gegevensoverdraagbaarheid, indien van toepassing); en (ii) elke andere correspondentie, vraag of klacht ontvangen van een betrokkene, regelgever of andere derde in verband met de verwerking van de Gegevens. In het geval dat een dergelijk verzoek, correspondentie, informatie-aanvraag of klacht rechtstreeks aan Freshworks wordt gedaan, zal Freshworks de Klant onmiddellijk op de hoogte brengen met alle details ervan.

1.9 Evaluatie Invloed Gegevensbescherming: Als Freshworks gelooft, of zich ervan bewust wordt, dat de verwerking van de Gegevens zou kunnen resulteren in een hoog risico voor de gegevensbeschermingsrechten en -vrijheden van betrokkenen, zal het de Klant informeren en redelijke medewerking verlenen aan de Klant (op kosten van de Klant) in verband met een gegevensbeschermingseffectbeoordeling die mogelijk vereist is krachtens de Toepasselijke gegevensbeschermingswetgeving.

1.10 Beveiligingsincidenten: Als het zich bewust wordt van een bevestigd Beveiligingsincident, zal Freshworks de Klant hiervan onverwijld op de hoogte stellen en aan de Klant redelijke informatie geven en medewerking verlenen, zodat de Klant kan voldoen aan de meldingsverplichtingen inzake gegevenslekken die hij mogelijk heeft op grond van (en in overeenstemming met de tijdschema's vereist door) de Toepasselijke gegevensbeschermingswetgeving. Freshworks zal verder alle redelijkerwijs noodzakelijke maatregelen en acties ondernemen om de gevolgen van het Beveiligingsincident te verhelpen of te verzachten en zal de Klant op de hoogte houden van alle belangrijke ontwikkelingen in verband met het Beveiligingsincident.

1.11 Verwijdering van Gegevens: De Klant kan alle persoonsgegevens exporteren voordat het Account van de Klant wordt beëindigd. In elk geval zullen de gegevens van het Klantaccount na de beëindiging van het Klantaccount door een van de partijen, behoudens (ii) en (iii) hieronder, worden bewaard gedurende een periode van 14 dagen na de beëindiging, waarbinnen de Klant contact kan opnemen met de Provider om de Servicegegevens te exporteren; en zal (ii) de e-mailfunctie, indien beschikbaar binnen de Service(s), automatisch alle e-mails die deel uitmaken van Servicegegevens voor een periode van 3 maanden archiveren; en zullen (iii) de logs worden gearchiveerd gedurende een periode van 1 jaar (elk een ”Gegevensbewaringstermijn"). Na afloop van elke dergelijke Gegevensbewaringstermijn behoudt de verwerker zich het recht voor om alle Persoonsgegevens tijdens het normaal verloop van de verwerking te verwijderen. Deze vereiste is niet van toepassing voor zover Freshworks krachtens de toepasselijke wetgeving vereist is om sommige of alle Gegevens te bewaren, of op Gegevens die zij heeft gearchiveerd op back-upsystemen, welke Freshworks veilig beschermt tegen verdere verwerking, behalve in de mate vereist door dergelijke wetgeving.

1.12 Audit: De Klant erkent dat Freshworks regelmatig door onafhankelijke externe accountants wordt getoetst op de ISO 27001 en SSAE 18 SOC 2-normen. Op verzoek bezorgt Freshworks aan de Klant een samenvatting van haar auditrapport(en), die onderworpen zijn aan de vertrouwelijkheidsbepalingen van de Voorwaarden.

 

 

Bijlage 1
Verwerkingsdetails
Betrokkenen

De Betrokkenen zijn die personen waarop de persoonsgegevens betrekking hebben die Gebruikers of Eindgebruikers zijn, die met de Service(s) interageren.

Gegevenscategorieën

Gegevenscategorieën hebben betrekking op de persoonsgegevens van Gebruikers en Eindgebruikers, die vervat zijn in elektronische gegevens, tekst, berichten of ander materiaal, dat door de Klant aan de Service(s) verstrekt wordt via het Account van de Klant in verband met het gebruik van de Service(s) door de Klant.

Onderwerp en aard van de verwerking

De verwerkte persoonsgegevens zijn onderhevig aan de basisverwerkingsactiviteiten die vereist zijn voor de levering van de Service(s) door Freshworks aan de Klant met betrekking tot de verwerking van persoonsgegevens. Persoonsgegevens zijn onderhevig aan die verwerkingsactiviteiten die in de Voorwaarden en de GVO kunnen worden gespecificeerd.

Doel van de verwerking

Persoonsgegevens worden verwerkt voor doeleinden van het leveren van de Service(s) zoals uiteengezet in een Formulier, zoals door Klant verder geïnstrueerd bij het gebruik van de Service(s) en anderszins overeengekomen in de Voorwaarden, deze GVO en elk toepasselijk Formulier.

Verwerkingsduur

Persoonsgegevens zullen worden verwerkt voor de duur van de Voorwaarden

 

Bijlage 2
EU Standaard Contractuele Clausules (verwerkers)

Voor de toepassing van artikel 26(2) van Richtlijn 95/46/EG voor de overdracht van persoonsgegevens aan in derde landen gevestigde verwerkers die niet zorgen voor een passend niveau van gegevensbescherming

De entiteit die als ”Klant” wordt geïdentificeerd in de GVO

(de “gegevensexporteur”)

En

Freshworks, Inc.

2950 S. Delaware Street, Suite 201, San Mateo, CA 94403

(de “gegevensimporteur”)

elk een “Partij”, of samen de “Partijen”.

ZIJN HET EENS over de volgende Contractuele Clausules (de Clausules) om voldoende garanties te bieden met betrekking tot de bescherming van privacy en fundamentele rechten en vrijheden van personen voor de overdracht door de gegevensexporteur aan de gegevensimporteur van de persoonsgegevens vermeld in Bijlage 1.

 

Clausule 1

Definities

Voor het doel van de Clausules

(a) ”persoonsgegevens”, ”speciale categorieën van gegevens”, ”verwerking/verwerken”, ”controller”, ”verwerker”, ”betrokkene” en ”toezichthoudende       autoriteit” zullen dezelfde betekenis hebben als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;

(b) ”de gegevensexporteur” betekent de controller die de persoonsgegevens transfereert;

(c) ”de gegevensimporteur” betekent de verwerker die ermee instemt om van de gegevensexporteur persoonsgegevens te ontvangen die bestemd zijn voor verwerking namens hem na de overdracht in overeenstemming met zijn instructies en de voorwaarden van de Clausules en die niet onderworpen zijn aan het systeem van een derde land dat adequate bescherming in de zin van Artikel 25, lid 1, van Richtlijn 95/46/EG verzekert;

(d) ”de subverwerker” betekent een verwerker die door de gegevensimporteur is aangesteld of door een andere subverwerker van de gegevensimporteur die ermee instemt van de gegevensimporteur of een andere subverwerker van de gegevensimporteur persoonsgegevens te ontvangen, die uitsluitend bestemd zijn voor verwerkingsactiviteiten die namens de gegevensexporteur moeten worden uitgevoerd na de transfer overeenkomstig zijn instructies, de voorwaarden van de Clausules en de voorwaarden van het schriftelijke subcontract;

(e) ”de toepasselijke gegevensbeschermingswet” betekent de wetgeving ter bescherming van de fundamentele rechten en vrijheden van personen en in het bijzonder van hun recht op privacy met betrekking tot de verwerking van persoonsgegevens die van toepassing zijn op een gegevenscontroller in de Lidstaat waarin de gegevensexporteur is gevestigd;

(f) ”technische en organisatorische veiligheidsmaatregelen” betekent die maatregelen die gericht zijn op de bescherming van persoonsgegevens tegen accidentele of onwettige vernietiging of accidenteel verlies, wijziging, ongeoorloofde openbaarmaking of toegang, met name wanneer de verwerking de transfer van gegevens via een netwerk betreft, en tegen alle andere onwettige vormen van verwerking.

 

Clausule 2

Details van de transfer

De details van de transfer en in het bijzonder de speciale categorieën van persoonsgegevens, indien van toepassing, worden gespecificeerd in Bijlage 1, die een integraal onderdeel van de Clausules vormt.

 

Clausule 3

Derdenbeding

Voor het doel van de Clausules

1. De betrokkene kan deze Clausule, Clausule 4 (b) tot (i), Clausule 5 (a) tot (e), en (g) tot (j), Clausule 6 (1) en (2), Clausule 7, Clausule 8 (2) en Clausules 9 tot 12 als derde begunstigde tegen de Gegevensexporteur afdwingen.

2. De betrokkene kan deze Clausule, Clausule 5 (a) tot (e) en (g), Clausule 6, Clausule 7, Clausule 8 (2) en Clausules 9 tot 12 tegen de gegevensimporteur afdwingen in de gevallen waarin de gegevensexporteur feitelijk verdwenen is of ophoudt te bestaan volgens de wet, tenzij een opvolgende entiteit de volledige wettelijke verplichtingen van de gegevensexporteur bij overeenkomst of bij wet heeft overgenomen, waardoor ze de rechten en plichten van de gegevensexporteur overneemt, die de betrokkene in dit geval kan afdwingen tegen een dergelijke entiteit.

3. De betrokkene kan deze Clausule, Clausule 5 (a) tot (e) en (g), Clausule 6, Clausule 7, Clausule 8 (2) en Clausules 9 tot 12 tegen de subverwerker afdwingen in de gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk verdwenen zijn of opgehouden zijn te bestaan volgens de wet, of insolvent zijn geworden, tenzij een opvolgende entiteit de volledige wettelijke verplichtingen van de gegevensexporteur bij overeenkomst of bij wet heeft overgenomen, waardoor ze de rechten en plichten van de gegevensexporteur overneemt, die de betrokkene in dit geval kan afdwingen tegen een dergelijke entiteit. Een dergelijke wettelijke aansprakelijkheid van de subverwerker ten opzichte van derden is beperkt tot zijn eigen verwerkingsoperaties overeenkomstig de Clausules.

4. De partijen maken er geen bezwaar tegen dat een betrokkene wordt vertegenwoordigd door een vereniging of een ander orgaan indien de betrokkene dit uitdrukkelijk wenst en indien dit door de nationale wetgeving wordt toegelaten.

 

Clausule 4

Verplichtingen van de gegevensexporteur

 

De gegevensexporteur gaat ermee akkoord en garandeert:

(a) dat de verwerking, inclusief de overdracht zelf, van de persoonsgegevens gebeurt en zal worden voortgezet in overeenstemming met de relevante bepalingen van de toepasselijke wetgeving inzake gegevensbescherming (en, indien van toepassing, gemeld is bij de relevante autoriteiten van de Lidstaat waar de gegevensexporteur is gevestigd) en niet in strijd is met de desbetreffende bepalingen van die Staat;

(b) dat hij de opdracht heeft gegeven en tijdens de duur van de verwerkingsservices van persoonsgegevens aan de gegevensimporteur de opdracht zal blijven geven om de persoonsgegevens die worden overgedragen namens de gegevensexporteur uitsluitend in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en de Clausules, te verwerken;

(c) dat de gegevensimporteur voldoende garanties zal bieden met betrekking tot de technische en organisatorische beveiligingsmaatregelen vermeld in Bijlage 2 van dit contract;

(d) dat na beoordeling van de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, de beveiligingsmaatregelen geschikt zijn om persoonsgegevens te beschermen tegen toevallige of onwettige vernietiging of accidenteel verlies, wijziging, ongeoorloofde openbaarmaking of toegang, met name wanneer de verwerking de overdracht van gegevens over een netwerk betreft, en tegen alle andere onwettige vormen van verwerking, en dat deze maatregelen zorgen voor een beveiligingsniveau dat is afgestemd op de risico's van de verwerking en de aard van de te beschermen gegevens, rekening houdend met de stand van de techniek en de kosten van hun implementatie;

(e) dat hij voor de naleving van de veiligheidsmaatregelen zal zorgen;

(f) dat, indien de overdracht betrekking heeft op speciale categorieën gegevens, de betrokkene op de hoogte is gebracht of op de hoogte gebracht zal worden vóór of zo spoedig mogelijk na de transfer, dat zijn gegevens kunnen worden doorgegeven aan een derde land dat geen adequate bescherming biedt in de zin van Richtlijn 95/46/EG;

(g) om elke kennisgeving die is ontvangen van de gegevensimporteur of subverwerker overeenkomstig Clausule 5(b) en Clausule 8(3) door te geven aan de toezichthoudende gegevensbeschermingsautoriteit als de gegevensexporteur beslist om door te gaan met de transfer of de opschorting op te heffen;

(h) om de betrokkenen op verzoek een kopie van de Clausules te verstrekken, met uitzondering van Bijlage 2, en een beknopte beschrijving van de beveiligingsmaatregelen, alsmede een kopie van elk contract voor subverwerkingsservices dat moet worden opgemaakt in overeenstemming met de Clausules, tenzij de Clausules of het contract commerciële informatie bevatten, in welk geval hij dergelijke commerciële informatie kan verwijderen;

(i) dat de verwerkingsactiviteit in het geval van subverwerking wordt uitgevoerd overeenkomstig Clausule 11 door een subverwerker die onder de Clausules ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van de betrokkene biedt als de gegevensimporteur; en

(j) hij voor de naleving van Clausule 4(a) tot (i) zal zorgen.

 

Clausule 5

Verplichtingen van de gegevensimporteur

De gegevensimporteur gaat ermee akkoord en garandeert:

(a) om de persoonsgegevens alleen te verwerken in naam van de gegevensexporteur en in overeenstemming met zijn instructies en de Clausules; indien hij om welke reden dan ook niet in staat is deze na te leven, stemt hij ermee in om de gegevensexporteur onverwijld op de hoogte te stellen van zijn onvermogen om hieraan te voldoen, in welk geval de gegevensexporteur gerechtigd is om de transfer van gegevens op te schorten en/of het contract te beëindigen;

(b) dat er geen reden is om aan te nemen dat de toepasselijke wetgeving hem belet de instructies van de gegevensexporteur en zijn verplichtingen uit hoofde van het contract te volgen en dat in geval van een wijziging van deze wetgeving die een aanzienlijk ongunstig effect zou kunnen hebben op de garanties en verplichtingen voorzien door de Clausules, zal hij de wijziging onmiddellijk aan de gegevensexporteur melden zodra hij hiervan op de hoogte is, in welk geval de gegevensexporteur gerechtigd is om de transfer van gegevens op te schorten en/of het contract te beëindigen;

(c) dat het de technische en organisatorische beveiligingsmaatregelen zoals genoemd in Bijlage 2 heeft geïmplementeerd voordat de overgedragen persoonsgegevens worden verwerkt;

(d) dat hij de gegevensexporteur onmiddellijk op de hoogte zal brengen van:

(i) elk wettelijk bindend verzoek tot openbaarmaking van de persoonsgegevens door een rechtshandhavingsinstantie, tenzij anderszins verboden, zoals een strafrechtelijk verbod om de vertrouwelijkheid van een opsporingsonderzoek te handhaven,

(ii) elke onopzettelijke of ongeoorloofde toegang, en

(iii) elk rechtstreeks van de betrokkenen ontvangen verzoek zonder op dat verzoek in te gaan, tenzij daarvoor anderszins toestemming is verleend;

(e) om snel en adequaat te reageren op alle vragen van de gegevensexporteur met betrekking tot de verwerking van de aan de transfer onderworpen persoonsgegevens en zich te houden aan het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de overgedragen gegevens;

(f) op verzoek van de gegevensexporteur om zijn gegevensverwerkingsfaciliteiten te onderwerpen aan een audit van de verwerkingsactiviteiten waarop de Clausules betrekking hebben en die zal worden uitgevoerd door de gegevensexporteur of een keuringsinstantie die is samengesteld uit onafhankelijke leden die in het bezit zijn van de vereiste beroepskwalificaties en gebonden zijn door een geheimhoudingsplicht, en gekozen zijn door de gegevensexporteur, indien van toepassing, in overleg met de toezichthoudende autoriteit;

(g) de betrokkene op verzoek een exemplaar van de Clausules of een bestaand contract voor subverwerking ter beschikking te stellen, tenzij de Clausules of het contract commerciële informatie bevatten, in welk geval hij de commerciële gegevens mag verwijderen, met uitzondering van Bijlage 2 die zal worden vervangen door een beknopte beschrijving van de beveiligingsmaatregelen in die gevallen waarin de betrokkene niet in staat is om een kopie van de gegevensexporteur te verkrijgen;

(h) dat hij in geval van subverwerking de gegevensexporteur voorafgaand heeft geïnformeerd en zijn voorafgaande schriftelijke toestemming heeft verkregen;

(i) dat de verwerkingsservices door de subverwerker zullen worden uitgevoerd in overeenstemming met Clausule 11;

(j) om onmiddellijk een kopie van een subverwerkerovereenkomst die hij onder de Clausules afsluit, naar de gegevensexporteur te sturen.

 

Clausule 6

Aansprakelijkheid

1. De partijen komen overeen dat elke betrokkene die schade heeft geleden als gevolg van een inbreuk op de verplichtingen waarnaar wordt verwezen in Clausule 3 of in Clausule 11 door een partij of subverwerker, recht heeft op een vergoeding van de gegevensexporteur voor de geleden schade.

2. Indien een betrokkene geen schadevordering overeenkomstig paragraaf 1 kan indienen tegen de gegevensexporteur, die voortvloeit uit een inbreuk door de gegevensimporteur of zijn subverwerker van een van zijn verplichtingen als bedoeld in Clausule 3 of in Clausule 11, omdat de gegevensexporteur feitelijk verdwenen is, wettelijk opgehouden heeft te bestaan of insolvent is geworden, gaat de gegevensimporteur ermee akkoord dat de betrokkene een vordering tegen de gegevensimporteur kan indienen alsof het de gegevensexporteur is, tenzij een opvolger de volledige wettelijke verplichtingen van de gegevensexporteur bij overeenkomst heeft overgenomen of bij wet werd opgelegd, in welk geval de betrokkene zijn rechten ten opzichte van die entiteit kan afdwingen. De gegevensimporteur mag zich niet op een schending door een subverwerker van zijn verplichtingen beroepen om zijn eigen verplichtingen te vermijden.

3. Indien een betrokkene geen vordering kan instellen tegen de gegevensexporteur of de in de paragrafen 1 en 2 bedoelde gegevensimporteur, die voortvloeit uit een schending door de subverwerker van een van zijn verplichtingen als bedoeld in Clausule 3 of in Clausule 11 omdat zowel de gegevensexporteur als de gegevensimporteur feitelijk verdwenen zijn, wettelijk opgehouden zijn te bestaan of insolvent zijn geworden, gaat de subverwerker ermee akkoord dat de betrokkene een claim tegen de gegevenssubverwerker kan indienen met betrekking tot zijn eigen verwerkingsoperaties onder de Clausules alsof deze de gegevensexporteur of de gegevensimporteur waren, tenzij een opvolger de volledige wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur bij overeenkomst heeft overgenomen of bij wet werd opgelegd, in welk geval de betrokkene zijn rechten ten opzichte van die entiteit kan afdwingen. De aansprakelijkheid van de subverwerker is beperkt tot zijn eigen verwerkingsoperaties onder de Clausules.

 

Clausule 7

Bemiddeling en rechtsspraak

1. De gegevensimporteur gaat ermee akkoord dat als de betrokkene zich beroept op de rechten van derde begunstigde en/of schadevergoeding vordert op grond van de Clausules, de gegevensimporteur de beslissing van de betrokkene zal accepteren:

(a) om het geschil voor te leggen voor bemiddeling door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit;

(b) om het geschil voorleggen aan de rechtbanken van de Lidstaat waar de gegevensexporteur is gevestigd.

2. De partijen zijn het erover eens dat de keuze van de betrokkene geen afbreuk doet aan de materiële of procedurele rechten om een beroep te doen op rechtsmiddelen die in overeenstemming zijn met andere bepalingen van nationaal of internationaal recht.

 

Clausule 8

Samenwerking met de toezichthoudende autoriteiten

1. De gegevensexporteur stemt ermee in om een kopie van dit contract bij de toezichthoudende autoriteit te deponeren als daarom wordt gevraagd of als een dergelijke neerlegging vereist is volgens de toepasselijke wetgeving inzake gegevensbescherming.

2. De partijen zijn het erover eens dat de toezichthoudende autoriteit het recht heeft om een audit uit te voeren van de gegevensimporteur en van elke subverwerker, die dezelfde reikwijdte heeft en die onderworpen is aan dezelfde voorwaarden als zou gelden voor een audit van de gegevensexporteur onder de toepasselijke gegevensbeschermingswet.

3. De gegevensimporteur informeert de gegevensexporteur onverwijld over het bestaan van op hem of een subverwerker toepasselijke wetgeving die verhindert dat een audit van de gegevensimporteur of een subverwerker wordt uitgevoerd overeenkomstig paragraaf 2. In een dergelijk geval is de gegevensexporteur gerechtigd om de maatregelen te nemen waarin in Clausule 5 (b) is voorzien.

 

Clausule 9

Toepasselijke wetgeving

De Clausules worden beheerst door het recht van de Lidstaat waarin de gegevensexporteur is gevestigd.

 

Clausule 10

Variatie van het contract

De partijen verbinden zich ertoe om de Clausules niet te wijzigen of aan te passen. Dit belet de partijen niet om waar nodig Clausules over zakelijke aangelegenheden toe te voegen, zolang deze de Clausule niet tegenspreken.

 

Clausule 11

Subverwerking

1. De gegevensimporteur besteedt geen enkele van zijn verwerkingen die namens de gegevensexporteur onder de Clausules zijn uitgevoerd, uit zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur zijn verplichtingen op grond van de Clausules met toestemming van de gegevensexporteur uitbesteedt, dan doet hij dit alleen door middel van een schriftelijke overeenkomst met de subverwerker die dezelfde verplichtingen oplegt aan de subverwerker als die welke de gegevensimporteur op grond van de Clausules heeft. Indien de subverwerker zijn verplichtingen op het gebied van gegevensbescherming krachtens een dergelijke schriftelijke overeenkomst niet nakomt, blijft de gegevensimporteur volledig aansprakelijk ten opzichte van de gegevensexporteur voor de nakoming van de verplichtingen van de subverwerker op basis van een dergelijke overeenkomst.

2. Het voorafgaande schriftelijke contract tussen de gegevensimporteur en de subverwerker moet ook voorzien in een derde-begunstigde-clausule zoals bepaald in Clausule 3 voor gevallen waarin de betrokkene niet in staat is de vordering tot schadevergoeding als bedoeld in paragraaf 1 van Clausule 6 in te dienen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk verdwenen zijn, wettelijk opgehouden hebben om te bestaan of insolvent zijn geworden en er geen enkele opvolger de volledige wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur bij overeenkomst of bij wet heeft overgenomen. Een dergelijke wettelijke aansprakelijkheid van de subverwerker ten opzichte van derden is beperkt tot zijn eigen verwerkingsoperaties onder de Clausules.

3. De bepalingen betreffende gegevensbeschermingsaspecten voor subverwerking van het in paragraaf 1 bedoelde contract worden beheerst door het recht van de Lidstaat waar de gegevensexporteur is gevestigd.

4. De gegevensexporteur zal een lijst bijhouden van subverwerkingsovereenkomsten die overeenkomstig de Clausules zijn afgesloten en door de gegevensimporteur zijn gemeld overeenkomstig Clausule 5 (j) en deze lijst zal ten minste eenmaal per jaar worden bijgewerkt. De lijst staat ter beschikking bij de toezichthoudende gegevensbeschermingsautoriteit van de gegevensexporteur.

 

Clausule 12

Verplichting na de beëindiging van verwerkingsservices van persoonsgegevens

1. De partijen komen overeen dat bij de beëindiging van het aanbieden van gegevensverwerkingsdiensten de gegevensimporteur en de subverwerker, naar keuze van de gegevensexporteur, alle overgedragen persoonsgegevens en de kopieën daarvan aan de gegevensexporteur retourneren of alle persoonsgegevens vernietigen en certificeren aan de gegevensexporteur dat hij dit heeft gedaan, tenzij de wetgeving die aan de gegevensimporteur is opgelegd hem belet om alle of een deel van de doorgegeven persoonsgegevens te retourneren of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de getransfereerde persoonsgegevens zal waarborgen en de getransfereerde persoonsgegevens niet meer actief zal verwerken.

2. De gegevensimporteur en de subverwerker garanderen dat ze op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit hun gegevensverwerkingsfaciliteiten ter beschikking stelt voor een audit van de maatregelen die in paragraaf 1 zijn vermeld.

 
Bijlage 1 van de Standaard Contractuele Clausules

Deze Bijlage maakt deel uit van de Clausules en moeten ingevuld en ondertekend worden door de partijen. De Lidstaten kunnen, in overeenstemming met hun nationale procedures, aanvullende informatie toevoegen of specificeren die in deze Bijlage moet worden opgenomen

Gegevensexporteur

De gegevensexporteur is de entiteit die als “Klant” is geïdentificeerd in de GVO.

Gegevensimporteur

De gegevensimporteur is de entiteit die als “Freshworks” is geïdentificeerd in de GVO.

Betrokkenen

De Betrokkenen zoals die in Bijlage 1 van de GVO zijn vermeld en waaraan de Clausules zijn gehecht.

Gegevenscategorieën

De Gegevenscategorieën zoals die in Bijlage 1 van de GVO zijn vermeld en waaraan de Clausules zijn gehecht.

Speciale gegevenscategorieën (indien van toepassing)

De partijen verwachten geen transfer van speciale gegevenscategorieën.

Verwerkingsoperaties

De overgedragen persoonsgegevens zijn onderworpen aan de basisverwerkingsactiviteiten die zijn uiteengezet in Bijlage 1 van de GVO waaraan de Clausules zijn gehecht.

 

Bijlage 2 van de Standaard Contractuele Clausules

Deze Bijlage maakt deel uit van de Clausules en moeten ingevuld en ondertekend worden door de partijen.

De beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur zijn geïmplementeerd in overeenstemming met Clausules 4(d) en 5(c) (of document/wetgeving in bijlage)

De technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur zijn geïmplementeerd, zijn beschreven in  https://www.freshworks.com/security/.