Addendum inzake gegevensbescherming voor partners

Dit addendum voor gegevensbescherming voor partners (”DPA”) maakt deel uit van de Partnerprogrammaovereenkomst (”Akkoord”) en bevat de aanvullende voorwaarden met betrekking tot de verwerking van persoonsgegevens. Termen met een hoofdletter hebben de betekenis die is gedefinieerd in het volgende deel van dit document of elders in de Overeenkomst. Als er een conflict is tussen de voorwaarden van deze DPA en andere voorwaarden van de Overeenkomst, heeft deze DPA voorrang. Voor de doeleinden van deze DPA betekent „Aanbieder” Partner.

• (a) „Toepasselijke wetgeving inzake gegevensbescherming” betekent alle toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens in het kader van de Overeenkomst, met inbegrip van, maar niet beperkt tot, (i) voor persoonsgegevens die afkomstig zijn van een bevoegde entiteit gevestigd binnen de EER, de Algemene Verordening Gegevensbescherming (EU) 2016/679 (”GDPR”), en (ii) voor persoonsgegevens die afkomstig zijn van een bevoegde entiteit gevestigd in het VK, de Britse GDPR en de Britse wet op de gegevensbescherming van 2018.
• (b) „Geautoriseerde entiteit” betekent elke entiteit (met inbegrip van Siemens en de bedrijven uit de groep) die optreedt als Controller en die op grond van de Overeenkomst het recht heeft om rechtstreeks of onrechtstreeks toegang te krijgen tot of gebruik te maken van de Diensten.
• (c) „Controller” betekent de natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens bepaalt.
• (d) „Land met een adequaatheidsbesluit” betekent elk land waarvoor de Europese Commissie heeft besloten dat dat land een adequaat niveau van gegevensbescherming waarborgt en voor persoonsgegevens die afkomstig zijn uit het VK, elk land waarvoor Britse adequaatheidsvoorschriften zijn opgesteld op grond van secties 17A of 74A van de Data Protection Act 2018.
• (e) „Datalek” betekent elke inbreuk op de beveiliging (i) die leidt tot de onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens die worden verzonden, opgeslagen of anderszins verwerkt, of (ii) waarvoor op grond van de toepasselijke wetgeving kennisgeving van een dergelijke gebeurtenis aan derden vereist is.
• (f) „EER” betekent de Europese Economische Ruimte.
• (g) „Standaard contractbepalingen van de EU” betekent de standaardcontractbepalingen (EU) 2021/914.
• (h) „Herkomstgebied” betekent de EER, het VK, Zwitserland en elk land met vergelijkbare geschiktheidsvereisten zoals vervat in Art. 45 e.v. GDPR.
• (i) „Persoonlijke gegevens” betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon; een identificeerbare natuurlijke persoon is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.
• (j) „Verwerking” (en de andere vormen ervan, zoals Proces, Processen, Verwerkt) betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonsgegevens of op verzamelingen van persoonsgegevens, al dan niet op geautomatiseerde wijze, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door verzending, verspreiding of anderszins beschikbaar stellen, uitlijnen of combineren, beperken, wissen of vernietigen.
• (k) „Verwerker” betekent een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een agentschap of een ander orgaan dat persoonsgegevens verwerkt namens een Controller.
• (l) „Binding Corporate Rules voor de verwerker” betekent bindende bedrijfsregels voor verwerkers die zijn goedgekeurd door de bevoegde toezichthoudende autoriteit.
• (m) „Beperkte persoonsgegevens” betekent alle persoonsgegevens die afkomstig zijn van een bevoegde entiteit die zich binnen een gebied van herkomst bevindt.
• (n) „Beperkte overdracht (en)” betekent elke verwerking (inclusief overdrachten, internationale toegang en verdere overdrachten) van beperkte persoonsgegevens door de provider of een van zijn subverwerkers buiten het relevante gebied van herkomst.
• (o) „Diensten” betekent de diensten in het kader van de overeenkomst die worden geleverd door de leverancier die handelt in zijn rol als verwerker in de zin van deze DPA.
• (p) „Standaardcontractbepalingen” betekent de standaardcontractbepalingen van de EU en de standaardcontractbepalingen van het VK.
• (q) „Subverwerker (s)” betekent elke andere verwerker die betrokken is bij de uitvoering van de diensten.
• (r) „Transferbeveiliging (en)” betekent passende waarborgen voor beperkte overdrachten, zoals vereist door de toepasselijke wetgeving inzake gegevensbescherming, met inbegrip van maar niet beperkt tot alle passende waarborgen die vereist zijn op grond van artikel 46 van de AVG.
• (s) „GDPR in het VK” betekent de GDPR zoals opgenomen in de wetgeving van het Verenigd Koninkrijk op grond van artikel 3 van de Britse wet van 2018 van de Europese Unie (Withdrawal).
• (t) „Britse standaardcontractbepalingen” betekent standaardclausules inzake gegevensbescherming die van tijd tot tijd worden aangenomen door het Britse Information Commissioners Office (ICO) in overeenstemming met artikel 46, lid 2, van de Britse GDPR, met inbegrip van, maar niet beperkt tot, de internationale overeenkomst voor gegevensoverdracht (UK IDTA) en de standaardcontractclausules van de EU, zoals gewijzigd door ICO's International Data Transfer Addendum bij de standaardcontractclausules van de Europese Commissie (”Addendum voor het Verenigd Koninkrijk”). [1]

1 Zie https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

De partijen houden zich aan de toepasselijke wetgeving inzake gegevensbescherming zoals die op hen van toepassing is en zoals hierin vereist. Bij het verlenen van diensten zal de leverancier in het bijzonder voldoen aan de bepalingen van de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot de verwerking van persoonsgegevens als verwerker.

De aanbieder verwerkt persoonsgegevens uitsluitend (a) in overeenstemming met de voorwaarden van deze DPA en de Overeenkomst; of (b) op basis van andere gedocumenteerde instructies van Siemens. De aanbieder zal geen persoonlijke gegevens verwerken voor eigen doeleinden of deze overdragen aan derden, tenzij toegestaan op grond van deze DPA. De leverancier zal Siemens onmiddellijk op de hoogte brengen als naar zijn mening een instructie van Siemens in strijd is met de toepasselijke wetgeving inzake gegevensbescherming.

De informatie over de verwerkingsactiviteiten die door de aanbieder worden verstrekt, met name het onderwerp van de verwerking, de aard en het doel van de verwerking, de soorten verwerkte persoonsgegevens en de categorieën van betrokken betrokkenen - worden gespecificeerd in Bijlage I naar deze DPA.

Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, alsook met het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal de Aanbieder passende technische en organisatorische maatregelen nemen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, met inbegrip van, maar niet beperkt tot, voor zover van toepassing: (a) de pseudonimisering en versleuteling van persoonsgegevens; (b) de mogelijkheid om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van Verwerkingssystemen en -diensten; (c) de mogelijkheid om de beschikbaarheid en toegang tot persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident; (d) een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen. Onverminderd de algemeenheid van de vorige zin, zal de Aanbieder te allen tijde ten minste de technische en organisatorische maatregelen nemen die zijn beschreven in Bijlage IInaar deze DPA.

1 Zie https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

De aanbieder beperkt de toegang van zijn personeel tot persoonsgegevens op basis van een need-to-know basis. De aanbieder zal zijn personeel gedetailleerde informatie verstrekken over de toepasselijke wettelijke en contractuele bepalingen inzake gegevensbescherming. De aanbieder verplicht zijn personeel om aan dergelijke bepalingen te voldoen en in het bijzonder om persoonlijke gegevens geheim te houden en geen persoonlijke gegevens te verwerken anders dan volgens de instructies van Siemens. De geheimhoudingsplicht blijft van kracht na het verstrijken van deze overeenkomst en de contractuele relatie van het personeel met de aanbieder. De aanbieder zal op verzoek het bewijs leveren van deze verplichting.

• (a) De provider heeft de algemene toestemming van Siemens om subverwerkers in te schakelen. Een actuele lijst van subverwerkers in opdracht van de provider is opgenomen in Bijlage III naar deze DPA.
• (b) De aanbieder zal Siemens specifiek schriftelijk op de hoogte brengen van alle voorgenomen wijzigingen in die lijst door de toevoeging of vervanging van subverwerkers, ten minste 30 dagen van tevoren. De leverancier zal Siemens de informatie verstrekken die nodig is om Siemens in staat te stellen het recht om bezwaar te maken uit te oefenen. Als Siemens binnen deze periode van 30 dagen geen bezwaar maakt, dan wordt dit beschouwd als een goedkeuring van de nieuwe subprocessor. Als Siemens bezwaar maakt, zal de leverancier - alvorens de subverwerker toestemming te geven om toegang te krijgen tot persoonsgegevens - redelijke inspanningen doen om tegemoet te komen aan de zorgen en voorbehouden van Siemens en (i) afzien van het gebruik van de subverwerker; of (ii) Siemens een redelijke wijziging voorstellen in de Services of de configuratie of het gebruik van de Services om de verwerking van persoonsgegevens door de nieuwe subverwerker te vermijden. Als de Aanbieder niet in staat is om de redenen voor het bezwaar van Siemens weg te nemen, heeft Siemens het recht om de betreffende Diensten te beëindigen zonder enige schadevergoeding of boete. In geval van beëindiging door Siemens zal de Provider alle vooruitbetaalde bedragen voor de toepasselijke Service naar rato terugbetalen.
• (c) Wanneer de aanbieder een subverwerker inschakelt om specifieke verwerkingsactiviteiten uit te voeren (namens Siemens en/of bevoegde entiteiten), doet hij dat door middel van een schriftelijk contract dat in wezen dezelfde verplichtingen inzake gegevensbescherming bevat als de verplichtingen die de Aanbieder op grond van deze DPA bindt.
• (d) De leverancier zal op verzoek van Siemens een kopie van een dergelijk subprocessorcontract en eventuele latere wijzigingen aan Siemens verstrekken. Voor zover dat nodig is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonlijke gegevens, te beschermen, kan de Aanbieder de tekst van het contract redigeren voordat hij een kopie deelt.
• (e) De leverancier controleert de subverwerker adequaat en regelmatig op de naleving van deze vereisten en documenteert de resultaten van dergelijke audits.
• (f) De leverancier blijft tegenover Siemens volledig verantwoordelijk voor de uitvoering van de verplichtingen van de subverwerker uit hoofde van zijn contract met de leverancier. De leverancier zal Siemens op de hoogte brengen als de subverwerker zijn verplichtingen uit hoofde van dat contract niet nakomt.

In het geval van beperkte overdrachten naar de aanbieder zorgt de aanbieder ervoor dat een dergelijke beperkte overdracht wordt gedekt door adequate overdrachtswaarborgen, zoals uiteengezet in deze Sectie 9 en Bijlage III naar deze DPA.

• (a) Standaardcontractbepalingen. Het volgende is van toepassing als een transferbeveiliging gebaseerd is op de standaardcontractbepalingen:
  • EEA-Aanbieders. Als de aanbieder zich binnen de EER bevindt, sluit de aanbieder de standaardcontractbepalingen (module 3) met zijn subverwerker. Secties 9 (a) (vii) („Toepasselijk recht”), 9 (a) (viii) („Forumkeuze en jurisdictie”), 9 (a) (ix) (b) („Deel 1 van het Britse addendum”), en de tweede zin van sectie 9 (a) (x) („Geautoriseerde entiteiten in andere landen”) van deze DPA is niet van toepassing als de aanbieder zich in de EER bevindt.
  • Aanbieders buiten de EER. Als de aanbieder zich buiten de EER bevindt, wordt de beperkte overdracht geregeld door de modules 2 en 3 van de standaardcontractbepalingen. De relevante bepalingen in de standaardcontractbepalingen zijn opgenomen door middel van verwijzing en vormen een integraal onderdeel van deze DPA. De informatie die nodig is voor de doeleinden van de bijlagen bij de standaardcontractbepalingen is opgenomen in Bijlagen I tot en met IIInaar deze DPA.
  • Dockingclausule. De optie op grond van clausule 7 van de standaardcontractbepalingen is niet van toepassing.
  • Verdere overdrachten. Elke verdere overdracht moet voldoen aan de clausules 8 en 9 van de toepasselijke module van de standaardcontractbepalingen. In het geval dat Siemens buiten de EER is gevestigd en zelf optreedt als gegevensimporteur op grond van standaardcontractbepalingen met bevoegde entiteiten, is de clausule voor begunstigden van derden, zoals bepaald in clausule 9 (e) van de standaardcontractbepalingen, in het voordeel van die bevoegde entiteit.
  • Gebruik van subverwerkers.Optie 2 op grond van clausule 9 van de standaardcontractbepalingen is van toepassing. Voor de toepassing van clausule 9 (a) van de standaardcontractbepalingen heeft de Provider de algemene toestemming van Siemens om subverwerkers in te schakelen in overeenstemming met Sectie 8 van deze DPA.
  • verhaal. Indien de aanbieder betrokkenen de mogelijkheid biedt om een klacht in te dienen bij een onafhankelijke instantie voor geschillenbeslechting (zie de optie in clausule 11 van de standaardcontractbepalingen), zal de leverancier Siemens schriftelijk op de hoogte stellen van de verantwoordelijke arbitrage-instantie en voldoen aan de toepasselijke vereisten in clausule 11 van de standaardcontractbepalingen en de toepasselijke arbitrageregels.
  • Toepasselijk recht. Het toepasselijke recht voor de toepassing van clausule 17 van de standaardcontractbepalingen is het recht dat is aangewezen in de sectie toepasselijk recht van de overeenkomst. Als de overeenkomst niet wordt beheerst door de wetgeving van een EU-lidstaat, worden de standaardcontractbepalingen van de EU beheerst door het recht van Duitsland.
  • Forumkeuze en jurisdictie. De rechtbanken op grond van clausule 18 van de standaardcontractbepalingen zijn de rechtbanken die zijn aangewezen in het gedeelte over de locatie van de overeenkomst. Als in de Overeenkomst geen rechtbank van een EU-lidstaat wordt aangewezen die exclusief bevoegd is om geschillen of rechtszaken te beslechten die voortvloeien uit of verband houden met de Overeenkomst, komen de partijen overeen dat de rechtbanken van Duitsland exclusief bevoegd zijn om elk geschil op te lossen dat voortvloeit uit de modelcontractbepalingen van de EU.
  • Geautoriseerde entiteiten in het Verenigd Koninkrijk. In het geval dat beperkte overdrachten afkomstig zijn van erkende entiteiten die gevestigd zijn in het Verenigd Koninkrijk, is het volgende van toepassing:
    • Addendum voor het Verenigd Koninkrijk. Het Britse addendum wordt gebruikt, tenzij Siemens schriftelijk anders is overeengekomen.
    • Deel 1 van het Britse addendum. Deel 1 van het Britse addendum wordt als volgt toegepast:
      1. Tabel 1: De gegevens en belangrijkste contactgegevens van de partijen zijn opgenomen in Bijlage I naar deze DPA.
      2. Tabel 2: De versie van de goedgekeurde SCC's van de EU (zoals gedefinieerd in het Britse addendum) waaraan het Britse addendum is toegevoegd, zijn de standaardcontractbepalingen van de EU met de modules en clausules die hierboven zijn geselecteerd in Sectie 9 (a) van deze DPA. Geen enkele persoonlijke informatie die van de importeur is ontvangen, wordt gecombineerd met persoonlijke gegevens die door de exporteur zijn verzameld.
      3. Tabel 3: De informatie in de bijlage, zoals vereist in tabel 3 van het Britse addendum, is opgenomen in Bijlagen I tot en met III naar deze DPA.
      4. Tabel 4: Geen van beide partijen mag het Britse addendum beëindigen wanneer het goedgekeurde addendum (zoals gedefinieerd in het Britse addendum) verandert.
  • Geautoriseerde entiteiten in andere landen. Indien de standaardcontractbepalingen beperkte overdrachten beschermen van geautoriseerde entiteiten die gevestigd zijn buiten de EER en het Verenigd Koninkrijk (bijv. Zwitserland), hebben (1) algemene en specifieke verwijzingen in de modelcontractbepalingen naar de AVG of de wetgeving van de EU of de lidstaten dezelfde betekenis als de gelijkwaardige verwijzing in de toepasselijke gegevensbeschermingswetgeving van het land waar de bevoegde entiteit is gevestigd, voor zover van toepassing; en (2) verwijzingen naar de „bevoegde toezichthoudende autoriteit” worden geïnterpreteerd als verwijzingen naar bevoegd gegevensbescherming autoriteit in zo'n land. Het toepasselijke recht, de forumkeuze en de jurisdictie worden beheerst door Secties 9 (a) (vii) en (viii) van deze DPA, tenzij anders vereist op grond van de wetgeving die van toepassing is op de respectieve bevoegde entiteit, in welk geval de standaardcontractbepalingen worden beheerst door de wetten van het land waar de bevoegde entiteit is gevestigd en alle verwijzingen naar de bevoegde „rechtbanken” worden geïnterpreteerd als verwijzingen naar bevoegde rechtbanken in dat land.
• Bindende bedrijfsregels voor verwerkers. Het volgende is van toepassing als een Transfer Safeguard gebaseerd is op de Binding Corporate Rules voor de Processor: De leverancier zal een dergelijke subverwerker contractueel verplichten om te voldoen aan de Binding Corporate Rules voor de verwerker met betrekking tot de persoonsgegevens die op grond van deze DPA worden verwerkt.
• Aanvullende beveiligingsmaatregelen voor overdrachten. In het geval dat een overdrachtbeveiliging niet gebaseerd is op standaardcontractbepalingen, zijn clausule 14 en 15 van de standaardcontractbepalingen mutatis-mutandis van toepassing op beperkte overdrachten in het kader van een dergelijke andere overdrachtbeveiliging, tenzij de betreffende transferbeveiliging in wezen dezelfde rechten en plichten bevat met betrekking tot (i) lokale wetten en praktijken die van invloed zijn op de naleving van de overdrachtswaarborgen, en (ii) verplichtingen in geval van toegang door overheidsinstanties, zoals vervat in clausules 14 en 15 van de standaardcontractbepalingen.
• Ander. De provider is het ermee eens en begrijpt dat de lokale toepasselijke wetgeving inzake gegevensbescherming soortgelijke of aanvullende overdrachtsbeperkingen kan bevatten, zoals vervat in deze Sectie 9. In dat geval gaat de leverancier ermee akkoord om redelijke inspanningen te leveren en te goeder trouw samen te werken met Siemens om aan deze vereisten te voldoen.

De leverancier zal Siemens redelijkerwijs helpen bij het waarborgen van de naleving van de toepasselijke wetgeving inzake gegevensbescherming, in het bijzonder door Siemens bij te staan als volgt:

• (a) Correctie, verwijdering of beperking van de verwerking. De aanbieder biedt ofwel (i) de mogelijkheid om de verwerking van persoonsgegevens te corrigeren, te wissen of te beperken via de functies van de Diensten, ofwel (ii) de verwerking van persoonsgegevens te corrigeren, te wissen of te beperken volgens de instructies van Siemens.
• (b) Toegang tot persoonlijke gegevens. Voor zover informatie over een betrokkene niet toegankelijk is via de Service, zal de Aanbieder, indien nodig om Siemens en bevoegde entiteiten in staat te stellen aan hun verplichtingen op grond van de toepasselijke wetgeving inzake gegevensbescherming te voldoen, assistentie verlenen om dergelijke informatie beschikbaar te stellen aan Siemens en/of bevoegde entiteiten.
• (c) Verzoeken van betrokkenen en autoriteiten. De leverancier zal Siemens onmiddellijk op de hoogte brengen van: (i) elk verzoek of elke klacht die is ontvangen of kennisgevingen van onderzoek door een wetshandhavings-, overheids- of regelgevende instantie of agentschap; en (ii) elk verzoek dat rechtstreeks van een betrokkene wordt ontvangen over zijn persoonsgegevens. Met betrekking tot (i) en (ii) hierboven zal de leverancier niet reageren zonder instructies van Siemens. Indien dit wordt geïnstrueerd, zal de leverancier Siemens redelijkerwijs ondersteunen bij het beantwoorden van dergelijke verzoeken.
• (d) Overdraagbaarheid van gegevens. Op verzoek van Siemens en indien vereist op grond van de toepasselijke wetgeving inzake gegevensbescherming, zal de Provider ofwel (i) de mogelijkheid bieden om persoonsgegevens te extraheren op basis van een specifieke betrokkene in overeenstemming met de functionaliteiten van de Service, ofwel (ii) de relevante set gegevens beschikbaar stellen aan Siemens en/of de respectieve bevoegde entiteit, telkens in een gestructureerd, veelgebruikt en machineleesbaar formaat.
• (e) Effectbeoordelingen op het gebied van gegevensbescherming. Op verzoek van Siemens zal de leverancier alle informatie en redelijke ondersteuning bieden voor het uitvoeren van gegevensbeschermingseffectbeoordelingen in het kader van de toepasselijke wetgeving inzake gegevensbescherming.

Na beëindiging van de gegevensverwerkingsrelatie, tenzij Siemens anders instrueert of hierin wordt uiteengezet, zal de Provider alle persoonlijke gegevens teruggeven aan Siemens die beschikbaar zijn gesteld aan de Provider of die door de Provider zijn verkregen of gegenereerd in verband met de contractueel overeengekomen diensten, en zal hij alle resterende gegevens onherroepelijk verwijderen of vernietigen. De verwijdering of vernietiging wordt op verzoek schriftelijk bevestigd door de aanbieder.

• (a) De leverancier zal Siemens onmiddellijk, maar in elk geval binnen 48 uur, op de hoogte stellen indien de leverancier een datalek ontdekt of redelijkerwijs vermoedt.
• (b) In de kennisgeving aan Siemens verstrekt de leverancier Siemens de volgende informatie: (i) gegevens van een contactpunt waar (of van wie) meer informatie kan worden verkregen, (ii) een beschrijving van de aard van de inbreuk (inclusief, indien mogelijk, namen, categorieën en het geschatte aantal betrokken personen en persoonlijke gegevensbestanden), (iii) de waarschijnlijke gevolgen en de maatregelen die zijn genomen of voorgesteld om de inbreuk aan te pakken, met inbegrip van maatregelen om de inbreuk te beperken het zijn mogelijke bijwerkingen. Indien en voor zover het niet mogelijk is om alle informatie tegelijkertijd te verstrekken, bevat de eerste kennisgeving de informatie die op dat moment beschikbaar is en wordt verdere informatie, zodra deze beschikbaar is, vervolgens zonder onnodige vertraging verstrekt.
• (c) Alle meldingen in het kader van dit Sectie 12 wordt doorverwezen naar (i) het respectieve contactpunt dat in de Overeenkomst is vermeld en (ii) naar dataprotection@siemens.com.
• (d) De leverancier zal, op kosten en kosten van de Aanbieder, (i) volledig samenwerken met Siemens bij het onderzoek naar een datalek; (ii) Siemens bijstaan en samenwerken met betrekking tot alle wettelijk verplichte meldingen of bekendmakingen aan betrokken personen (door individuele communicatie, openbare communicatie via de media of soortgelijke maatregelen), wetshandhavers, regelgevende instanties en/of andere derden; en (iii) elke andere actie ondernemen die Siemens noodzakelijk acht in verband met een dergelijk datalek en elk geschil, vraag of claim die betrekking heeft op het datalek.
• (e) Tenzij de toepasselijke wetgeving of een bevel van een bevoegde toezichthouder anders vereist, beslist Siemens naar eigen goeddunken (i) of een datalek een melding vereist en (ii) de wijze van de melding. In het geval dat de aanbieder dergelijke meldingen verstrekt in verband met een datalek, moeten dergelijke kennisgevingen vooraf worden goedgekeurd door Siemens.
• (f) De provider zal op zijn kosten passende maatregelen nemen om het datalek aan te pakken, waaronder maatregelen om de nadelige gevolgen ervan te beperken (waaronder maatregelen om de werkomgeving te beschermen). De aanbieder zal ook onmiddellijk maatregelen nemen om herhaling van een datalek te voorkomen, met inbegrip van alle maatregelen die vereist zijn op grond van de toepasselijke wetgeving inzake gegevensbescherming.
• (g) De leverancier vergoedt Siemens alle kosten en uitgaven die zijn gemaakt voor een dergelijk datalek veroorzaakt door de Provider, met inbegrip van maar niet beperkt tot de kosten voor het verstrekken van kredietcontrole aan de personen van wie de persoonsgegevens zijn getroffen door het datalek. Beperkingen van de aansprakelijkheid ten gunste van de Aanbieder op grond van de Overeenkomst zijn in dit verband niet van toepassing.

• (a) De aanbieder zal (i) met passende middelen toezien op zijn eigen naleving van zijn gegevensbeschermingsverplichtingen uit hoofde van deze DPA en de toepasselijke wetgeving inzake gegevensbescherming; (ii) gerelateerde periodieke (ten minste jaarlijkse) en incidentele rapporten opstellen (elk a”Rapport”); en (iii) de rapporten op verzoek beschikbaar stellen aan Siemens en bevoegde instanties. Wanneer een door de leverancier geïmplementeerd controlestandaard en -kader in controles voorziet, worden dergelijke controles uitgevoerd volgens de normen en regels van de regelgevende of accreditatie-instantie voor elke toepasselijke controlenorm of -raamwerk.
• (b) Indien dit nodig is om naar behoren te voldoen aan zijn auditrechten en -verplichtingen op grond van de toepasselijke wetgeving inzake gegevensbescherming, de toepasselijke overdrachtswaarborgen of op verzoek van een bevoegde gegevensbeschermingsautoriteit of een andere bevoegde overheidsinstantie of -instantie, stelt de Provider naast de rapporten alle verdere informatie beschikbaar die redelijkerwijs wordt opgevraagd en maakt audits mogelijk en draagt bij aan audits, waaronder inspecties, die worden uitgevoerd door Siemens of geautoriseerde entiteiten of een andere auditor die is gemachtigd door Siemens of erkende entiteiten. Voor dergelijke doeleinden hebben Siemens, bevoegde entiteiten of een andere door Siemens gemandateerde auditor of geautoriseerde entiteiten ook het recht om inspecties ter plaatse uit te voeren tijdens normale kantooruren, zonder de bedrijfsactiviteiten van de aanbieder te verstoren, en na een redelijke voorafgaande kennisgeving.

Als de Dienst gebruik maakt van cookies of soortgelijke technologieën, is het volgende van toepassing: De aanbieder zal, tenzij Siemens specifiek anders heeft overeengekomen met betrekking tot deze informatie Sectie 14, alleen informatie opslaan (bijvoorbeeld door een cookie te schrijven), of toegang krijgen tot informatie die al is opgeslagen in de eindapparatuur van een gebruiker van de Dienst (bijvoorbeeld via een cookie) met als enig doel de overdracht van een communicatie via een elektronisch communicatienetwerk uit te voeren, of voor zover strikt noodzakelijk om de Aanbieder de kernfuncties van de Diensten te laten leveren.

De leverancier begrijpt en gaat ermee akkoord dat de vereisten in deze DPA een integraal onderdeel vormen van de Overeenkomst en dat een wezenlijke inbreuk op een van deze vereisten door de Aanbieder als een wezenlijke inbreuk op de Overeenkomst wordt beschouwd, waardoor Siemens recht heeft op rechtsmiddelen in verband met materiële inbreuken die in de Overeenkomst zijn opgenomen.

Als en voor zover de aanbieder toegang heeft tot persoonsgegevens die zijn ontvangen van een bedrijf uit de Siemens-groep dat is gevestigd in de Verenigde Staten van Amerika (”Siemens, Amerikaans bedrijf”) of van een betrokkene die ingezetene is van de Verenigde Staten van Amerika, en in aanvulling op het bovenstaande, de Aanbieder: (i) zal voldoen aan de Amerikaanse federale, staats- en lokale wetten met betrekking tot persoonsgegevens die van toepassing zijn op de Provider, dergelijke persoonsgegevens, en de eigenaren of beheerders van dergelijke persoonsgegevens; wanneer het voorgaande van toepassing is, omvat de term „Toepasselijke wetgeving inzake gegevensbescherming” zoals die in dit document wordt gebruikt, de voorgaande wetten; (ii) behalve zoals specifiek bepaald in deze Overeenkomst, mag niet worden verkocht, gedeeld, verhuurd, vrijgegeven, openbaar gemaakt, verspreid of beschikbaar gesteld Persoonlijke gegevens aan derden; en mag de persoonlijke gegevens niet combineren met andere informatie; (iii) stelt Siemens op de hoogte als de leverancier besluit dat de leverancier niet langer aan zijn verplichtingen op grond van deze overeenkomst kan voldoen; (iv) zorgt ervoor dat elke persoon die persoonsgegevens verwerkt, onderworpen is aan een geheimhoudingsplicht met betrekking tot de persoonsgegevens; (v) wordt beschouwd en treedt op als een „dienstverlener” volgens de toepasselijke wetgeving inzake gegevensbescherming (waaronder de California Consumer Privacy Act), de uitvoeringsvoorschriften en eventuele wijzigingen daarvan); en (vii) verklaart hierbij dat zij de hierin opgenomen beperkingen begrijpt en dat zij zich eraan zal houden.

Bijlage I bij de DPA (en, indien van toepassing, de standaardcontractbepalingen)

A.LIJST VAN PARTIJEN

Ontvanger van diensten/gegevensexporteur:

Aanbieder/gegevensimporteur:

B.BESCHRIJVING VAN DE OVERDRACHTS- EN VERWERKINGSACTIVITEITEN

C.BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

Wanneer Siemens is gevestigd in een EU-lidstaat, treedt de toezichthoudende autoriteit die verantwoordelijk is voor de naleving van de AVG door Siemens met betrekking tot de gegevensoverdracht op als bevoegde toezichthoudende autoriteit. Voor Siemens Aktiengesellschaft, Duitsland, is de toezichthoudende autoriteit:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 18

91522 Ansbach

Duitsland

Wanneer Siemens niet is gevestigd in een EU-lidstaat, maar overeenkomstig artikel 3, lid 2, binnen het territoriale toepassingsgebied van de AVG valt, treedt de toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van de AVG is gevestigd, op als bevoegde toezichthoudende autoriteit; namelijk:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 18

91522 Ansbach

Duitsland

Bijlage II bij de DPA (en, indien van toepassing, de standaardcontractbepalingen)

Technische en organisatorische maatregelen (waaronder technische en organisatorische maatregelen om de Security van de gegevens te waarborgen)

De volgende maatregelen zijn alleen van toepassing op de aanbieder, voor zover de onderliggende IT-systemen, netwerken en toepassingen onder de verantwoordelijkheid vallen van en/of onder de voogdij of het beheer van de provider vallen. Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de provider en zijn subverwerker (s) zijn geïmplementeerd:

Bijlage III bij de DPA (en, indien van toepassing, de standaardcontractbepalingen)

LIJST VAN SUBVERWERKERS EN DATACENTERLOCATIES

Het 'Autorisatieformulier voor partners' bevat de

Entiteiten (waaronder partners en subverwerkers) die zich bezighouden met de opslag/hosting van persoonsgegevens,

Toepasselijke datacenterlocaties,

Subverwerkers die zich bezighouden met de verwerking van persoonsgegevens voor niet-opslag-/hostingdoeleinden,

die hierin met deze verwijzing zijn opgenomen.

De provider zal geen persoonlijke gegevens van de respectieve datacenterlocatie overdragen zonder toestemming van Siemens. Het meldings- en bezwaarmechanisme dat is opgenomen in Sectie 8 is in dit verband niet van toepassing.