Skip to Main

Addendum Gegevensverwerking LexisNexis

1. TOEPASSINGSGEBIED EN DEFINITIES

1.1. Dit Addendum Gegevensverwerking van LexisNexis ("DPA") maakt deel uit van de overeenkomst ("Overeenkomst") tussen de klant ("u", "uw") en de LexisNexis-entiteit ("LN", "wij", "ons", "onze"), waaronder wij u en, indien van toepassing, uw gelieerde ondernemingen bepaalde diensten ("Diensten") aanbieden en waarbij naar deze DPA wordt verwezen.

1.2. "Gegevensbeschermingswetgeving" betekent alle toepasselijke wet- en regelgeving inzake privacy en gegevensbescherming, voorschriften, verordeningen, besluiten en andere overheidseisen. De begrippen "verwerkingsverantwoordelijke", "betrokkene", "persoonsgegevens", "inbreuk in verband met persoonsgegevens", "verwerking" en "verwerker" hebben de betekenis die daaraan is toegekend in de gegevensbeschermingswetgeving. Wanneer de gegevensbeschermingswetgeving naar gelijkwaardige of Overeenkomstige begrippen verwijst, zoals bijvoorbeeld "persoonlijke informatie" in plaats van "persoonsgegevens", moeten deze begrippen in dit document als hetzelfde begrip worden gelezen.

2. VERWERKEN

2.1. Wij zullen passende technische en organisatorische maatregelen implementeren, en doen dit op een zodanige manier dat de verwerking voldoet aan de eisen van de gegevensbeschermingswetgeving, de rechten van betrokkenen worden gewaarborgd en de geboden bescherming ten minste gelijk is aan het in de gegevensbeschermingswetgeving vereiste niveau.

2.2. Het onderwerp van onze verwerking is de persoonlijke informatie die wordt verstrekt met betrekking tot de Diensten. De duur van de verwerking is de duur van het leveren van de Diensten tot aan het verwijderen van de persoonsgegevens in overeenstemming met de Overeenkomst. De aard en het doel van de verwerking houden verband met het leveren van de Diensten. De soorten persoonsgegevens die worden verwerkt, zijn de gegevens die worden verstrekt aan de Diensten. De categorieën van betrokkenen zijn de personen wier persoonsgegevens aan de Diensten worden verstrekt.

2.3. Voor zover wij namens u persoonsgegevens verwerken, zullen wij:

  1. de persoonsgegevens uitsluitend verwerken volgens uw gedocumenteerde instructies, inclusief met betrekking tot de doorgifte van persoonsgegevens naar een derde land of een internationale organisatie, tenzij wij daartoe verplicht worden door de toepasselijke wetgeving waaraan we onderworpen zijn; in een dergelijk geval zullen we u voorafgaand aan de verwerking op de hoogte stellen van die wettelijke verplichting, tenzij deze wet dergelijke op de hoogte stelling verbiedt vanwege belangrijke redenen van openbaar belang;
  2. ervoor zorgen dat personen die bevoegd zijn om de persoonsgegevens te verwerken zich hebben verplicht tot geheimhouding of een passende wettelijke verplichting tot vertrouwelijkheid hebben;
  3. alle beveiligingsmaatregelen nemen die vereist zijn volgens de gegevensbeschermingswetgeving;
  4. de in de paragrafen 3.1 en 3.2 genoemde voorwaarden voor het inschakelen van een andere verwerker in acht nemen;
  5. gezien de aard van de verwerking u door middel van passende technische en organisatorische maatregelen zoveel mogelijk ondersteunen bij de nakoming van uw verplichting om te reageren op verzoeken tot uitoefening van de in de gegevensbeschermingswetgeving vastgestelde rechten van betrokkenen;
  6. u helpen bij het naleven van de verplichtingen volgens de gegevensbeschermingswetgeving, rekening houdend met de aard van de verwerking en de informatie waarover wij beschikken;
  7. naar uw keuze alle persoonsgegevens verwijderen of aan u teruggeven na afloop van de dienstverlening met betrekking tot de verwerking, en bestaande kopieën verwijderen, tenzij de toepasselijke wetgeving de opslag van de persoonsgegevens vereist;
  8. alle informatie ter beschikking stellen die nodig is om naleving aan te tonen van de verplichtingen die zijn vastgelegd in de gegevensbeschermingswetgeving, en toestaan van en bijdragen aan audits, waaronder inspecties, die door u of een door u gemachtigde auditor worden uitgevoerd;

en u onmiddellijk op de hoogte stellen als een instructie van u aan ons, naar onze mening, inbreuk maakt op de gegevensbeschermingswetgeving.

2.4. De Overeenkomst, met inbegrip van deze DPA, samen met uw gebruik en configuratie van de Diensten, zijn uw volledige en definitieve gedocumenteerde instructies aan ons voor de verwerking van persoonsgegevens. Aanvullende of andere instructies moeten afzonderlijk door de partijen worden overeengekomen.

3. SUBVERWERKERS

3.1. Voor zover wij namens u persoonsgegevens verwerken, hebben wij uw algemene toestemming om andere verwerkers in te schakelen voor de verwerking van dergelijke persoonsgegevens in overeenstemming met deze DPA, welke staan vermeld op onze lijst van verwerkers, raadpleegbaar op https://www.lexisnexis.com/global/privacy/subprocessors.page, welke lijst we van tijd tot tijd kunnen bijwerken. We zullen u op de hoogte stellen van eventuele wijzigingen door de bijgewerkte lijst ten minste 14 dagen van tevoren op onze website te publiceren. U kunt bezwaar maken tegen dergelijke wijzigingen door ons binnen 14 dagen nadat de lijst is bijgewerkt op de hoogte te stellen en uw redenen voor bezwaar te beschrijven. Zonder afbreuk te doen aan de toepasselijke restitutie- of beëindigingsrechten die u hebt op grond van de Overeenkomst, zullen we redelijke inspanningen ondernemen om te voorkomen dat persoonsgegevens worden verwerkt door een dergelijke nieuwe verwerker waartegen u redelijkerwijs bezwaar maakt.

3.2. Wanneer we een andere verwerker inschakelen voor het uitvoeren van specifieke verwerkingsactiviteiten namens u, zullen dezelfde verplichtingen inzake gegevensbescherming als uiteengezet in deze DPA aan die andere verwerker worden opgelegd door middel van een contract of andere wettelijke handeling onder het toepasselijke recht, met name het bieden van voldoende garanties om passende technische en organisatorische maatregelen te implementeren op een zodanige wijze dat de verwerking zal voldoen aan de eisen van de gegevensbeschermingswetgeving. Indien de andere verwerker tekortschiet in de nakoming van deze verplichtingen op het gebied van gegevensbescherming, blijven wij (onderworpen aan de bepalingen van de Overeenkomst) volledig aansprakelijk voor de uitvoering van de verplichtingen van de andere verwerker.

4. RECHTEN VAN BETROKKENE

4.1. Voor zover wij namens u persoonsgegevens verwerken, zullen wij, voor zover wettelijk toegestaan, u onmiddellijk op de hoogte stellen van door ons ontvangen verzoeken aangaande de rechten van betrokkenen.

4.2. Elke partij zal redelijkerwijs met de andere partij samenwerken om de andere partij te helpen haar verplichtingen inzake de gegevensbeschermingswetgeving na te komen met betrekking tot verzoeken aangaande de rechten van betrokkenen.

5. DOORGIFTE

5.1. We zullen ervoor zorgen dat, voor zover persoonsgegevens uit uw land naar een ander land worden doorgegeven, deze doorgifte onderworpen zal zijn aan passende voorzorgsmaatregelen in overeenstemming met de gegevensbeschermingswetgeving.

6. VEILIGHEID VAN DE VERWERKING

6.1. Rekening houdend met de stand van de techniek, de uitvoeringskosten , alsook met de aard, omvang, context en doeleinden van de verwerking en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, zullen de partijen passende technische en organisatorische maatregelen treffen om een op het risico afgestemd veiligheidsniveau te garanderen, die waar passend, onder meer het volgende omvatten:

  1. het pseudonimiseren en versleutelen van persoonsgegevens;
  2. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen;
  3. het vermogen om de mogelijkheid om de beschikbaarheid en toegang tot persoonsgegevens tijdig te herstellen in het geval van een fysiek of technisch incident; en
  4. een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen ter beveiliging van de verwerking.

6.2. Bij het beoordelen van het passende beveiligingsniveau zullen we rekening houden met de risico's die ontstaan door de verwerking, in het bijzonder als gevolg van toevallige of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot persoonsgegevens die worden verzonden, opgeslagen of op een andere wijze verwerkt.

6.3. De partijen zullen redelijke stappen ondernemen om ervoor te zorgen dat natuurlijke personen die handelen onder het gezag van een van de partijen en toegang hebben tot persoonsgegevens, de gegevens niet verwerken, behalve volgens uw instructies, tenzij hij of zij hiertoe verplicht is door de toepasselijke wetgeving.

7. INBREUK IN VERBAND MET PERSOONSGEGEVENS

7.1. Voor zover wij namens u persoonsgegevens verwerken, zullen wij u onmiddellijk op de hoogte stellen nadat wij zijn geïnformeerd over inbreuken in verband met persoonsgegevens en zullen wij redelijkerwijs reageren op uw verzoeken voor verdere informatie om u te helpen uw verplichtingen inzake de gegevensbeschermingswetgeving na te komen.

8. REGISTER VAN VERWERKINGSACTIVITEITEN

8.1. We zullen alle verwerkingsactiviteiten bijhouden die vereist zijn door de gegevensbeschermingswetgeving en, voor zover van toepassing op de verwerking van persoonsgegevens in uw naam, deze aan u beschikbaar stellen indien nodig.

9. AUDIT

9.1. De audits zullen:

  1. onderhevig zijn aan de uitvoering van gepaste vertrouwelijkheid of geheimhoudingsovereenkomsten;
  2. niet meer dan één keer per jaar worden uitgevoerd, tenzij er aantoonbaar bewijs voor niet-naleving van de Overeenkomst is, na een schriftelijke kennisgeving 30 dagen van tevoren en nadat een plan voor een dergelijke beoordeling is ingediend; en
  3. worden uitgevoerd op een onderling overeengekomen tijd, plaats en manier.

10. CONFLICT

10.1. Als er een conflict is tussen de voorwaarden van deze DPA en de Overeenkomst, hebben de voorwaarden van deze DPA voorrang, voor zover wettelijk verplicht.

11. SPECIFIEKE BEPALINGEN VOOR RECHTSGEBIEDEN

11.1. In het geval dat wij persoonsgegevens verwerken die afkomstig zijn uit of anderszins onderworpen zijn aan de gegevensbeschermingswetgeving van een rechtsgebied uit de bijlage bij dit document, gelden in aanvulling op de voorgaande bepalingen de bepalingen die ten aanzien van het betreffende rechtsgebied zijn uiteengezet in de bijlage.

BIJLAGE
Specifieke bepalingen voor rechtsgebieden

1. Europese Economische Ruimte, Verenigd Koninkrijk en Zwitserland

1.1. Voor zover u persoonsgegevens uit de Europese Economische Ruimte (“EER”), het Verenigd Koninkrijk (“VK”) of Zwitserland doorgeeft aan LN die zich buiten de EER, het VK of Zwitserland bevindt, geldt dat, tenzij de partijen zich kunnen beroepen op een alternatief doorgiftemechanisme of een andere grondslag volgens de wetgeving inzake gegevensbescherming, de partijen worden geacht de standaardcontractbepalingen te zijn aangegaan zoals die door de Europese Commissie zijn goedgekeurd in Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021, dat beschikbaar is op http://data.europa.eu/eli/dec_impl/2021/914/oj ('Bepalingen'), met betrekking tot een dergelijke doorgifte, waarbij:

  1. de voetnoten, de optie van Bepaling 11(a) worden weggelaten en de toepasselijke bijlagen respectievelijk worden aangevuld met de informatie die in de DPA en de Overeenkomst is opgenomen;
  2. voor zover elke partij optreedt als verwerkingsverantwoordelijke, Module één van toepassing is en Modules twee, drie en vier en Bepaling 17 Optie 2 worden weggelaten;
  3. voor zover u optreedt als verwerkingsverantwoordelijke en LN optreedt als verwerker, Module twee van toepassing is, Modules één, drie en vier en Bepaling 17 optie 1 worden weggelaten, optie 1 van Bepaling 9(a) wordt weggelaten en de termijn Bepaling 9(a) in optie 2 14 dagen is;
  4. voor zover elke partij als verwerker optreedt, Module drie van toepassing is, Modules één, twee en vier en Bepaling 17 optie 1 worden weggelaten, optie 1 van Bepaling 9(a) wordt weggelaten en de termijn in Bepaling 9(a) optie 2 14 dagen is;
  5. de “bevoegde toezichthoudende autoriteit” de bevoegde toezichthoudende autoriteit is in het land waar de gegevensexporteur is gevestigd;
  6. de Bepalingen worden beheerst door de wetten van het land waar de gegevensexporteur is gevestigd;
  7. alle geschillen die voortvloeien uit de bepalingen worden beslecht door de rechter in het land waar de gegevensexporteur is gevestigd; en
  8. in geval van tegenstrijdigheid tussen de voorwaarden in de Overeenkomst en de Bepalingen, de Bepalingen voorrang hebben.

1.2. Met betrekking tot de doorgifte van persoonsgegevens uit het Verenigd Koninkrijk zijn de Bepalingen zoals geïmplementeerd op grond van paragraaf 1.1 hierboven van toepassing met inachtneming van de volgende wijzigingen:

  1. de Bepalingen worden gewijzigd zoals gespecificeerd door deel 2 van het addendum over internationale doorgifte van gegevens bij de standaardcontractbepalingen van de Europese Commissie, dat is uitgegeven op grond van artikel 119A van de wet van het Verenigd Koninkrijk inzake gegevensbescherming (UK Data Protection Act 2018) en dat van tijd tot tijd kan worden gewijzigd of vervangen (“Addendum Verenigd Koninkrijk”);
  2. tabel 1 tot en met 3 in deel 1 van het Addendum Verenigd Koninkrijk worden respectievelijk aangevuld met de informatie in de verwerkersovereenkomst (DPA) en de Overeenkomst (voor zover van toepassing); en
  3. tabel 4 in deel 1 van het Addendum Verenigd Koninkrijk wordt aangevuld door “geen van beide partijen” te selecteren.

1.3. Met betrekking tot de doorgifte van persoonsgegevens uit Zwitserland zijn de Bepalingen zoals geïmplementeerd op grond van paragraaf 1.1 hierboven van toepassing met inachtneming van de volgende wijzigingen:

  1. verwijzingen naar “Verordening (EU) 2016/679” worden geïnterpreteerd als verwijzingen naar de Zwitserse federale wet inzake gegevensbescherming (“FADP”);
  2. verwijzingen naar specifieke artikelen van “Verordening (EU) 2016/679” worden vervangen door het overeenkomstige artikel of de overeenkomstige paragraaf van de FADP;
  3. verwijzingen naar “EU”, “Unie”, “een lidstaat” en “recht van een lidstaat” worden vervangen door verwijzingen naar “Zwitserland” of “Zwitsers recht”, voor zover van toepassing;
  4. de term “lidstaat” wordt niet zodanig geïnterpreteerd dat betrokkenen in Zwitserland worden uitgesloten van de mogelijkheid om hun rechten uit te oefenen;
  5. Bepaling 13(a) en deel C van bijlage I worden niet gebruikt en de “bevoegde toezichthoudende autoriteit” is de Zwitserse federale commissaris voor gegevensbescherming en informatie;
  6. op de Bepalingen is het recht van Zwitserland van toepassing; en
  7. alle geschillen die voortvloeien uit de Bepalingen worden beslecht door de gerechten van Zwitserland.

2. Brazilië

2.1. Elke partij zal:

  1. voldoen aan haar verplichtingen uit hoofde van de Braziliaanse algemene wet inzake gegevensbescherming, nr. 13.709 uit 2018 (Lei Geral de Proteção de Dados Pessoais of LGPD);
  2. een registratie bijhouden van de verwerkingen van persoonsgegevens die zij uitvoert;
  3. een functionaris voor gegevensbescherming benoemen; en
  4. veiligheidsmaatregelen, technische en administratieve maatregelen nemen die persoonsgegevens kunnen beschermen tegen ongeoorloofde toegang en tegen toevallige of onrechtmatige vernietiging, verlies, wijziging, mededeling of een andere vorm van ongepaste of onrechtmatige omgang met deze gegevens, met inbegrip van toepasselijke minimale technische normen zoals vastgelegd door de nationale autoriteit.

2.2. Voor zover u persoonlijke informatie doorgeeft van Brazilië naar LN dat zich buiten Brazilië bevindt, zal LN voldoen aan de principes en rechten van de betrokkene en de regelingen inzake gegevensbescherming die worden geboden onder de LGPD, tenzij de partijen zich kunnen beroepen op een alternatief doorgiftemechanisme of een andere grondslag volgens de wetgeving inzake gegevensbescherming.

3. Zuid-Afrika

3.1. Voor zover LN als gebruiker voor u als verantwoordelijke partij persoonlijke informatie verwerkt die onder de Zuid-Afrikaanse Protection of Personal Information Act, no. 4 uit 2013 (POPIA) valt, zal LN de veiligheidsmaatregelen waarnaar wordt verwezen in artikel 19 van de POPIA verder vaststellen en handhaven en zal LN u onmiddellijk op de hoogte stellen wanneer er redelijke gronden zijn om aan te nemen dat de persoonlijke informatie van een betrokkene is geraadpleegd of verworven door een onbevoegde persoon.

4. Verenigde Staten

Addendum betreffende de privacywetgeving van de Amerikaanse staten bij het Addendum Gegevensverwerking LexisNexis

Laatst bijgewerkt: 20 december 2022