IDEXX OVEREENKOMST VOOR DE VERWERKING VAN KLANTGEGEVENS
(Herziening 18 mei 2023)
Deze Gegevensverwerkingsovereenkomst en de hier gevonden toepasselijke Gegevensverwerkingsovereenkomst Schema’s zijn van toepassing op de verwerking van persoonsgegevens ("Persoonsgegevens van Klant") door IDEXX namens de klant ("Klant"), waarop de Algemene Verordening Gegevensbescherming 2016/679 ("AVG") of een van de andere hier geïdentificeerde gegevensbeschermingswetten (samen "Gegevensbeschermingswetten") van toepassing is om diensten ("Diensten") te verlenen op grond van een overeenkomst tussen IDEXX en Klant ("Overeenkomst"). Waar in deze Gegevensverwerkingsovereenkomstnaar IDEXX wordt verwezen, wordt bedoeld IDEXX B.V. of een Filiaal van IDEXX B.V. die de Overeenkomst met Klant is aangegaan. Klant en IDEXX zullen gezamenlijk worden aangeduid als "Partijen", of afzonderlijk als een "Partij". Deze Gegevensverwerkingsovereenkomst en het toepasselijke Gegevensverwerkingsovereenkomst Schema worden opgenomen in de toepasselijke Overeenkomst voor de toepasselijke Dienst. In het geval van een conflict prevaleert het Gegevensverwerkingsovereenkomst Schema boven de Gegevensverwerkingsovereenkomst, die prevaleert boven de rest van de Overeenkomst, tenzij uitdrukkelijk anders bepaald in deze Gegevensverwerkingsovereenkomst.
1 Definities
1.1 Alle definities die zijn opgenomen in de Overeenkomst zijn ook van toepassing op deze Gegevensverwerkingsovereenkomst, tenzij anderszins bepaald in deze Gegevensverwerkingsovereenkomst. Termen met hoofdletters die hierin worden gebruikt en niet worden gedefinieerd, hebben de betekenis die eraan wordt gegeven in de toepasselijke wetgeving inzake gegevensbescherming. Daarnaast zijn de volgende definities van toepassing op deze Gegevensverwerkingsovereenkomst:
1.2 Gelieerde partij: elke persoon of entiteit die zeggenschap uitoefent over, gecontroleerd wordt door of onder de zeggenschap valt een andere persoon of entiteit. Voor deze doeleinden verwijst "zeggenschap" naar (i) het bezit, direct of indirect, van de macht om het beheer of het beleid van de betrokken entiteit te berpalen, hetzij via het bezit van stemrechtverlenende aandelen, op basis van contract of anderszins, of (ii) het bezit, direct of indirect, van ten minste vijftig procent (50%) van de stemrechtverlenende aandelen of andere zeggenschapsrechten van de betrokken entiteit, of indien een dergelijke entiteit is gevestigd in een land waar een dergelijk niveau van eigendom niet is toegestaan, het maximale percentage eigendom dat is toegestaan
1.3 Derde land: elk land dat geen adequaat niveau van gegevensbescherming biedt overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming;
1.4 Inbreuk op Persoonsgegevens: een inbreuk op de beveiliging die leidt tot een accidentele of onwettige vernietiging, verlies, wijziging, niet-geautoriseerde bekendmaking van of toegang tot doorgegeven, opgeslagen of anderszins verwerkte Persoonsgegevens van de Klant.
2 Onderwerp van deze gegevensbeschermingsovereenkomst
2.1 Met betrekking tot de verwerking van Persoonsgegevens van Klant in verband met de toepasselijke Diensten en toepasselijke Overeenkomst, is IDEXX de Verwerker en Klant de Verwerkingsverantwoordelijke. De Verwerking van Persoonsgegevens waarop deze Gegevensverwerkingsovereenkomst van toepassing is, wordt beschreven in de betreffende Gegevensverwerkingsovereenkomst Schema's.
2.2 Deze Gegevensverwerkingsovereenkomst is een aanvulling op de Overeenkomst en zet eventuele (mondelinge en/of schriftelijke) afspraken van eerdere datum met betrekking tot de verwerking van Persoonsgegevens tussen Klant, die optreedt als Verwerkingsverantwoordelijke, en IDEXX, die optreedt als Verwerker met betrekking tot de Persoonsgegevens, indien van toepassing, opzij.
3 Verwerking van de persoonsgegevens
3.1 IDEXX zal voldoen aan alle wetten inzake gegevensbescherming met betrekking tot de Diensten die van toepassing zijn op IDEXX als Verwerker. Klant garandeert dat hij de Persoonsgegevens van Klant verwerkt of heeft verwerkt in overeenstemming met de toepasselijke wetgeving. Klant zal op eerste verzoek van IDEXX alle gevraagde relevante informatie onverwijld schriftelijk aan IDEXX verstrekken, eventueel ook in elektronische vorm. IDEXX is niet verantwoordelijk of aansprakelijk voor de naleving van de verplichtingen van Klant op grond van het toepasselijk recht, met inbegrip van maar niet beperkt tot de verplichtingen van Klant jegens zijn eigen klanten of cliënten, zoals de verplichting van Klant om zijn klanten of cliënten te informeren over ontvangers van de Verwerking van hun Persoonsgegevens. IDEXX is niet verantwoordelijk voor het vaststellen van de vereisten of wet- of regelgeving die van toepassing zijn op het bedrijf van Klant, of dat een Dienst voldoet aan de vereisten van dergelijke toepasselijke wet- of regelgeving. Tussen partijen is Klant verantwoordelijk voor de rechtmatigheid van de Verwerking van Persoonsgegevens van Klant. De Klant zal de Diensten niet gebruiken op een wijze die in strijd is met de toepasselijke wetgeving inzake gegevensbescherming.
3.2 Het toepasselijke Gegevensverwerkingsovereenkomst Schema voor een Dienst bevat een lijst van categorieën van Betrokkenen, soorten Persoonsgegevens van de Klant en eventuele Bijzondere Categorieën van Persoonsgegevens. De duur van de verwerking komt overeen met de duur van de Dienst, tenzij anders vermeld in het Gegevensverwerkingsovereenkomst Schema. Het doel en onderwerp van de verwerking is de levering van de Dienst zoals beschreven in de Overeenkomst.
3.3 IDEXX zal uitsluitend Persoonsgegevens van Klant verwerken namens Klant en in overeenstemming met de gedocumenteerde instructies van Klant, tenzij anders vereist door de toepasselijke wetgeving inzake gegevensbescherming. De reikwijdte van de instructies van Klant voor de verwerking van persoonsgegevens van Klant wordt bepaald in de Overeenkomst en, indien van toepassing, het gebruik en de configuratie van de eigenschappen van de Dienst door Klant en zijn geautoriseerde gebruikers. IDEXX zal Klant onmiddellijk informeren indien, naar haar mening, een van de instructies van Klant in strijd is met de toepasselijke wetgeving inzake gegevensbescherming, en IDEXX kan de uitvoering van een dergelijke instructie opschorten totdat Klant de rechtmatigheid ervan in gedocumenteerde vorm heeft gewijzigd of bevestigd.
3.4 IDEXX zal ervoor zorgen dat haar werknemers en andere personen die betrokken zijn bij de Verwerking van Persoonsgegevens van Klant, zich verplichten tot geheimhouding, voor zover deze personen niet gebonden zijn aan een passende wettelijke geheimhoudingsplicht. IDEXX zal ervoor zorgen dat deze werknemers of andere door haar ingeschakelde personen alle in deze Gegevensverwerkingsovereenkomst en de Overeenkomst vastgelegde verplichtingen nakomen. IDEXX zal ervoor zorgen dat de toegang van IDEXX tot persoonsgegevens van Klanten beperkt blijft tot die werknemers en andere personen die diensten verrichten in overeenstemming met de Overeenkomst.
4 Veiligheidsmaatregelen
4.1 IDEXX zal passende technische en organisatorische beveiligingsmaatregelen treffen om een passend beveiligingsniveau met betrekking tot de Persoonsgegevens te waarborgen. De door IDEXX te treffen technische en organisatorische beveiligingsmaatregelen, met inachtneming van de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, alsmede de qua waarschijnlijkheid en ernstuiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, worden beschreven in de technische en organisatorische maatregelen die bij de Gegevensverwerkingsovereenkomst Schema's zijn gevoegd. IDEXX kan haar veiligheidsmaatregelen van tijd tot tijd bijwerken of wijzigen, mits dergelijke updates en wijzigingen niet leiden tot een vermindering van de algemene veiligheid van de diensten.
5 Melding van inbreuken op persoonsgegevens
5.1 De verplichting van IDEXX om Klant in kennis te stellen van een inbreuk op Persoonsgegevens en actie te ondernemen met betrekking tot een inbreuk op Persoonsgegevens, leidt niet tot een erkenning van enig gebrek of aansprakelijkheid van de kant van IDEXX met betrekking tot die inbreuk op Persoonsgegevens.
5.2 Zodra IDEXX kennis krijgt van een inbreuk op Persoonsgegevens waarover Klant nog niet was geïnformeerd, zal IDEXX Klant daarvan onverwijld op de hoogte stellen op een door IDEXX bepaalde wijze. IDEXX zal het door Klant in relatie tot de Diensten opgegeven contactpersoon informeren. Klant is er verantwoordelijk voor dat de contactgegevens van contactpersonen van Klant die aan IDEXX zijn doorgegeven, up-to-date zijn. Indien IDEXX de opgegeven contactpersoon/contactpersonen van Klant niet tijdig kan bereiken, komt dit voor risico van Klant.
5.3 Wanneer Klant zelf op de hoogte is van een inbreuk op Persoonsgegevens die relevant is voor de levering van de Diensten door IDEXX, zal Klant IDEXX daarvan onverwijld op de hoogte stellen, inclusief welke maatregelen door Klant zijn of zullen worden genomen.
5.4 Na vaststelling van een inbreuk op Persoonsgegevens door IDEXX zal IDEXX Klant alle redelijke feedback geven over de mogelijke gevolgen van de inbreuk op Persoonsgegevens voor Klant en de getroffen Betrokkenen. De feedback omvat een beschrijving van de aard en omvang van de inbreuk in verband met persoonsgegevens en de geplande en reeds genomen maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken.
5.5 Op verzoek van Klant zal IDEXX ook de redelijkerwijs benodigde assistentie verlenen bij het samenstellen van de relevante documentatie inzake de inbreuk van de Persoonsgegevens. Klant blijft echter verantwoordelijk voor de verplichting om een intern overzicht bij te houden van de inbreuken op Persoonsgegevens die zich hebben voorgedaan.
5.6 Klant is verantwoordelijk voor het informeren van de bevoegde overheidsinstantie en/of getroffen Betrokkenen over de inbreuk van de Persoonsgegevens, voor zover dit vereist is op grond van de toepasselijke wetgeving inzake gegevensbescherming. Indien Klant IDEXX verzoekt de getroffen betrokkene(n) en/of de bevoegde overheidsinstantie te informeren over de inbreuk van de Persoonsgegevens, zal IDEXX dit alleen doen na ontvangst van een schriftelijke en volledige instructie van Klant en goedkeuring van deze schriftelijke instructie door IDEXX. Dit leidt niet tot enige verantwoordelijkheid of aansprakelijkheid voor IDEXX in verband met de (melding van) de inbreuk in verband met persoonsgegevens.
6 Bijstand
6.1 Rekening houdend met de aard van de gegevensverwerking en de informatie waarover Partijen beschikken, verlenen Partijen elkaar alle nodige bijstand bij de naleving van de verplichtingen die op Partijen rusten krachtens de toepasselijke wetgeving inzake gegevensbescherming, in het bijzonder de verplichtingen met betrekking tot de beveiliging van Persoonsgegevens, de meldingsplicht voor inbreuken op Persoonsgegevens, de informatieplicht en de uitvoering van effectbeoordelingen inzake gegevensbescherming, met inbegrip van voorafgaande raadpleging van de relevante overheidsinstantie.
6.2 Klant zal een schriftelijk verzoek indienen om bijstand als bedoeld in deze Gegevensverwerkingsovereenkomst. IDEXX kan Klant kosten in rekening brengen voor het uitvoeren van dergelijke bijstand of een aanvullende instructie; dergelijke kosten zullen niet meer zijn dan een redelijke vergoeding en zullen worden vastgelegd in een offerte en schriftelijk door partijen worden overeengekomen.
7 Controlerechten van de Klant
7.1 Klant kan op eigen kosten en na voorafgaand overleg met IDEXX een audit uitvoeren over het gegevensverwerkingssysteem dat IDEXX gebruikt om Persoonsgegevens van Klant te verwerken, om te onderzoeken of de redelijke technische en organisatorische beveiligingsmaatregelen die werden getroffen met betrekking tot de Persoonsgegevens die in de context van deze Gegevensverwerkingsovereenkomst worden verwerkt, in lijn zijn met de maatregelen zoals beschreven in artikel 4 van deze Gegevensverwerkingsovereenkomst.
7.2 IDEXX zal aan Klant alle informatie ter beschikking stellen die redelijkerwijs noodzakelijk is om aan te tonen dat de verplichtingen van Klant om een Gegevensverwerkingsovereenkomst te sluiten, in overeenstemming zijn met de relevante vereisten dienaangaande uit hoofde van de toepasselijke wetgeving inzake gegevensbescherming, en zal audits, inclusief inspecties, door Klant toestaan en daaraan meewerken. Na raadpleging van IDEXX mag Klant een derde (deskundige) inschakelen voor de uitvoering van zijn auditrechten, mits deze derde gebonden zal zijn aan een adequate geheimhoudingsplicht.
7.3 De uitvoering van een auditdoor of namens Klant zal geen vertraging veroorzaken in de bedrijfsactiviteiten van IDEXX of een van haar Subverwerkers.
8 Subverwerkers
8.1 Klant geeft toestemming voor het inschakelen van andere Verwerkers voor het verwerken van Persoonsgegevens van Klant door IDEXX, met inbegrip van ,maar niet beperkt tot, Filialen van IDEXX ("Subverwerkers"). Een lijst van de huidige Subverwerkers is hier opgenomen en kan van tijd tot tijd door IDEXX worden bijgewerkt. IDEXX zal Klant op een door IDEXX te bepalen wijze informeren over voorgenomen wijzigingen betreffende de toevoeging of vervanging van dergelijke Subverwerkers. Klant kan bezwaar maken tegen een nieuwe Subverwerker door de Overeenkomst te beëindigen na schriftelijke kennisgeving aan IDEXX, mits Klant een dergelijke kennisgeving aan IDEXX doet binnen 60 dagen nadat IDEXX Klant heeft geïnformeerd over de aanstelling van de Subverwerker. Dit beëindigingsrecht is het enige en exclusieve rechtsmiddel van Klant indien Klant bezwaar heeft tegen een nieuwe Subverwerker.
8.2 IDEXX zal met haar Subverwerkers een schriftelijke Gegevensverwerkingsovereenkomst aangaan en afdwingen met in wezen vergelijkbare, maar niet minder beschermende privacy- en gegevensbeveiligingsverplichtingen als die Gegevensverwerkingsovereenkomst op IDEXX rusten uit hoofde van deze Gegevensverwerkingsovereenkomst. IDEXX blijft aansprakelijk voor de nakoming van haar verplichtingen uit hoofde van de Overeenkomst, deze Gegevensverwerkingsovereenkomst en de toepasselijke wetgeving inzake gegevensbescherming.
9 Grensoverschrijdende doorgifte van persoonsgegevens
9.1 Persoonsgegevens van Klant kunnen worden doorgegeven naar een derde land door IDEXX of door IDEXX ingeschakelde Subverwerkers.
9.2 In geval van doorgifte van Persoonsgegevens van Klant naar een derde land zullen partijen samenwerken om naleving van de toepasselijke wetgeving inzake gegevensbescherming te waarborgen, zoals uiteengezet in de volgende artikelen.
9.3 Door het aangaan van de Overeenkomst gaat de Klant de Standaard Contractuele Clausules voor internationale doorgiften (Uitvoeringsbesluit (EU) 2021/914 van de Commissie of een bijgewerkte versie of vervanging daarvan) ("SCC's") aan, aangevuld zoals hieronder uiteengezet in Artikel 9.3.1, tenzij een ander instrument voor gegevensoverdracht van toepassing is verklaard op de relevante doorgifte van Persoonsgegevens van de Klant in de hier geïdentificeerde toepasselijke wetgeving inzake gegevensbescherming, welk geïdentificeerd instrument voor gegevensoverdracht dan van toepassing is en de doorgifte van Persoonsgegevens van de Klant naar het Derde Land regelt. Voor zover andere wetten inzake gegevensbescherming dan de AVG daarin voorzien, zijn de SCC's ook van toepassing op de doorgifte van persoonsgegevens van Klanten die niet in de EER of Zwitserland zijn gevestigd aan een IDEXX-entiteit in een niet-adequaat land.
9.3.1 De SCC's worden als volgt aangevuld:
a ) Module 2 - verwerkingsverantwoordelijke naar verwerker - is van toepassing.
b ) In clausule 7 is de optionele koppelingsclausule van toepassing.
c ) In clausule 9 is optie 2 van toepassing en bedraagt de periode van voorafgaande kennisgeving 14 dagen.
d ) In clausule 11 is de optionele taal niet van toepassing.
e ) In clausule 17 is optie 1 van toepassing en is het Nederlandse recht van toepassing. In clausule 17 is optie 1 van toepassing en is het Nederlandse recht van toepassing.
f ) In clausule 18, onder b), worden geschillen voor de Nederlandse rechter beslecht.
g ) In clausule 18,onder b), worden geschillen voor de Nederlandse rechter beslecht. Bijlage I (A. Lijst van partijen, B. Beschrijving van de doorgifte, C. Bevoegde toezichthoudende autoriteit) van de SCC's wordt geacht te zijn aangevuld met de informatie in deel B van het Gegevensverwerkingsovereenkomst Schema dat op de diensten van toepassing is.
h ) Bijlage II (Technische en organisatorische beveiligingsmaatregelen) van de SCC's wordt geacht te zijn aangevuld met de informatie die is uiteengezet in deel B van het Gegevensverwerkingsovereenkomst Schema voor de diensten.
i ) Bijlage III (Lijst van subverwerkers) wordt geacht te zijn aangevuld met de in punt 8.1 hierboven genoemde lijst van subverwerkers.
9.4 IDEXX zal de SCC's Module Drie (Verwerker tot Verwerker) aangaan met elke Subverwerker die gevestigd is in een derde land, zoals vermeld in de desbetreffende Gegevensverwerkingsovereenkomst Exhibit, indien dit vereist is op grond van de toepasselijke wetgeving inzake gegevensbescherming. IDEXX kan Persoonsgegevens doorgeven aan en opslaan in haar vestigingen in de Verenigde Staten of andere landen waar haar Filialen zijn gevestigd. Dergelijke doorgiften zijn onderworpen aan een interne overeenkomst tussen Filialen van IDEXX die de toepasselijke module drie (Verwerker tot Verwerker) SCC's omvatten.
9.5 Niets in de Overeenkomst of deze Gegevensverwerkingsovereenkomst zal zo worden uitgelegd dat het prevaleert boven strijdige bepalingen van de SCC's. De Klant erkent de SCC's te hebben kunnen bestuderen en een exemplaar van IDEXX te hebben ontvangen.
10 Verzoeken van betrokkenen
Op redelijk schriftelijk verzoek van Klant zal IDEXX redelijke bijstand verlenen om ervoor te zorgen dat Klant kan voldoen aan zijn verplichtingen als verwerkingsverantwoordelijke, indien een betrokkene zijn rechten krachtens de toepasselijke wetgeving inzake gegevensbescherming uitoefent.
11 Algemeen
11.1 Kosten: De kosten die IDEXX mogelijk maakt bij de uitvoering van haar verplichtingen uit hoofde van deze Gegevensverwerkingsovereenkomst (bijvoorbeeld het verlenen van bijstand aan Klant bij het beantwoorden van verzoeken van betrokkenen) kan tot gevolg hebben dat IDEXX meerwerk aan Klant in rekening zal brengen. In voorkomend geval zal IDEXX Klant hierover informeren.
11.2 Vrijwaring: Klant zal IDEXX volledig vrijwaren voor eventuele aanspraken door een derde partij, waaronder door een van de betrokkenen, ingesteld tegen IDEXX ten gevolge van een een inbreuk op het toepasselijke recht, die kan worden teruggevoerd op de Klant of op een van zijn werknemers of contractanten.
11.3 Termijn en beëindiging: Deze Gegevensverwerkingsovereenkomst treedt in werking op de datum waarop IDEXX een eerste verwerking van Persoonsgegevens verricht namens Klant in het kader vande uitvoering van de Overeenkomst. Deze Gegevensverwerkingsovereenkomst blijft van kracht voor de duur van de Overeenkomst. In het geval de overeenkomst wordt beëindigd, wordt deze Gegevensverwerkingsovereenkomst van rechtswege ook beëindigd, zonder verdere juridische actie. Behalve als IDEXX op grond van de toepasselijke wetgeving verplicht is de Persoonsgegevens te bewaren, zal IDEXX bij beëindiging van deze Gegevensverwerkingsovereenkomst ervoor zorgen dat (i) de Persoonsgegevens worden teruggegeven of verstrekt aan Klant, of (ii) de Persoonsgegevens worden vernietigd, op schriftelijk verzoek van Klant, hetgeen ook in elektronische vorm kan zijn. Elke verplichting ten gevolge van deze Gegevensbeschermingsovereenkomst die vanwege haar aard een postcontractuele werking heeft, zal van toepassing blijven na de beëindiging van deze Gegevensbeschermingsovereenkomst.
11.4 Afwijkingen en heronderhandelingen: Afwijkingen van en aanvullingen op deze Gegevensverwerkingsovereenkomst zijn alleen geldig indien deze schriftelijk en uitdrukkelijk zijn overeengekomen, hetgeen ook in elektronische vorm kan zijn.
Klant zal IDEXX onverwijld informeren over wijzigingen die relevant zijn of kunnen zijn voor de Overeenkomst en de verwerking van de Persoonsgegevens.
Indien deze Gegevensverwerkingsovereenkomst is vertaald naar verschillende talen , wordt de Engelse tekst als authentiek beschouwd ten behoeve van de interpretatie of in geval van conflict of inconsistentie tussen de verschillende vertalingen.