Het is officieel! G-P Gia™ is nu voor iedereen beschikbaar. Het leveren van kunstmatige intelligentie voor agenten voor wereldwijde HUMAN RESOURCES-compliance op grote schaal. Probeer het nu!
Laat het H-1B-visum vallen. Krijg toegang tot toptalent met G-P EOR™.
Logo van G-P
Verzoek om een voorstel

MSA Privacy Taal

Laatste update: 4maart 2026

 BIJLAGE OVER GEGEVENSBESCHERMING

De klant is een Master Agreement of een overeenkomst met vergelijkbare aard en doel (hierna "Master Agreement") aangegaan met G-P. De ondertekening van zo'n Master Agreement kan de verwerking van persoonsgegevens met zich meebrengen. De klant en G-P (gezamenlijk aangeduid als "Partijen") komen overeen dat dit Data Protection Addendum ("DPA") hun verplichtingen uiteenzet met betrekking tot de verwerking en beveiliging van persoonsgegevens in verband met de diensten die G-P aan de klant levert onder de Master Agreement en de partijen besluiten gebonden te zijn aan deze DPA. Deze DPA vult de voorwaarden in de Master Agreement aan en is daarin opgenomen. In geval van een conflict tussen deze DPA en een andere overeenkomst tussen de partijen over de hier uiteengezette kwesties, geldt deze DPA. Als de klant al een ondertekend gegevensbeschermingsaddendum van kracht heeft bij G-P, dan gaat die overeenkomst voorop boven deze DPA, en heeft deze DPA geen kracht of effect, tenzij schriftelijk anders overeengekomen door de klant en G-P.

 

Terwijl:

  1. Wanneer G-P de klant Employer of Records ("Employer of Record") diensten aanbiedt, G-P neemt de rol van wettelijke werkgever op zich voor alle personen die door de klant ("professionals") worden geselecteerd om in dienst te worden genomen.
  2. Wat betreft de persoonlijke gegevens van dergelijke professionals is G-P een Controller gedurende de looptijd van de arbeidsrelatie.
  3. Wat betreft de persoonsgegevens van professionals die door de klant worden verzameld en gebruikt voor eigen doeleinden, is de klant ook een Controller met onafhankelijke privacyverplichtingen.
  4. Bij het leveren van de Employer of Record-diensten valt de uitwisseling van persoonsgegevens van professionals tussen G-P en de klant onder een onafhankelijke relatie tussen de Controller en de Controller en de Termen van Controller tot Controller zoals gedefinieerd in sectie 2 hieronder zijn van toepassing.
  5. G-P biedt ook diverse software als een service-producten aan via het G-P-platform ("GPP"), waarmee G-P de klant in staat stelt de relatie met die professionals te beheren.
  6. Door de klant toegang te geven tot GPP, is G-P de verwerker van de accountgerelateerde gegevens die door de door de klant aangewezen geautoriseerde gebruikers van GPP worden geüpload naar de GPP en de Controller-to-Processor-termen gedefinieerd in sectie 3 hieronder zijn van toepassing.

 

G-P en de klant zijn het als volgt overeengekomen:

 

1. DEFINITIONS

1.1. Termen die hier niet zijn gedefinieerd, hebben de betekenissen zoals vastgelegd in de Master Agreement. De volgende woorden in deze DPA hebben de volgende betekenissen:

1.2. "Geautoriseerde Gebruiker" betekent een persoon die door de klant is toegestaan en die een of een werknemer en/of zzp'er van de klant kan bevatten, om namens de klant toegang te krijgen tot en te gebruiken, overeenkomstig de ondertekening van de Master Agreement.

1.3. "Klantgegevens" betekent alle persoonsgegevens die betrekking hebben op een gemachtigde gebruiker of identificeerbare natuurlijke persoon die door G-P namens de klant worden overgedragen, verwerkt of opgeslagen voor gebruik van de GPP door de klant.

1.4. "Gegevensbeschermingswetten " betekent alle gegevensbeschermings- en privacywetten waaraan een partij bij deze overeenkomst valt en die van toepassing zijn op de geleverde diensten, waaronder, waar van toepassing, maar niet beperkt tot, Algemene verordening gegevensbescherming (AVG), UK Algemene verordening gegevensbescherming (AVG), Zwitserse gegevensbeschermingswetten, Amerikaanse privacywetten (inclusief staats- en federale wetten) en Brazilië LGPD.

1.5. "Algemene verordening gegevensbescherming (AVG)" betekent de Algemene verordening gegevensbescherming (AVG) (EU) 2016/679.

1.6. "GPP" betekent G-P' propriëtaire software, inclusief zonder beperking de software, de mobiele versie, alle daarin opgenomen software en alle data die beschikbaar wordt gesteld via G-P' propriëtaire software of de diensten van derden, inclusief hun updates, upgrades, platform as a service en documentatie.

1.7. "EEA" betekent de Europese Economische Ruimte.

1.8. "LGPD"betekent Brazilië Wet nr. 13.709, de Algemene Wet op de Bescherming van Persoonsgegevens, zoals gewijzigd, vervangend of vervangen.

1.9. "Master Agreement" betekent de overeenkomst die tussen Klant en G-P wordt gesloten voor het leveren van de diensten.

1.10. "Privacybeleid" betekent het privacybeleid van G-P, zoals het van tijd tot tijd wordt bijgewerkt, beschikbaar op https://www.globalization-partners.com/privacy-policy/

1.11. "Professionals' Data" betekent de persoonlijke gegevens van professionals die door G-P worden verwerkt in het kader van de dienstverlening aan de klant als Employer of Record.

1.12. "Beperkte overdracht" betekent elke overdracht van persoonsgegevens naar een land buiten de EER, het Verenigd Koninkrijk, Zwitserland of Brazilië die niet onder een toereikendheidsbesluit valt onder de toepasselijke gegevensbeschermingswetten, en daarom passende waarborgen vereist volgens de toepasselijke gegevensbeschermingswetten.

1.13. "Diensten" betekenen de diensten die door G-P aan de klant worden geleverd onder de Master Agreement, wat de Employer of Record-diensten en de toegang tot en het gebruik van GPP kan omvatten.

1.14. "Standard Contractual Clauses" or "SCCs" mean (i) where the GDPR applies, the standard contractual clauses annexed to the European Commission's Implementing Decision (EU) 2021/914 of 4 June 2021 standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, available at https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("EU SCCs"); (ii) where the UK GDPR applies, the applicable standard data protection clauses adopted pursuant to Article 46(2)(c), or (d) where the UK GDPR means the International Data Transfer Addendum (“UK Addendum”) to the EU Standard Contractual Clauses issued by the Information Commissioner's Office under s.119A(1) of the Data Protection Act 2018, as such UK Addendum may be revised under Section 18 therein ("UK SCCs"); (iii) where the Swiss Data Protection Laws apply, the applicable standard data protection clauses issued, approved or recognized by the Swiss Federal Data Protection Authority and Information Commissioner´s Office (the "Swiss SCCs); where the Brazilian LGPD applies, the applicable standard contractual clauses, attached to Resolution CD/ANPD No. 19/2024 promulgated by the Brazilian National Data Protection Authority (“ANPD”), as they may be amended from time to time (“Brazil SCCs”).

1.15. "Zwitserse Gegevensbeschermingswetten" of "FADP" betekent (i) de Zwitserse federale Wet op Gegevensbescherming (gedateerd 19juni 1992, per 1maart , 2019) ("FDPA"); (ii) De verordening inzake de Federale Wet op Gegevensbescherming ("FODP"); en (iii) alle nationale gegevensbeschermingswetten die zijn gemaakt onder, volgend op, vervangend of opgevolgd en enige wetgeving die een van de voorgaande wetgeving vervangt of bijwerkt.

1.16. "UK Addendum" betekent het United Kingdom International-dataoverdrachtsaddendum bij de EU Standard Contractual Clauses die zijn uitgegeven door de UK Information Commissioner.

1.17. "Britse gegevensbeschermingswetten" betekenen de Algemene verordening gegevensbescherming (AVG) zoals vastgelegd in het Britse recht krachtens artikel 3 van de Britse European Union (Withdrawal) Act 2019 ("UK Algemene verordening gegevensbescherming (AVG)") en de Data Protection Act 2018 (samen "UK Data Protection Laws").

1.18. "Amerikaanse privacywetten" betekenen toepasselijke Amerikaanse staatswetten, bevelen, regelgeving en regelgevende richtlijnen met betrekking tot de verwerking van persoonsgegevens, waaronder zonder beperking: (a) de CCPA; (b) Virginia's Consumer Data Protection Act; (c) de Colorado Privacy Act; (d) Connecticuts wet betreffende gegevensprivacy en online monitoring; (e) de Utah Consumer Privacy Act; en (f) alle vergelijkbare staatswetten

1.19. "Beheerder", "Gegevenspersoon", "Persoonsgegevens", "Persoonlijke Informatie", "Gegevenslek", "Verwerker", "Proces/Verwerking", "Beperkte Overdracht", "Dienstverlener" en/of andere soortgelijke termen en concepten hebben de betekenissen zoals gedefinieerd in de Gegevensbeschermingswetten.

 

 

2. CONTROL OF PERSONAL DATA

2.1. Rollen van de partijen. Wanneer G-P als onafhankelijke Beheerder optreedt, zal G-P voldoen aan haar Verantwoordelijkheidsverplichtingen onder de Gegevensbeschermingswetten bij het verwerken van persoonsgegevens en zal zij de persoonsgegevens verwerken zoals beschreven in het privacybeleid van G-P, beschikbaar op https://www.globalization-partners.com/privacy-policy/. De klant moet voldoen aan zijn verplichtingen onder de gegevensbeschermingswetten bij het verwerken van persoonsgegevens als Beheerder. In geen geval zullen de partijen persoonsgegevens onder deze DPA verwerken als gezamenlijke verwerkingsverantwoordelijken.

2.2. Verantwoordelijkheden en erkenningen. Elke partij mag persoonsgegevens onder deze DPA verwerken met betrekking tot de gegevens van professionals als onafhankelijke gegevensbeheerders. De partijen komen ermee in hun respectieve verplichtingen na te leven en alle persoonsgegevens eerlijk en wettig te verwerken in compliance overeenstemming met deze DPA en alle gegevensbeschermingswetten die van toepassing zijn op de verwerkingsactiviteiten van de persoonsgegevens van die partij. Elke partij zorgt ervoor dat haar verwerking van persoonsgegevens beperkt blijft tot het doel van de door G-P verstrekte GPP en gebaseerd is op een wettelijke grond voor wettige verwerking. De partijen zullen elkaar bijstaan bij het naleven van hun respectievelijke verplichtingen onder de Gegevensbeschermingswetten, waaronder, maar niet beperkt tot, het assisteren van elkaar bij een datalek, het reageren op verzoeken van Gegevenspersonen en/of toezichthouders. 

 

3. PROCESSING OF PERSONAL DATA

 

3.1. Scope. Het gebruik van GPP kan de verwerking van klantgegevens door G-P als verwerker of dienstverlener namens de klant inhouden.

3.2. Instructies. G-P verwerkt klantgegevens volgens de gedocumenteerde instructies van de klant. De klant stemt ermee in dat deze DPA, de Master Agreement en bijlage I hieronder de volledige instructies van de klant aan G-P omvatten met betrekking tot de verwerking van klantgegevens. Eventuele aanvullende of alternatieve instructies moeten schriftelijk tussen de partijen worden overeengekomen, inclusief de kosten (indien aanwezig) die gepaard gaan met het naleven van deze instructies. Deklant zorgt ervoor dat de instructies voldoen aan de toepasselijke wetgeving inzake gegevensbescherming. De klant erkent dat G-P niet verantwoordelijk is voor het bepalen welke wetten van toepassing zijn op het bedrijf van de klant.De klant zal ervoor zorgen dat de verwerking van klantgegevens, wanneer deze gebeurt volgens de instructies van de klant, G-P G-P niet leidt tot overtreding van toepasselijke wetten, inclusief de toepasselijke gegevensbeschermingswetten. G-P Indien G-P echter van mening is dat een instructie van de klant in strijd is met de toepasselijke gegevensbeschermingswetten, moet G-P de klant zo snel mogelijk op de hoogte stellen en niet verplicht zijn om aan die inbreukmakende instructie te voldoen.

3.3. Details van de verwerking. Details van het onderwerp van de verwerking, de duur, aard en het doel, en het type klantgegevens en gegevenspersonen zijn zoals gespecificeerd in bijlage I die hieraan is gehecht. 

3.4. Naleving van de regels. Klant en G-P komen ermee in hun respectievelijke verplichtingen te voldoen onder de gegevensbeschermingswetten die van toepassing zijn op de Klantgegevens die worden verwerkt zoals gespecificeerd in Bijlage I. De Klant is alleenverantwoordelijk voor het naleven van de gegevensbeschermingswetten met betrekking tot de wettigheid van de verwerking van Klantgegevens voordat klantgegevens aan G-P worden verstrekt, overgedragen of anderszins beschikbaar worden gesteld. Ter voorkoming van twijfel zal de Klant, waar nodig, eventuele toestemmingen van de Gegevenspersonen verkrijgen voor G-P om Klantgegevens te verwerken zoals door de Klant opgedragen.

3.5. Subprocessors. De klant machtigt G-P om verwerkers ("subprocessors") aan te wijzen en te gebruiken om de klantgegevens in verband met de diensten te verwerken. Subverwerkers kunnen derden of elk lid van de G-P-groep van bedrijven omvatten. G-P kan de Subprocessors blijven gebruiken die op de datum van deze DPA al door G-P zijn ingeschakeld, en een lijst van dergelijke Subprocessors is beschikbaar in bijlage III, die hieronder is bijgevoegd. Wanneer een Subverwerker zijn hierboven gespecificeerde gegevensbeschermingsverplichtingen niet nakomt, is G-P aansprakelijk tegenover de Klant voor de nakoming van de verplichtingen van de Subverwerker. G-P zal de klant via GPP op de hoogte stellen van wijzigingen in haar lijst van Subprocessors. Als de klant binnen 10 (tien) dagen na ontvangst van die kennisgeving terecht bezwaar maakt tegen het toevoegen of verwijderen van een Subverwerker op grond van gegevensbescherming en G-P het bezwaar van de klant niet redelijkerwijs kan accommoderen, zullen de partijen de zorgen van de klant te goeder trouw bespreken met het oog op een oplossing van de zaak.

3.6. Technische en organisatorische beveiligingsmaatregelen. Rekening houdend met industrienormen, de implementatiekosten, de aard, reikwijdte, context en doeleinden van de verwerking, en alle andere relevante omstandigheden met betrekking tot de verwerking van klantgegevens, zal G-P passende technische en organisatorische beveiligingsmaatregelen implementeren om te waarborgen dat de veiligheid, vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten die betrokken zijn bij de verwerking van klantgegevens in verhouding staan tot het risico met betrekking tot dergelijke klantgegevens, zoals uiteengezet in bijlage II die hieraan is bijgevoegd. G-P zal periodiek (i) de effectiviteit van haar waarborgen, controles, systemen en procedures testen en monitoren en (ii) redelijk voorzienbare interne en externe risico's voor de beveiliging, vertrouwelijkheid en integriteit van de klantgegevens identificeren, en ervoor zorgen dat deze risico's worden aangepakt.

3.7. Vertrouwelijkheid. G-P zorgt ervoor dat personen die toegang hebben tot de Klantgegevens (i) zich aan vertrouwelijkheid hebben verbonden of onder een passende wettelijke vertrouwelijkheidsverplichting staan en (ii) de Klantgegevens alleen toegang krijgen tot gedocumenteerde instructies van G-P, tenzij dit verplicht is volgens de toepasselijke wet.

3.8. Persoonlijke datalek. G-P zal de klant zonder onnodige vertraging op de hoogte stellen nadat hij zich bewust is geworden van een datalek met betrekking tot de verwerking van klantgegevens en zal redelijke inspanningen leveren om de klant te helpen bij, waar mogelijk, de nadelige gevolgen van een datalek te beperken.

3.9. Verwijdering van persoonsgegevens. Bij ontslag van de Diensten (om welke reden dan ook) zal G-P zo snel mogelijk de Klantgegevens die in de GPP zijn opgeslagen terugsturen of verwijderen, tenzij de toepasselijke wet vereist dat de Klantgegevens langer worden opgeslagen. Voor dergelijke bewaring blijven de bepalingen van deze DPA van toepassing op dergelijke klantgegevens.

3.10. Verzoeken van de gegevenspersoon. G-P zal de klant onmiddellijk informeren over verzoeken van Gegevenspersonen met betrekking tot klantgegevens. De klant is verantwoordelijk voor het beantwoorden van dergelijke verzoeken. G-P zal de klant redelijkerwijs helpen om te reageren op dergelijke verzoeken van de gegevenssubject, voor zover de klant geen toegang heeft tot de relevante klantgegevens bij het gebruik van de GPP.

3.11. Verzoeken van derden. Indien G-P verzoeken ontvangt van derden of een bevel van een rechtbank, tribunaal, toezichthouder of overheidsinstantie met bevoegde bevoegdheid waaraan G-P valt met betrekking tot de verwerking van klantgegevens onder de overeenkomst, zal G-P het verzoek onmiddellijk doorverwijzen naar de klant. G-P zal niet reageren op dergelijke verzoeken zonder voorafgaande toestemming van de klant, tenzij wettelijk verplicht is om dit te doen. G-P zal, tenzij wettelijk verboden dit, de klant vooraf informeren bij het vrijmaken van klantgegevens en zal redelijkerwijs samenwerken met de klant om de reikwijdte van dergelijke openbaarmaking te beperken tot wat wettelijk vereist is. 

3.12. Beoordeling van de impact van gegevensbescherming en voorafgaande consultatie. Voor zover vereist door de gegevensbeschermingswetten, zal G-P redelijke hulp bieden aan de klant bij het uitvoeren van een gegevensbeschermingseffectbeoordeling met betrekking tot de verwerking van klantgegevens uitgevoerd door G-P en/of eventuele vereiste voorafgaande consultatie(s) met toezichthoudende autoriteiten. G-P behoudt zich het recht voor om de klant een redelijke vergoeding in rekening te brengen voor het verlenen van dergelijke hulp.

3..13  Audit. Klanten kunnen auditen G-P compliance met deze DPA en gegevensbeschermingswetten door een certificaat aan te vragen dat is uitgegeven voor beveiligingsverificatie en het resultaat weerspiegelt van een audit uitgevoerd door een externe auditor (bijv. ISO27001 -certificering, SOC2 certificaat), binnen twaalf ()12 maanden vanaf de datum van het verzoek van de klant. Alternatief, in het geval dat de documentatie die onder deze sectie 3 valt.13 niet voldoende is om aan compliance te tonen, mag de klant naast de verstrekte certificeringen of rapporten van derden zijn eigen audit uitvoeren, mits deze audit wordt uitgevoerd: i) niet meer dan eens per 12 periode van (twaalf) maanden; ii) tijdens normale kantooruren en zonder'dagelijkse G-Pbedrijfsvoering' te verstoren; iii) met dertig30 () dagen van tevoren schriftelijke kennisgeving; iv) op exclusieve kosten van de klant; v) gebaseerd op wederzijds overeengekomen parameters en reikwijdte, beperkt tot de specifieke reikwijdte van diensten, systemen in gebruik en/of verwerkingsactiviteiten G-Pdie hieronder zijn overwogen; vi) op basis van een onderling overeengekomen vooraf afgesproken datum, onder voorbehoud van redelijke uitstel door de klant op'redelijke verzoek'; en vii) in overeenstemming met alle vertrouwelijkheidsverplichtingen en beperkingen. Desondanks wordt geen controlerecht verleend na het ontslagen van de Master Agreement, behalve voor juridische verplichtingen die door de klant moeten worden aangetoond. Elke derde partijvertegenwoordiger die wordt geselecteerd om namens de klant een audit uit te voeren, mag geen eigendomsbelang of affiliatie hebben met een Employer of Record dienstenbedrijf, agentschap, een gerelateerde organisatie of consultant Niets in deze DPA vereist G-P dat aan de klant of diens derde partij auditor bekendmaakt, of de klant of zijn derde partij auditor toegang geeft tot: (i) enige gegevens van een andere'G-Pklant; (ii)'interne G-Pboekhoudkundige of financiële informatie; (iii) enig handelsgeheim van G-P of haar gelieerde partijen; (iv) alle informatie die, volgens'redelijke G-Pmening', de beveiliging van enig' systeem in gevaar kan brengen G-Pof een schending van haar verplichtingen onder de toepasselijke wetgeving of haar beveiligings- of privacyverplichtingen jegens een derde partij kan veroorzaken; of (v) enige informatie die de klant of diens derde accountant om welke reden dan ook te goeder trouw wil nakomen bij de verplichtingen van de klant onder de gegevensbeschermingswetten.

3.14. Amerikaanse privacywetten. Onder deze sectie 3 ("Verwerking van persoonsgegevens")komen de partijen overeen dat G-P een "Dienstverlener" of "Verwerker" is, zoals deze termen zijn gedefinieerd in de toepasselijke Amerikaanse privacywetgeving. Voor zover de Amerikaanse privacywetten van toepassing zijn op de verwerking van klantgegevens door G-P, mag G-P geen (a) Klantgegevens buiten de directe zakelijke relatie tussen G-P en Klant bewaren, gebruiken of openbaarmaken, en zal G-P Klantgegevens alleen verwerken zolang zij diensten aan de Klant levert; (b) klantgegevens verkopen; (c) delen van klantgegevens; of (d) de klantgegevens die G-P ontvangt van, of namens de klant ontvangt, te combineren met "persoonsgegevens" (zoals zo'n term of equivalent is gedefinieerd onder toepasselijke gegevensbeschermingswetten) die het ontvangt van, of namens een andere persoon, of verzamelt uit eigen interactie met een consument, mits G-P klantgegevens mag combineren als het binnen het bereik valt van het leveren van de diensten aan de klant. Waar van toepassing, moet elke partij de andere partij op de hoogte stellen als zij vaststelt dat zij niet langer aan haar verplichtingen onder de Amerikaanse privacywetgeving kan voldoen.

 

 

4. International Data Transfers

4.1. Passende bescherming. G-P is bevoegd om, in de normale bedrijfsvoering, wereldwijde overdrachten van klantgegevens te doen aan haar dochterondernemingen en/of subverwerkers. Bij het uitvoeren van dergelijke overdrachten naar een gebied dat niet door de relevante gegevensbeschermingsautoriteiten is erkend als voldoende beschermingsniveau voor persoonsgegevens volgens de gegevensbeschermingswetten, zorgt G-P ervoor dat passende bescherming is om de klantgegevens te beschermen die onder of in verband met de Master Agreement zijn overgedragen.

4.2. Gegevensprivacy-framework. Professionals en klantgegevens worden opgeslagen in GPP, dat in de VS wordt gehost G-P gecertificeerd is onder het EU-VS Data Privacy Framework (EU-VS DPF) en, indien van toepassing, de UK Extension op het EU-VS DPF en de Zwitserlands-VS Gegevensprivacykader (Zwitsers-VS) DPF). De certificering van G-P kan publiekelijk worden bevestigd op de DPF-website https://www.dataprivacyframework.gov/list. Het EU-VS Kader voor Gegevensprivacy werd door de Europese Commissie als adequaat beschouwd, aangezien het een wettig gegevensoverdrachtsmechanisme is overeenkomstig artikel 45 van de Algemene verordening gegevensbescherming (AVG), de UK Algemene verordening gegevensbescherming (AVG) en de FADP. Indien het DPF-kader(s) ongeldig worden verklaard, geschorst of anderszins niet langer erkend als voldoende bescherming voor Internationale gegevensoverdrachten, stemt de Verwerker ermee in de SCC's aan te gaan en te voldoen die zijn uitgegeven of goedgekeurd door de Europese Commissie, het Britse Informatiebureau (ICO) of de Zwitserse Federale Commissaris voor Gegevensbescherming en Informatie (FDPIC), indien van toepassing. De partijen werken te goeder trouw samen om eventuele aanvullende maatregelen te implementeren die nodig zijn om een in wezen gelijkwaardig beschermingsniveau voor de overgedragen gegevens te waarborgen.

4.3. Standaard contractuele clausules. De partijen komen overeen dat wanneer de overdracht van persoonsgegevens van de klant (als "gegevensexporteur") naar G-P (als "gegevensimporteur") een Beperkte Overdracht is en toepasselijke gegevensbeschermingswetten vereisen dat passende waarborgen worden getroffen, deze overdracht onderworpen is aan de juiste Standaard Contractuele Clausules, die worden beschouwd als opgenomen in en onderdeel vormen van deze DPA, als volgt:

  1. Met betrekking tot overdrachten van persoonsgegevens die worden beschermd door de Algemene verordening gegevensbescherming (AVG), zijn de EU-SCC's van toepassing, ingevuld als volgt:
  1. Modules één en twee zijn van toepassing;
  2. in Clausule 7geldt de optionele dockingclausule;
  3. in Clausule 9 van Module Twee, zal Optie 2 van toepassing zijn, en de tijdsperiode voor voorafgaande kennisgeving van Sub-verwerkerwijzigingen zal zijn zoals uiteengezet in sectie 3.5 van deze DPA;
  4. in Clausule 11geldt de optionele taal niet;
  5. in Clausule 12zijn alle vorderingen ingediend onder de EU-SCC's onderworpen aan de voorwaarden zoals vastgelegd in de Master Agreement;
  6. in Clausule 17, zal optie 1 van toepassing zijn, en de EU-SCC's zullen worden geregeld door Iers recht;
  7. in Clausule 18(b) worden geschillen beslecht voor de rechtbanken van Ierland;
  8. Bijlage I van de EU-SCC's wordt geacht te zijn voltooid met de informatie zoals vermeld in Bijlage 1 van deze DPA; en
  9. Bijlage II van de EU SCC's wordt geacht te zijn voltooid met de informatie zoals vermeld in Bijlage 2 van deze DPA;
  10. Bijlage III van Module Twee van de EU SCC's wordt geacht te zijn aangevuld met de informatie in Bijlage 3 van deze DPA.

b. Met betrekking tot overdrachten van persoonsgegevens die worden beschermd door de Britse gegevensbeschermingswetten of de Zwitserse gegevensbeschermingswetten, zullen de EU-SCC's zoals uitgevoerd onder subparagrafen (a) hierboven van toepassing zijn met de volgende aanpassingen:

  1. verwijzingen naar "Verordening (EU) 2016/679" moeten worden geïnterpreteerd als verwijzingen naar de Britse gegevensbeschermingswetten of de Zwitserse gegevensbeschermingswetten (indien van toepassing);
  2. verwijzingen naar specifieke artikelen van "Verordening (EU) 2016/679" worden vervangen door het equivalente artikel of onderdeel van de Britse Gegevensbeschermingswetten of de Zwitserse Gegevensbeschermingswetten (indien van toepassing);
  3. verwijzingen naar "EU", "Unie", "Lidstaat Staat" en "Lidstaat Wetgeving" worden vervangen door verwijzingen naar "VK" of "Zwitserland", of "Brits recht" of "Zwitserse recht" (indien van toepassing);
  4. de term "lidstaat" mag niet zo worden geïnterpreteerd dat gegevenspersonen in het VK of Zwitserland worden uitgesloten van de mogelijkheid om hun rechten aan te spannen op hun woonplaats (d.w.z. het VK of Zwitserland);
  5. Clausule 13(a) en Deel C van Bijlage I worden niet gebruikt en de "bevoegde toezichthoudende autoriteit" is de Britse Information Commissioner of de Zwitserse federale Data Protection Information Commissioner (indien van toepassing);
  6. verwijzingen naar de "bevoegde toezichthoudende autoriteit" en "bevoegde rechtbanken" worden vervangen door verwijzingen naar de "Information Commissioner" en de "rechtbanken van Engeland en Wales" of de "Zwitserse federale Commissaris voor gegevensbescherming" en "toepasselijke rechtbanken van Zwitserland" (indien van toepassing);
  7. in Clausule 17worden de Standaard Contractuele Clausules beheerst door de wetten van Engeland en Wales of Zwitserland (indien van toepassing); en
  8. met betrekking tot overdrachten waarop Britse gegevensbeschermingswetten van toepassing zijn, zal Clausule 18 worden gewijzigd met de tekst: "Elk geschil dat voortvloeit uit deze clausules wordt opgelost door de rechtbanken van Engeland en Wales. Een gegevenspersoon kan juridische procedures starten tegen de gegevensexporteur en/of gegevensimporteur bij de rechtbanken van elk land in het VK. De partijen komen overeen zich te onderwerpen aan de jurisdictie van dergelijke rechtbanken", en met betrekking tot overdrachten waarop de Zwitserse Gegevensbeschermingswetten van toepassing zijn, bepaalt Clausule 18(b) dat geschillen moeten worden beslegd bij de toepasselijke rechtbanken van Zwitserland.
  9. Met betrekking tot gegevens die beschermd zijn door de Britse Algemene verordening gegevensbescherming (AVG), zijn de EU-SCC's als volgt van toepassing: (i) van toepassing zijn zoals ingevuld overeenkomstig de paragrafen (i) tot (viii) hierboven; en (ii) geacht te worden gewijzigd zoals gespecificeerd in Deel 2 van het VK Addendum, dat wordt beschouwd als opgenomen in en een integraal onderdeel vormt van deze DPA. Daarnaast worden tabellen 1 aan 3 in Deel 1 van het VK Addendum respectievelijk aangevuld met de informatie in Bijlage I en Bijlage II van deze DPA, en tabel 4 in Deel 1 van het VK Addendum wordt geacht voltooid te zijn door "geen van beide partijen" te selecteren.

c. Met betrekking tot overdrachten van persoonsgegevens die door de Braziliaanse LGPD worden beschermd, hetzij direct, hetzij via verdere overdracht, naar een land buiten Brazilië dat niet onderhevig is aan een adequate beslissing van de ANPD, worden de Braziliaanse SCC's geacht te zijn aangegaan en opgenomen in deze DPA volgens deze verwijzing, en als volgt afgerond :

  1. Clausule 2 van de Braziliaanse SCC's wordt vervuld door de informatie in Bijlage I, die de gegevensoverdracht beschrijft;
  2. In Clausule 3 van de Brazilië SCC's is optie B van toepassing, waarbij verdere overdrachten zijn toegestaan overeenkomstig Sectie 3.5 ("Subprocessors") van deze DPA. Het onderwerp, de aard en duur van de verwerking zijn uiteengezet in Bijlage I van deze DPA;
  3. Clausule 4 van de Braziliaanse SCC's wordt vervuld door de informatie in Bijlage I van deze DPA. Wanneer G-P een Verwerkingsverantwoordelijke is, is zij de "Aangewezen Partij", zoals gedefinieerd in de Brazilië SCC's, en voor de doeleinden van Clausule 14 (Transparantie), Clausule 15 (Gegevensonderwerprechten) en Clausule 16 (Incidentrapportage) van de Braziliaanse SCC's. De klant blijft verantwoordelijk voor compliance met Clausule 14 (Transparantie), Clausule 15 (Rechten van de Gegevenspersoon) en Clausule 16 Incident Rapportage) van de Brazilië SCC's voor alle persoonsgegevens waarvan zij anders de Beheerder zou kunnen zijn;
  4. In Clausule 9 van de Braziliaanse SCC's is de optionele dockingclausule niet van toepassing; en
  5. Sectie III (Veiligheidsmaatregelen) van de Braziliaanse SCC's wordt geacht te zijn voltooid met de informatie zoals vermeld in Bijlage II van deze DPA.

 

Bijlage I

Beschrijving van gegevensverwerking

 

Partijen

Gegevensexporteur: Klantentiteit die de Hoofdovereenkomst uitvoert

Data Importer: G-P-entiteit die de Master Agreement uitvoert.

Contactgegevens partijen

Contactgegevens zoals vastgelegd in de Master Agreement.

 

Activiteiten die relevant zijn voor de overgedragen gegevens

Activiteiten gerelateerd aan de Employer of Record Services en het gebruik van GPP die aan de klant worden geleverd als dienst.

Verwerkingsactiviteiten

De verwerkte of overgedragen persoonsgegevens kunnen onderworpen zijn aan de volgende verwerkingsactiviteiten: elke handeling met betrekking tot persoonsgegevens, ongeacht de gebruikte middelen en procedures, met name het verzamelen, organiseren, opslaan, bewaren, gebruiken, opvragen, raadplegen, archiveren, verzenden, blokkeren, wissen of vernietigen van gegevens, het bedienen en onderhoud van systemen, compliance, juridische en auditfuncties.

Duur van de verwerking

G-P zal klantgegevens verwerken gedurende de duur van de Master Agreement en op continue basis.

Aard en doel van verwerking

De klant kan klantgegevens overdragen aan G-P, waarvan de omvang wordt bepaald en gecontroleerd door de klant naar eigen goeddunken. Het doel van de verwerking is om de diensten te leveren in overeenstemming met de Master Agreement.

Categorieën van Gegevenspersonen

a) De door de partijen als onafhankelijke verwerkingsverantwoordelijken uitgewisselde persoonsgegevens hebben betrekking op de persoonsgegevens van professionals.

b) De door G-P als gegevensverwerker verwerkte klantgegevens betreft geautoriseerde gebruikers van de GPP , waaronder werknemers en/of aannemers van de klant.

Soorten persoonsgegevens

· Contactgegevens (zoals telefoonnummer en e-mail).

· Gegevens van werknemers / aannemers (zoals functietitel en naam van het bedrijf).

· Gebruiksgegevens (zoals gegevens over het apparaat van de geautoriseerde gebruiker en hoe dat apparaat met de GPP omgaat).

· Locatiegegevens (zoals locatie afgeleid van het IP-adres).

· Inhoudsgegevens (zoals de inhoud van de bestanden van de klant met betrekking tot de professionals en gerelateerde communicatie).

· Inloggegevens (zoals wachtwoorden, wachtwoordhints en soortgelijke beveiligingsinformatie die wordt gebruikt voor authenticatie en accounttoegang tot de GPP).

· Alle persoonlijke gegevens verstrekt door gemachtigde gebruikers.

Speciale categorieën van gegevens (indien van toepassing)

N.v.t.

Behoud

Persoonsgegevens worden ten minste bewaard zolang een wettelijk verplichte minimale bewaartermijn van toepassing is, die in overeenstemming is met de toepasselijke verjaringstermijnen en voldoet aan goede bedrijfspraktijken.

Bevoegde Toezichthoudende Autoriteit

De Ierse Commissie voor Gegevensbescherming

Overgangen naar subprocessors

Voor overdrachten naar verwerkers zijn het onderwerp, de aard en de duur van de verwerking hetzelfde als hierboven gedefinieerd.

G-P Privacy contactgegevens

 

privacy@G-P.com

Attn: Global Privacy Office.

 

 

 

Bijlage II

Technische en organisatorische maatregelen

 

G-P is gecertificeerd en gecertificeerd om compliance te bevestigen volgens SOC 2 - en ISO 27001 -standaarden, door onafhankelijke auditors. Dergelijke certificeringen tonen onze inzet voor het beveiligen van klantgegevens. G-P' beveiligingsprogramma is ontworpen om:

  • Bescherm de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens in het bezit van G-P of waartoe G-P toegang heeft;
  • Beschermen tegen verwachte bedreigingen of gevaren voor de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens;
  • Beschermen tegen ongeautoriseerde of onwettige toegang, gebruik, openbaarmaking, wijziging of vernietiging van klantgegevens;
  • Beschermen tegen accidenteel verlies of vernietiging van, of schade aan, klantgegevens; en
  • Bescherm informatie zoals vastgelegd in eventuele regelgeving waarmee de G-P kan worden gereguleerd.

 

Het volgende beschrijft de functies, processen, controles, systemen, procedures en maatregelen die G-P heeft genomen om de veiligheid van de verwerking van klantgegevens te waarborgen:

1) TECHNISCHE MAATREGELEN OM DE PRIVACY EN BESCHERMING VAN GEGEVENS TE WAARBORGEN 

  1. Privacy by Design and Default: G-P houdt rekening met de vereisten van Artikel 25 Algemene verordening gegevensbescherming (AVG) in de conceptie- en ontwikkelingsfase van productontwikkeling. Processen en functionaliteiten zijn zo ingericht dat de gegevensbeschermingsprincipes zoals legaliteit, transparantie, doelbeperking, dataminimalisatie, enzovoort, evenals de beveiliging van de verwerking in een vroeg stadium worden meegenomen.

  2. Versleuteling van persoonsgegevens: Ervoor zorgen dat persoonsgegevens alleen in het systeem worden opgeslagen op een manier die derden niet toestaat het slachtoffer te identificeren.

    1. Database- en opslagversleuteling: Op alle databases die door G-P worden gebruikt, wordt een versleuteling "in rust" volgens de stand van de techniek toegepast, zodat de gegevens uit de database pas kunnen worden gelezen na correcte authenticatie op het betreffende databasesysteem.

    2. Versleuteling van mobiele datamedia: Het gebruik van mobiele dataproviders voor het opslaan van klantgegevens is niet toegestaan.

    3. Versleuteling van datadragers op laptops: Op de laptops van alle medewerkers is een passende, ultramoderne harde schijfencryptie geïnstalleerd.

    4. Versleutelde uitwisseling van informatie en bestanden: In principe wordt de uitwisseling van informatie en bestanden direct versleuteld via een speciale sollicitatie. Als persoonlijke gegevens of vertrouwelijke informatie naar servers moeten worden overgedragen die niet via TLS-versleutelde HTTPS-uploads kunnen worden verzonden, worden deze overgedragen via Secure File Transfer Protocol (SFTP), een versleutelde enveloppendienst of een ander versleuteld mechanisme volgens de stand van de techniek.

    5. E-mailversleuteling: In principe zijn alle e-mails die door medewerkers van G-P worden verstuurd, versleuteld met TLS. Uitzonderingen kunnen zijn als de ontvangende mailserver geen TLS ondersteunt. De klant moet ervoor zorgen dat de bijbehorende mailservers die binnen de order worden gebruikt, TLS-encryptie ondersteunen.

  3. Toegangscontrole: Toelatingscontroles zijn bedoeld en ingevoerd om het gebruik en de verwerking van gegevens die door gegevensbeschermingswetten worden beschermd door onbevoegden te voorkomen.

    1. Gebruik van verificatiemethoden: Toegang tot persoonlijke gegevens gebeurt altijd via gecodeerde protocollen: SSH, SSL/ TLS, HTTPS of vergelijkbare protocollen. Authenticatieprocedure voor IT-systeem: Multifactor-authenticatie inloggen op het IT-systeem.

    2. Automatische blokkering bij inactiviteit: Laptops die door G-P-medewerkers worden gebruikt, worden vergrendeld met wachtwoord- of pincode wanneer ze niet door de gebruiker worden gebruikt. Daarnaast wordt na 15 minuten inactiviteit een automatische schermvergrendeling met wachtwoordbeveiliging ingesteld.

    3. Gebruik van antivirussoftware: Laptops die door G-P-medewerkers worden gebruikt, zijn uitgerust met geavanceerde antivirussoftware die up-to-date wordt gehouden op alle operationele of zakelijke IT-systemen. In principe mogen geen computers worden bediend zonder inwonende virusbescherming, tenzij er andere gelijkwaardige geavanceerde beveiligingsmaatregelen zijn genomen of er geen risico is. Standaard beveiligingsinstellingen mogen niet worden gedeactiveerd of omzeild.

    4. "Beleid voor een schoon bureau": Werknemers van G-P krijgen de instructie om persoonlijke gegevens van betrokkenen niet uit te printen of lokaal op te slaan, geen werkmaterialen achter te laten op een plek waar deze door derden kunnen worden inzicht, en om alle werkmaterialen correct op te slaan. Documenten die G-P wettelijk verplicht is in papieren vorm te bewaren, worden bewaard in afgesloten kasten.

  4. Toegangscontroles binnen de Platform: Toegangscontroles zorgen ervoor dat personen die gemachtigd zijn om een verwerkingssysteem te gebruiken, alleen toegang hebben tot de persoonsgegevens die onder hun toegangsautorisatie vallen.

    1. Rollen en autorisatie

      1. Rollen en autorisatie Platform – Klanttoegang: Klantgebruikers kunnen klantaccountinformatie bekijken en bewerken.

      2. Rollen en Autorisatie Platform – Professionele Toegang: Professionele gebruikers kunnen hun eigen professionele informatie bekijken en bewerken. Professionals kunnen ook een klanttoegang krijgen bij wens + goedkeuring

      3. Rollen en autorisatie Platform – Interne Toegang: Gebruikers van interne toegang hebben uiteenlopende rollen. Ze hebben verschillende toegang om het volgende te maken, bekijken, bewerken en goedkeuren:

        • Klantinformatie

        • Factureringsinformatie

        • Partnerinformatie

        • Informatie over professionele personeelsdossiers

      4. Toegang tot het administratiesysteem is over het algemeen beperkt tot getrainde medewerkers op het gebied van klantondersteuning en productontwikkeling.

  5. Firewall als een dienst: G-P gebruikt een externe firewall als een dienst waarmee het toegang tot websites kan verlenen of blokkeren, zodat systemen geen toegang kunnen krijgen tot kwaadaardige inhoud en om toegang tot ongepaste inhoud te beperken.

  6. Registratie van inloggegevens bij de Platform :G-P houdt een registratie bij van alle inlogactiviteiten.

  7. Scheidbaarheid: Ervoor zorgen dat persoonsgegevens die voor verschillende doeleinden worden verzameld afzonderlijk kunnen worden verwerkt en gescheiden zijn van andere gegevens en systemen, zodat ongepland gebruik van deze gegevens voor andere doeleinden wordt uitgesloten.

    1. Scheiding van ontwikkel-, test- en operationele omgevingen: Gegevens uit de operationele omgeving mogen alleen worden overgedragen aan test- of ontwikkelingsomgevingen als deze volledig anoniem zijn gemaakt vóór overdracht. De overdracht van de geanonimiseerde gegevens moet versleuteld zijn of via een betrouwbaar netwerk. Software die naar de operationele omgeving wordt overgezet, moet eerst worden getest in een identieke testomgeving ("staging"). Programma's voor foutanalyse of het creëren/compileren van software mogen alleen in de operationele omgeving worden gebruikt als dit niet kan worden vermeden. Dit geldt vooral als foutsituaties afhankelijk zijn van data die zou worden gefalsificeerd vanwege de eisen voor anonimisering bij overdracht naar testomgevingen.

    2. Scheiding in netwerken: G-P scheidt zijn netwerken op basis van taken. De volgende netwerken worden permanent gebruikt: operationele omgeving ("Productie"), testomgeving ("Staging", "Sandbox"), ontwikkelomgeving ("Dev"), kantoor-IT-medewerkers. Naast deze netwerken worden er indien nodig nog meer aparte netwerken aangemaakt, bijvoorbeeld voor hersteltests en penetratietests. Afhankelijk van de technische mogelijkheden worden de netwerken fysiek gescheiden of via virtuele netwerken.

  8. Beschikbaarheidscontrole : G-P neemt de volgende stappen om ervoor te zorgen dat persoonlijke gegevens beschermd zijn tegen accidentele vernietiging of verlies.

    1. Gegevensbeschermingsprocedures/back-up: Om voldoende beschikbaarheid te garanderen, implementeert G-P dagelijkse snapshots van zijn database met replicatie naar een andere regio. Er worden ook maatregelen genomen om ervoor te zorgen dat werknemers met de functie-gebaseerde behoefte om data te beoordelen alleen toegang krijgen tot replica-datasets.

    2. Geo-redundantie met betrekking tot de serverinfrastructuur van productieve data en back-ups

    3. IT-incidentbeheer ("Incident Response Management"): Er is een concept en er zijn gedocumenteerde procedures voor het afhandelen van incidenten en veiligheidsrelevante gebeurtenissen. Dit omvat de planning en voorbereiding van de reactie op incidenten, procedures voor het bewaken, detecteren en analyseren van veiligheidsrelevante gebeurtenissen en de definitie van bijbehorende verantwoordelijkheden en rapportagekanalen in het geval van een schending van de bescherming van persoonsgegevens binnen het kader van de wettelijke vereisten.

2) ORGANISATORISCHE MAATREGELEN OM GEGEVENSPRIVACY EN BESCHERMING TE WAARBORGEN

G-P heeft de volgende organisatorische maatregelen ingevoerd om ervoor te zorgen dat de organisatie opereert op een manier die voldoet aan de privacy- en beschermingseisen.

  1. Organisatorische instructies: G-P heeft een datagovernanceprogramma ontwikkeld en ontwikkelt dat onder andere beleidslijnen, procedures en richtlijnen bevat voor medewerkers om te volgen. Documentatie omvat hoe privacykwesties van gegevens te identificeren en te beheren, best practices om privacy compliancete waarborgen, en beleid voor het aanpakken van privacyincidenten.
  2. Toewijding aan vertrouwelijkheid en gegevensbescherming: G-P heeft een datagovernanceprogramma ontwikkeld en ontwikkelt dat onder andere beleidslijnen, procedures en richtlijnen bevat voor medewerkers om te volgen. Alle werknemers en opdrachtnemers zijn schriftelijk gebonden aan vertrouwelijkheid en gegevensbescherming, evenals andere relevante wetten. Alle medewerkers krijgen training in privacy en beveiliging. Interne audits op het gebied van gegevensbescherming en informatiebeveiliging worden regelmatig uitgevoerd. Audits worden uitgevoerd op basis van gemeenschappelijke testcriteria/-schema's. De werknemers en aannemers van G-P zijn geïnstrueerd om persoonsgegevens uitsluitend om wettige redenen te verwerken, overeenkomstig toepasselijke contracten met de klant en professional, met de nodige rekening met eventuele uitdrukkelijke toestemming die door de betrokkene is gegeven of achtergehouden, en in overeenstemming met eventuele wettelijke plicht van de organisatie.
  3. Trainingen gegevensbescherming: Alle medewerkers ontvangen privacy- en beveiligingstrainingen die op elk moment beschikbaar blijven voor inzicht in het G-P trainingsplatform.
  4. Fysieke toegangscontroles: G-P heeft de volgende fysieke controles om ongeautoriserden de toegang te ontzeggen tot IT-systeemapparatuur die voor verwerking wordt gebruikt.
    1. Elektronische deurbeveiliging: De ingangsdeuren van het pand van G-P-kantoren zijn altijd op slot en elektronisch beveiligd. De deuren worden geopend via een persoonlijke elektronische transponder.
    2. Gecontroleerde distributie van sleutels: Er vindt een centrale, gedocumenteerde toewijzing van sleutels aan de werknemers van G-P plaats. Deze elektronische transponders/sleutels kunnen centraal worden gedeactiveerd door elke kantoormanager of de afdeling People Middelen.
    3. Toezicht en begeleiding van externe personen: Externe dienstverleners en andere derden mogen alleen toegang krijgen tot het pand met voorafgaande toestemming of wanneer zij worden vergezeld door een werknemer van G-P. G-P past haar schriftelijke bezoekersbeleid toe wanneer bezoekers worden uitgenodigd op het terrein.
    4. Beveiligen van panden met een verhoogde behoefte aan bescherming: Ruimtes of kasten met verhoogde beveiligingseisen, zoals advocatenkantoren en bepaalde operationele locaties, zijn uitgerust met afsluitbare kasten en laden. Kasten en lades waarin juridische documenten, contracten en vertrouwelijke documenten worden bewaard, moeten te allen tijde op slot zijn, behalve wanneer ze in gebruik zijn.
    5. Gesloten deuren en ramen: Medewerkers krijgen organisatorisch de instructie om ramen en deuren buiten kantooruren gesloten of op slot te houden.
  5. Herstelbaarheid: G-P zorgt ervoor dat systemen in gebruik kunnen worden hersteld bij fysieke of technische storingen.

    1. Reguliere tests van het dataherstel ("Restore-Tests"): Regelmatig worden volledige hersteltests uitgevoerd om herstelbaarheid te waarborgen in geval van een noodgeval/ramp.

    2. Noodplan ("Disaster Recovery Concept"): Er is een concept voor de behandeling van noodsituaties/rampen en een bijbehorend noodplan. G-P zorgt voor het herstel van alle systemen op basis van de data-back-ups/back-ups, meestal binnen 48 uur.

    3. Beoordelings- en evaluatiemaatregelen: Presentatie van de procedures voor regelmatige beoordeling, beoordeling en evaluatie van de effectiviteit van de technische en organisatorische maatregelen.

  6. Privacy Team: De organisatie heeft een Global Data Privacy Office dat belast is met het plannen, implementeren, evalueren en aanpassen van maatregelen op het gebied van gegevensbescherming.

  7. Risicobeheer: Er is een proces voor het analyseren, evalueren en toewijzen van risico's en voor het afleiden van maatregelen op basis van deze risico's.

3) ONAFHANKELIJKE BEOORDELING VAN INFORMATIEBEVEILIGING

  1. Uitvoering van audits: Interne audits op het gebied van gegevensbescherming en informatiebeveiliging worden regelmatig uitgevoerd. Audits worden uitgevoerd op basis van gemeenschappelijke testcriteria/-schema's.
  2. Beoordeling van compliance met beveiligingsbeleid en -normen: De naleving van de toepasselijke beveiligingsrichtlijnen, standaarden en andere beveiligingsvereisten voor de verwerking van persoonsgegevens wordt regelmatig gecontroleerd. Waar mogelijk worden deze controles op willekeurige en onverwachte basis uitgevoerd.
  3. Verificatie van compliance met technische specificaties: Regelmatige geautomatiseerde en handmatige kwetsbaarheidsscans worden uitgevoerd door de IT-afdeling of ander gekwalificeerd personeel om de beveiliging van de applicaties en infrastructuur te verifiëren, evenals de reguliere ontwikkeling van het product. Gedetailleerde penetratietests worden uitgevoerd door een externe dienstverlener om specifiek de applicaties en infrastructuur op kwetsbaarheden te onderzoeken.
  4. Verwerking op instructie: De werknemers van G-P zijn geïnstrueerd om persoonsgegevens uitsluitend om wettelijke redenen te verwerken, overeenkomstig toepasselijke contracten met de klant en de professional, met inachtneming van eventuele uitdrukkelijke toestemming die door de betrokkene wordt gegeven of achtergehouden, en in overeenstemming met eventuele wettelijke plicht van de organisatie.
  5. Zorgvuldige keuze van leveranciers: G-P houdt zich aan het Supplier Prequalification Process bij het selecteren van leveranciers en leveranciers die mogelijk beschermde gegevens tegenkomen. Dit proces omvat feedback van de afdelingen Financiën en Juridisch/Privacy en omvat risicobeoordeling, beveiligingsprekwalificatie en documentatiecertificeringstappen. Leveranciers die beschermde gegevens verwerken, moeten aantonen dat zij voldoen aan de toepasselijke privacywetgeving, waaronder Artikel 28 Algemene verordening gegevensbescherming (AVG) voor gedekte gegevens.

 

Bijlage III 

Lijst van Subprocessors

 

Subprocessor

Locatie en contactinformatie

Beschrijving van de verwerking

G-P dochterondernemingen

https://www.globalization- partners.com/contact-us/

Het bieden van het Platform en klantrelatiebeheer

Acumatica

3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, VS

Financiële dienstverlening

Amazon Web Service

P.O. Box 81226

Seattle, WA 98108-1226, VS

Hosting – Cloud Services Provider

Microsoft

Microsoft Corporation One Microsoft Way

Redmond, Washington 98052 VS Telefoon: (+1) 425-882-8080.

Ondersteuning van bedrijfsprocessen voor communicatie (e-mail) en dienstenbeheer

Atlassian

350 Bush Street Vloer 13

San Francisco, CA 94104, VS

+1 415 701 1110

Ondersteuning van bedrijfsprocessen voor dienstenbeheer

DocuSign

DocuSign International (EMEA) Ltd, Attentie: Privacy Team, 5 Hanover Quay, Ground Floor, Dublin 2, Republiek Ierland

Documentbeheer

Salesforce.com

Salesforce Tower, 415 Mission Street, 3Rd Floor, San Francisco, CA 94105, VS

1-800-387-3285

Business Process Support voor Customer Relationship Management (CRM)

Zendesk

989 Market St

San Francisco, CA 94103, VS zendesk.com

888-670-4887

Helpdesk-vragen voor klantondersteuning

Workday

6110 Stoneridge Mall Road
Pleasanton, CA 94588, Verenigde Staten

Business Process Support voor het beheren van salarisadministratie, secundaire arbeidsvoorwaarden, HUMAN RESOURCES en werknemergegevens.

Nu in gebruik

2225 Lawson Lane
Santa Clara, CA, 95054

VS

 

Business Process Support voor IT-service en operations management, de werknemer- en klantervaringen via (geautomatiseerde cloudgebaseerde workflow)

Databricks

160 Spear Street, 15Verdieping
San Francisco, CA 94105
1-866-330-0121

VS

Cloud datawarehouse-infrastructuur.

Datadog

620 8de 45verdieping

New York, NY 10018

VS

 Service monitoring en debugging tool

Wise

Avenue Louise 54, Kamers52,

1050 Brussel

België

Online betalingsverwerker

Google

1600 Amfitheater Pkwy, Mountain View, CA 94043

Business Process Support voor communicatie (e-mail) en interne documentopslag