Skip Main Navigation

Addendum Inzake Gegevensverwerking voor Verwerkers en Subverwerkers

Eventbrite Logo

Geactualiseerd door Antwonne D.

Laatst bijgewerkt: 3 april 2018

OPMERKING: Kijk eblink{hier=>https://www.eventbrite.nl/l/LegalTerms} om meer te weten te komen over het Juridisch beleid van Eventbrite.

Overzicht

Dit Addendum inzake gegevensverwerking (in het Engels: Data Processing Addendum of "DPA") is van toepassing op alle diensten die door jou ("jij", "jou", "jouw" of "Leverancier") als Verwerker of Subverwerker (zoals hieronder gedefinieerd) aan Eventbrite, Inc. en gelieerde ondernemingen ("Eventbrite") worden geleverd (de "Diensten"). Jij en Eventbrite worden hierin ieder aangeduid als "Partij" en samen als "Partijen". Deze DPA-aanvullingen zijn opgenomen in en blijven van kracht gedurende de termijn van elke overeenkomst tussen de Partijen, inclusief maar niet beperkt tot uitgevoerde of doorklikovereenkomsten of, indien van toepassing, de API-gebruiksvoorwaarden van Eventbrite (de "Overeenkomst"), de duur van de Diensten of de verwerking van Eventbrite-gegevens, afhankelijk van wat later is (de "Termijn"). Zonder beperking van de algemeenheid van het voorgaande, het onderwerp, de aard en het doel van het verwerken onder deze DPA is de bepaling van de diensten in de overeenkomst en de categorieën van persoonlijke gegevens en categorieën van datasubjecten zijn die welke nodig zijn om de diensten volgens de overeenkomst te leveren, zoals vollediger beschreven in de overeenkomst.

1. Definities.

Termen met een hoofdletter die in deze DPA worden gebruikt maar niet zijn gedefinieerd, hebben de betekenis zoals uiteengezet in de Overeenkomst, indien van toepassing. Voor de toepassing van deze DPA gelden de volgende definities: 1.1 "Gelieerde onderneming(en)" betekent elke persoon of entiteit die zeggenschap heeft over, onder zeggenschap staat van, of onder gemeenschappelijke zeggenschap staat met een dergelijke entiteit, ongeacht of dit van kracht is op de datum van de Overeenkomst of daarna. Voor de doeleinden van deze DPA betekent "Zeggenschap" eigendom of zeggenschap, direct of indirect, van meer dan 20% van het uitstaande stemgerechtigde aandelenkapitaal van een entiteit of anderszins de bevoegdheid om het management en beleid te sturen. 1.2 "Toepasselijke privacywetten" betekent alle toepasselijke wetten en voorschriften inzake privacy en gegevensbescherming overal ter wereld, inclusief, waar van toepassing, de EU-richtlijn 95/46/EG inzake gegevensbescherming, de EU-richtlijn 2002/58/EG betreffende privacy en elektronische communicatie, en met ingang van 25 mei 2018, Verordening 2016/679 van het Europees Parlement en de Raad inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming) ("AVG") (in alle gevallen zoals gewijzigd of vervangen). 1.3 "Beheerder" betekent de natuurlijke of rechtspersoon of entiteit die het doel en de middelen bepaalt voor de verwerking van Persoonsgegevens. 1.4 "Gegevensschending" betekent een schending van de beveiliging die heeft geleid tot onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang en alle andere onwettige vormen van verwerking van Eventbrite-gegevens. 1.5 "Eventbrite-gegevens" betekent alle gegevens inclusief Persoonsgegevens die aan de Leverancier worden geleverd of anderszins door de Leverancier worden verzameld en/of opgeroepen namens Eventbrite en/of haar Gelieerde ondernemingen tijdens het leveren van de Diensten onder de Overeenkomst. Eventbrite-gegevens die Persoonsgegevens zijn, worden hierbij "Eventbrite-persoonsgegevens" genoemd. 1.6 "Persoonsgegevens" betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon; een identificeerbare persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of een of meer factoren die specifiek zijn voor zijn of haar fysieke, fysiologische, mentale, economische, culturele of sociale identiteit. 1.7 "Beginselen van het Privacy Shield" betekent de Beginselen van het Privacy Shield Framework (zoals aangevuld met de Aanvullende beginselen) in Bijlage II bij het Besluit van de Europese Commissie van 12 juli 2016 op grond van Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de toereikendheid van de bescherming van het Privacy Shield (zoals kan worden gewijzigd of vervangen), waarover details beschikbaar zijn op eblink{www.privacyshield.gov/eu-us-framework=>https://www.privacyshield.gov/eu-us-framework}. 1.8 "Verwerker" betekent een entiteit die Persoonsgegevens verwerkt namens en in overeenstemming met de instructies van een Beheerder. 1.9 "MCB's" betekent de modelcontractbepalingen beschikbaar op eblink{http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087=>http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087}, zoals van tijd tot tijd kan worden bijgewerkt of vervangen. 1.10 "Subverwerker" betekent een entiteit die is aangesteld door een Verwerker en die ermee instemt om van de Verwerker Persoonsgegevens te ontvangen die uitsluitend bestemd zijn voor de verwerkingsactiviteiten die moeten worden uitgevoerd als onderdeel van de Diensten. 1.11 "Leverancier" betekent de persoon of entiteit die de Overeenkomst met Eventbrite is aangegaan.

2. Rol van de partijen en aard van de persoonsgegevens.

2.1 Voor de toepassing van deze DPA kan Eventbrite optreden als Beheerder, of optreden als Verwerker van een van haar klanten. De Leverancier erkent daarom dat hij kan optreden als Verwerker van Eventbrite of Subverwerker van Eventbrite. Wanneer Eventbrite optreedt als Verwerker, is Eventbrite contractueel en/of onder Toepasselijke privacywetten verplicht om bepaalde aan gegevensbescherming gerelateerde verplichtingen over te dragen aan haar aangewezen Subverwerkers. Daarom zijn alle verplichtingen die in deze DPA aan de Verwerkers worden opgelegd, van toepassing op de Leverancier, ongeacht of de Leverancier optreedt als Verwerker of Subverwerker. 2.2. De aard, het doel en het onderwerp van de gegevensverwerkingsactiviteiten van de Leverancier die worden uitgevoerd als onderdeel van de Diensten, worden uiteengezet in de Overeenkomst. De Persoonsgegevens die kunnen worden verwerkt, kunnen betrekking hebben op evenementenorganisators, -bezoekers, -werknemers, -contractanten en -contactpersonen en kunnen namen, e-mailadressen, factuur- en betaalinformatie en geboekte, georganiseerde en bijgewoonde evenementen omvatten, evenals andere Persoonsgegevens die kunnen worden verwerkt ingevolge de Overeenkomst.

3. Naleving door de Leverancier.

3.1 De Leverancier garandeert en verbindt zich ertoe Eventbrite-persoonsgegevens alleen te verwerken voor de beperkte en specifieke doeleinden die in de Overeenkomst zijn uiteengezet en/of zoals anderszins wettelijk door Eventbrite is opgedragen (via e-mail of anderszins), tenzij anders vereist door de toepasselijk wetgeving. De Leverancier stelt Eventbrite onmiddellijk op de hoogte als de Leverancier van mening dat een instructie in strijd is met de Toepasselijke privacywetten. 3.2 Onder voorbehoud van Sectie 5 van deze DPA, waarbij de Leverancier Eventbrite-persoonsgegevens verwerkt die afkomstig zijn uit de EER, het Verenigd Koninkrijk en/of Zwitserland, en de Leverancier dergelijke Eventbrite-persoonsgegevens overdraagt aan een land waarvan de Europese Commissie acht dat het onvoldoende bescherming van Persoonsgegevens biedt, garandeert de Leverancier en stemt de Leverancier ermee in: (i) zijn verplichtingen onder de Toepasselijke privacywetten na te komen; en (ii) ten minste hetzelfde beschermingsniveau voor Eventbrite-persoonsgegevens te bieden zoals vereist door de Privacy Shield-beginselen en/of zoals Eventbrite anderszins redelijkerwijs zou kunnen vereisen, in overeenstemming met de Toepasselijke privacywetten, om te zorgen voor een passend beschermingsniveau voor Eventbrite-persoonsgegevens. De Leverancier stemt ermee in Eventbrite onmiddellijk schriftelijk op de hoogte te brengen van zijn onvermogen om aan zijn verplichtingen onder deze Sectie 3.2 te voldoen en alle redelijke en passende maatregelen te treffen om eventuele niet-naleving te corrigeren en/of de verwerking van Eventbrite-persoonsgegevens te beëindigen, zoals naar eigen goeddunken bepaald door Eventbrite. Indien de Leverancier niet gecertificeerd is volgens de Privacy Shield Framework-beginselen, garandeert de Leverancier en stemt de Leverancier in met: (i) de MCB's, die hierbij zijn opgenomen in deze DPA; en (ii) implementatie van de technische en organisatorische beveiligingsmaatregelen die zijn gespecificeerd in Bijlage 1 voordat de Eventbrite-persoonsgegevens worden verwerkt.

4. Vertrouwelijkheid en beveiliging.

4.1 De Leverancier zorgt ervoor dat elke persoon die hij machtigt om de Eventbrite-gegevens te verwerken (inclusief personeel, vertegenwoordigers en subcontractanten van de Leverancier), onderworpen is aan de geheimhoudingsplicht. 4.2 De Leverancier zorgt ervoor dat hij gedurende de termijn van de Overeenkomst, of de duur van zijn diensten aan Eventbrite als Verwerker of Subverwerker, passende technische en organisatorische maatregelen implementeert en in stand houdt om Eventbrite-gegevens te beschermen, inclusief bescherming tegen Gegevensschendingen. Indien de Leverancier Privacy Shield-gecertificeerd is, zullen dergelijke maatregelen in overeenstemming met Sectie 3 van deze DPA ten minste hetzelfde niveau van privacybescherming omvatten als vereist door de Privacy Shield-beginselen.

5. Subverwerking.

De Leverancier stelt Eventbrite op de hoogte van de Subverwerkers die de Leverancier met betrekking tot Eventbrite-persoonsgegevens gebruikt, en de Leverancier zal: (i) ervoor zorgen dat elke Subverwerker contractueel schriftelijk gebonden is om ten minste hetzelfde niveau van bescherming te bieden als vereist door deze DPA en voldoet aan de Toepasselijke privacywetten; (ii) volledig verantwoordelijk zijn voor en aansprakelijk zijn jegens Eventbrite voor handelingen en nalatigheden van een Subverwerker alsof het de eigen handeling of nalatigheid van de Leverancier betrof; en (ii) Eventbrite op verzoek details verschaffen over aangestelde Subverwerkers.

6. Samenwerking en rechten van betrokkenen.

De Leverancier verleent alle assistentie die Eventbrite redelijkerwijs vereist om Eventbrite in staat te stellen: (i) te reageren op, te voldoen aan of anderszins een oplossing te vinden voor een rechtsaanvraag, vraag of klacht ontvangen door Eventbrite (of een Eventbrite-klant) van: (a) een levend persoon van wie Persoonsgegevens namens Eventbrite door de Leverancier worden verwerkt; of (b) een toepasselijke, formeel aangewezen gegevensbeschermingsautoriteit; en (ii) te voldoen aan (en naleving aan te tonen van) haar verplichtingen onder Toepasselijke privacywetten. In het geval dat een dergelijke aanvraag, vraag of klacht op grond van deze Sectie 5 rechtstreeks wordt gericht aan de Leverancier, zal de Leverancier Eventbrite hiervan op de hoogte brengen met volledige details.

7. Audit.

De Leverancier gaat ermee akkoord om Eventbrite (of haar aangewezen accountants), met redelijke voorafgaande schriftelijke kennisgeving, alle informatie te verstrekken die Eventbrite redelijkerwijs nodig acht om te controleren of de Leverancier voldoet aan de vereisten van deze DPA, inclusief het invullen van controlevragenlijsten, het verstrekken van een beveiligingsbeleid en samenvattingen van beoordelingen van de naleving van industrienormen (zoals ISO 27001, SSAE 16 SOC II), penetratietests en kwetsbaarheidsscans.

8. Gegevensschending.

In het geval van een Gegevensschending, zal de Leverancier alleen de volgende handelingen uitvoeren (tenzij gemachtigd door Eventbrite): 8.1 Evenement onmiddellijk (en uiterlijk binnen 48 uur nadat de Gegevensschending is geconstateerd) op de hoogte stellen en Eventbrite een redelijkerwijs gedetailleerde beschrijving geven van de Gegevensschending, het type gegevens dat het onderwerp was van de Gegevensschending en de identiteit van elk getroffen persoon zodra deze informatie kan worden verzameld of anderszins beschikbaar wordt, evenals enige andere informatie die Eventbrite redelijkerwijs kan vragen met betrekking tot de Gegevensschending; en 8.2 De Gegevensschending onmiddellijk (en uiterlijk binnen 48 uur nadat de Gegevensschending is geconstateerd) onderzoeken, redelijke inspanningen leveren om de gevolgen en schade van de Gegevensschending te beperken in overeenstemming met zijn verplichtingen op grond van Sectie 3 (Vertrouwelijkheid en beveiliging) hierboven, en andere hulp bieden die Eventbrite redelijkerwijs kan vragen met betrekking tot de Gegevensschending.

9. Verwijderen of retourneren van gegevens.

Na beëindiging of afloop van deze DPA zal de Leverancier (naar keuze van Eventbrite) alle Eventbrite-gegevens (inclusief alle kopieën van Eventbrite-gegevens) in zijn bezit of onder zijn controle (inclusief eventuele Eventbrite-gegevens die aan derden voor verwerking zijn uitbesteed) vernietigen of aan Eventbrite retourneren, tenzij een toepasselijke wet vereist dat de Leverancier de Eventbrite-gegevens bewaart.

10. Vrijwaring.

De Leverancier zal Eventbrite, haar klanten, functionarissen, directeurs, werknemers, vertegenwoordigers, vertegenwoordigers en gelieerde ondernemingen (elk een "Gevrijwaarde partij") vrijwaren en gevrijwaard houden en schadeloos stellen voor alle verlies, schade, kosten (inclusief redelijke juridische kosten en onkosten), kosten en aansprakelijkheid van derden die een Gevrijwaarde partij kan oplopen of die kan ontstaan als gevolg van het feit dat de Leverancier niet voldoet aan de vereisten van deze DPA.

11. Diversen.

Met uitzondering van de wijzigingen die door deze DPA worden aangebracht, blijven de Overeenkomst en/of andere overeenkomsten met betrekking tot de Diensten ongewijzigd en volledig van kracht. In het geval van een conflict tussen de Overeenkomst en deze DPA met betrekking tot bepalingen voor de verwerking van Persoonsgegevens, hebben de bepalingen van deze DPA voorrang. In het geval van een conflict tussen deze DPA en een andere bepaling van de Overeenkomst tussen jou en ons, heeft deze DPA voorrang; behalve wanneer jij en Eventbrite individueel afspraken hebben gemaakt over gegevensverwerkingsvoorwaarden die afwijken van deze DPA en die volledig voldoen aan de vereisten van de Toepasselijke privacywetten, in welk geval die afgesproken voorwaarden van toepassing zijn.

Bijlage 1

Vereiste voor technische en organisatorische beveiligingsmaatregelen Met "gegevensimporteur" in deze Bijlage 1 wordt naar de Leverancier verwezen. Beleid voor informatiebeveiliging: De gegevensimporteur gaat akkoord met het implementeren van een reeks beleidsregels voor informatiebeveiliging die zijn gedefinieerd, goedgekeurd door het management, gepubliceerd en gecommuniceerd aan werknemers en relevante externe partijen. Herziening van het beleid voor informatiebeveiliging: De gegevensimporteur gaat ermee akkoord om ervoor te zorgen dat het beleid voor informatiebeveiliging wordt herzien op gezette tijden of als zich belangrijke wijzigingen voordoen om de blijvende geschiktheid, adequaatheid en doeltreffendheid van dit beleid te waarborgen. Bewustzijn, voorlichting en training inzake informatiebeveiliging: De gegevensimporteur zorgt ervoor dat alle werknemers van de organisatie en, indien van toepassing, contractanten passende voorlichting en training ontvangen en regelmatig worden geïnformeerd over het beleid en de procedures van de organisatie, zoals relevant voor hun functie. Aanvaardbaar gebruik van middelen: De gegevensimporteur zorgt ervoor dat regels voor aanvaardbaar gebruik van informatie en van middelen gerelateerd aan informatie en informatieverwerkingsfaciliteiten worden geïdentificeerd, gedocumenteerd en geïmplementeerd. Classificatie van informatie: De gegevensimporteur zorgt ervoor dat alle informatiemiddelen worden geclassificeerd aan de hand van wettelijke vereisten, waarde, criticaliteit en gevoeligheid voor ongeoorloofde openbaarmaking of wijziging. Verwijdering van media: De gegevensimporteur zorgt ervoor dat alle media veilig en aan de hand van formele procedures worden verwijderd wanneer ze niet langer nodig zijn. Beleid voor toegangscontrole: De gegevensimporteur zorgt ervoor dat een toegangscontrolebeleid wordt vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingsvereisten. Beleid voor het gebruik van cryptografische controlemaatregelen: De gegevensimporteur zorgt ervoor dat er een beleid voor het gebruik van cryptografische controlemaatregelen voor de bescherming van informatie ontwikkeld en geïmplementeerd is. Fysieke veiligheidszones: De gegevensimporteur zorgt ervoor dat een veiligheidszone wordt gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of kritieke informatie en informatieverwerkingsfaciliteiten bevatten. Fysieke toegangscontrolemaatregelen: De gegevensimporteur zorgt ervoor dat beveiligde gebieden worden beschermd door passende toegangscontrolemaatregelen om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. Veilige verwijdering of hergebruik van apparatuur: De gegevensimporteur zorgt ervoor dat alle apparatuur die opslagmedia bevat, voorafgaand aan verwijdering of hergebruik wordt gecontroleerd om te zorgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven. Controlemaatregelen tegen malware: De gegevensimporteur implementeert detectie-, preventie- en herstelmaatregelen om zich te beschermen tegen malware, in combinatie met passende maatregelen voor bewustmaking onder gebruikers. Back-ups van informatie: De gegevensimporteur implementeert een back-upbeleid om de vereisten van de organisatie voor de back-up van informatie, software en systemen te definiëren. Beheer van technische kwetsbaarheden: De gegevensimporteur onderneemt actie om technische kwetsbaarheden te verminderen, de blootstelling aan dergelijke kwetsbaarheden te beperken en te zorgen dat passende maatregelen worden genomen om het bijbehorende risico aan te pakken. Audits voor informatiesystemen: De gegevensimporteur implementeert zorgvuldig geplande en overeengekomen auditvereisten en -activiteiten met betrekking tot de verificatie van operationele systemen om verstoringen van bedrijfsprocessen tot een minimum te beperken. Netwerkcontrolemaatregelen: De gegevensimporteur zorgt ervoor dat netwerken worden beheerd en gecontroleerd om informatie in systemen en applicaties te beschermen en ervoor te zorgen dat groepen van informatiediensten, gebruikers en informatiesystemen op de juiste manier gescheiden zijn. Uitwisseling van elektronische berichten: De gegevensimporteur zorgt ervoor dat informatie betreffende de uitwisseling van elektronische berichten op passende wijze wordt beschermd. Vertrouwelijkheids- of geheimhoudingsovereenkomsten: De gegevensimporteur zorgt ervoor dat vereisten voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie voor de bescherming van informatie weerspiegelen, worden geïdentificeerd, regelmatig worden nagezien en worden gedocumenteerd. Beveiliging van applicatiediensten op openbare netwerken: De gegevensimporteur zorgt ervoor dat informatie betreffende applicatiediensten die over openbare netwerken wordt verzonden, wordt beschermd tegen frauduleuze activiteiten, contractgeschillen en ongeoorloofde openbaarmaking en wijziging. Beginselen voor veilige systeemengineering: De gegevensimporteur zorgt ervoor dat beginselen voor de engineering van beveiligde systemen worden vastgesteld, gedocumenteerd, onderhouden en toegepast op alle activiteiten voor de implementatie van informatiesystemen. Testen van systeembeveiliging en acceptatie: De gegevensimporteur zorgt ervoor dat de beveiligingsfunctionaliteit tijdens de ontwikkeling wordt getest en dat acceptatietestprogramma's en gerelateerde criteria worden vastgesteld voor nieuwe informatiesystemen, upgrades en nieuwe versies. De gegevensimporteur zorgt ervoor dat testgegevens zorgvuldig geselecteerd, beschermd en beheerd worden. Rapportage en opvolgen van informatiebeveiligingsvoorvallen: De gegevensimporteur zorgt ervoor dat informatiebeveiligingsvoorvallen zo snel mogelijk via de juiste managementkanalen worden gerapporteerd en zorgt ervoor dat informatiebeveiligingsincidenten worden opgevolgd aan de hand van de gedocumenteerde procedures. Continuïteit van de informatiebeveiliging: De gegevensimporteur bepaalt zijn vereisten voor informatiebeveiliging en de continuïteit van informatiebeveiligingsbeheer in ongunstige situaties, bijvoorbeeld tijdens een crisis of ramp.

Heb je nog steeds vragen? Wij zijn er om je te helpen. Neem contact met ons op.