GoDaddy - ADDENDUM GEGEVENSVERWERKING

Dit Addendum Gegevensverwerking (de "Addendum"), wordt uitgevoerd door en tussen GoDaddy.com, LLC, a Delaware limited liability company en haar partners ("GoDaddy") en u ("Klant"), en is bijgevoegd bij en is ter aanvulling op onze Universele servicevoorwaarden, Privacybeleid en alle overeenkomsten die de Gedekte services (samen "Servicevoorwaarden") behandelen.

1.1 Tenzij anders aangeduid in dit Addendum, hebben termen met een hoofdletter die in deze Overeenkomst worden gebruikt, maar niet zijn gedefinieerd, de betekenis die daaraan is toegekend in de Algemene Servicevoorwaardenovereenkomst

Partners wil zeggen: elke rechtspersoon die wordt beheerd door, die zich bezighoudt met het beheer van of die in het algemeen het beheer heeft over GoDaddy.

Gedekte services, zoals gedefinieerd in deze sectie en in de DPA, omvatten gehoste services die vallen onder de bepalingen en voorwaarden van de volgende Overeenkomsten: (1) E-mailmarketingservices, (2) Hosting, (3) Webwinkel/snelle winkelwagen, (4) Websiteservices, (5) Workspaceservice.

Klantgegevens wil zeggen: de persoonsgegevens van een betrokkene die door GoDaddy worden verwerkt binnen het GoDaddy-netwerk, namens de klant en in overeenstemming of in verband met de servicevoorwaarden.

Wetgeving omtrent gegevensbescherming betekent alle wetten en voorschriften met betrekking tot gegevensbescherming en privacy die toepasselijk zijn op de Verwerking van persoonsgegevens volgens de overeenkomst, waaronder maar niet beperkt tot de (i) de Australische Privacy Principles en de Australische Privacy Act (1988), (ii) de Lei Geral de Proteção de Dados (LGDP), (iii) de California Consumer Privacy Act (CCPA), (iv) de Canadese federale Personal Information Protection and Electronic Documents Act (PIPEDA), (v) de AVG van de EU, (vi) alle nationale gegevensbeschermingswetten die onder of overeenkomstig met de AVG ontworpen zijn, (vii) de e-privacyrichtlijn (Richtlijn 2002/58/EC), de Personal Data Protection Act 2012 (PDPA) van Singapore, (ix) de Zwitserse federale wet inzake gegevensbescherming van 19 juni 1992 en de bijbehorende verordeningen, en (x) de AVG van het Verenigd Koninkrijk of de Data Protection Act 2018; in alle gevallen zoals gerectificeerd, afgeschaft of vervangen.

EER staat voor de Europese Economische Ruimte.

AVG van de EU staat voor Algemene verordening gegevensbescherming, ofwel voorschrift (EU) 2016/679 van het Europese Parlement en van de Raad van 27 april 2016, inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens, via welk voorschrift Richtlijn 95/46/EC is ingetrokken.

Modelcontractbepalingen van de EU betekent de standaardbepalingen over gegevensbescherming zoals bepaald door de Europese Commissie volgens besluit 2021/914 op 4 juni 2021, bijgevoegd voor referentie. Module twee (verwerkingsverantwoordelijke naar verwerken) Modelcontractbepalingen van de EU en Module twee (verwerker naar verwerker) Modelcontractbepalingen van de EU zijn te downloaden op de website van EUR-Lex.

GoDaddy-netwerk wil zeggen: datacentrumfaciliteiten, servers, netwerkapparatuur en hostsoftwaresystemen (zoals virtuele firewalls) van GoDaddy die onder beheer van GoDaddy staan en die worden gebruikt voor het verzorgen van de Gedekte services.

Beveiligingsincident betekent een beveiligingsbreuk van de GoDaddy-beveiligingsstandaarden waardoor er per ongeluk of onwettig klantgegevens vernietigd, verloren, gewijzigd, ongeautoriseerd gepubliceerd worden of ongeautoriseerde toegang daartoe verkregen wordt in systemen die beheerd worden door GoDaddy.

Beveiligingsstandaarden wil zeggen: de beveiligingsstandaarden die aan dit addendum zijn toegevoegd als Bijlage 2.

Gevoelige informatie wil zeggen: (a) een burgerservicenummer, paspoortnummer, rijbewijsnummer of vergelijkbaar identificatiemiddel (of deel daarvan); (b) creditcard- of bankpasnummer (afgezien van het ingekorte deel (de laatste vier cijfers) van een credit- of debetkaart), financiële gegevens, bankrekeningnummers en -wachtwoorden; (c) beroep, financiën en genetische, biometrische en medische informatie; (d) etniciteit, politieke en religieuze voorkeuren, lidmaatschap van een (vak)bond, seksleven en seksuele geaardheid; (e) accountwachtwoorden, meisjesnaam van moeder en geboortedatum; (f) strafblad; en (g) alle andere informatie of combinaties van gegevens die onder de definitie van ‘bijzondere gegevenscategorieën’ van de AVG vallen of onder elke andere toepasselijke wet of verordening met betrekking tot privacy en gegevensbescherming.

Subverwerker staat voor een Gegevensverwerker betrokken namens de verwerker om gegevens te verwerken namens Gegevensbeheerder.

AVG van de VK betekend de AVG van de EU die voor de wetgeving van het VK is gewijzigd en daarin is opgenomen, onder de UK European Union (Withdrawal) Act 2018, en is toepasbaar als secundaire wetgeving onder die acte.

International Data Transfer Addendum van het VK betekent het International Data Transfer Addendum bij de Modelcontractbepalingen van de EU zoals uitgegeven door de Information Commissioner van het VK, versie B1.0, met ingang van 21 maart 2022, hierin opgenomen ter referentie. Het International Data Transfer Addendum is te downloaden op de website van de Information Commissioner van het VK

1.2 De termen ‘persoonsgegevens’, ‘betrokkene’, ‘verwerkingsverantwoordelijke’ en ‘verwerker’ die gebruikt worden in dit Addendum hebben de betekenis zoals bepaald in de AVG van de EU ongeacht welke gegevensbeschermingswetten van toepassing zijn.

2.1 GoDaddy als verwerker. De partijen erkennen en gaan akkoord met het volgende: (i) dat GoDaddy klantgegevens verwerkt in naleving van de gegevensbeschermingswetten; (ii) dat de Klant, voor zover van toepassing , een verwerkingsverantwoordelijke of verwerker is van klantgegevens onder de gegevensbeschermingswetten; en (iii) dat elke partij zal voldoen aan zijn verplichtingen volgens de toepasselijke gegevensbeschermingswetten met betrekking tot het verwerken van klantgegevens.

2.2 Details van gegevensverwerking. Het doel van de verwerking van klantgegevens door GoDaddy is de uitvoering van de Gedekte services overeenkomstig de Servicevoorwaarden. GoDaddy zal klantgegevens alleen namens en in overeenstemming met de gedocumenteerde instructies van de klant voor de volgende doeleinden verwerken: (i) verwerking in overeenstemming met de Servicevoorwaarden; (ii) verwerking geïnitieerd door eindgebruikers bij gebruik van de Gedekte services; (iii) verwerking om te voldoen aan andere gedocumenteerde, redelijke instructies die door klanten worden verstrekt (zoals via e-mail), wanneer dergelijke instructies in overeenstemming zijn met de Servicevoorwaarden. GoDaddy zal zich onthouden van: (a) het verwerken, vasthouden, gebruiken, verkopen of openbaar maken van klantgegevens behalve voor zover dat nodig is voor het in overeenkomst met de Servicevoorwaarden verzorgen van Gedekte services of uit hoofde van de wet; (b) de verkoop van klantgegevens aan eventuele derde partijen; (c) het vasthouden, gebruiken of openbaar maken van dergelijke klantgegevens buiten de directe zakelijke relatie tussen GoDaddy en de klant.

Om elke twijfel te vermijden, moeten instructies van de klant voor de verwerking van klantgegevens voldoen aan alle gegevensbeschermingwetten. De klant heeft als enige de verantwoordelijkheid voor de nauwkeurigheid, de kwaliteit en de legaliteit van klantgegevens en de manier waarop de Klant de klantgegevens heeft verzameld. Als de Klant een verwerkingsverantwoordelijke is van de klantgegevens, erkend deze en gaat de Klant akkoord met het volgende: (i) u moet commercieel redelijke moeite doen om duidelijk te communiceren over gegevensverzameling en hiervoor goedkeuring vragen, en het gebruik en delen via Gedekte services openbaar maken; en (ii) u moet duidelijk zijn over wat de gevolgen van uw gebruik van Gedekte services inhoudt en dat gegevens van eindgebruikers mogelijk buiten het land van oorsprong worden verwerkt. Als de Klant een verwerker is van de klantgegevens, verzekert deze dat de instructies en acties van de Klant met betrekking tot klantgegevens, waaronder het aanwijzen van een GoDaddy als aanvullende verwerker, goedgekeurd zijn door de toepasselijke verwerkingsverantwoordelijke. GoDaddy is niet verplicht de instructies van de Klant op te volgen of zich eraan te houden als dergelijke instructies in strijd zijn met de gegevensbeschermingswetten. De duur van de Verwerking, de aard en het doel van de Verwerking, de soorten persoonsgegevens en categorieën van betrokkenen verwerkt onder dit Addendum, zijn nader gespecificeerd in Bijlage 1 (Details van de Verwerking) bij dit Addendum.

GoDaddy zal klantgegevens niet bekendmaken aan overheden of andere derde partijen, tenzij dit nodig is om te voldoen aan de wet of een geldig en bindend bevel van een wetshandhavingsinstantie (zoals een dagvaarding of gerechtelijk bevel). In het geval dat GoDaddy een geldige civiele dagvaarding ontvangt, probeert GoDaddy voor zover toegestaan de Klant op redelijke wijze op de hoogte te brengen van de eis via e-mail of post zodat de klant een beschermingsbevel of een ander toepasselijk rechtsmiddel kan aanvragen.

4.1 GoDaddy heeft de technische en organisatorische maatregelen geïmplementeerd en zal deze onderhouden voor het GoDaddy-netwerk zoals omschreven in deze Sectie en zoals verder omschreven in Annex 2, Beveiligingsstandaarden, van dit Addendum. Met name heeft GoDaddy de volgende technische en organisatorische maatregelen geïmplementeerd en zal zorgen voor het onderhoud daarvan, namelijk betreffende (i) de veiligheid van het GoDaddy-netwerk; (ii) de fysieke veiligheid van de faciliteiten; (iii) controles voor de toegang van medewerkers en aannemers tot (i) en/of (ii); en (iv) processen voor het testen, beoordelen en evalueren van de effectiviteit van de technische en organisatorische maatregelen die door GoDaddy zijn geïmplementeerd. In het geval wij niet in staat zijn om te voldoen aan een van de hierin uiteengezette verplichtingen, zullen wij u hiervan zo snel als praktisch mogelijk is schriftelijk (via onze website of e-mail) op de hoogte stellen.

4.2 GoDaddy stelt enkele beveiligingskenmerken en -functionaliteiten beschikbaar die de Klant kan gebruiken voor de Gedekte services. De Klant is verantwoordelijk voor (a) de juiste configuratie van de Gedekte services, (b) het gebruik van de beschikbare controles in verband met de Gedekte services (inclusief de beveiligingscontroles) om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en tolerantie van verwerkingssystemen en -services te waarborgen, (c) het gebruik van de beschikbare controles in verband met de Gedekte diensten (inclusief de beveiligingscontroles) om de Klant in staat te stellen de beschikbaarheid van en toegang tot Klantgegevens tijdig te herstellen in geval van een fysiek of technisch incident (bijv. back-ups en routinematige archivering van Klantgegevens), en (d) het nemen van maatregelen die de Klant passend acht om de juiste beveiliging, bescherming en verwijdering van Klantgegevens uit te voeren, waaronder het gebruik van versleutelingstechnologie om Klantgegevens te beschermen tegen ongeoorloofde toegang en maatregelen om toegangsrechten voor Klantgegevens te beheren.

Rekening houdend met de aard van de Gedekte services, biedt GoDaddy de Klant bepaalde beheeropties, die de Klant kan kiezen om Klantgegevens op te halen, te corrigeren, te verwijderen of het gebruik ervan te beperken, als uiteengezet in de Gedekte services. De Klant kan deze beheeropties gebruiken als technische en organisatorische maatregelen ter assistentie bij zijn/haar verplichtingen onder gegevensbeschermingswetten, inclusief zijn/haar verplichting voor wat betreft het reageren op verzoeken van betrokkenen. Voor zover commercieel redelijk is, en wettelijk vereist of toegestaan, zal GoDaddy de Klant meteen op de hoogte stellen wanneer GoDaddy rechtstreeks een verzoek van een Betrokkene ontvangt om dergelijke rechten uit te oefenen volgens alle toepasselijke gegevensbeschermingswetten ("Verzoek Betrokkene"). Wanneer het gebruik van de Gedekte services door de Klant zijn mogelijkheid om een Verzoek betrokkene te adresseren beperkt, kan GoDaddy, indien wettelijk toegestaan en passend, en op verzoek van de Klant, commercieel redelijke ondersteuning worden geboden bij het behandelen van het verzoek, op kosten van de Klant (indien van toepassing).

6.1 Geautoriseerde subverwerkers. Klant gaat ermee akkoord dat GoDaddy subverwerkers kan gebruiken om haar contractuele verplichtingen te voldoen onder haar Servicevoorwaarden en dit Addendum, of om namens de Klant bepaalde services te leveren, zoals het bieden van support. De Klant gaat hierbij akkoord met de inzet van subverwerkers door GoDaddy, als omschreven in deze Sectie.

6.2 Verplichtingen Subverwerkers. Waar GoDaddy geautoriseerde subverwerkers gebruikt als omschreven in Sectie 6.1:

(i) GoDaddy zal de toegang van de subverwerker beperken aan de Klantgegevens tot wat slechts nodig is om de Gedekte services te onderhouden, of om de Gedekte services aan de klant en andere eindgebruikers te leveren in overeenstemming met de Servicevoorwaarden. GoDaddy ontzegt de subverwerker toegang tot Klantgegevens voor welk ander doel dan ook;

(ii) GoDaddy zal een schriftelijke overeenkomst aangaan met de subverwerker en, in de mate dat de subverwerker dezelfde gegevensverwerkingsservices uitvoert als die door GoDaddy onder dit Addendum worden geboden, zal GoDaddy aan de subverwerker nagenoeg dezelfde contractuele verplichtingen opleggen die GoDaddy onder dit Addendum heeft; en

(iii) GoDaddy blijft verantwoordelijk voor de naleving met de verplichtingen van dit Addendum en voor alle handelingen of nalatigheden van de subverwerker waardoor GoDaddy schending pleegt van een van de verplichtingen van GoDaddy onder dit Addendum.

6.3 Nieuwe subverwerkers.  Van tijd tot tijd kunnen we nieuwe subverwerkers inschakelen volgens en onderworpen aan de voorwaarden van dit Addendum  In een dergelijk geval zullen we u 30 dagen van tevoren op de hoogte stellen (via onze website of e-mail) voordat een nieuwe subverwerker klantgegevens ontvangt. Als de klant een nieuwe subverwerker niet goedkeurt, kan de klant Gedekte services kosteloos beëindigen door binnen 10 dagen of na ontvangst van een kennisgeving van ons een schriftelijke kennisgeving van beëindiging te verstrekken met een uitleg van de redenen voor uw niet-geleverde goedkeuring. Als de Gedekte services onderdeel uitmaken van een bundel of gebundelde aankoop, dan is een beëindiging van toepassing op het geheel.

7.1 Beveiligingsincident. Als GoDaddy zich bewust wordt van een Beveiligingsincident, zal GoDaddy zonder onnodige vertraging: (a) de klant op de hoogte stellen van het Beveiligingsincident; en (b) de redelijke stappen ondernemen om de gevolgen te verzachten en eventuele schade als gevolg van het Beveiligingsincident tot een minimum te beperken.

7.2 GoDaddy Assistentie. Om de Klant te helpen met betrekking tot eventuele kennisgevingen van inbreuk op persoonsgegevens die de Klant moet doen volgens gegevensbeschermingswetten, zal GoDaddy in de kennisgeving dergelijke informatie opnemen over het Beveiligingsincident zoals GoDaddy redelijkerwijs in staat is om aan de Klant bekend te maken, rekening houdend met de aard van de Gedekte Services, de beschikbare informatie die beschikbaar is voor GoDaddy, en eventuele beperkingen op het bekendmaken van de informatie, zoals vertrouwelijkheid.

7.3 Mislukte beveiligingsincidenten. De Klant gaat ermee akkoord dat een Mislukt beveiligingsincident niet onderhevig zal zijn aan de voorwaarden van dit Addendum. Een Mislukt beveiligingsincident is een die resulteert in geen onbevoegde toegang tot Klantgegevens of onbevoegde toegang tot het netwerk, de apparatuur of faciliteiten van GoDaddy waar Klantgegevens zijn opgeslagen, en kunnen, zonder beperking, pings en andere broadcast-aanvallen op firewalls of edge-servers, port scans, mislukte inlogpogingen, denial of service attacks, packet sniffing omvatten (of andere onbevoegde toegang tot verkeersgegevens die niet resulteren in toegang verder dan headers), of gelijksoortige incidenten.

7.4 Melding. Kennisgeving van Beveiligingsincidenten, indien van toepassing, worden naar een of meerdere verwerkingsverantwoordelijken van de klant gestuurd, op een manier die GoDaddy zal kiezen, inclusief via e-mail. Het is de verantwoordelijkheid van de klant om ervoor te zorgen dat de verwerkingsverantwoordelijke van de klant de juiste en accurate contactgegevens bijhouden op de beheerconsole van GoDaddy en beveiligde transmissie.

7.5 Geen erkenning van schuld door GoDaddy: GoDaddy’s verplichting om een Beveiligingsincident te rapporteren of erop te reageren onder deze Sectie is niet, en zal niet worden opgevat als een schulderkenning door GoDaddy of aansprakelijkheid van GoDaddy wat betreft het Beveiligingsincident.

8.1 Onafhankelijke bepaling. Klant is verantwoordelijk voor het controleren van de informatie die door GoDaddy beschikbaar is gesteld, wat betreft gegevensbeveiliging en haar Beveiligingsstandaarden, en om een onafhankelijke bepaling te maken of de Gedekte diensten voldoen aan de vereisten en wettelijke verplichtingen van de Klant, alsmede de verplichtingen van de Klant onder dit Addendum. De informatie die beschikbaar wordt gemaakt is bedoeld om de Klant te ondersteunen bij het naleven van hun verplichtingen volgens de toepasselijke gegevensbeschermingswetten. De Klant gaat ermee akkoord dat de Gedekte services en de Beveiligingsstandaarden die zijn geïmplementeerd en gehandhaafd door GoDaddy leveren een beveiligingsniveau dat past bij het risico voor persoonsgegevens (waarbij de nieuwheid, de implementatiekosten en de aard, omvang, context en doel van de verwerking van persoonsgegevens en het risico voor individuen in acht worden genomen).

8.2 Controlerechten Klant. Klant heeft het recht om zelf te bevestigen dat GoDaddy conform dit Addendum handelt, zoals van toepassing op de Gedekte services, door een uitdrukkelijk schriftelijk verzoek in te dienen, met redelijke tussenpozen, aan het adres gespecificeerd in Servicevoorwaarden. Als GoDaddy weigert om instructies op verzoek van de klant te volgen met betrekking tot een op juiste wijze aangevraagde en uitgevoerde controle of inspectie, heeft de klant het recht om dit Addendum en de Servicevoorwaarden te ontbinden.

9.1 In de Verenigde Staten gebaseerde Verwerking. Behalve waar specifiek aangegeven in de Servicevoorwaarden, worden klantgegevens buiten het Verenigd Koninkrijk en de EER overgedragen en verwerkt in de Verenigde Staten.

9.2 Toepassing van Modelcontractbepalingen. Module twee (verwerkingsverantwoordelijke naar verwerker) de Modelcontractbepalingen van de EU zijn van toepassing op de klantgegevens die buiten de EER worden overgedragen, rechtstreeks of via doorgifte, naar een land dat niet door de Europese Commissie wordt erkend voor het bieden van adequate bescherming van klantgegevens. De Modelcontractbepalingen van de EU zijn niet van toepassing op de klantgegevens die niet naar buiten de EER worden overgedragen, rechtstreeks of via doorgifte. Niettegenstaande het voorgaande zijn deze Modelcontractbepalingen van de EU niet van toepassing wanneer de gegevens worden overgedragen in overeenstemming met een erkende nalevingsnorm voor de rechtmatige overdracht van persoonsgegevens buiten de EER, zoals noodzakelijk voor de uitvoering van Gedekte Services overeenkomstig de Servicevoorwaarden of met uw toestemming.

1. Voor elke Module, zoals van toepassing:
   1. in Bepaling 7 van de Modelcontractbepalingen van de EU is de optionele docking-bepaling niet van toepassing;
   2. in Bepaling 9 van de Modelcontractbepalingen van de EU is Optie 2 van toepassing en het tijdsbestek waarin de subverwerker wijzigingen van te voren schriftelijk moet doorgeven zoals uiteengezet in Sectie 6.3 (Nieuwe subverwerkers) van dit Addendum;
   3. in Bepaling 11 van de Modelcontractbepalingen van de EU is de optionele taal niet van toepassing;
   4. in Bepaling 17 (Optie 1) vallen de Modelcontractbepalingen van de EU onder de Duitse wetgeving;
   5. in Bepaling 18(b) van de Modelcontractbepalingen van de EU worden enige geschillen besloten door de rechtbanken van de Federale Republiek Duitsland;
   6. in Annex I, Deel A van de Modelcontractbepalingen van de EU:
      • Lijst van partijen
        
        Gegevensexporteur(s): De gegevensexporteur is de entiteit die als Klant in het Addendum wordt geïdentificeerd
        Handtekening en datum: De gegevensexporteur wordt geacht deze Modelcontractbepalingen te hebben ondertekend vanaf de datum waarop de gegevensexporteur de Modelcontractbepalingen van de EU elektronisch heeft geaccepteerd.
        Rol: Verwerkingsverantwoordelijke (onder Module twee) of verwerker (onder Module drie)
        
        Gegevensimporteur(s): GoDaddy.com, LLC
        Contactgegevens: Fuctionaris voor gegevensbescherming – privacy@godaddy.com
        Handtekening en datum: De gegevensexporteur wordt geacht deze Modelcontractbepalingen te hebben ondertekend vanaf de datum waarop de gegevensexporteur de Modelcontractbepalingen van de EU elektronisch heeft geaccepteerd.
        Rol: Verwerker
   7. in Annex I, Deel B van de Modelcontractbepalingen van de EU:
      • Beschrijving van overdracht
        
        Categorieën van betrokkenen wiens persoonsgegevens worden overgedragen zijn beschreven in Appendix 2 van het Addendum.
        Categorieën van persoonsgegevens die worden overgedragen, zijn beschreven in Appendix 1 van het Addendum. Gevoelige gegevens die overgedragen worden, zijn beschreven in Appendix 1 van dit Addendum
        De frequentie van overdracht is op continue basis voor zal de Servicevoorwaarden van kracht zijn.
        De aard van de verwerking is beschreven in Sectie 2.2 en Appendix 1 van het Addendum.
        Het doel van de gegevensoverdracht en verdere verwerking is beschreven in Sectie 2.2 en Appendix 1 van dit Addendum.
        De periode waarin persoonsgegevens worden opgeslagen staat beschreven in Appendix 1 van dit Addendum.
        Voor overdrachten naar (sub)verwerkers wordt het onderwerp, de aard en de duur van de verwerking uiteengezet in Annex II van de Modelcontractbepalingen.
   8. in Annex I, Deel C van de Modelcontractbepalingen van de EU:
      • De bevoegde toezichthoudende autoriteit
        De commissaris voor gegevensbescherming en informatievrijheid van de Duitse staat Noordrijn-Westfalen ('LDI NRW') is de bevoegde toezichthoudende autoriteit.
   9. in Annex II van de Modelcontractbepalingen van de EU:
      
      De technische en organisatorische beveiligingsmaatregelen die zijn ingevoerd door de gegevensimporteur zijn zoals beschreven in Appendix 2 van het Addendum.
   10. in Annex III van de Modelcontractbepalingen van de EU:
       
       De lijst met subverwerkers staan in Appendix 3 van dit Addendum.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. Voor gegevensverwerking uit het Verenigd Koninkrijk die vallen onder het International Data Transfer Addendum van het VK, wordt het International Data Transfer Addendum van het VK geacht als volgt te zijn ingevoerd in (en opgenomen in dit Addendum via deze referentie) en voltooid:
   1. In tabel 1 van het International Data Transfer Addendum van het VK, de gegevens van de partijen en belangrijke contactgegevens staan in Sectie 9.2 (i)(f) van dit Addendum.
   2. In tabel 2 van het International Data Transfer Addendum van het VK staat de informatie over de versie van de Modelcontractbepalingen van de EU, de modules en geselecteerde bepalingen waaraan dit International Data Transfer Addendum van het VK is bijgevoegd staan in Sectie 9.2 (Modelcontractbepalingen van de EU) in dit Addendum.
   3. In tabel 3 van het International Data Transfer Addendum van het VK:
      1. De lijst met Partijen staat in Sectie 9.2 (i)(f) van dit Addendum.
      2. De beschrijving van de overdracht is uiteengezet in Sectie 1 (Aard en doel van de verwerking) van Appendix 1 (Details van de verwerking) van dit Addendum.
      3. Annex II staat in Appendix 2 (Beveiligingsstandaarden) van dit Addendum.
      4. De lijst met subverwerkers staat in Appendix 3 van dit Addendum.
   4. In tabel 4 van het International Data Transfer Addendum van het VK staat dat de importeur en de exporteur het International Data Transfer Addendum van het VK mogen beëindigen volgens de voorwaarden van het International Data Transfer Addendum van het VK.

Dit Addendum blijft van kracht tot de beëindiging van onze verwerking in overeenstemming met de Servicevoorwaarden (de "Beëindigingsdatum").   

Zoals beschreven in de Gedekte services, kan de klant worden voorzien van bedieningselementen die kunnen worden gebruikt om klantgegevens op te halen of te verwijderen. Klantgegevens worden dertig (30) dagen na de Datum van beëindiging verwijderd, onderhevig aan de voorwaarden van de specifieke Gedekte service. De Klant erkent dat het hun eigen verantwoordelijk is om alle klantgegevens voor de einddatum te exporteren die u na de einddatum wilt behouden.

De aansprakelijkheid van elke partij onder dit Addendum is onderhevig aan de uitzonderingen en beperkingen van aansprakelijkheid die in de Servicevoorwaarden uiteen zijn gezet. Klant stemt ermee in dat eventuele boetes die zijn opgelegd door GoDaddy met betrekking tot de Klantgegevens die ontstaan zijn als gevolg van of in verband met het niet naleven door Klant van zijn verplichtingen onder dit Addendum en toepasselijke gegevensbeschermingswetten, tellen voor en verminderen de aansprakelijkheid van GoDaddy onder de Servicevoorwaarden alsof het volgens de Servicevoorwaarden aansprakelijkheid tegenover de Klant was.

Dit Addendum overstijgt en vervangt alle eerdere of gelijktijdige vertegenwoordigingen, afspraken, overeenkomsten en communicatie tussen de Klant en GoDaddy, schriftelijk en mondeling, met betrekking tot het onderwerp van dit Addendum, inclusief alle gegevensverwerkingsaddenda die zijn afgesloten tussen GoDaddy en de Klant met betrekking tot de verwerking van persoonsgegevens en over het vrije verkeer van dergelijke gegevens.  Voor zover er sprake is van enig conflict of tegenstrijdigheden tussen de Modelcontractbepalingen van de EU en het International Data Transfer Addendum van het VK en enige andere voorwaarden in dit Addendum of in de Servicevoorwaarden, zullen de bepalingen in de Modelcontractbepalingen van de EU of het International Data Transfer Addendum gelden, indien van toepassing. Behalve zoals gewijzigd door dit Addendum, blijven de Servicevoorwaarden onverminderd van kracht.  Als er strijdigheid is tussen de Servicevoorwaarden en dit Addendum, zullen de voorwaarden van dit Addendum van kracht zijn.

 DETAILS VAN DE VERWERKING

 1. Aard en doel van verwerking. GoDaddy zal persoonsgegevens verwerken zoals noodzakelijk om de Gedekte services uit te voeren overeenkomstig de Servicevoorwaarden en zoals verder geïnstrueerd door de klant tijdens het gebruik van de Gedekte diensten.

 2. Duur van verwerking. Behoudens Sectie 10 en 11 van dit Addendum, zal GoDaddy klantgegevens verwerken vanaf de ingangsdatum van de Servicevoorwaarden. Niettegenstaande het voorgaande heeft GoDaddy het recht om klantgegevens, of een deel daarvan, te bewaren wanneer dit volgens toepasselijke wetten of verordeningen verplicht is, waaronder de toepasselijke Wetgeving omtrent gegevensbescherming, op voorwaarde dat dergelijke klantgegevens beschermd blijven volgens de voorwaarden in dit Addendum en de toepasselijke Wetgeving omtrent gegevensbescherming.

3. Gegevenscategorieën. De Klant mag persoonlijke gegevens uploaden tijdens zijn gebruik van de Gedekte services, naar het oordeel van de Klant en onder controle van de Klant, en die de volgende categorieën van Persoonlijke gegevens kunnen omvatten, maar niet zijn beperkt tot persoonlijke gegevens van Betrokkenen:

• Prospects, klanten, zakelijke partners en leveranciers van de Klant (die natuurlijke personen zijn)
• Werknemers of contactpersonen van de prospects, klanten, zakelijke partners en leveranciers van de Klant
• Werknemers, agenten, adviseurs, freelancers van de Klant (die natuurlijke personen zijn)
• Gebruikers van de Klant, geautoriseerd om de Gedekte services te gebruiken

4. Categorieën van persoonsgegevens. De klant mag persoonsgegevens uploaden tijdens de gebruiksduur van de Gedekte services. Het soort en de hoedanigheid daarvan wordt bepaald en beheerd naar eigen inzicht van de klant, en mag de volgende categorieën van persoonsgegevens van betrokkenen bevatten, maar is daartoe niet gelimiteerd: 

• Naam
• Adres
• Telefoonnummer
• Geboortedatum
• E-mailadres
• Andere verzamelde gegevens die de betrokkene direct of indirect kunnen identificeren.

5. Gevoelige informatie en bijzondere gegevenscategorieën. De klant mag gevoelige informatie uploaden tijdens de gebruiksduur van de Gedekte services. Het soort en de hoedanigheid daarvan wordt bepaald en beheerd naar eigen inzicht van de klant. De klant is verantwoordelijk voor het toepassen van beperkingen en voorzorgsmaatregelen die de gevoelige aard van de gegevens en het risico dat bij verzending en verwerking van gevoelige informatie via de Gedekte service komt kijken volledig in acht nemen.

Beveiligingsstandaarden

I.  Technische en organisatorische maatregelen  

We doen er alles aan om de informatie van onze klanten te beschermen.  Rekening houdend met de beste praktijken, de kosten van implementatie en de aard, omvang, omstandigheden en doeleinden van verwerking evenals de verschillende waarschijnlijkheden van voorkomen en de ernst van het risico voor de rechten en vrijheden van natuurlijke personen, nemen we de volgende technische en organisatorische maatregelen.  Bij het selecteren van de maatregelen worden de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen overwogen.

II.  Gegevensprivacyprogramma  

Ons Gegevensprivacyprogramma is opgesteld om een wereldwijde data-governance-structuur te handhaven en informatie te beveiligen gedurende de gehele levenscyclus. Dit programma wordt gestuurd door de afdeling van de gegevensbeschermingsofficier, die toezicht houdt op de implementatie van privacypraktijken en beveiligingsmaatregelen. Wij testen regelmatig en beoordelen en evalueren de effectiviteit van het Gegevensprivacyprogramma en Beveiligingsstandaarden.

1. Geheimhouding. "Vertrouwelijkheid betekent dat persoonlijke gegevens zijn beschermd tegen onbevoegde openbaarmaking."  

Wij gebruiken een reeks fysieke en logische maatregelen om de vertrouwelijkheid van de persoonlijke gegevens van klanten te beschermen. Dergelijke maatregelen omvatten:   

  Fysieke beveiliging  

• Fysieke controlesystemen voor toegang op zijn plaats (toegangscontrole via een badge, Beveiliging evenement monitoring, etc.) 
• Bewakingssystemen inclusief alarmen en, waar van toepassing, CCTV-bewaking
• Schoon-bureaubeleid en controles geïmplementeerd (afsluiten van onbeheerde computers, afgegrendelde kasten, ect.)  
• Beheer bezoekerstoegang
• Vernietiging van gegevens op fysieke media en documenten (versnipperen, demagnesiteren, etc.)

  Toegangscontrole en preventie van onbevoegde toegang 

• Toegangsbeperkingen gebruikers toegepast en rolgebaseerde toegangstoestemmingen verstrekt/beoordeeld, gebaseerd op scheiding van functiescheiding principe
• Sterke authenticatie- en autorisatiemethoden (Multi-factor-authenticatie, certificatie-gebaseerde autorisatie, automatische deactivering/log-off, etc.) 
• Gecentraliseerd wachtwoordbeheer en sterk/complex wachtwoordbeleid (minimum lengte, complexiteit van tekens, vervallen van wachtwoorden, etc.)   
• Beheerde toegang tot e-mailberichten en het internet
• Anti-virus management
• Management van systemen voor het voorkomen van binnendringing

Codering   

• Codering van externe en interne communicatie via stevige cryptografische protocollen 
• Gecodeerde persoonsgegevens en gevoelige data in rust (databases, gedeelde directory’s, etc.)   
• Volledige schijfversleuteling voor bedrijfscomputers en laptops   
• Codering van opslagmedia  
• Externe verbindingen met de bedrijfsnetwerken worden gecodeerd via VPN  
• De levensduur van de coderingssleutels verzekeren

 Dataminimalisatie    

• PII/SPI minimalisatie bij toepassing, debugging en beveiligingslogs
• Pseudonimisering van persoonlijke gegevens om directe identificatie van een persoon te voorkomen
• Scheiding van opgeslagen gegevens op functie (test, staging, live)
• Logische scheiding van gegevens op rolgebaseerde toegangsrechten
• Vastgestelde gegevensbehoudperiodes voor persoonlijke gegevens 

Beveiligingstesten     

• Penetratietests voor kritieke bedrijfsnetwerken en platforms die persoonlijke gegevens hosten
• Regelmatige netwerk- en kwetsbaarheidscans

2. Integriteit. "Integriteit verwijst naar het verzekeren van de juistheid (ongeschondenheid) van gegevens en de juist-functionerende systemen. Wanneer de term 'integriteit' wordt gebruikt in verband met de term 'data/gegevens', betekent dit dat de gegevens volledig en ongewijzigd zijn."  

Er zijn geschikte besturingselementen voor wijzigen en logboekbeheer aanwezig, naast toegangscontroles om de integriteit van persoonlijke gegevens te behouden, zoals:    

Wijziging- en vrijgavemanagement    

• Beheerproces wijzigen en vrijgeven, inclusief (impactanalyse, goedkeuringen, testen, beveiligingsbeoordelingen, staging, monitoring, etc.)  
• Rol- en functie-gebaseerd (Scheiding van functies) toegang voor productieomgevingen

Logboekregistratie en monitoring

• Logboekregistratie van toegang en wijzigingen aan gegevens
• Gecentraliseerde audit- en beveiligingslogs
• Het monitoren van de volledigheid en juistheid van de gegevensoverdracht (end-to-end controle)

3. Beschikbaarheid. "De beschikbaarheid van diensten en IT-systemen, IT-applicaties en IT-netwerkfuncties of indien informatie is gegarandeerd, als de gebruikers in staat zijn deze altijd te gebruiken, zoals bedoeld."    

Wij implementeren passende continuïteits- en beveiligingsmaatregelen om de beschikbaarheid van de services en de gegevens binnen deze services te behouden:    

• Regelmatige fail-over tests toegepast voor kritieke diensten
• Uitgebreide prestatie/beschikbaarheidsmonitoring en verslaglegging voor kritieke systemen
• Respons voor beveiligingsprogramma
• Kritieke gegevens gerepliceerd of een back-up van gemaakt (Cloud back-ups/Harde schijven/Database replicatie, etc.) 
• Geplande software-, infrastructuur- en beveiligingsonderhoud (Software-updates, beveiligingspatches, etc.)   
• Redundante en veerkrachtige systemen (serverclusters, gespiegelde DB's, high availability-instellingen, enz.) op externe en/of geografisch gescheiden locaties gevestigd
• Gebruik van niet-onderbreekbare voedingen, fail-redundante hardware en netwerksystemen
• Alarm, beveiligingssystemen ingesteld
• Fysieke beschermingsmaatregelen ingesteld voor kritieke sites (overspanningsbeveiliging, verhoogde vloeren, koelsystemen, brand- en/of rookmelders, brandonderdrukkingssystemen, etc.) 
• DDOD-bescherming voor behoud van beschikbaarheid
• Load- en stresstesten

4. Instructies dataverwerking. "Instructies voor dataverwerking zorgen ervoor dat persoonsgegevens alleen worden verwerkt in overeenstemming met de instructies van de Gegevensbeheerder en de verwante bedrijfsmaatregelen"  

We hebben een intern privacybeleid en overeenkomsten opgesteld en houden regelmatig privacytrainingen voor werknemers om ervoor te zorgen dat persoonsgegevens in overeenstemming met de voorkeuren en instructies van klanten worden verwerkt.   

• Privacy- en geheimhoudingsverklaringen die van kracht zijn in werknemerscontracten 
• Geregeld training voor gegevensprivacy en -beveiliging voor werknemers 
• De juiste contractuele voorzieningen in de overeenkomsten met onderaannemers voor het behouden van de instructierechten 
• Regelmatige privacycontroles voor externe serviceproviders 
• Klanten volledige controle geven over hun voorkeuren wat betreft gegevensverwerking 
• Regelmatige beveiligingscontroles