11. Verwerking van persoonsgegevens
11.1. In dit samenwerkingsmodel worden Persoonsgegevens Verwerkt waar, naargelang de situatie de Klant of LawCloud de Verwerkingsverantwoordelijke is en aan de andere Partij de toelating geeft om Persoonsgegevens te Verwerken.
De Klant is de Verwerkingsverantwoordelijke voor de Data die de Klant aan LawCloud als Verwerker toevertrouwt. Mogelijke onderaannemers van LawCloud onder deze Overeenkomst kunnen worden beschouwd als Subverwerker van LawCloud.
De hierna beschreven rechten en plichten zijn specifiek van toepassing voor de situatie waarin de Klant optreedt als Verwerkingsverantwoordelijke.
11.2. De Klant, in haar hoedanigheid van Verwerkingsverantwoordelijke, stelt hierbij LawCloud aan als Verwerker om de Persoonsgegevens noodzakelijk voor de werking van het Platform (de "Data") te Verwerken gedurende de Termijn in overeenstemming met de bepalingen van dit artikel 11. Hierbij wordt uitdrukkelijk overeengekomen dat elke Partij de verplichtingen die op haar van toepassing zijn ingevolge de Toepasselijke Wetgeving inzake de Verwerking van Persoonsgegevens zal naleven.
11.3. LawCloud zal de Data enkel Verwerken als Verwerker voor zover noodzakelijk voor het uitvoeren van diens verplichtingen onder deze Overeenkomst, en uitsluitend in overeenstemming met de schriftelijke instructies van de Klant (de "Toegelaten Doeleinden"), tenzij anderszins vereist door een Unierechtelijke of lidstaatrechtelijke wetsbepaling die van toepassing is op LawCloud. In dat geval zal LawCloud de Klant voorafgaand aan de Verwerking in kennis stellen van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. In geen geval zal LawCloud de Data Verwerken voor diens eigen doeleinden of voor die van gelijk welke derde partij. LawCloud zal de Klant zo snel mogelijk in kennis stellen indien naar zijn mening een instructie van de Klant een inbreuk oplevert op de Toepasselijke Wetgeving inzake de Verwerking van Persoonsgegevens of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
11.4. LawCloud zal de Data niet doorzenden buiten de Europese Economische Ruimte ("EER"), tenzij LawCloud (i) eerst de voorafgaande schriftelijke toestemming heeft gekregen van de Klant; en (ii) alle maatregelen neemt die noodzakelijk zijn om te verzekeren dat de doorgifte in overeenstemming is met de Toepasselijke Wetgeving inzake de Verwerking van Persoonsgegevens. Zulke maatregelen kunnen bestaan uit (zonder beperking): de doorgifte van Data naar een ontvanger in een land waarvan de Europese Commissie heeft beslist dat het passende bescherming biedt voor Persoonsgegevens, naar een ontvanger die geautoriseerde bindende bedrijfsvoorschriften heeft bekomen in overeenstemming met de Toepasselijke Wetgeving inzake de Verwerking van Persoonsgegevens, of naar een ontvanger die standaardbepalingen heeft ondertekend die werden vastgesteld of goedgekeurd door de Europese Commissie.
11.5. LawCloud zal ervoor zorgen dat iedere persoon die zij toelaat om de Data te Verwerken (met inbegrip van het personeel, de agenten, de partners en de onderaannemers van LawCloud) (een “Gemachtigde Persoon”), onderworpen zal zijn aan een strikte geheimhoudingsverplichting (ofwel een contractuele verplichting ofwel een wettelijke verplichting), en zal personen die niet onderworpen zijn aan een dergelijke geheimhoudingsverplichting niet toelaten om de Data te Verwerken. LawCloud zal ervoor zorgen dat alle Gemachtigde Personen de Data enkel Verwerken voor zover noodzakelijk voor de Toegelaten Doeleinden en in overeenstemming met de bepalingen van dit artikel 11.
11.6. LawCloud garandeert dat zij passende technische en organisatorische maatregelen zal nemen om de Data te vrijwaren en te beschermen tegen vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Data, hetzij per ongeluk, hetzij onrechtmatig (een “Beveiligingsincident”). Zulke maatregelen zullen rekening houden met de stand van de techniek, de uitvoeringskosten alsook de aard, omvang, context en verwerkingsdoeleinden, en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van Betrokkenen. Bovendien zullen deze maatregelen een op het risico afgestemd beveiligingsniveau waarborgen.
11.7. Met ondertekening van deze Overeenkomst geeft de Klant toestemming aan LawCloud om met Subverwerkers te contracteren voor het verder Verwerken van Persoonsgegevens in het kader van deze Overeenkomst.
LawCloud zal met iedere Subverwerker een aparte overeenkomst sluiten, die in wezen dezelfde verplichtingen inzake gegevensbescherming oplegt als die welke op grond van deze bepalingen aan de verwerker worden opgelegd. LawCloud zal alleen Subverwerkers aanstellen die voldoende garanties bieden m.b.t. de naleving van de Toepasselijke Wetgeving inzake de Verwerking van Persoonsgegevens.
De Klant geeft hierbij LawCloud reeds uitdrukkelijk de toelating om haar huidige hosting leveranciers, zoals opgenomen in de Externe Security Policy LawCloud (raadpleegbaar op https://law.cloud/nl/externe-security-policy), als Subverwerkers aan te stellen voor het Verwerken van Data in het kader van dienstverlening voor het operationeel houden van het Platform. LawCloud zal de Klant tijdig inlichten over beoogde veranderingen inzake de toevoeging of vervanging van andere Subverwerkers. De Klant kan gemotiveerd bezwaar maken tegen dergelijke beoogde veranderingen door LawCloud hiervan schriftelijk in kennis te stellen binnen een termijn van 5 (vijf) kalenderdagen na de kennisgeving door LawCloud. In elk geval verbindt de Klant zich ertoe om zich niet op een onredelijke wijze te verzetten tegen een dergelijke aanstelling. Indien Partijen het bezwaar niet kunnen uitklaren, zal de Klant het recht hebben om deze Overeenkomst zonder schadevergoeding op te zeggen. In elk geval zal LawCloud volledig aansprakelijk blijven voor elke overtreding van dit artikel 11 die veroorzaakt wordt door een handeling, fout of nalatigheid van haar Subverwerkers.
11.8. LawCloud zal de Klant, rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie, alle informatie meedelen die nodig is om de Klant bijstand te verlenen bij het doen nakomen van de verplichtingen inzake de beveiliging van de Data.
11.9. LawCloud zal alle redelijke en tijdige bijstand verlenen (inclusief via passende technische en organisatorische maatregelen) aan de Klant, op kosten van de Klant, om de Klant toe te laten om te antwoorden op (i) gelijk welk verzoek van een Betrokkene om gelijk welke van diens rechten onder de Toepasselijke Wetgeving inzake de Verwerking van Persoonsgegevens uit te oefenen (inclusief diens recht van inzage, recht op rectificatie, recht van bezwaar, recht op beperking van de verwerking, recht op het wissen van gegevens en recht op overdraagbaarheid van gegevens, zoals toepasselijk); en (ii) gelijk welke andere correspondentie, vraag of klacht ontvangen van een Betrokkene, toezichthoudende autoriteit of gelijk welke andere derde partij in verband met de Verwerking van de Data. In het geval dat een dergelijk(e) verzoek, vraag of klacht rechtstreeks wordt overgemaakt aan LawCloud, zal LawCloud de Klant hiervan onverwijld in kennis stellen en alle details hieromtrent meedelen.
11.10. Indien LawCloud van mening is of ontdekt dat haar Verwerking van de Data waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal LawCloud de Klant hiervan onverwijld in kennis stellen en de Klant alle redelijke en tijdige bijstand verlenen zoals vereist door de Klant om een gegevensbeschermingseffectbeoordeling uit te voeren en, indien noodzakelijk, diens relevante toezichthoudende autoriteit te raadplegen.
11.11. Zodra LawCloud kennis krijgt van een Beveiligingsincident, zal LawCloud de Klant hiervan onverwijld op de hoogte brengen en zal LawCloud alle tijdige informatie en samenwerking verlenen zoals vereist door de Klant om de Klant in staat te stellen om diens verplichtingen inzake de melding en mededeling van een inbreuk in verband met Persoonsgegevens onder (en in overeenstemming met de termijnen opgelegd door) de Toepasselijke Wetgeving inzake de Verwerking van Persoonsgegevens na te leven. LawCloud zal verder alle maatregelen en acties ondernemen die noodzakelijk zijn om de gevolgen van het Beveiligingsincident te herstellen of te beperken en zal de Klant op de hoogte houden van alle ontwikkelingen van het Beveiligingsincident.
11.12. Bij de beëindiging of na afloop van deze Overeenkomst, zal LawCloud de Data (inclusief alle kopieën van de Data), die in haar bezit of onder haar controle zijn (inclusief enige Data uitbesteed aan een derde partij voor Verwerking), naargelang de keuze van de Klant, wissen of terugbezorgen aan de Klant (de “Teruggave”). Deze verplichting zal niet van toepassing zijn voor zover LawCloud ingevolge Unierechtelijke of lidstaatrechtelijke wetgeving ertoe gehouden is om sommige of alle Data te bewaren, in welk geval LawCloud de Data zal isoleren en beschermen tegen gelijk welke verdere Verwerking tenzij voor zover vereist door dergelijke wetgeving. LawCloud rekent een forfaitaire kost aan van 250,00 EUR voor dergelijke Teruggave. De Klant erkent evenwel dat LawCloud geen Data kan distilleren uit gearchiveerde back-ups en staat toe dat LawCloud deze data bewaart voor zo lang als technisch of wettelijk nodig, waarna LawCloud de Data onverwijld zal verwijderen.
11.13. LawCloud zal de Klant (of de door de Klant aangestelde auditors) toestaan om de naleving door LawCloud van dit artikel 11 te controleren, en zal alle informatie, systemen en personeel beschikbaar maken aan de Klant die noodzakelijk zijn voor de Klant (of zijn auditors) (i) voor deze controle en (ii) om een audit uit te voeren. LawCloud erkent dat de Klant (of diens auditors) de gebouwen van LawCloud mag (mogen) betreden om deze audit uit te voeren, op voorwaarde dat de Klant een redelijke voorafgaande kennisgeving verschaft van diens intentie om een audit uit te voeren, deze audit uitvoert tijdens de normale werkuren, en alle redelijke maatregelen neemt om onnodige verstoring van de activiteiten van LawCloud te voorkomen. De Klant zal zijn audit rechten niet meer dan eenmaal over een periode van twaalf (12) kalendermaanden uitoefenen, tenzij (i) als en wanneer dit vereist is door een instructie van een toezichthoudende autoriteit, of (ii) indien de Klant van oordeel is dat verder onderzoek noodzakelijk is ingevolge een Beveiligingsincident bij LawCloud.
11.14. Voor zover de Klant aan één of meerdere derde partijen toegang verleent (al dan niet via API’s) tot de Persoonsgegevens van haar klanten en prospecten die hij aan LawCloud als Verwerker toevertrouwt, is LawCloud op generlei wijze aansprakelijk voor de Verwerkingen van de Persoonsgegevens door deze derde partijen. De Klant vrijwaart LawCloud tegen- en vergoedt LawCloud voor alle vorderingen, aanspraken, verliezen, schade en kosten die LawCloud lijdt en die rechtstreeks of onrechtstreeks het gevolg zijn van- of anderszins verband houden met een inbreuk op de Toepasselijke Wetgeving inzake de Verwerking van Persoonsgegevens door deze derde partijen.