Gegevensverwerkingsovereenkomst

Per 26 november 2025

Overeenkomstig de vereisten van Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (de 'AVG'), en de gegevensverwerkingswetten die van toepassing zijn in het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland, gaan ESET (de 'Verwerker') en de Klant (de 'Verwerkingsverantwoordelijke') een gegevensverwerkingsovereenkomst aan om de voorwaarden en bepalingen voor de verwerking van persoonsgegevens, de wijze van bescherming ervan en andere rechten en plichten van beide partijen in verband met de verwerking van persoonsgegevens van betrokkenen namens de Verwerkingsverantwoordelijke vast te leggen tijdens de uitvoering van het voorwerp van deze Voorwaarden als hoofdovereenkomst.

1. Persoonsgegevens. Om de Services overeenkomstig deze Voorwaarden te verlenen, kan het noodzakelijk zijn dat de Verwerker namens de Verwerkingsverantwoordelijke informatie verwerkt over een geïdentificeerde of identificeerbare natuurlijke persoon (de 'Persoonsgegevens').
2. Autorisatie. De Verwerkingsverantwoordelijke machtigt de Verwerker om Persoonsgegevens te verwerken, met inbegrip van de volgende instructies:
   1. het 'doel van verwerking' betekent levering van bestelde Services zoals gedefinieerd in de Bijlagen in overeenstemming met de Voorwaarden.
   2. de 'verwerkingsperiode' betekent de periode waarin de Services worden geleverd.
   3. de 'reikwijdte en categorieën van Persoonsgegevens' omvatten alle Persoonsgegevens die door de Verwerkingsverantwoordelijke worden verstrekt of beschikbaar gesteld tijdens de levering van Services, voornamelijk Persoonsgegevens die worden verstrekt in aanvragen voor Services of tijdens de behandeling van aanvragen voor Services, of Persoonsgegevens die toegankelijk of beschikbaar kunnen zijn voor de Verwerker indien door de Verwerkingsverantwoordelijke tijdelijke of permanente toegang is verleend tot de eigen Producten of apparaten tijdens de levering van Services.
   4. de 'Betrokkene' verwijst naar alle natuurlijke personen die geautoriseerde gebruikers zijn van de apparaten van de Verwerkingsverantwoordelijke en/of medewerkers of contractanten van de Verwerkingsverantwoordelijke, en, indien van toepassing, van de gelieerde ondernemingen en alle personen van wie gegevens door de Verwerkingsverantwoordelijke aan de Verwerker kunnen worden verstrekt of ter beschikking gesteld in de loop van de uitvoering van Services.
   5. de 'verwerkingshandelingen': alle handelingen die voor de verwerking noodzakelijk zijn.
   6. de 'gedocumenteerde instructies': instructies beschreven in deze Voorwaarden, de Bijlagen, de documentatie van de Service of in aanvragen voor levering van de Service.
3. Verplichtingen van Verwerker. De Verwerker is verplicht het volgende te doen:
   1. Persoonsgegevens verwerken met als doel de levering van de Services in overeenstemming met deze Voorwaarden en alleen op grond van gedocumenteerde instructies, ook met betrekking tot de doorgifte van Persoonsgegevens aan een derde land, tenzij de EU-wetgeving of wetgeving van een lidstaat zulks vereist; in dergelijke gevallen zal de Verwerker de Verwerkingsverantwoordelijke op de hoogte brengen van dat wettelijke vereiste alvorens tot verwerking over te gaan, tenzij die wetgeving zulks verbiedt op grond van zwaarwegende redenen van algemeen belang.
   2. instructies geven aan de personen die gemachtigd zijn om de Persoonsgegevens te verwerken (hierna de 'Geautoriseerde Personen' genoemd), in verband met hun rechten en plichten volgens de AVG en over hun aansprakelijkheid in geval van schending van de plichten, en waarborgen dat Geautoriseerde Personen die bevoegd zijn om de Persoonsgegevens te verwerken, zich hebben verplicht tot vertrouwelijkheid en naleving van de Gedocumenteerde instructies.
   3. alle maatregelen nemen in verband met de beveiliging van de verwerking zoals vereist op grond van artikel 32 van de AVG, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en de doeleinden van de verwerking, zowel als het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, om bij de verwerking van de Persoonsgegevens van de Verwerkingsverantwoordelijke een beveiligingsniveau te waarborgen dat in verhouding staat tot het risico.
   4. rekening houdend met de aard van de verwerking, de Verwerkingsverantwoordelijke bijstaan met passende technische en organisatorische maatregelen, voor zover dat mogelijk is, om te voldoen aan de verplichting van de Verwerkingsverantwoordelijke om te reageren op aanvragen tot uitoefening van de rechten van de Betrokkene die zijn vastgelegd in hoofdstuk III van de AVG.
   5. op aanvraag redelijke bijstand verlenen aan de Verwerkingsverantwoordelijke bij het nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG, rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt. De Verwerker zal Verwerkingsverantwoordelijke onmiddellijk na ontdekking op de hoogte stellen van een inbreuk op de verwerking van persoonsgegevens of de beveiliging van persoonsgegevens. De Verwerker zal in redelijke mate meewerken aan een onderzoek naar en verhelpen van een dergelijke inbreuk, en redelijke maatregelen nemen om verdere negatieve gevolgen te beperken.
   6. Alle Persoonsgegevens die namens de Verwerkingsverantwoordelijke zijn verwerkt, binnen 30 (dertig) werkdagen na het einde van de levering van de Services in verband met de verwerking wissen of retourneren (naar keuze van de Verwerkingsverantwoordelijke) en bestaande kopieën wissen, tenzij de EU-wetgeving of de wetgeving van een EU-lidstaat opslag van die Persoonsgegevens vereist. De Verwerkingsverantwoordelijke verbindt zich ertoe de Verwerker binnen tien (10) dagen na het einde van de Verwerkingsperiode op de hoogte te stellen van de keuze. Deze bepaling doet geen afbreuk aan het recht van de Verwerker om de Persoonsgegevens te bewaren in de mate die nodig is voor archiveringsdoeleinden in het kader van de bijzondere wetgeving of voor het instellen, uitoefenen of verdedigen van rechtsvorderingen.
   7. Een register bijhouden van alle categorieën verwerkingsactiviteiten die zijn uitgevoerd namens de Verwerkingsverantwoordelijke.
   8. Aan de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om de naleving aan te tonen als onderdeel van deze Voorwaarden, de Bijlagen ervan, en de documentatie van de Services, en indien strikt noodzakelijk, audits toestaan die worden uitgevoerd door de Verwerkingsverantwoordelijke of een andere auditor die is gemandateerd door de Verwerkingsverantwoordelijke met betrekking tot de verwerking die binnen het toepassingsgebied van deze Overeenkomst plaatsvindt. In geval van audit of controle van de verwerking van Persoonsgegevens door Verwerkingsverantwoordelijke is de Verwerkingsverantwoordelijke verplicht de Verwerker hiervan minimaal tien (10) dagen vóór de geplande audit of controle schriftelijk op de hoogte te stellen.
4. Een andere Verwerker inschakelen. De Verwerker is in het algemeen gerechtigd een andere verwerker (de 'Subverwerker') in te schakelen om specifieke verwerkingsactiviteiten uit te voeren in overeenstemming met deze Voorwaarden, voornamelijk deze overeenkomst en de documentatie over de Services. De Verwerker zorgt ervoor dat een dergelijke Subverwerker gebonden is aan dezelfde verplichtingen als uiteengezet in deze Overeenkomst. Ook in dit geval blijft de Verwerker volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de verwerking van eventuele Persoonsgegevens door de Subverwerker. Ten behoeve van de uitvoering van Services schakelt Verwerker de Distributeur in als Subverwerker. De Verwerker is verplicht de Verwerkingsverantwoordelijke te informeren over voorgenomen wijzigingen betreffende de toevoeging of vervanging van andere Subverwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden bezwaar te maken tegen dergelijke wijzigingen. Bezwaren tegen een nieuwe Subverwerker moeten worden ontvangen binnen zeven (7) werkdagen na kennisgeving, anders wordt de nieuwe Subverwerker geacht te zijn aanvaard door de Verwerkingsverantwoordelijke. Als de Verwerkingsverantwoordelijke redelijkerwijs bezwaar heeft tegen een nieuwe Subverwerker, en het bezwaar niet binnen een redelijke termijn op bevredigende wijze kan worden opgelost, kan de Verwerkingsverantwoordelijke deze Overeenkomst zonder boete beëindigen 30 (dertig) dagen na schriftelijke kennisgeving aan de Verwerker. Indien het bezwaar van de Verwerkingsverantwoordelijke 30 (dertig) dagen na de indiening ervan nog niet is opgelost en er geen kennisgeving van beëindiging is ontvangen, wordt Verwerkingsverantwoordelijke geacht de nieuwe Subverwerker te aanvaarden.
5. Gebied van Verwerking. De Verwerker zet zich er zo veel mogelijk voor in dat de verwerking plaatsvindt in de Europese Economische Ruimte of in een land dat bij besluit van de Europese Commissie op basis van het besluit van de Verwerkingsverantwoordelijke als veilig is aangemerkt. Modelcontractbepalingen (hier beschikbaar: Modelcontractbepalingen | ESET Services | ESET Online-Help) zijn van toepassing wanneer Persoonsgegevens worden doorgegeven en verwerkt buiten de Europese Economische Ruimte of een land dat bij besluit van de Europese Commissie als veilig is aangemerkt.
6. Beveiliging. De Verwerker is ISO 27001-gecertificeerd en gebruikt het ISO 27001-raamwerk om een gelaagde verdediging als beveiligingsstrategie te implementeren bij het toepassen van beveiligingscontroles bij de laag van het netwerk, de besturingssystemen, databases, toepassingen, het personeel en de bedrijfsprocessen. Naleving van de reglementaire en contractuele vereisten wordt regelmatig beoordeeld en geëvalueerd, net als andere infrastructuur en bewerkingen van de Verwerker, en de nodige stappen worden ondernomen om naleving ervan continu te waarborgen. De Verwerker heeft de beveiliging van de gegevens georganiseerd met behulp van ISMS op basis van ISO 27001. De beveiligingsdocumentatie omvat voornamelijk beleidsdocumenten voor informatiebeveiliging, fysieke veiligheid, beveiliging van apparatuur, incidentmanagement, behandeling van datalekken en veiligheidsincidenten, enz.
7. Technische en organisatorische maatregelen. Verwerker zal de Persoonsgegevens beschermen tegen onopzettelijke en onrechtmatige beschadiging en vernietiging, onopzettelijk verlies, wijziging, ongeoorloofde toegang en openbaarmaking. Hiertoe neemt de Verwerker passende technische en organisatorische maatregelen die overeenkomen met de wijze van verwerking en het risico dat de verwerking vormt voor de rechten van de Betrokkenen, in overeenstemming met de vereisten van de AVG. Een gedetailleerde beschrijving van de technische en organisatorische maatregelen is vermeld in de beveiligingsdocumentatie van het specifieke Product.
8. Contactinformatie van Verwerker. Alle kennisgevingen, verzoeken, eisen en andere mededelingen betreffende de bescherming van persoonlijke gegevens moeten worden gericht aan ESET, spol. s.r.o., ter attentie van: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.