Addendum Privacywetgeving van Amerikaanse staten

Dit Addendum Privacywetgeving van Amerikaanse staten ('Addendum') vormt een aanvulling op de voorwaarden van uw Master Subscription Agreement, Servicevoorwaarden of Servicevoorwaarden voor klanten van Zoom-wederverkopers (voor zover van toepassing de 'Overeenkomst' genoemd), en beschrijft bepaalde rechten en plichten ten aanzien van gegevensbescherming in verband met de wetgeving van bepaalde Amerikaanse staten. Termen met een hoofdletter die hierin worden gebruikt, maar niet worden gedefinieerd, hebben de betekenis die eraan is toegekend in de Overeenkomst.

Sectie A – Algemene bepalingen. Deze Sectie A van het Addendum is van toepassing op het verlenen van de Diensten door Zoom en het gebruik van de Diensten door de Klant voor zover de Klant een Bedrijf ('business') of een Verwerkingsverantwoordelijke ('controller') is en Zoom Persoonlijke Gegevens ('personal information') of Persoonsgegevens ('personal data') van de Klant verwerkt op grond van de CCPA of andere Toepasselijke Gegevensbeschermingswetten van Staten.

1. Definities. Wanneer de term 'Klant' in dit Addendum wordt gebruikt, verwijst deze naar een Bedrijf of Verwerkingsverantwoordelijke die zich abonneert op diensten van Zoom Termen met een hoofdletter die in deze Sectie A worden gebruikt, maar niet zijn gedefinieerd, hebben de betekenis die eraan is toegekend in Sectie B(1) en C(1) hieronder.
2. Audits en beoordelingen.
   1. Zoom voert als volgt audits van derden uit om de naleving van de ISO 27001- en SOC 2 Type II-kaders te bewijzen:
      1. Zoom voert jaarlijks een audit van de beveiligings-, beschikbaarheids- en privacycriteria in de SOC-2-audit uit.
      2. Audits worden uitgevoerd volgens de normen en regels van de regelgevings- of accreditatie-instantie voor de toepasselijke controlenorm of het toepasselijke controlekader.
      3. Audits worden uitgevoerd door gekwalificeerde, onafhankelijke, externe beveiligingsauditors die Zoom selecteert en betaalt.
      4. Elke audit leidt tot het genereren van een auditrapport voor de Klant ('Zoom-auditrapport'), dat Zoom jaarlijks op verzoek ter beschikking zal stellen aan de Klant. Het Zoom-auditrapport is Vertrouwelijke Informatie van Zoom.
3. Beperkingen op de ontvangst van informatie. Niets in dit Addendum verplicht Zoom tot het onthullen van: (a) gegevens of informatie van enige andere klant van Zoom of van enige derde; (b) enige interne boekhoudings- of financiële gegevens; (c) enig handelsgeheim van Zoom; of (d) enige informatie die, naar de redelijke mening van Zoom: (i) de beveiliging van de netwerken, systemen of gebouwen van Zoom in gevaar zou kunnen brengen; (ii) tot gevolg zou kunnen hebben dat Zoom zijn beveiligings- of privacyverplichtingen jegens enige derde niet nakomt; of (iii) enige informatie waarom wordt gevraagd om andere redenen dan die in dit Addendum zijn beschreven. Zoom kan van de Klant eisen dat deze akkoord gaat met redelijke voorwaarden van Zoom (of de externe auditor of beoordelaar van Zoom) voordat Zoom het Zoom-auditrapport aan de Klant verstrekt.
4. Verwijdering van gegevens. Zoom zal (a) indien vereist door Toepasselijke Gegevensbeschermingswetten van Staten die van toepassing zijn op de Klant en in opdracht van de Klant, alle Persoonsgegevens na afloop van het verlenen van Diensten verwijderen of teruggeven aan de Klant, of (b) indien vereist door de CCPA, Persoonlijke Gegevens niet bewaren, gebruiken of onthullen na de beëindiging of het aflopen van de relatie tussen de Klant en Zoom. Niets in deze Sectie A(4) (Verwijdering van gegevens) verplicht Zoom om (i) gegevens die Zoom moet bewaren op grond van toepasselijke Wetten te verwijderen of terug te geven, of (ii) Persoonsgegevens terug te geven in plaats van ze te vernietigen wanneer teruggave technisch niet haalbaar is, of aanzienlijke belasting, kosten of beide voor Zoom zou veroorzaken.

Sectie B – Californië.  Deze Sectie B van het Addendum is van toepassing op het verlenen van de Diensten door Zoom en het gebruik van de Diensten door de Klant voor zover de Klant een Bedrijf is en Zoom Persoonlijke Gegevens namens de Klant verwerkt krachtens de CCPA.

1. Definities. Zoals gebruikt in deze Sectie B van het addendum: verwijst (a) 'CCPA' naar de California Consumer Privacy Act of 2018, zoals gewijzigd door de California Privacy Rights Act van 2020, en alle verordeningen die op grond daarvan zijn uitgevaardigd; hebben de termen (b) 'Bedrijf' ('business'), 'Zakelijk Doel' ('business purpose'), 'Commercieel Doel' ('commercial purpose'), 'Consument' ('consumer'), 'Verwerking' ('processing'), 'Verkopen' ('sell'), 'Dienstverlener' ('service provider') en 'Delen' ('share') de betekenis die eraan is toegekend in de CCPA; en verwijst (c) 'Persoonlijke Gegevens' ('personal information') naar de term zoals die is gedefinieerd in de CCPA, maar enkel voor zover de Persoonlijke Gegevens worden verzameld, geraadpleegd, verkregen, ontvangen, gebruikt, onthuld of anderszins verwerkt door Zoom als gevolg van het verlenen van Diensten door Zoom aan de Klant in zijn hoedanigheid van Bedrijf op grond van de Overeenkomst.
2. Erkenningen en verplichtingen. Zoom (a) erkent dat Persoonlijke Gegevens alleen door de Klant worden onthuld voor de beperkte en specifieke doeleinden van het verlenen van de Diensten beschreven in een Bestelformulier en voor de doeleinden beschreven in de Overeenkomst; (b) erkent zich te zullen houden aan de verplichtingen die van toepassing zijn op Dienstverleners volgens de CCPA en het door de CCPA voorgeschreven niveau van privacybescherming aan Persoonlijke Gegevens zal bieden, waaronder dezelfde privacybescherming die Bedrijven verplicht moeten bieden; (c) stemt ermee in dat de Klant redelijke en passende maatregelen kan nemen, overeenkomstig Sectie A(2) hierin, om te waarborgen dat het gebruik van Persoonlijke Gegevens door Zoom overeenstemt met de verplichtingen van de Klant op grond van de CCPA; (d) zal de Klant onmiddellijk op de hoogte stellen als Zoom vaststelt niet langer aan zijn verplichtingen op grond van de CCPA te kunnen voldoen; en (e) stemt ermee in dat de Klant, na kennisgeving, redelijke en passende maatregelen kan nemen om ongeoorloofd gebruik van Persoonlijke Gegevens te stoppen en te herstellen, in overeenstemming met de toepasselijke regelgeving, door redelijke documentatie van Zoom te eisen waaruit blijkt dat Zoom Persoonlijke Gegevens die het voorwerp zijn van een geldig verwijderingsverzoek niet meer bewaart of gebruikt.
3. Beperkingen. Zoom zal geen (a) Persoonlijke Gegevens Verkopen of Delen; (b) Persoonlijke Gegevens bewaren, gebruiken of onthullen voor enig ander doel dan voor het (de) doeleinde(n) die zijn beschreven in Sectie B(2)(a) hierboven, of zoals anderszins toegestaan door de CCPA, waaronder het bewaren, gebruiken of onthullen van Persoonlijke Gegevens voor een Commercieel Doel dat anders is dan dit (deze) doeleinde(n) of dienstverlening aan een ander Bedrijf; (c) Persoonlijke Gegevens bewaren, gebruiken of onthullen buiten de directe zakelijke relatie tussen Zoom en de Klant, behalve voor zover toegestaan door de CCPA; of (d) Persoonlijke Gegevens die op grond van de Overeenkomst zijn ontvangen, samenvoegen met Persoonlijke Gegevens die zijn ontvangen van een andere Partij, of de interacties tussen Zoom en de Consument waarop de Persoonlijke Gegevens betrekking hebben, behalve voor zover het een Dienstverlener is toegestaan dit te doen op grond van de CCPA. Zoom verklaart hierbij zijn verplichtingen op grond van dit Addendum te begrijpen en deze te zullen nakomen.
4. Audits, evaluaties en beoordelingen. De Klant, die zich moet houden aan de redelijke vereisten en schriftelijke overeenkomsten die zijn opgelegd door Zoom en in overeenstemming zijn met de CCPA, kan geheel op eigen kosten en niet vaker dan eens per 12 maanden een audit, evaluatie of beoordeling van Zoom uitvoeren, in overeenstemming met Sectie A(2) (Audits en beoordelingen) hierboven.
5. Verzoeken van de Klant. De Klant dient Zoom onmiddellijk op de hoogte te stellen en alle nodige informatie aan Zoom te verstrekken na het ontvangen en verifiëren van een verzoek van een Consument, en Zoom zal onmiddellijk de maatregelen nemen en informatie verstrekken waar de Klant redelijkerwijs om kan vragen in verband met de Persoonlijke Gegevens van een Consument, om de Klant te helpen bij het voldoen aan verzoeken van individuen om hun rechten op grond van de CCPA uit te oefenen, met inbegrip van, zonder enige beperking, het recht op toegang, correctie, verwijdering, afmelding voor het Verkopen of Delen van, of het ontvangen van informatie over hen betreffende Persoonlijke Gegevens. Als Zoom rechtstreeks een verzoek van (een) Consument(en) van de Klant ontvangst, kan Zoom (i) de Consument adviseren rechtstreeks contact met de Klant op te nemen met dit verzoek, of (ii) contact met de Klant opnemen om rechtstreeks antwoord aan de Consument te geven.

Sectie C – Virginia, Colorado, Utah en andere staten. Deze Sectie A van het Addendum is van toepassing op het verlenen van de Diensten door Zoom en het gebruik van de Diensten door de Klant voor zover de Klant een Verwerkingsverantwoordelijke van Persoonsgegevens is en Zoom Persoonsgegevens van de Klant verwerkt op grond van Toepasselijke Gegevensbeschermingswetten van Staten.

1. Definities. Zoals gebruikt in deze Sectie C van het Addendum: betekent (a) 'Toepasselijke Gegevensbeschermingswetten van Staten' (i) de Colorado Privacy Act van 2021, de Virginia Consumer Data Protection Act van 2021 of de Utah Consumer Privacy Act van 2022, zoals gewijzigd, of (ii) enige andere toepasselijke Wet van een staat van de VS die is uitgevaardigd ter bescherming van Persoonsgegevens waarbij de Klant een Verwerkingsverantwoordelijke is en Zoom een Verwerker, en de voorwaarden van dit Addendum voldoen aan de vereisten van dergelijke Wetten; (b) hebben 'Verwerkingsverantwoordelijke' ('controller'), 'Persoonsgegevens' ('personal data'), 'Verwerken' ('process') en 'Verwerker' ('processor') de betekenis die eraan is toegekend in de Toepasselijke Gegevensbeschermingswetten van Staten; en (c) heeft 'Instructies' de betekenis die er hieronder aan is gegeven.
2. Verwerking van Persoonsgegevens: rollen, reikwijdte en verantwoordelijkheid.
   1. De partijen erkennen en stemmen in met het volgende: de Klant is de Verwerkingsverantwoordelijke van Persoonsgegevens van de Klant. Zoom is de Verwerker van Persoonsgegevens van de Klant.
   2. De Klant als Verwerkingsverantwoordelijke geeft Zoom de opdracht, enkel voor zover noodzakelijk en evenredig, om de volgende activiteiten te verrichten als Verwerker namens de Klant (gezamenlijk de 'Instructies'):
      1. verlenen en bijwerken van de Diensten zoals gelicentieerd, geconfigureerd en gebruikt door de Klant en zijn gebruikers, waaronder door het gebruik van instellingen, besturingselementen van beheerders of andere functionaliteit van Diensten van Zoom door de Klant;
      2. beveiligen en in real time monitoren van de Diensten;
      3. verhelpen van problemen, bugs en fouten;
      4. verlenen van de gevraagde ondersteuning aan de Klant, waaronder het toepassen van kennis die is verworven via ondersteuningsverzoeken van individuele klanten ten bate van alle klanten van Zoom, maar slechts voor zover dergelijke kennis geanonimiseerd is; en
      5. Verwerken van Persoonsgegevens van de Klant zoals uiteengezet in de Overeenkomst (inclusief dit Addendum en Bijlage A hierbij), evenals andere gedocumenteerde instructies die door de Klant zijn verstrekt en door Zoom zijn erkend als instructies.
   3. Wanneer Zoom als Verwerker van Persoonsgegevens van de Klant optreedt, zal Zoom de Persoonsgegevens van de Klant enkel verwerken volgens de Instructies van de Klant. De Klant dient te waarborgen dat zijn Instructies aan Zoom in overeenstemming zijn met alle Wetten, regels en voorschriften die van toepassing zijn op de Persoonsgegevens van de Klant, en dat de Verwerking van Persoonsgegevens van de Klant volgens de Instructies van de Klant niet tot gevolg heeft dat Zoom Toepasselijke Gegevensbeschermingswetten van Staten overtreedt. De Klant is volledig verantwoordelijk voor (i) de juistheid, kwaliteit en rechtmatigheid van de Persoonsgegevens van de Klant die door of namens de Klant aan Zoom worden verstrekt; (ii) hoe de Klant dergelijke Persoonsgegevens van de Klant heeft verkregen; en (iii) de Instructies die de Klant aan Zoom verstrekt in verband met de Verwerking van dergelijke Persoonsgegevens van de Klant. De Klant dient geen Persoonsgegevens van de Klant aan Zoom te verstrekken of ter beschikking te stellen als dit in strijd zou zijn met de Overeenkomst of dit Addendum.
   4. De Klant machtigt Zoom om Persoonsgegevens in een beperkt aantal omstandigheden te scannen en rapporteren (bijv. om Materiaal over Seksueel Misbruik van Kinderen te detecteren en rapporteren; om te voldoen aan andere toepasselijke Wetten; om de naleving van de Richtlijnen inzake aanvaardbaar gebruik van Zoom te waarborgen).
3. Gemachtigde personen. Zoom zal waarborgen dat alle personen die gemachtigd zijn om Persoonsgegevens van de Klant te Verwerken, zich bewust zijn van de vertrouwelijke aard van de Persoonsgegevens van de Klant en gebonden zijn aan een geheimhoudingsplicht met betrekking tot de gegevens.
4. Subcontractanten en subverwerkers. Voor zover Zoom een Verwerker is, machtigt de Klant Zoom hierbij in het algemeen om subcontractanten en subverwerkers in te schakelen overeenkomstig deze Sectie C(4).
   1. De Klant verleent toestemming voor het gebruik van de aanbieders op https://explore.zoom.us/nl/subprocessors/ door Zoom om Persoonsgegevens van de Klant te Verwerken.
   2. Zoom kan aanbieders verwijderen, vervangen of aanvullende aanbieders aanstellen. Mits de Klant zich aanmeldt voor updates op https://explore.zoom.us/nl/subprocessors/, zal Zoom de Klant informeren over eventuele wijzigingen in deze ingeschakelde aanbieders. Wanneer de Toepasselijke Gegevensbeschermingswetten van Staten het vereisen, zal Zoom de Klant ook de gelegenheid geven bezwaar te maken tegen de inschakeling beschreven in Secties C(4)(d) en C(4)(e) hierin.
   3. In een noodgeval waarin de beschikbaarheid of veiligheid van de Diensten in gevaar is, is Zoom niet verplicht om de Klant vooraf in kennis te stellen van de verwijdering, vervanging of aanstelling van subcontractanten. Zoom zal de Klant echter binnen zeven (7) werkdagen na een verandering van subcontractanten in kennis stellen.
   4. In alle gevallen kan de Klant binnen vijftien (15) werkdagen na ontvangst van de voornoemde kennisgeving door Zoom bezwaar maken tegen een dergelijke inschakeling van een subcontractant.
   5. Als de Klant bezwaar maakt tegen de inschakeling van een nieuwe subcontractant, heeft Zoom het recht om dit bezwaar te verhelpen op een van de onderstaande manieren (naar eigen goeddunken door Zoom te selecteren):
      1. Zoom kan afzien van zijn plannen voor het gebruik van de subcontractant in verband met Persoonsgegevens van de Klant.
      2. Zoom kan de corrigerende maatregelen treffen waar de Klant in zijn bezwaar om vraagt (die het bezwaar van de Klant wegnemen) en de subcontractant vervolgens toch gebruiken in verband met Persoonsgegevens van de Klant.
      3. Zoom kan stoppen met het aanbieden van het aspect van de Dienst waarvoor het gebruik van een dergelijke subcontractant in verband met Persoonsgegevens van de Klant nodig is of de Klant kan ermee instemmen dit aspect niet te gebruiken (tijdelijk of permanent). Zoom zal de Klant een schriftelijke beschrijving van (een) commercieel redelijk(e) alternatief (alternatieven) voor een dergelijke inschakeling verstrekken, indien beschikbaar, inclusief, zonder enige beperking, een wijziging van de Diensten. Als Zoom naar eigen goeddunken vaststelt dat (een) dergelijk(e) alternatief (alternatieven) niet mogelijk is (zijn) of als de Klant niet akkoord gaat met het (de) eventuele alternatief (alternatieven), kunnen Zoom en de Klant de Overeenkomst inclusief dit Addendum beëindigen met een opzegtermijn van zestig (60) dagen, middels een voorafgaande schriftelijke opzegging. Beëindiging ontheft de Klant niet van eventuele vergoedingen of kosten die aan Zoom verschuldigd zijn voor Diensten die tot de ingangsdatum van de beëindiging op grond van de Overeenkomst zijn verleend.
      4. Als de Klant niet binnen 15 werkdagen na een kennisgeving door Zoom bezwaar maakt tegen de inschakeling van een nieuwe subcontractant, wordt die nieuwe subcontractant geacht te zijn aanvaard.
   6. Zoom zal elke subcontractant die Persoonsgegevens van de Klant Verwerkt uitsluitend inschakelen op grond van een schriftelijke overeenkomst en van de subcontractant eisen dat deze zich houdt aan verplichtingen van Zoom die zijn uitbesteed met betrekking tot die Persoonsgegevens. Wanneer die subcontractant zich niet houdt aan zijn verplichtingen betreffende gegevensbescherming, blijft Zoom aansprakelijk jegens de Klant voor de uitvoering van de verplichtingen van die subcontractant, in dezelfde mate waarin Zoom zelf aansprakelijk zou zijn op grond van dit Addendum voor dergelijke handelingen of dergelijk verzuim.
5. Informatiebeveiliging. Rekening houdend met het kader van de Verwerking zal Zoom passende technische en organisatorische maatregelen voor Persoonsgegevens van de Klant handhaven om een beveiligingsniveau te waarborgen dat past bij het risico, in overeenstemming met dit Addendum en zoals anderszins uitdrukkelijk vermeld in de Overeenkomst.
6. Informatie over naleving. Op redelijk verzoek van de Klant zal Zoom, in overeenstemming met de toepasselijke Wetten, redelijke informatie aan de Klant ter beschikking stellen die in bezit van Zoom is en noodzakelijk is om de naleving van Zoom's verplichtingen in dit Addendum aan te tonen.