Addendum inzake gegevensverwerking

2.1 In dit Addendum zullen volgende woorden of uitdrukkingen, wanneer met hoofdletter geschreven, de volgende betekenis hebben:

“Addendum”: huidig addendum inzake gegevensverwerking (als verwerkersovereenkomst in de zin van artikel 28 AVG) dat integraal deel uitmaakt van de Overeenkomst;

“AVG”: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming); 

“Diensten”: de diensten verleend door EasyPost aan de Opdrachtgever in het kader van de Overeenkomst (inzake EasyPost Classic dan wel EasyPost Connect) zoals (nader) omschreven in de Overeenkomst);

“Wetgeving inzake gegevensbescherming”:  de AVG, samen met andere wetgeving die voortvloeit uit de AVG en/of alle andere wetgeving van elk ander land met betrekking tot de bescherming van persoonsgegevens of privacy. 

2.2 “Persoonsgegevens”, “Verwerking”, “Verwerken” of “Verwerkt”, “Verwerkingsverantwoordelijke”, “Verwerker” en “Betrokkene(n)” zullen de betekenis hebben zoals gedefinieerd in artikel 4 AVG en zoals nader omschreven in artikel 3 hieronder. “Datalek” heeft de betekenis van een “inbreuk in verband met persoonsgegevens” in de zin van artikel 4, 12) AVG. 

2.3 De overige woorden of uitdrukkingen met een hoofdletter zullen de betekenis hebben zoals gedefinieerd in de Overeenkomst (o.m. zoals bepaald in artikel 1 van Titel I van de Algemene Voorwaarden van EasyPost).

3.1 Onderwerp - aard: voor de uitvoering van de Overeenkomst en in het kader van de Diensten Verwerkt EasyPost bepaalde Persoonsgegevens van Betrokkenen op instructie en ten behoeve van de Opdrachtgever. Dit gebeurt in het kader van de Diensten. De Persoonsgegevens worden Verwerkt via de systemen, tools en software van EasyPost (o.m. voor wat betreft de EasyPost Connect Diensten via het EasyPost Connect platform dan wel de eraan verbonden specifieke Diensten en/of Kanalen).

3.2 Persoonsgegevens: de Persoonsgegevens die worden Verwerkt door EasyPost zijn de Persoonsgegevens van Betrokkenen die door de Opdrachtgever worden overgemaakt aan EasyPost in het kader van de Diensten of worden opgeladen, Verwerkt of gebruikt op EasyPost Connect om de uitvoering van de betreffende Diensten mogelijk te maken of te vergemakkelijken. 

In het kader van de EasyPost Classic Diensten zijn dit in de eerste plaats de NAW-gegevens (naam, adres, woonplaats) en eventueel telefoonnummer en e-mailadres van de Betrokkenen, zoals vermeld op de Postzendingen en/of afgiftebewijzen, alsook mail ID barcodes die kunnen worden gelinkt aan Postzendingen en/of afgiftebewijzen.

Voor Digitale Postverzending, Verwerking van Persoonsgegevens via EasyPost Connect en de Diensten in dit verband kunnen ook andere Persoonsgegevens dan NAW-gegevens van bepaalde Betrokkenen worden Verwerkt die evenwel niet worden geraadpleegd door EasyPost en/of haar aangestelden, maar wel opgenomen kunnen zijn in de Digitale Documenten of Digitale Communicatie of Verwerkt worden in het kader van de Digitale Postverzending. Het kan gaan om andere identificatiegegevens zoals geboortedatum, gegevens inzake persoonlijke kenmerken (zoals geboorteplaats, geslacht, burgerlijke staat, nationaliteit, beroep), financiële gegevens (zoals bankrekeningnummer(s), nummer(s) van kredietkaart(en)), gegevens inzake opleiding en vorming (bv. inzake studies / diploma’s), gegevens inzake beroep en betrekking (bv. huidige betrekking/functie, evaluaties), gegevens inzake eigendom(men), onroerende goederen, woningen, gegevens inzake lidmaatschappen, beeldopnames (foto’s, video’s), gegevens inzake vrijetijdsbesteding en interesses, leefgewoonten, agendaplanning en activiteiten, fysieke gegevens, maar ook bijzondere categorieën van persoonsgegevens zoals gezondheidsgegevens, gevoelige gegevens, Rijksregisternummer, gerechtelijke gegevens en strafrechtelijke gegevens.

Deze Persoonsgegevens worden via EasyPost Connect Verwerkt door EasyPost op instructie van de Opdrachtgever en dit enkel indien dit noodzakelijk is voor de uitvoering van de Diensten.

3.3 Betrokkenen: In het kader van de Postverwerking of EasyPost Classic zijn de Betrokkenen de contactpersonen, geadresseerden, afzenders en correspondenten van de Opdrachtgever. In principe zijn dit alle personen waarmee de Opdrachtgever gedurende of naar aanleiding van zijn bedrijfsvoering, organisatie, belangen of activiteiten mee te maken krijgt, die Postzendingen ontvangen van de Opdrachtgever en waarvan Persoonsgegevens door EasyPost worden Verwerkt. Dit kunnen tevens personen zijn waarop de inhoud van de Postzendingen van de Opdrachtgever betrekking heeft (en niet enkel de betrokken geadresseerden van de Postzendingen), onverminderd hetgeen hieromtrent wordt bepaald onder artikel 3.2 hierboven.

In het kader van de EasyPost Connect Diensten kunnen dit tevens Betrokkenen (natuurlijke personen) zijn waarop de inhoud van de Digitale Documenten of Digitale Communicatie betrekking heeft en waarin Persoonsgegevens van deze Betrokkenen zijn opgenomen (en die niet worden geraadpleegd door EasyPost en/of haar aangestelden).

3.4 Doeleinden: Het doel van de Verwerking van Persoonsgegevens door EasyPost bestaat erin (i) de Overeenkomst uit te voeren en de desbetreffende Diensten te (kunnen) verlenen aan de Opdrachtgever zoals hierboven omschreven onder artikel 3.1; (ii) de Diensten van EasyPost te optimaliseren, (iii) het naleven van toepasselijke wetgeving alsook (iv) elke andere categorie van doeleinden voor de Verwerking van Persoonsgegevens zoals nader bepaald of omschreven in de Overeenkomst.

Voor wat betreft de EasyPost Classic diensten Verwerkt EasyPost de uitgaande Postzendingen (geënveloppeerd) met de NAW-gegevens voor de uitvoering van de Overeenkomst en in het bijzonder voor (i) het ophalen van de uitgaande Postzendingen; (ii) het optisch inlezen van de NAW-gegevens van de Postzendingen en het aanmaken van een digitale mail ID barcode welke op de Postzendingen worden gekleefd (de mail ID barcode wordt aangebracht op de Postzending, de Postzending gaat door de hardware van EasyPost terwijl hiervan een optisch bestand wordt geregistreerd dat vervolgens door OCR software van EasyPost wordt Verwerkt om het adres te extraheren en te linken aan de mail ID barcode. De gegevens (adres + mail ID barcode) worden ten slotte doorgestuurd naar de Aanbieder van Universele Postdiensten of andere ingeschakelde Aanbieders van Postdiensten via een beveiligd protocol (webservice); (iii) het sorteren en verzendklaar maken van de uitgaande Postzendingen (zowel Aangetekende zendingen als gewone Postzendingen); (iv) het regel van de postdrop bij de Aanbieder van Universele Postdiensten of andere ingeschakelde Aanbieders van Postdiensten en (v) het opslaan van afgiftebewijzen voor Aangetekende Zendingen op het EasyPost portaal.

Voor wat betreft EasyPost Connect Verwerkt EasyPost Persoonsgegevens in het kader van de aldaar aangeboden Diensten en/of Kanalen. Dit kunnen zoals hierboven aangegeven andere Persoonsgegevens zijn dan NAW-gegevens die opgenomen zijn in Digitale Documenten of Digitale Communicatie, maar niet geraadpleegd worden door EasyPost en/of haar aangestelden. Meer informatie over deze verwerkingsactiviteiten is te vinden in de Overeenkomst, Manuals of practice statements m.b.t. de specifieke EasyPost Connect Diensten en/of Kanalen die ter beschikking gesteld worden van de Opdrachtgever.

3.5 Duur – bewaringstermijn(en): De Persoonsgegevens worden in de regel enkel Verwerkt door EasyPost tijdens de duur van de Overeenkomst en/of dit Addendum of tot zolang de Diensten worden verleend door EasyPost en worden niet langer bewaard dan noodzakelijk voor de doeleinden vermeld onder artikel 3.4, tenzij op de bewaring of Verwerking ervan (bijzondere) wettelijke bepalingen van toepassing zijn, specifieke bewaringstermijnen gelden in de Overeenkomst of indien langere opslag noodzakelijk is voor de uitvoering van de Overeenkomst. 

In het kader van de EasyPost Classic Diensten gelden o.m. volgende specifieke bewaringstermijnen:

• Voor mail ID bestanden met adresgegevens van Betrokkenen: die worden door EasyPost onmiddellijk verwijderd na het aanmaken en valideren van de mail ID barcode, tenzij langere opslag noodzakelijk zou zijn voor de uitvoering van de Diensten, en maximum tot één (1) jaar na aanmaken en valideren bewaard.
• Optische bestanden tijdens het sorteren van de uitgaande Postzendingen: die worden na verwerking en sortering gedurende een periode van drie maanden opgeslagen op een beveiligde lokale server van EasyPost en maximum twee (2) jaar bewaard na aanmaak bestand.
• Bpost afgiftebewijzen op het portaal van de Opdrachtgever: die worden bewaard tot 10 jaar na de verzenddatum.

In het kader van de EasyPost Connect Diensten gelden o.m. volgende specifieke bewaringstermijnen:

• Elektronische aangetekende zendingen blijven beschikbaar via EasyPost Connect gedurende een periode van 14 dagen. Na verzending blijven die nog beschikbaar gedurende 2 dagen.
• Bewijsrapporten m.b.t. elektronische aangetekende zendingen worden maximum 7 jaar bewaard.
• Logbestanden m.b.t. elektronische aangetekende zendingen worden maximum 2 jaar bewaard.

4.1 EasyPost Verwerkt de Persoonsgegevens uitsluitend op basis van de (gedocumenteerde of schriftelijke) instructies van de Opdrachtgever, behoudens afwijkende wettelijke verplichtingen in welk geval de Opdrachtgever EasyPost daarvan voorafgaand aan de Verwerking zal in kennis stellen, tenzij dergelijke kennisgeving wettelijk verboden is. De Opdrachtgever machtigt en geeft hierbij instructies aan EasyPost om Persoonsgegevens te Verwerken in overeenstemming met dit Addendum en de Overeenkomst. Dit Addendum en de Overeenkomst behelzen samen de volledige instructies van de Opdrachtgever aan EasyPost in verband met de Verwerking van Persoonsgegevens. Alle aanvullende of alternatieve instructies moeten afzonderlijk en schriftelijk gegeven worden en door Partijen overeengekomen.

4.2 De Opdrachtgever verklaart en garandeert dat hij gemachtigd is en blijft om voormelde instructies te geven in naam van elke met hem verbonden onderneming die, in voorkomend geval, de verantwoordelijke voor de Verwerking van Persoonsgegevens van Betrokkenen is of kan zijn (al dan niet gezamenlijk met de Opdrachtgever). 

5.1 EasyPost zal de Wetgeving inzake gegevensbescherming naleven en neemt daartoe alle passende en organisatorische maatregelen. 

5.2 De Opdrachtgever zal de Wetgeving inzake gegevensbescherming naleven. Hij zal alle passende en organisatorische maatregelen treffen opdat de Verwerking van Persoonsgegevens van Betrokkenen voldoet aan de toepasselijke Wetgeving inzake gegevensbescherming. Inzonderheid zal de Opdrachtgever de vereiste maatregelen nemen met betrekking tot componenten die de Opdrachtgever voorziet, beheert of controleert, met inbegrip van werkstations van waaruit verbinding wordt gemaakt met de Diensten van EasyPost (bv. via EasyPost Connect), gebruikte systemen voor gegevensoverdracht en t.a.v. zijn personeel of aangestelden (met inbegrip van werknemers, onderaannemers en zelfstandige medewerkers).

5.3 De Opdrachtgever is verantwoordelijk voor de rechtmatigheid en wettigheid van de (verzameling en/of Verwerking van de) Persoonsgegevens die Verwerkt worden door EasyPost in het kader van de Overeenkomst en/of de Diensten. De Opdrachtgever zal alle nodige maatregelen treffen om de Persoonsgegevens te actualiseren en onvolledige of onjuiste Persoonsgegevens te wissen en/of te verbeteren. 

5.4 De Opdrachtgever verklaart en garandeert dat:

• hij bij het inzamelen en Verwerken van Persoonsgegevens van Betrokkenen die aan EasyPost worden overgemaakt of die door deze laatste worden Verwerkt in het kader van de Diensten de toepasselijke Wetgeving inzake gegevensbescherming heeft nageleefd;
• hij de Betrokkenen afdoende geïnformeerd heeft over hun rechten en plichten (overeenkomstig artikelen 13-14 AVG), inzonderheid over de Verwerking door EasyPost (of een categorie van dienstverleners zoals EasyPost) ten behoeve van en op instructie(s) van de Opdrachtgever in het kader van de Diensten;
• de Verwerking van Persoonsgegevens in het kader van de Overeenkomst rechtmatig is en gesteund is op een geldige rechtsgrond voorzien in de Wetgeving inzake Gegevensbescherming. Indien voor de Verwerking of opslag door EasyPost of doorgifte aan EasyPost van bepaalde Persoonsgegevens de toestemming vereist is van de Betrokkene, dan verklaart en garandeert de Opdrachtgever die toestemming op geldige wijze te hebben bekomen en zal hij hiervan, op verzoek van EasyPost, bewijs kunnen voorleggen;
• zijn personeel en aangestelden (met inbegrip van werknemers, onderaannemers en zelfstandige medewerkers) de verplichtingen op basis van de Overeenkomst en de Wetgeving inzake gegevensbescherming kennen en strikt zullen naleven.

5.5 Indien de naleving van de Wetgeving inzake gegevensbescherming enige actie of maatregel vanwege EasyPost vereist, naast de verplichtingen krachtens deze Overeenkomst, zal EasyPost dergelijke actie of maatregel stellen na voorafgaandelijk overleg met en akkoord van de Opdrachtgever. Deze laatste zal EasyPost in ieder geval voorafgaandelijk in kennis stellen van de vereiste acties of maatregelen, hierbij volledige medewerking en bijstand verlenen aan EasyPost en EasyPost vergoeden krachtens de op dat moment geldende tarieven, de Tarievenlijst of tussen Partijen overeengekomen prijzen voor prestaties in dit verband die bijkomende diensten, investeringen of aanpassingen van de Diensten vereisen.

5.6 EasyPost is evenwel niet verantwoordelijk voor de naleving van enigerlei op de Opdrachtgever of zijn activiteiten van toepassing zijnde wetgeving die niet algemeen of specifiek van toepassing is op EasyPost. 

6.1 In principe worden er in het kader van de Diensten geen Persoonsgegevens doorgegeven aan landen buiten de EER.

6.2 Elke eventuele doorgifte van Persoonsgegevens aan ((groeps)vennootschappen, derden, dienstverleners of servers in) landen buiten de EER, zal in ieder geval gebeuren in overeenstemming met de Wetgeving inzake gegevensbescherming.

6.3 EasyPost zal de Persoonsgegevens die het Verwerkt ten behoeve van de Opdrachtgever Verwerken in elk land waarin EasyPost, haar verbonden ondernemingen en/of overeenkomstig artikel 9 hieronder geautoriseerde subverwerkers, faciliteiten hebben. De Opdrachtgever machtigt EasyPost uitdrukkelijk om elke doorgifte van Persoonsgegevens naar en elke Verwerking in dergelijk land uit te voeren in het kader van de Overeenkomst, onverminderd de overige bepalingen van dit artikel.

6.4 EasyPost houdt geen controle op en is niet verantwoordelijk voor de locatie van waaruit de Opdrachtgever of zijn eindgebruikers Persoonsgegevens (kunnen) Verwerken. In ieder geval zal de Opdrachtgever EasyPost integraal schadeloos stellen en vrijwaren voor enige schade geleden door derden in dit verband.

7.1 EasyPost zal geen Persoonsgegevens doorgeven of overdragen aan derden, behoudens:

• op instructie(s) van de Opdrachtgever;
• indien vereist voor Verwerking van Persoonsgegevens door een subverwerker overeenkomstig artikel 9 hieronder;
• indien wettelijk verplicht.

7.2 In geval van doorgifte of overdracht van Persoonsgegevens aan een derde op instructie(s) van de Opdrachtgever, is enkel deze laatste verantwoordelijk om met deze derde schriftelijke overeenkomsten te sluiten inzake de bescherming en Verwerking van Persoonsgegevens. In ieder geval zal de Opdrachtgever EasyPost integraal schadeloos stellen en vrijwaren voor enige schade ontstaan uit dergelijke doorgifte of overdracht door EasyPost aan een derde, tenzij voormelde schade enkel te wijten is aan een bewezen tekortkoming van EasyPost.

7.3 EasyPost waarborgt dat haar personeel, handelend onder haar gezag, die gemachtigd is Persoonsgegevens te verwerken in het kader van de Overeenkomst en/of Diensten en daar toegang tot hebben, de vertrouwelijkheid van de Persoonsgegevens in acht zullen nemen.

8.1 EasyPost neemt alle overeenkomstig artikel 32 AVG vereiste passende technische en organisatorische maatregelen inzake beveiliging van de Verwerking. Deze beveiligingsmaatregelen waarborgen een beschermingsniveau dat passend is voor de risico’s verbonden aan de Verwerking en de aard van de te beschermen Persoonsgegevens, rekening houdend met de stand van de technologie en de kosten van hun implementatie.

8.2 EasyPost beschikt over een ISO 27001 certificering inzake informatieveiligheid.

9.1 De Opdrachtgever erkent en laat uitdrukkelijk toe dat EasyPost voor de Verwerking van Persoonsgegevens subverwerkers kan inschakelen en Persoonsgegevens aan hen kan doorgeven. Op verzoek van de Opdrachtgever kan EasyPost een actuele lijst van de subverwerkers van EasyPost bezorgen in het kader van de Diensten die Opdrachtgever afneemt bij EasyPost. 

9.2 EasyPost zal de Opdrachtgever informeren over beoogde iedere wijziging van subverwerker(s). Indien de Opdrachtgever niet akkoord gaat met Verwerking van Persoonsgegevens door een of meerdere subverwerkers, zal de Opdrachtgever EasyPost hiervan schriftelijk informeren binnen vijftien (15) kalenderdagen na het ontvangen van voormelde kennisgeving. Desgevallend zal EasyPost redelijke inspanningen doen om wijzigingen voor te stellen aan de Opdrachtgever met het oog op het vermijden van Verwerking van Persoonsgegevens door de subverwerker(s) in kwestie.

9.3 EasyPost zal met elke dergelijke subverwerker schriftelijke overeenkomsten sluiten die verplichtingen bevatten die niet minder beschermd zijn dan de verplichtingen van EasyPost op basis van deze Overeenkomst en in het bijzonder met betrekking tot de verplichting voor het nemen van passende beveiligingsmaatregelen opdat de Verwerking aan de Wetgeving inzake gegevensbescherming voldoet. 

9.4 In ieder geval blijft EasyPost te allen tijde het aanspreekpunt voor de Opdrachtgever in dit verband. In geval de betreffende subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft EasyPost verantwoordelijk voor de naleving door dergelijke subverwerker van de verplichtingen krachtens deze Overeenkomst.

10.1 Rekening houdend met de aard van de Verwerking van Persoonsgegevens en voor zover mogelijk, zal EasyPost bijstand en medewerking verlenen aan de Opdrachtgever bij het (doen) nakomen van zijn verplichtingen op grond van de Wetgeving inzake gegevensbescherming, inzonderheid opdat de Opdrachtgever gevolg kan geven aan zijn verplichting(en) om verzoeken (tijdig) te beantwoorden van Betrokkenen die hun rechten uitoefenen. De Opdrachtgever zal de Betrokkenen in de mogelijkheid stellen hun rechten uit te oefenen. De Opdrachtgever zal alle nodige informatie over de Verwerking van Persoonsgegevens aan de Betrokkenen bezorgen overeenkomstig artikelen 13-14 AVG.

10.2 Indien een Betrokkene rechtstreeks contact zou opnemen met EasyPost om inzage/kopie, verbetering of verwijdering van of een beperking van de Verwerking van zijn/haar Persoonsgegevens te bekomen, dan zal EasyPost de Betrokkene in kwestie doorverwijzen naar de Opdrachtgever. EasyPost zal zelf niet verder ingaan op het verzoek. EasyPost kan echter ter ondersteuning de basiscontactgegevens van de Opdrachtgever verstrekken aan de Betrokkene in kwestie. De Opdrachtgever zal Betrokkenen informeren dat zij hun rechten enkel kunnen uitoefenen jegens de Opdrachtgever. De Opdrachtgever zal elk dergelijk verzoek van een Betrokkene beantwoorden en voldoen aan zijn verplichtingen dienaangaande krachtens de Wetgeving inzake gegevensbescherming.

11.1 Tenzij wettelijk verboden, zal EasyPost de Opdrachtgever zonder onredelijke vertraging op de hoogte brengen indien EasyPost of enige van haar subverwerkers een vraag, dagvaarding of verzoek tot inspectie of audit van een bevoegde overheidsinstantie of toezichthoudende autoriteit ontvangt in verband met de Verwerking van Persoonsgegevens. Tevens zal EasyPost de Opdrachtgever informeren wanneer EasyPost de intentie heeft Persoonsgegevens te verstrekken aan een bevoegde overheidsinstantie of toezichthoudende autoriteit buiten het kader van de Diensten. EasyPost zal de Opdrachtgever ten slotte onmiddellijk in kennis stellen indien naar haar mening een instructie of opdracht van de Opdrachtgever inbreuk oplevert op de Wetgeving inzake gegevensbescherming.

11.2 Op verzoek van de Opdrachtgever zal EasyPost alle vereiste informatie verschaffen aan eerstgenoemde opdat hij aan zijn verplichtingen o.g.v. artikel 28 AVG kan voldoen.

11.3 De Opdrachtgever heeft het recht om de naleving van de Wetgeving inzake gegevensbescherming te controleren. Hiertoe kan de Opdrachtgever op schriftelijk verzoek, éénmaal elke twaalf (12) maanden - tenzij (i) de audit wordt verzocht door een bevoegde toezichthoudende autoriteit overeenkomstig de Wetgeving inzake gegevensbescherming of (ii) na een Datalek - en met inachtname van een voorafgaandelijke schriftelijke kennisgeving van dertig (30) kalenderdagen, een audit of controle laten uitvoeren bij EasyPost door een expert. 

11.4 Voorafgaand aan dergelijke audit of controle zal de Opdrachtgever EasyPost informeren over de omvang en doorlooptijd ervan en de modaliteiten ervan steeds in onderling overleg met EasyPost afstemmen.

11.5 EasyPost zal de nodige redelijke bijstand en medewerking verlenen aan dergelijke controles of audits. Alle bijstand in dit verband zal worden vergoed door de Opdrachtgever krachtens de op dat moment geldende tarieven, de Tarievenlijst of tussen Partijen hiervoor overeengekomen prijzen.

11.6 Partijen komen overeen dat de uitvoering van dergelijke controles of audits de bedrijfsactiviteiten van EasyPost en/of de uitvoering van de Diensten niet onnodig mag vertragen, verstoren of beperken. In geval van dergelijke vertraging, verstoring of beperking, zal EasyPost de Opdrachtgever hiervan in kennis stellen en zullen Partijen zo snel mogelijk en in gezamenlijk overleg een oplossing trachten te vinden.

11.7 De Opdrachtgever zal EasyPost onmiddellijk schriftelijk op de hoogte brengen van enige tijdens een controle of audit vastgestelde tekortkomingen. De Opdrachtgever zal kosteloos een ontwerp van (audit)rapport bezorgen aan EasyPost. Dit rapport, alsook enige andere informatie waartoe de Opdrachtgever of de aangewezen expert toegang krijgen in het kader van een controle of audit, zijn en blijven strikt vertrouwelijk. 

11.8 De kosten voortvloeiende uit een controle of audit door de Opdrachtgever zijn integraal voor rekening van de Opdrachtgever. De Opdrachtgever kan van EasyPost geen enkele vergoeding vragen voor deze kosten.

12.1 EasyPost zal de Opdrachtgever zonder onredelijke vertraging informeren van zodra zij kennis heeft genomen van een Datalek, ongeacht de oorzaak ervan.

12.2 De Opdrachtgever zal EasyPost onmiddellijk in kennis stellen van elk beveiligingsincident of veiligheidskwestie, met inbegrip van een Datalek, die op enigerlei wijze verband houdt met de Diensten.

12.3 De Partij die verantwoordelijk is voor het Datalek zal het Datalek verder onderzoeken en de andere Partij op de hoogte houden van nieuwe ontwikkelingen alsook van de maatregelen die worden getroffen en zullen worden getroffen om de gevolgen van het Datalek te beperken en herhaling ervan te voorkomen. 

12.4 Beide Partijen zullen meewerken aan dergelijk onderzoek en wederzijds bijstand verlenen bij het (doen) nakomen van hun verplichtingen krachtens de Wetgeving inzake gegevensbescherming, inzonderheid de verplichting om op grond van artikel 33 AVG een Datalek te melden aan de Gegevensbeschermingsautoriteit.

12.5 Een kennisgeving of melding op grond van huidig artikel 12 en/of de Wetgeving inzake gegevensbescherming geschiedt steeds zonder (nadelige) erkenning van enige fout of aansprakelijkheid met betrekking tot het Datalek.

In geval de Opdrachtgever verplicht is om krachtens artikel 35 AVG een DPIA (vertaling: “gegevensbeschermingseffectbeoordeling”) uit te voeren, zal EasyPost de nodige medewerking en bijstand verlenen aan de Opdrachtgever opdat de Opdrachtgever zijn verplichtingen ter zake kan naleven. Dergelijke bijstand wordt vergoed aan EasyPost aan de krachtens de op dat moment geldende tarieven, de Tarievenlijst of tussen Partijen hiervoor overeengekomen prijzen.

14.1 In geval van beëindiging van de Overeenkomst en/of huidig Addendum, zal EasyPost binnen de zestig (60) dagen na voormelde beëindiging alle Persoonsgegevens op haar systemen (behoudens enige back-up of archieven) verwijderen of anonimiseren, tenzij de Opdrachtgever anders instrueert of (verdere) opslag of bewaring van de Persoonsgegevens wettelijk verplicht is, noodzakelijk is in het kader van een gerechtelijke procedure of wordt opgelegd door (gerechtelijke of toezichthoudende) autoriteiten. Voormeld artikel geldt onverminderd artikel 3.5 hierboven.

14.2 Indien de Opdrachtgever hierom schriftelijk verzoekt niet later dan dertig (30) dagen vóór beëindiging van de Overeenkomst en/of huidig Addendum, zal EasyPost hem in zover (technisch) mogelijk een kopie van de Persoonsgegevens op haar systemen bezorgen, dit op (integrale) kosten van de Opdrachtgever.

14.3 Huidig artikel geldt onverminderd de bepalingen in de Overeenkomst inzake deactivatie van accounts en export(s) van Klantgegevens van de Opdrachtgever.

Alle intellectuele eigendomsrechten, waaronder auteursrechten, databankrechten, merkenrechten, handelsnamen, domeinnamen en softwarerechten, op of in verband met de Diensten (m.i.v. EasyPost Classic en EasyPost Connect) of verwerkingsactiviteiten (met uitsluiting van de Persoonsgegevens op zich), alsook op of in verband met kopieën of bewerkingen daarvan, blijven te allen tijde toebehoren aan EasyPost en/of haar licentiegever(s). Geen enkele bepaling van deze Overeenkomst kan worden opgevat als een volledige of gedeeltelijke overdracht van de rechten, zowel in eigendom als in (sub)licentie, aan de Opdrachtgever.