V2.0 Verwerkersovereenkomst TriFact365

Ingangsdatum: 1 augustus 2026

Deze Verwerkersovereenkomst maakt onderdeel uit van de Overeenkomst tussen TriFact365 en de Klant.

1. Definities

Begrippen die in deze Verwerkersovereenkomst met een hoofdletter zijn geschreven, hebben de hieronder of in de Algemene Voorwaarden omschreven betekenis. Waar het Toepasselijk Gegevensbeschermingsrecht een hieronder gedefinieerd begrip anders omschrijft, prevaleert die omschrijving. Gedefinieerde begrippen hebben zowel in enkelvoud als in meervoud dezelfde betekenis.

1.1 Betrokkene

De geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.

1.2 Datalek

Een inbreuk in verband met Persoonsgegevens zoals bedoeld in het Toepasselijk Gegevensbeschermingsrecht.

1.3 Persoonsgegevens

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

1.4 Subverwerker

Een door TriFact365 ingeschakelde derde die in opdracht van TriFact365 Persoonsgegevens verwerkt ten behoeve van de Klant.

1.5 Toepasselijk Gegevensbeschermingsrecht

Alle op de Verwerking van Persoonsgegevens toepasselijke wet- en regelgeving, waaronder de AVG (Verordening (EU) 2016/679), de UK GDPR, de Zwitserse FADP en andere toepasselijke privacywetgeving.

1.6 Verwerker

De partij die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.

1.7 Verwerking

Elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, zoals het verzamelen, vastleggen, opslaan, raadplegen, gebruiken, wijzigen, verstrekken of wissen ervan.

1.8 Verwerkingsverantwoordelijke

De partij die het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt.

2. Verwerking van Persoonsgegevens

2.1 Rolverdeling

Voor Klantgegevens die Persoonsgegevens omvatten, is de Klant Verwerkingsverantwoordelijke en TriFact365 Verwerker. Voor Persoonsgegevens waarvoor TriFact365 zelf Verwerkingsverantwoordelijke is, gelden de afspraken uit de Privacyverklaring van TriFact365. Deze Verwerking valt buiten de reikwijdte van deze Verwerkersovereenkomst.

2.2 Instructies

TriFact365 verwerkt Persoonsgegevens uitsluitend ten behoeve van de Klant en op basis van diens gedocumenteerde instructies. Deze Verwerkersovereenkomst, de Verwerkingsdetails in Annex A en het gebruik van de Dienst door de Klant en Applicatiegebruikers gelden gezamenlijk als de gedocumenteerde instructies van de Klant onder het Toepasselijk Gegevensbeschermingsrecht. De instructies omvatten in ieder geval de Verwerking voor het leveren van de Dienst, de inschakeling van Subverwerkers conform artikel 7 en Annex C, en internationale doorgiften conform artikel 8 en de Annexen D tot en met G.

2.3 Kennisgevingen

Verplicht het Toepasselijk Gegevensbeschermingsrecht of andere toepasselijke regelgeving TriFact365 tot een Verwerking buiten de instructies, dan informeert TriFact365 de Klant vooraf, tenzij die wetgeving dit verbiedt. TriFact365 informeert de Klant ook onverwijld als een instructie naar het oordeel van TriFact365 in strijd is met toepasselijke wet- en regelgeving.

2.4 Grondslag

De Klant garandeert dat de Verwerking van Persoonsgegevens via de Dienst berust op een geldige grondslag onder het Toepasselijk Gegevensbeschermingsrecht en dat de Betrokkenen overeenkomstig dat recht zijn geïnformeerd.

2.5 AI-gegevensgebruik

De Verwerking van Persoonsgegevens als onderdeel van Klantgegevens en afgeleide gegevens als bedoeld in artikel 13.5 van de Algemene Voorwaarden, voor het trainen en verbeteren van AI-modellen ten behoeve van de Dienst, is toegestaan onder deze Verwerkersovereenkomst en valt binnen de gedocumenteerde instructies van de Klant (artikel 2.2). Het verbeteren van de AI-functionaliteiten is een integraal en onlosmakelijk onderdeel van de Dienst. Voor de aard, scope en categorieën van het AI-gegevensgebruik gelden aanvullend de AI-Voorwaarden.

3. Naleving en geheimhouding

3.1 Naleving

TriFact365 houdt zich bij de Verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst aan het Toepasselijk Gegevensbeschermingsrecht dat voor TriFact365 als Verwerker geldt.

3.2 Geheimhouding

TriFact365 waarborgt dat personen die toegang hebben tot Persoonsgegevens gebonden zijn aan een geheimhoudingsplicht of een wettelijke geheimhoudingsverplichting.

4. Verzoeken van Betrokkenen en bijstand

4.1 Verzoeken

Ontvangt TriFact365 een verzoek van een Betrokkene rechtstreeks, dan verwijst TriFact365 de Betrokkene door naar de Klant. TriFact365 mag de Betrokkene daarvan op de hoogte stellen.

4.2 Bijstand

TriFact365 verleent de Klant redelijke bijstand bij het nakomen van diens verplichtingen onder het Toepasselijk Gegevensbeschermingsrecht, waaronder — voor zover het Toepasselijk Gegevensbeschermingsrecht daarin voorziet — bij het afhandelen van verzoeken van Betrokkenen, passende beveiligingsmaatregelen, gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingen van de toezichthoudende autoriteit. Hierbij wordt rekening gehouden met de aard van de Verwerking en de informatie waarover TriFact365 beschikt.

4.3 Kosten

Bijstand onder dit artikel is kosteloos tot twee persoonsuren per verzoek. Voor bijstand daarboven mag TriFact365 redelijke kosten in rekening brengen op basis van de gebruikelijke tarieven.

4.4 Register

TriFact365 houdt een register van verwerkingsactiviteiten bij voor zover het Toepasselijk Gegevensbeschermingsrecht daarin voorziet.

5. Beveiligingsmaatregelen

5.1 Beveiligingsmaatregelen

TriFact365 treft passende technische en organisatorische maatregelen om Persoonsgegevens te beschermen tegen verlies, ongeautoriseerde toegang, wijziging of openbaarmaking. De maatregelen zijn beschreven in Annex B.

5.2 Evaluatie

TriFact365 evalueert en toetst de doeltreffendheid van de maatregelen regelmatig en past deze aan op basis van technologische ontwikkelingen en de aard van de Verwerking.

5.3 Certificeringen

Een actueel overzicht van certificeringen, beveiligingsverklaringen en compliance-informatie staat op het Trust Center op de website van TriFact365.

6. Datalekken

6.1 Melding

De Klant is verantwoordelijk voor het melden van een Datalek aan de toezichthouder en/of Betrokkenen. TriFact365 stelt de Klant zonder onnodige vertraging en, voor zover redelijkerwijs mogelijk, uiterlijk binnen 72 uur na ontdekking op de hoogte, zodat de Klant tijdig kan voldoen aan diens meldingsverplichtingen onder het Toepasselijk Gegevensbeschermingsrecht.

6.2 Informatieverstrekking

TriFact365 verstrekt de informatie die redelijkerwijs nodig is om de Klant in staat te stellen te voldoen aan diens meldingsverplichtingen onder het Toepasselijk Gegevensbeschermingsrecht.

6.3 Medewerking

TriFact365 verleent de Klant redelijke medewerking bij de afhandeling van het Datalek en bij eventuele meldingen aan de bevoegde toezichthoudende autoriteit of Betrokkenen.

6.4 Geen erkenning

Een melding of kennisgeving onder dit artikel geldt niet als erkenning van een tekortkoming of van aansprakelijkheid van TriFact365.

6.5 Mislukte pogingen

Mislukte pogingen die de beveiliging niet compromitteren — zoals mislukte inlogpogingen, pings, port scans of denial-of-service-aanvallen — vallen niet onder de meldplicht van dit artikel.

7. Subverwerkers

7.1 Inschakeling

De Klant verleent TriFact365 algemene toestemming voor het inschakelen van Subverwerkers en stemt bij aanvang van de Overeenkomst in met de Subverwerkers die op dat moment zijn opgenomen in het overzicht als bedoeld in Annex C.

7.2 Wijziging

Wil TriFact365 een Subverwerker toevoegen of vervangen, dan kondigt TriFact365 dit ten minste 14 dagen vooraf aan, onder vermelding van de naam van de beoogde Subverwerker, de aard van de Verwerking en de locatie van Verwerking. In dwingende omstandigheden — een wettelijke verplichting die onmiddellijke inschakeling vereist, of een acuut beveiligings- of continuïteitsincident dat voortzetting van de bestaande Verwerking onverantwoord maakt — kan de wijziging met onmiddellijke ingang worden doorgevoerd; TriFact365 doet de aankondiging dan zonder onnodige vertraging achteraf, met vermelding van ook de aanleiding. De Klant kan binnen 10 dagen na de aankondiging bezwaar maken. Partijen overleggen dan te goeder trouw over een passende oplossing. Leidt het overleg niet tot een oplossing, dan mag de Klant het Abonnement opzeggen tegen het einde van de lopende kalendermaand.

7.3 Doorvloeiverplichtingen

TriFact365 legt iedere Subverwerker verplichtingen op die ten minste gelijkwaardig zijn aan de gegevensbeschermingsverplichtingen in deze Verwerkersovereenkomst.

8. Internationale doorgifte

8.1 Waarborgen. TriFact365 verwerkt Persoonsgegevens met passende waarborgen conform het Toepasselijk Gegevensbeschermingsrecht. Doorgifte van Persoonsgegevens naar een andere jurisdictie vindt alleen plaats op basis van een adequaatheidsbesluit van de bevoegde autoriteit of met passende waarborgen — zoals modelcontractbepalingen of equivalente doorgifte-mechanismen — waar nodig aangevuld met technische en organisatorische maatregelen.

8.2 Jurisdictie-annexen

Voor doorgiften van Persoonsgegevens vanuit de EER, het Verenigd Koninkrijk en Zwitserland gelden aanvullend Annex D (EU SCCs), Annex E (UK Addendum) en Annex F (Zwitsers Addendum). Annex G regelt de internationale toepasbaarheid van deze Verwerkersovereenkomst voor overige jurisdicties.

8.3 Locatiewijzigingen

TriFact365 stelt de Klant vooraf op de hoogte van wijzigingen in de doorgifte-locatie van een Subverwerker volgens dezelfde procedure als bij toevoeging of vervanging van een Subverwerker.

9. Verzoeken van overheidsinstanties

9.1 Kennisgeving

Ontvangt TriFact365 een juridisch bindend overheidsverzoek tot toegang tot Persoonsgegevens, dan stelt TriFact365 de Klant zonder onnodige vertraging op de hoogte, tenzij wet- en regelgeving dit verbiedt.

9.2 Betwisting, minimalisatie

TriFact365 betwist verzoeken die kennelijk onrechtmatig of buitenproportioneel zijn en verstrekt uitsluitend het minimum aan Persoonsgegevens dat nodig is.

9.3 Derde landen

TriFact365 handelt verzoeken van overheidsinstanties uit derde landen af conform het Toepasselijk Gegevensbeschermingsrecht.

10. Rapportages en audits

10.1 Rapportages

Op schriftelijk verzoek van de Klant en onder geheimhouding stelt TriFact365 actuele auditrapportages en certificeringsverklaringen van onafhankelijke derden ter beschikking voor zover beschikbaar. De Klant raadpleegt vooraf het Trust Center op de website van TriFact365 en beperkt een eventuele audit tot onderwerpen die daarmee niet zijn af te doen.

10.2 Audit

Alleen voor zover de Klant de naleving niet redelijkerwijs kan vaststellen via artikel 10.1, of indien gegevensbeschermingswetgeving of een toezichthouder dit vereist, mag de Klant op eigen kosten een audit door een onafhankelijke, aan geheimhouding gebonden auditor laten uitvoeren. Een audit:

(a) wordt ten minste 30 dagen vooraf schriftelijk aangekondigd;

(b) vindt plaats binnen reguliere kantooruren;

(c) verstoort de bedrijfsvoering niet onredelijk;

(d) wordt beperkt tot één maal per kalenderjaar, behoudens een gegrond vermoeden van niet-nakoming; en

(e) vindt op afstand plaats, door middel van documentenonderzoek en videoconferenties.

TriFact365 heeft geen eigen datacenters of serverlocaties; productiegegevens worden verwerkt en opgeslagen in datacenters van Subverwerkers (Annex C). Deze datacenters zijn niet toegankelijk voor fysieke inspectie door TriFact365 of de Klant; voor deze laag steunt de audit op de certificeringen en auditrapportages van de betrokken Subverwerkers.

10.3 Medewerking

TriFact365 verleent redelijke medewerking aan de audit. Blijkt uit de audit dat TriFact365 op wezenlijke punten tekortschiet, dan draagt TriFact365 de eigen kosten.

11. Verwijdering en bewaring van gegevens

11.1 Verwijdering

Na beëindiging van het Abonnement worden Persoonsgegevens gewist volgens de volgende termijnen:

(a) Klantinhoud (door of namens de Klant ingevoerde gegevens): bewaard gedurende 90 dagen, gevolgd door wissing uit actieve systemen binnen 30 dagen. De Klant kan de Klantinhoud downloaden via de Software zolang het Abonnement actief is;

(b) Operationele gegevens (toegangslogs, audit-trails en technische logs): bewaard maximaal 12 maanden voor beveiligings- en operationele integriteit;

(c) Beveiligde back-ups: overschreven volgens rollend retentieschema binnen 12 maanden na het ontstaan; Verwerking uitsluitend voor herstel- en continuïteitsdoeleinden. Back-ups dienen niet voor het terughalen van gegevens voor individuele Klanten.

11.2 Wettelijke bewaring

TriFact365 mag Persoonsgegevens langer bewaren voor zover dit wettelijk verplicht is. De Verwerking is in dat geval beperkt tot dit doeleinde.

12. Aansprakelijkheid

12.1 Aansprakelijkheid

De aansprakelijkheid van partijen onder deze Verwerkersovereenkomst, waaronder de aansprakelijkheid van TriFact365 voor de naleving van deze Verwerkersovereenkomst door ingeschakelde Subverwerkers, is onderworpen aan de beperkingen en uitsluitingen uit artikel 18 van de Algemene Voorwaarden, voor zover toepasselijk recht dit toestaat.

13. Slotbepalingen

13.1 Voorrang

Bij tegenstrijdigheid tussen deze Verwerkersovereenkomst en de doorgifte-mechanismen in de Annexen D tot en met F voor de relevante doorgiften, gaan die doorgifte-mechanismen voor.

13.2 Duur

Deze Verwerkersovereenkomst blijft van kracht zolang TriFact365 Persoonsgegevens verwerkt onder de Overeenkomst.

Annex A — Verwerkingsdetails

A.1 Onderwerp

Verwerking van Persoonsgegevens door TriFact365 als Verwerker in het kader van het gebruik van de Dienst door de Klant.

A.2 Doel

Het leveren van de Dienst aan de Klant overeenkomstig de Overeenkomst. De Klant bepaalt welke onderdelen van de Dienst worden gebruikt en voor welk doel.

A.3 Aard van de Verwerking

De Verwerkingen omvatten onder meer: ontvangst en opslag; raadplegen, doorzoeken en filteren; conversie tussen bestandsformaten; herkenning, extractie en classificatie; koppelen en matchen van records; AI-Verwerking, waaronder het trainen en verbeteren van AI-modellen ten behoeve van de Dienst; het faciliteren van workflows en goedkeuringsprocessen; rapportage en analyse; aanmaken, bewerken en verzenden van documenten en gegevens; uitwisselen van documenten en gegevens met externe software; notificaties; archivering; back-up en herstel; wissen; gebruikersbeheer en authenticatie; klantcontact en ondersteuning; logging en auditlogging.

A.4 Categorieën Betrokkenen

De Verwerking kan betrekking hebben op Persoonsgegevens van:

(a) Applicatiegebruikers;

(b) medewerkers en voormalige medewerkers van de Klant;

(c) klanten, leveranciers en overige zakelijke relaties van de Klant;

(d) cliënten van de Klant en hun zakelijke relaties, voor zover de Klant de Dienst gebruikt in het kader van dienstverlening aan derden;

(e) overige natuurlijke personen van wie Persoonsgegevens door of namens de Klant via de Dienst worden verwerkt.

A.5 Categorieën Persoonsgegevens

Het gaat onder meer om:

(a) gebruikersgegevens (naam, e-mail, inlog- en sessiegegevens);

(b) organisatie- en relatiegegevens (bedrijfsnaam, adres, btw-/KVK-nummer, telefoon, bankrekeningnummer en tenaamstelling);

(c) technische gegevens (IP-adres, tijdstempels, loggegevens);

(d) overige Persoonsgegevens die door of namens de Klant via de Dienst worden verwerkt.

De Dienst is niet bedoeld voor het gericht verwerken van bijzondere categorieën van Persoonsgegevens. Voor zover zulke gegevens incidenteel in door of namens de Klant aangeleverde documenten voorkomen, is de Klant ervoor verantwoordelijk dat deze Verwerking is toegestaan onder het Toepasselijk Gegevensbeschermingsrecht.

A.6 Duur van de Verwerking

TriFact365 verwerkt Persoonsgegevens gedurende het Abonnement en daarna uitsluitend gedurende de termijnen en voor de doeleinden van artikel 11.

A.7 Frequentie van doorgiften

Continu, naar gelang de Klant gebruik maakt van de Dienst.

A.8 Verwerkingslocatie

Verwerkingslocaties volgen uit het Subverwerkers-overzicht als bedoeld in Annex C. Doorgifte naar andere jurisdicties vindt plaats conform artikel 8 en de Annexen D tot en met G.

Annex B — Technische en organisatorische maatregelen (TOMs)

B.1 Organisatorische beveiliging

(a) Information Security Management System (ISMS) afgestemd op standaarden zoals ISO/IEC 27001; actuele certificeringsstatus staat op het Trust Center op de website van TriFact365.

(b) Risicobeheer met periodieke evaluatie; leveranciersrisicobeoordeling voor Subverwerkers.

(c) Geheimhoudingsplicht voor alle medewerkers met toegang tot Persoonsgegevens.

(d) Verplichte beveiligings- en privacy-training bij indiensttreding en periodiek daarna.

(e) Toegangsverlening op basis van least privilege en role-based access control (RBAC).

B.2 Logische toegangsbeveiliging

(a) Unieke gebruikersidentificatie; sterke authenticatie; multi-factor authenticatie (MFA) voor bevoorrechte toegang.

(b) Periodieke toegangsreviews en intrekking van toegangsrechten bij functiewijziging of uitdiensttreding.

(c) Veilig sleutelbeheer met beperkte toegang en rotatiebeleid.

B.3 Gegevensbescherming

(a) Versleuteling bij transport (in transit): TLS 1.2 of hoger.

(b) Versleuteling bij opslag (at rest): AES-256 of vergelijkbaar voor opslag, back-ups en draagbare media.

(c) Pseudonimisering waar passend en redelijkerwijs mogelijk.

B.4 Applicatie- en ontwikkelbeveiliging

(a) Veilige ontwikkelstandaarden (secure SDLC); peer review; afhankelijkheidscontrole; statische en dynamische code-analyse.

(b) Gescheiden ontwikkel-, test- en productieomgevingen.

(c) Periodieke beveiligingstests, waaronder penetratietesten.

B.5 Bewaking en logging

(a) Centrale logging van beveiligingsgebeurtenissen (authenticatie, autorisatiewijzigingen, beheeracties, afwijkende dataaccess).

(b) Beveiliging van log-integriteit; bewaartermijn van logs maximaal 12 maanden.

(c) Alarmering en on-call-rotatie voor security-incidenten.

B.6 Bedrijfscontinuïteit en herstel

(a) Gedocumenteerde Business Continuity- en Disaster Recovery-plannen; periodiek getest.

(b) Geografisch gescheiden redundantie van kritieke systemen.

(c) Procedures om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot Persoonsgegevens tijdig te herstellen.

B.7 Kwetsbaarheids- en patchbeheer

(a) Periodieke kwetsbaarheidsscans van infrastructuur en applicaties.

(b) Op risico gebaseerde hersteltijdslijnen; spoedpatches voor kritieke kwetsbaarheden.

B.8 Security Incident response

(a) Gedocumenteerd Security Incident Response-plan met procedures voor detectie, triage, indamming, oplossing en herstel.

(b) Klantmelding van Datalekken conform artikel 6.

(c) Root-cause-analyse en correctieve maatregelen na security-incidenten.

B.9 Privacy by design en by default

(a) Privacy-toetsing bij ontwerp van nieuwe of gewijzigde Verwerkingen.

(b) Datasegregatie per Klant (multi-tenancy).

(c) Standaardconfiguraties gericht op minimale gegevensverzameling en minimale openbaarmaking.

Annex C — Subverwerkers

C.1 Actueel overzicht

Een actueel overzicht van de door TriFact365 ingeschakelde Subverwerkers, inclusief de naam, de aard van de Verwerking en de verwerkingslocatie, staat op de pagina Subverwerkers.

Annex D — EU-standaardcontractbepalingen (incorporatie)

D.1 Incorporatie

De EU-standaardcontractbepalingen vastgesteld bij Uitvoeringsbesluit (EU) 2021/914 (of een opvolgende versie die dit besluit automatisch vervangt) zijn door verwijzing onderdeel van deze Verwerkersovereenkomst en zijn van toepassing op doorgiften van persoonsgegevens vanuit de EER naar landen zonder adequaatheidsbesluit..

D.2 Module-selectie

(a) Module 2 (verwerkingsverantwoordelijke → verwerker): van toepassing op doorgiften van persoonsgegevens van de Klant (verwerkingsverantwoordelijke) naar TriFact365 (verwerker), voor zover TriFact365 buiten de EER verwerkt.

(b) Module 3 (verwerker → subverwerker): van toepassing op doorvloeiende doorgiften van TriFact365 (verwerker) naar Subverwerkers buiten de EER.

D.3 Aansluitingsclausule

Clausule 7 (aansluitingsclausule) is van toepassing.

D.4 Subverwerker-autorisatie

Clausule 9, optie 2 (algemene autorisatie) is van toepassing met een aankondigingstermijn van 14 dagen, conform artikel 7.2 van deze Verwerkersovereenkomst.

D.5 Toepasselijk recht en bevoegde rechter

(a) Clausule 17: Nederlands recht.

(b) Clausule 18: rechtbank Midden-Nederland.

D.6 Bevoegde toezichthouder

De toezichthoudende autoriteit van de EER-lidstaat waarin de Klant is gevestigd. Indien de Klant niet in de EER is gevestigd, is de Nederlandse Autoriteit Persoonsgegevens de toezichthoudende autoriteit.

D.7 Bijlage-invulling

(a) Bijlage I.A (partijen): zoals beschreven in Annex A.

(b) Bijlage I.B (omschrijving van de doorgifte): zoals beschreven in Annex A.

(c) Bijlage I.C (toezichthoudende autoriteit): zoals beschreven in D.6.

(d) Bijlage II (technische en organisatorische maatregelen): zoals beschreven in Annex B.

(e) Bijlage III (lijst van Subverwerkers): zoals beschreven in Annex C.

Annex E — UK Addendum (Verenigd Koninkrijk en Gibraltar)

Voor doorgiften van persoonsgegevens onderworpen aan de UK General Data Protection Regulation (UK GDPR) en de UK Data Protection Act 2018. Verwijzingen naar de UK GDPR in deze Annex omvatten waar relevant equivalente gegevensbeschermingswetgeving van jurisdicties die nauw aansluiten op het UK-kader waaronder de Gibraltar General Data Protection Regulation (Gibraltar GDPR); verwijzingen naar de Information Commissioner's Office (ICO) gelden waar van toepassing als verwijzingen naar de Gibraltar Information Commissioner.

E.1 Incorporatie

Het International Data Transfer Addendum bij de EU-standaardcontractbepalingen, uitgebracht door de Information Commissioner's Office (versie B.1.0 of een opvolgende versie die deze automatisch vervangt), is door verwijzing onderdeel van deze Verwerkersovereenkomst.

E.2 Toepasselijkheid

Voor Klanten gevestigd in het Verenigd Koninkrijk geldt aanvullend:

(a) de UK General Data Protection Regulation (UK GDPR) en de UK Data Protection Act 2018 zijn van toepassing op de Klant als verwerkingsverantwoordelijke;

(b) de Information Commissioner's Office (ICO) treedt op als toezichthouder voor de Klant;

(c) voor doorgiften vanuit het Verenigd Koninkrijk naar derde landen wordt waar nodig de UK International Data Transfer Agreement (IDTA) of het UK Addendum bij de EU-standaardcontractbepalingen gehanteerd.

E.3 Tabel-invulling

(a) Tabel 1 (partijen): zoals beschreven in Annex A.

(b) Tabel 2 (geselecteerde SCC's): zoals beschreven in Annex D, Module 2 of 3 naar gelang.

(c) Tabel 3 (bijlage-informatie): zoals beschreven in Annex A (omschrijving), Annex B (TOMs) en Annex C (Subverwerkers).

(d) Tabel 4 (beëindiging van het Addendum): geen van beide partijen kiest ervoor af te wijken van het mandatory updates-mechanisme van de ICO.

Annex F — Zwitsers Addendum

Voor doorgiften van persoonsgegevens onderworpen aan de Zwitserse Federale Wet op de Gegevensbescherming (Swiss Federal Act on Data Protection — FADP, in werking sinds 1 september 2023).

F.1 Toepasselijkheid

Voor Klanten gevestigd in Zwitserland geldt aanvullend:

(a) de Federale Wet op de Gegevensbescherming (FADP) is van toepassing op de Klant als verwerkingsverantwoordelijke;

(b) de Federal Data Protection and Information Commissioner (FDPIC) treedt op als toezichthouder voor de Klant;

F.2 Aanpassingen op de EU-standaardcontractbepalingen

Voor doorgiften vanuit Zwitserland naar derde landen worden de EU-standaardcontractbepalingen toegepast met de door de FDPIC erkende aanpassingen voor Zwitserse context, waaronder:

(a) verwijzingen naar de "Member State" gelden als verwijzingen naar Zwitserland;

(b) verwijzingen naar de EU GDPR gelden waar passend als verwijzingen naar de FADP;

(c) de bevoegde toezichthouder is de Federal Data Protection and Information Commissioner (FDPIC).

F.3 Bijlage-invulling

(a) Bijlage I.A (partijen): zoals beschreven in Annex A.

(b) Bijlage I.B (omschrijving van de doorgifte): zoals beschreven in Annex A.

(c) Bijlage I.C (toezichthoudende autoriteit): de Federal Data Protection and Information Commissioner (FDPIC).

(d) Bijlage II (technische en organisatorische maatregelen): zoals beschreven in Annex B.

(e) Bijlage III (lijst van Subverwerkers): zoals beschreven in Annex C.

Annex G — Internationale toepasbaarheid

Voor verwerking van persoonsgegevens ten aanzien van Klanten of betrokkenen wereldwijd, met inachtneming van Sanctiewetgeving zoals nader omschreven in artikel 23 van de Algemene Voorwaarden.

G.1 Toepasselijkheid

Deze Verwerkersovereenkomst is wereldwijd van toepassing op de verwerking van persoonsgegevens door TriFact365 ten aanzien van Klanten en betrokkenen, met inachtneming van Sanctiewetgeving en de operationele uitsluitingscriteria zoals beschreven in artikel 23 van de Algemene Voorwaarden. De kernbepalingen van deze Verwerkersovereenkomst (de artikelen 1 tot en met 14 en de Annexen A tot en met C) gelden universeel voor alle verwerkingen.

G.2 Doorgifte-mechaniek

Voor doorgiften van persoonsgegevens vanuit de Europese Economische Ruimte, het Verenigd Koninkrijk of Zwitserland naar Klanten, betrokkenen of Subverwerkers in andere jurisdicties hanteert TriFact365 de EU-standaardcontractbepalingen (Annex D), het UK Addendum (Annex E) en het Zwitsers Addendum (Annex F) als universele transferwaarborgen, aangevuld met technische en organisatorische maatregelen zoals beschreven in Annex B. Deze waarborgen gelden ongeacht de specifieke jurisdictie van de Klant of de betrokkene.

G.3 Verantwoordelijkheid van de Klant voor lokale wetgeving

Voor zover de Klant of de Applicatiegebruikers van de Klant zijn gevestigd in een jurisdictie buiten de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland, is de Klant verantwoordelijk voor naleving van de op de Klant en de betrokkenen toepasselijke lokale gegevensbeschermingswetgeving. De Klant verklaart dat het gebruik van de Dienst door de Klant en de Applicatiegebruikers in overeenstemming is met die lokale wetgeving. De Klant vrijwaart TriFact365 voor aanspraken van derden die uitsluitend voortvloeien uit verplichtingen onder de wet- en regelgeving van de vestigingsplaats van de Klant of de Applicatiegebruikers, voor zover die verplichtingen niet zijn opgenomen in deze Verwerkersovereenkomst.

G.4 Aanvullend Addendum op verzoek

Indien een Klant aanvullende gegevensbeschermingsbepalingen verlangt die specifiek zijn voor de wet- en regelgeving van de vestigingsplaats van de Klant of van betrokkenen, kan de Klant een verzoek tot een afzonderlijk Addendum richten aan TriFact365. Verzoeken worden individueel beoordeeld op basis van de aard van de verwerking, de complexiteit van de toepasselijke wetgeving en de operationele uitvoerbaarheid voor TriFact365.

— Einde Verwerkersovereenkomst TriFact365 — Versie 2.0 —

TriFact365 B.V.
Arnhemseweg 10, 3817 CH Amersfoort, Nederland | KVK 30262227 | BTW NL820778540B01