Gegevensverwerkingsprotocol

^{Versie 2}

Dit Gegevensverwerkingsprotocol ("Protocol") is onderdeel van elke overeenkomst tussen Willis Towers Watson en de Klant die er uitdrukkelijk naar verwijst (de “Overeenkomst”).

Wanneer in dit Protocol termen worden gebruikt die zijn gedefinieerd in de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) van de EU, of in de General Data Protection Regulation van het Verenigd Koninkrijk, zoals omgezet in nationaal recht door middel van sectie 3 van de European Union (Withdrawal) Act van 2018, en beide zoals van tijd tot tijd gewijzigd (elk de “Verordening”), dan zijn de definities in de respectieve Verordening van kracht, voor zover van toepassing. "Wetgeving inzake gegevensbescherming" betekent alle relevante wet- en regelgeving met betrekking tot de beveiliging, vertrouwelijkheid, bescherming of privacy van Persoonsgegevens, zoals van tijd tot tijd gewijzigd of opnieuw ingevoerd, inclusief (voor zover van toepassing) de Verordening voor zover van toepassing op de diensten die worden geleverd in het kader van de Overeenkomst. In geval van tegenstrijdigheden tussen de voorwaarden van dit Protocol en de voorwaarden van de rest van de Overeenkomst, prevaleren de voorwaarden van dit Protocol.

De Klant, (“Verwerkingsverantwoordelijke”), verklaart en garandeert dat de door hem verzamelde Persoonsgegevens zijn verzameld in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en dat hij de volledige bevoegdheid heeft uit hoofde van de toepasselijke wetgeving inzake gegevensbescherming om dergelijke Persoonsgegevens te verstrekken aan Willis Towers Watson (“Gegevensverwerker”) voor de doeleinden van de Overeenkomst en de levering van de diensten, inclusief zoals uiteengezet in de beschrijving van verwerking in Bijlage 1 (de “Beschrijving van verwerking”). De Klant zal conform de toepasselijke wetgeving aan zijn verplichtingen als Verwerkingsverantwoordelijke voldoen.

Gegevensverwerking

Met betrekking tot Persoonsgegevens die door de Gegevensverwerker namens de Verwerkingsverantwoordelijke worden verwerkt:

1.1. Naleving van de wet.

Beide partijen zullen zich houden aan de Wetgeving inzake gegevensbescherming en zullen er niet opzettelijk voor zorgen dat de andere partij de Wetgeving inzake gegevensbescherming schendt.

1.2. Beperkingen ten aanzien van gebruik.

De Gegevensverwerker zal Persoonsgegevens uitsluitend Verwerken voor de doeleinden beschreven in de Overeenkomst met inbegrip van artikel 1.5 hieronder en in de Beschrijving van Verwerking, en uitsluitend zoals van tijd tot tijd schriftelijk nader overeengekomen tussen Verwerkingsverantwoordelijke en de Gegevensverwerker, tenzij anders vereist door toepasselijke wetgeving. In dat geval zal de Gegevensverwerker de Verwerkingsverantwoordelijke informeren, tenzij die wetgeving de Gegevensverwerker verbiedt dit te doen om zwaarwegende redenen van algemeen belang. De Gegevensverwerker zal de Verwerkingsverantwoordelijke informeren als hij van oordeel is dat een instructie van de Verwerkingsverantwoordelijke inbreuk maakt op de Wetgeving inzake gegevensbescherming.

1.3. Vertrouwelijkheid.

De Gegevensverwerker zal:

i. Persoonsgegevens vertrouwelijk houden en van zijn personeel of andere personen die onder zijn gezag handelen en die Persoonsgegevens verwerken, eisen dat zij gebonden zijn aan geheimhoudingsplichten, hetzij op grond van een schriftelijke overeenkomst of een passende wettelijke verplichting tot vertrouwelijkheid of anderzijds, en alle Persoonsgegevens beschermen in overeenstemming met de vereisten van dit Protocol en de Wetgeving inzake gegevensbescherming; en

ii. alleen Persoonsgegevens openbaar maken aan, of toegang verlenen tot, zijn personeel of andere personen die handelen onder zijn gezag en Persoonsgegevens verwerken waarvan het gebruik van Persoonsgegevens noodzakelijk is voor de uitvoering van hun taken.

1.4. Assistentie.

De Gegevensverwerker zal:

i. Rekening houdend met de aard van de Verwerking en voor zover mogelijk, technische en organisatorische maatregelen implementeren om de Verwerkingsverantwoordelijke te assisteren bij het nakomen van zijn verplichting om te reageren op:

a. alle verzoeken van Betrokkenen die hun rechten uitoefenen op grond van de Wetgeving inzake gegevensbescherming; en

b. elk verzoek of elke communicatie met een toezichthoudende autoriteit met betrekking tot Persoonsgegevens;

ii. Rekening houdend met de aard van de Verwerking en de informatie die de Gegevensverwerker tot zijn beschikking heeft, de Verwerkingsverantwoordelijke assisteren bij het nakomen van diens verplichting om gepaste technische en organisatorische beveiligingsmaatregelen te implementeren, Vertrouwelijkheidsschendingen van Persoonsgegevens te melden aan toezichthoudende instanties en aan Betrokkenen, effectbeoordelingen op het gebied van gegevensbescherming uitvoeren en indien nodig met de toezichthoudende autoriteiten overleg plegen over effectbeoordelingen op het gebied van gegevensbescherming.

iii. Met het oog op het controleren van de naleving door de Gegevensverwerker van zijn verplichtingen uit hoofde van dit Protocol, zal de Gegevensverwerker de Verwerkingsverantwoordelijke, na redelijke kennisgeving (ten minste 30 dagen) het volgende verlenen: (a) toegang tot informatieverwerkingsruimtes en -dossiers die relevant zijn voor de diensten in kwestie; (b) redelijke assistentie en samenwerking van relevant personeel; en (c) redelijke faciliteiten op de locaties van de Gegevensverwerker. Bovendien zal de Gegevensverwerker na kennisgeving aan de Gegevensverwerker redelijke assistentie en ondersteuning bieden aan de Verwerkingsverantwoordelijke in het geval van een onderzoek door een regelgevende instantie, waaronder een toezichthouder voor gegevensbescherming, of een soortgelijke autoriteit, indien en voor zover een dergelijk onderzoek betrekking heeft op de Persoonsgegevens van de Verwerkingsverantwoordelijke die door de Gegevensverwerker worden verwerkt. Alle audits zijn voor eigen rekening en kosten van de Verwerkingsverantwoordelijke, inclusief de tijd van het personeel van de Gegevensverwerker. De audits worden niet vaker dan eenmaal per 12 maanden uitgevoerd voor de Verwerkingsverantwoordelijke voor alle diensten die door de Gegevensverwerker worden geleverd, tenzij in verband gebracht met een bevestigde inbreuk die van invloed is op Persoonsgegevens van de Verwerkingsverantwoordelijke en die in aanmerking komt als een uitzondering op de jaarlijkse beperking, op voorwaarde dat: (i) een dergelijke audit zal plaatsvinden op een wederzijds aanvaardbare tijd en de duur van de audit beperkt is tot een redelijke periode; (ii) een dergelijke audit de activiteiten van de Gegevensverwerker niet op onredelijke wijze zal verstoren; (iii) de derde partij die een dergelijke audit uitvoert namens de Verwerkingsverantwoordelijke een geheimhoudingsovereenkomst met de Gegevensverwerker zal aangaan in een vorm die redelijkerwijs aanvaardbaar is voor de Gegevensverwerker met betrekking tot de vertrouwelijke behandeling en het beperkte gebruik van de vertrouwelijke gegevens door de Gegevensverwerker of externe Gegevensverwerkers, en de Gegevensverwerker zal in geen geval verplicht zijn om informatie van andere klanten van de Gegevensverwerker bekend te maken; (iv) de Verwerkingsverantwoordelijke de informatie die hem tijdens de audit wordt verstrekt vertrouwelijk zal houden voor alle derden, behalve voor derden die met toestemming van de Gegevensverwerker deelnemen aan de audit, zoals hieronder beschreven; (v) de audit wordt uitgevoerd onder voorbehoud van redelijke beveiligingsbeperkingen van de Gegevensverwerker; en (vi) de Verwerkingsverantwoordelijke erkent dat de Gegevensverwerker kan eisen dat bepaalde logboeken, beleidslijnen, dossiers of andere materialen ter plaatse worden beoordeeld vanwege hun vertrouwelijke aard en dat de auditor van de Gegevensverantwoordelijke deze niet mag kopiëren. Niettegenstaande het voorgaande mag geen enkele derde partij deelnemen aan een audit tenzij de Verwerkingsverantwoordelijke de voorafgaande toestemming van de Gegevensverwerker verkrijgt (die niet op onredelijke gronden zal worden onthouden) en op voorwaarde dat de Verwerkingsverantwoordelijke begrijpt dat de Gegevensverwerker niet instemt met de deelname van een derde partij die diensten of producten aanbiedt die concurreren met die van de Gegevensverwerker.

1.5. Verdere Verwerking van Persoonsgegevens.

De Gegevensverwerker zal alleen de Persoonsgegevens van de Verwerkingsverantwoordelijke verwerken die zijn verkregen tijdens het verlenen van de diensten: (i) om Persoonsgegevens te verwerken of te onderhouden namens de Verwerkingsverantwoordelijke en in overeenstemming met de Overeenkomst; (ii) om een subverwerker aan te wijzen wanneer een dergelijke subverwerker verplicht is om de diensten te verlenen die het onderwerp zijn van de Overeenkomst; (iii) voor intern gebruik om de diensten van Willis Towers Watson te ontwikkelen en te verbeteren; (iv) om gegevensbeveiligingsincidenten op te sporen of bescherming te bieden tegen frauduleuze of illegale activiteiten; (v) indien nodig om te voldoen aan de toepasselijke wetgeving; (vi) met inachtneming van de bepalingen van artikel 1.8 hieronder, om te voldoen aan een civiele of strafrechtelijke procedure of onderzoek door regelgevende instanties; en (vii) om rechtsvorderingen uit te oefenen of er verweer tegen te voeren. De Verwerkingsverantwoordelijke erkent dat de Gegevensverwerker Persoonsgegevens kan anonimiseren met het oog op geaggregeerde rapportage en het verbeteren van de kwaliteit van de diensten die aan de Verwerkingsverantwoordelijke worden geleverd.

1.6. Beveiligingsmaatregelen.

De Gegevensverwerker zal een schriftelijk informatiebeveiligingsprogramma bijhouden dat passende administratieve, technische en fysieke veiligheidsmaatregelen bevat om Persoonsgegevens te beschermen tegen verwachte bedreigingen of gevaren voor de beveiliging, vertrouwelijkheid of integriteit ervan. Gezien de stand van de technologische ontwikkeling, de uitvoeringskosten en de aard, de context van het toepassingsgebied en de doeleinden van de Verwerking, zal de Gegevensverwerker passende technische en organisatorische beveiligings- en vertrouwelijkheidsmaatregelen treffen (waaronder mogelijk de pseudonimisering en/of anonimisering van Persoonsgegevens, waar op gepaste wijze rekening wordt gehouden met de aard van de Verwerking) die nodig zijn om te beschermen tegen ongeoorloofde of onwettige Verwerking van Persoonsgegevens en tegen onopzettelijk verlies of vernietiging van, of schade aan, Persoonsgegevens; deze maatregelen zullen passend zijn gezien de schade die zou kunnen voortvloeien uit de ongeoorloofde of onwettige Verwerking of het onopzettelijke verlies, de vernietiging of schade. Een dergelijk schriftelijk informatiebeveiligingsprogramma wordt niet gewijzigd wanneer dergelijke wijzigingen de bescherming van Persoonsgegevens zouden verminderen.

1.7. Beveiligingsincident.

De Gegevensverwerker zal zonder onnodige vertraging de Verwerkingsverantwoordelijke informeren wanneer de Gegevensverwerker op de hoogte is gekomen dat er een beveiligingsschending heeft plaatsgevonden die heeft geleid tot onopzettelijke of onwettige vernietiging, verlies, verandering, onbevoegde bekendmaking van, of toegang tot Persoonsgegevens die zijn verwerkt door de Gegevensverwerker in het kader van dit Protocol (‘Beveiligingsincident’). Nadat de Verwerkingsverantwoordelijke is geïnformeerd, zal de Gegevensverwerker het Beveiligingsincident onderzoeken, de noodzakelijke maatregelen nemen om het effect van het Beveiligingsincident te elimineren of te beperken en de Verwerkingsverantwoordelijke op de hoogte houden van de status van het Beveiligingsincident en alle gerelateerde kwesties.

1.8. Kennisgeving van toegangsverzoeken of klachten.

De Gegevensverwerker zal, voor zover wettelijk toegestaan, de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen van elk verzoek of elke mededeling van een wetshandhavingsautoriteit met betrekking tot Persoonsgegevens die worden verwerkt op grond van deze Overeenkomst. De Gegevensverwerker zal niet direct voldoen aan een verzoek om openbaarmaking van Persoonsgegevens voordat schriftelijke toestemming van de Verwerkingsverantwoordelijke is verkregen, tenzij hij daartoe wordt verplicht door de wet, een gerechtelijk bevel of een ander wettelijk afdwingbaar mechanisme.

1.9. Terugzending of verwijdering.

De Verwerkingsverantwoordelijke kan de Gegevensverwerker opdracht geven om de Persoonsgegevens na de beëindiging of afloop van deze Overeenkomst te verwijderen of terug te sturen. De Gegevensverwerker zal dergelijke instructies naleven en aan de Verwerkingsverantwoordelijke bevestigen dat verwijdering heeft plaatsgevonden (indien van toepassing), tenzij anders vereist door de toepasselijke wetgeving, de archiveringsvereisten van de Gegevensverwerker (inclusief vereisten voor professionele normen, verweer tegen rechtsvorderingen en onderbouwing van werkproducten), of met betrekking tot back-upmedia en gearchiveerde Persoonsgegevens waarvoor selectieve verwijdering van bestanden niet haalbaar is, op voorwaarde dat de Gegevensverwerker de relevante voorwaarden van dit Protocol met betrekking tot alle bewaarde Persoonsgegevens blijft naleven en de bewaarde Persoonsgegevens niet voor enig ander doel zal Verwerken.

1.10. Subverwerking.

De Verwerkingsverantwoordelijke begrijpt dat de Gegevensverwerker subverwerkers inschakelt voor de doeleinden van de Overeenkomst en zoals beschreven in de Beschrijving van Verwerking, en machtigt hem hierbij dit te doen, op voorwaarde dat de Gegevensverwerker (i) verantwoordelijk blijft voor de uitvoering van zijn verplichtingen uit hoofde van dit Protocol, (ii) dergelijke subverwerkers inschakelt in overeenstemming met de wetgeving inzake gegevensbescherming (indien vereist), en (iii) ervoor zorgt dat hij schriftelijke en juridisch bindende overeenkomsten aangaat met dergelijke subverwerkers die verplichtingen bevatten die ten minste even beperkend zijn als die welke in dit Protocol zijn uiteengezet. De Gegevensverwerker is uitdrukkelijk bevoegd gebruik te maken van de subverwerkers die nodig zijn om de diensten aan de Verwerkingsverantwoordelijke te leveren en zal op verzoek een lijst van subverwerkers verstrekken.

De Gegevensverwerker kan van tijd tot tijd subverwerkers wijzigen of toevoegen na de Verwerkingsverantwoordelijke voor de verwerking hiervan schriftelijk in kennis te hebben gesteld, zodat de Verwerkingsverantwoordelijke voor de verwerking op redelijke gronden en binnen 14 kalenderdagen bezwaar kan maken tegen een dergelijke voorgestelde wijziging.

1.11. Gegevensoverdracht.

De Verwerkingsverantwoordelijke bevestigt dat de Gegevensverwerker Persoonsgegevens wereldwijd kan overdragen aan zijn gelieerde ondernemingen en subverwerkers, inclusief buiten het Verenigd Koninkrijk en de Europese Economische Ruimte, op voorwaarde dat de Gegevensverwerker ervoor zorgt dat dergelijke overdrachten worden uitgevoerd in overeenstemming met de toepasselijke wetgeving, inclusief de implementatie van passende waarborgen om een gelijkwaardig niveau van bescherming van Persoonsgegevens en passende contractuele beschermingen te waarborgen zoals opgelegd door de toepasselijke wetgeving, de toepasselijke toezichthoudende autoriteit, of toezichthouder voor gegevensbescherming. Om twijfel te voorkomen, bevestigt de Gegevensverwerker dat wanneer hij voor het leveren van de diensten Persoonsgegevens overdraagt aan zijn gelieerde ondernemingen of subverwerkers buiten het Verenigd Koninkrijk of de Europese Economische Ruimte, al deze overdrachten onderworpen zijn aan de internationale overeenkomst of het addendum inzake gegevensoverdracht van het Verenigd Koninkrijk en/of de standaard contractuele clausules van de EU, indien van toepassing.

Bijlage 1: Beschrijving van Verwerking van Persoonsgegevens

1. Onderwerp, aard en doel

Alle verwerkingsactiviteiten (inclusief de verzameling, organisatie en analyse van Persoonsgegevens) zoals ze redelijkerwijs vereist zijn om de verlening van de diensten beschreven in de Overeenkomst mogelijk te maken of te ondersteunen.

2. Duur van Verwerking van Persoonsgegevens

De Gegevensverwerker zal de Persoonsgegevens verwerken zolang hij uit hoofde van de Overeenkomst diensten verleent aan de Verwerkingsverantwoordelijke en zal de Persoonsgegevens na die datum bewaren in overeenstemming met de bewaarbepalingen van de Overeenkomst (inclusief het Protocol).

3. Categorieën van Betrokkenen:

De Betrokkenen kunnen personen zijn die in een beleidsdocument of regeling worden genoemd op basis waarvan de Gegevensverwerker zijn diensten dient te verlenen en/of personen die begunstigden zijn van, of vorderingen hebben gedaan op grond van, of anderzijds betrokken zijn bij een dergelijk beleidsdocument of regeling. Gewoonlijk omvatten Betrokkenen: (1) voormalige, huidige of toekomstige werknemers, opdrachtnemers of andere medewerkers van de Verwerkingsverantwoordelijke, of leden of begunstigden van pensioenregelingen waarvoor de Verwerkingsverantwoordelijke verantwoordelijk is ("Medewerkers") en/of hun familieleden, vertegenwoordigers of anderen verbonden aan Medewerkers; (2) voormalige, huidige of toekomstige klanten van de Klant, en/of hun werknemers of andere personen aan hen verbonden, en/of hun familieleden, vertegenwoordigers of anderen aan hen verbonden; en/of (3) voormalige, bestaande of toekomstige aanklagers of eisers in verband met een verzekeringspolis, en/of hun familieleden, vertegenwoordigers of anderen die met hen verbonden zijn.

4. Soorten Persoonsgegevens:

De diensten uit hoofde van de Overeenkomst kunnen inhouden dat de volgende soorten Persoonsgegevens worden verwerkt:

namen en contactinformatie;
demografische informatie (zoals geslacht, leeftijd, geboortedatum, burgerlijke staat, nationaliteit, opleiding/werkervaring, academische/professionele kwalificaties, dienstverbandgegevens, hobby's, gezinssamenstelling en afhankelijke personen);
documentatie over persoonlijke identificatie en bijbehorende informatie zoals paspoortnummers en werknemersidentificatienummers;
financiële en betalingsgegevens zoals bankrekeningnummers en transactie-informatie;
informatie met betrekking tot de verlening van diensten, zoals polisinformatie en vorderingeninformatie, waaronder informatie met betrekking tot incidenten die leiden tot vorderingen en bijbehorende verliezen;
communicatiegegevens; en
personeelsbeheergegevens, zoals functieomschrijving en taken; informatie over uitkeringen en vergoedingen; informatie over afhankelijken/begunstigden; informatie over opleiding, academische en professionele kwalificaties; contactinformatie voor spoedgevallen; en prestatiebeheerinformatie.

5. Soorten bijzondere gegevenscategorieën waarnaar wordt verwezen in artikel 9 van de Verordening:

De Persoonsgegevens verwerkt door de Gegevensverwerker kunnen de volgende bijzondere categorieën Persoonsgegevens bevatten: persoonlijke kenmerken en omstandigheden van gevoelige aard zoals ras of etnische afkomst, seksleven of seksuele oriëntatie, mentale en fysieke gezondheid, genetische informatie, gegevens over letsel, ontvangen medicatie/behandeling, politieke of religieuze overtuigingen en vakbondslidmaatschap.

Wat kunnen wij je helpen zoeken?

Gegevensverwerkingsprotocol – Europa

Gegevensverwerking

Bijlage 1: Beschrijving van Verwerking van Persoonsgegevens

List of website locations and languages available in Americas
Location	Languages Available
Argentina	Spanish
Bermuda	English
Brazil	Portuguese
Canada	English French
Chile	Spanish
Colombia	Spanish
Costa Rica	Spanish
El Salvador	Spanish
Guatemala	Spanish
Honduras	Spanish
Mexico	Spanish
Nicaragua	Spanish
Panama	Spanish
Peru	Spanish
United States	English
Venezuela	Spanish

List of website locations and languages available in Asia-Pacific
Location	Languages Available
Australia	English
China	Simplified Chinese
Hong Kong (China, SAR)	English
India	English
Indonesia	English
Japan	Japanese
Korea	Korean
Malaysia	English
New Zealand	English
Philippines	English
Singapore	English
Taiwan	Traditional Chinese
Thailand	English Thai
Vietnam	English

List of website locations and languages available in Europe
Location	Languages Available
Austria	German
Belgium	English French Flemish
Croatia	English Croatian
Czech Republic	English Czech
Denmark	Danish
Finland	Finnish
France	French
Germany	German
Greece	Greek
Hungary	Hungarian
Ireland	English
Italy	Italian
Kazakhstan	Kazakh Russian
Luxembourg	French
Netherlands	Dutch English
Norway	Norwegian
Poland	Polish
Portugal	Portuguese
Romania	Romanian
Serbia	Serbian
Slovakia	Slovak
Spain	Spanish
Sweden	English Swedish
Switzerland	English French German
Turkey	Turkish
Ukraine	Ukrainian
United Kingdom	English

List of website locations and languages available in Middle East and Africa
Location	Languages Available
Cameroon	English French
Congo	French
Egypt	English
Ghana	English
Ivory Coast	French
Israel	English
Jordan	English
Kenya	English
Kuwait	English
Mauritius	English
Nigeria	English
Saudi Arabia	English
Senegal	French
South Africa	English
UAE	English
Uganda	English