Strada benoemt Colin Brennan tot Chief Executive Officer

Strada DPA-voorwaarden

Ingangsdatum: 15 juli 2024

Dit Addendum inzake gegevensbescherming (dit “DPA“) is onderworpen aan de onderliggende dienstverleningsovereenkomst tussen Strada en de Klant (de “Serviceovereenkomst“), op grond waarvan Strada verplicht kan zijn om Persoonsgegevens (zoals hieronder gedefinieerd) te verwerken.

Deel 1 – Definities.

Termen met een hoofdletter die hierin worden gebruikt, maar niet anderszins worden gedefinieerd, hebben de betekenis die eraan wordt toegekend in de Serviceovereenkomst.
Tenzij de uitdrukkelijke context anders vereist, omvat elke verwijzing naar de Serviceovereenkomst ook een bestelformulier, werkomschrijving of ander opdrachtdocument dat op grond daarvan is aangegaan.

1.1.Gegevensbeschermingswetgeving” betekent alle toepasselijke wet- en regelgeving met betrekking tot privacy, beveiliging of gegevensbescherming, inclusief, indien van toepassing, de Algemene Verordening Gegevensbescherming 2016/679 (“AVG”) van de EU, de California Consumer Privacy Act van 2018 (“CCPA”), de California Privacy Rights Act van 2020 (“CPRA”), de Gramm-Leach-Bliley Act (“GLBA”), de UK Data Protection Act van 2018 of de Britse AVG, worden gewijzigd, ingetrokken of vervangen.

1.2.Betrokkene” betekent, met betrekking tot Persoonsgegevens, een geïdentificeerde of identificeerbare natuurlijke persoon.

1.3.Persoonsgegevens” betekent alle informatie die door of namens Strada voor de Klant wordt verwerkt in verband met de Dienstenovereenkomst die
(a) betrekking heeft op een Betrokkene, die direct of indirect kan worden geïdentificeerd aan de hand van dergelijke informatie alleen of in combinatie met andere informatie die door of namens Strada wordt verwerkt, in het bijzonder aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon of
(b) anderszins wordt beschermd door de wetgeving inzake gegevensbescherming.
Persoonsgegevens omvatten alle andere informatie die ‘persoonsgegevens’, ‘persoonlijke informatie’, ‘persoonlijk identificeerbare informatie’ of vergelijkbare termen vormt onder de toepasselijke wetgeving inzake gegevensbescherming.

1.4.Verwerking” of “Proces(sen)” betekent
(a) elke bewerking of elk geheel van bewerkingen die worden uitgevoerd met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, met inbegrip van het verzamelen, opslaan, bijwerken of wijzigen, opvragen, gebruiken, openbaar maken, wissen of vernietigen ervan, en
(b) elke andere activiteit met betrekking tot Persoonsgegevens die valt onder de definitie van “verwerking” onder de wetgeving inzake gegevensbescherming.

1.5.Modelcontractbepalingen” of “SCC’s” betekent de modelcontractbepalingen voor de doorgifte van persoonsgegevens van de Europese Unie (“EU”) of de Europese Economische Ruimte (“EER”) naar derde landen die als bijlage zijn gevoegd bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021, of eventuele opvolgende documenten of overdrachtsmechanismen.

1.6.Subverwerker” betekent elke persoon (anders dan een werknemer), met inbegrip van de gelieerde ondernemingen van Strada, die door of namens Strada is aangesteld om namens de Klant Persoonsgegevens te Verwerken.

1.7.UK IDTA” betekent het International Data Transfer Addendum bij de SCC’s, versie B1.0, goedgekeurd door het parlement van het Verenigd Koninkrijk (“VK”) op 21 maart 2022, uitgegeven op grond van sectie 119A van de Data Protection Act 2018 om te voldoen aan artikel 46 van de Britse AVG bij het uitvoeren van beperkte overdrachten, of opvolgende documenten of overdrachtsmechanismen.

Sectie 2.
Verwerking van persoonsgegevens.

2.1.
Instructions; Limits on Use. De Klant (als de verwerkingsverantwoordelijke) benoemt en instrueert Strada (als de verwerker) hierbij om Persoonsgegevens te Verwerken met het oog op het uitvoeren van de Diensten en anderszins te voldoen aan een van zijn verplichtingen of het doen gelden van een van zijn rechten op grond van de Dienstenovereenkomst en deze DPA, om te voldoen aan de toepasselijke wetgeving en om te voldoen aan alle andere instructies die door of namens de Klant worden verstrekt (het “Doel”).
Strada zal persoonsgegevens alleen bewaren, gebruiken, openbaar maken of anderszins verwerken voor het doel.
De Klant is verantwoordelijk voor het verstrekken van alle relevante informatie aan Strada die nodig is om het Doel uit te voeren en zal ervoor zorgen dat zijn instructies aan Strada voldoen aan de Wetgeving inzake gegevensbescherming.
Strada zal Opdrachtgever onmiddellijk op de hoogte stellen indien een door of namens Opdrachtgever verstrekte instructie naar haar oordeel in strijd is met enige Wet Bescherming Persoonsgegevens; op voorwaarde dat Strada niet verantwoordelijk is om dergelijke conflicten op te sporen of te ontdekken of om er anderszins voor te zorgen dat dergelijke conflicten niet bestaan.
In het geval dat Strada de Klant op de hoogte stelt van een dergelijk conflict, kan Strada de uitvoering van de toepasselijke instructie opschorten voor zover dat nodig is om een dergelijk conflict te voorkomen, terwijl de Partijen te goeder trouw samenwerken om een dergelijk conflict tijdig op te lossen.

2.2.
Limits on Disclosure. Strada zal geen Persoonsgegevens aan derden bekendmaken, behalve indien noodzakelijk om het Doel te vervullen en anderszins in overeenstemming met deze DPA.
De Klant zal Persoonsgegevens alleen aan Strada verstrekken voor zover dit door Strada wordt gevraagd of anderszins noodzakelijk is voor het Doel.
De Klant zal geen Persoonsgegevens openbaar maken of delen met Strada, behalve in het standaard en overeengekomen formaat en op de overeengekomen manier.

2.3.
Compliance with Data Protection Laws. Elke partij zal zich houden aan haar verplichtingen op grond van de wetgeving inzake gegevensbescherming.
Strada zal de Klant redelijke bijstand verlenen bij het nakomen van zijn verplichtingen op grond van de wetgeving inzake gegevensbescherming met betrekking tot de verwerking van persoonsgegevens, rekening houdend met de aard van de verwerking door Strada en de informatie waarover Strada beschikt.
Strada zal de Klant op de hoogte stellen als zij redelijkerwijs van mening is dat zij niet kan voldoen aan haar verplichtingen uit hoofde van deze DPA of de toepasselijke wetgeving inzake gegevensbescherming, in welk geval de Partijen te goeder trouw zullen samenwerken om passende maatregelen te vinden om de situatie aan te pakken.

2.4.
Supervisory Authority Requests .
If Client receives a request for information from a competent supervisory authority in relation to Processing of Personal Data by Strada (including details regarding the Purpose), Strada shall provide reasonable assistance to Client in responding to such request to the extent Client does not otherwise have access to such information, and taking into account the nature of the Processing and information available to Strada.

2.5.
Data Protection Impact Assessment and Prior Consultation .
Strada shall provide reasonable assistance to Client with any data protection impact assessments, and prior consultations with supervising authorities or other competent data privacy authorities, which Client reasonably considers to be required by the Data Protection Laws, in each case solely in relation to Processing of Personal Data by, and taking into account the nature of the Processing and information available to, Strada.

2.6.
Data Subject Rights. Strada zal de Klant onmiddellijk op de hoogte stellen als het een verzoek ontvangt van een Betrokkene die rechten doet gelden op grond van de wetgeving inzake gegevensbescherming met betrekking tot zijn Persoonsgegevens.
Strada zal niet reageren op een dergelijk verzoek, behalve op basis van de schriftelijke instructies (inclusief e-mail) van de Klant of zoals vereist door de Wetgeving inzake gegevensbescherming, in welk geval Strada, voor zover toegestaan door dergelijke Wetgeving inzake gegevensbescherming, de Klant op de hoogte zal stellen van een dergelijke vereiste voorafgaand aan een dergelijke reactie.
Strada zal de Klant redelijke hulp bieden bij zijn inspanningen om te voldoen aan zijn verplichtingen om op dergelijke verzoeken te reageren, onder meer door toegang te verlenen tot of informatie te verstrekken over, het verwijderen of wijzigen van de relevante Persoonsgegevens, in elk geval voor zover vereist onder en in overeenstemming met de Wetgeving inzake gegevensbescherming.
Als Strada niet in staat is om dergelijke hulp te bieden om redenen die zijn toegestaan onder de wetgeving inzake gegevensbescherming, zal Strada de Klant hiervan onmiddellijk op de hoogte stellen en zal zij dergelijke hulp onmiddellijk verlenen nadat de redenen om dit niet te doen zijn verlopen.

2.7.
Return and Destruction. Op schriftelijk verzoek van de Klant, of na beëindiging of afloop van de Dienstenovereenkomst, zal Strada haar Subverwerkers verplichten om:
(a) een kopie van de Persoonsgegevens terug te sturen naar de Klant door middel van beveiligde bestandsoverdracht in het gebruikelijke formaat van Strada, en
(b) alle andere kopieën van Persoonsgegevens te wissen of permanent anoniem te maken.
Strada zal binnen 20 werkdagen aan een dergelijk schriftelijk verzoek voldoen.
Strada en haar Subverwerkers kunnen Persoonsgegevens bewaren voor zover dat nodig is om het Doel te bereiken en te voldoen aan de toepasselijke wetgeving, in welk geval de voorwaarden van deze DPA van toepassing blijven op dergelijke Persoonsgegevens zolang deze worden bewaard.

2.8.
Recordkeeping. Strada zal nauwkeurige en actuele gegevens bijhouden met betrekking tot elke verwerking van persoonsgegevens, waaronder
(a) registers met betrekking tot de toegang tot en de beveiliging van de Persoonsgegevens, de doeleinden en categorieën van de Verwerking van de Persoonsgegevens en de Subverwerkers en
(b) alle andere gegevens zoals vereist door de wetgeving inzake gegevensbescherming.
Deze DPA dient als register van verwerkingsactiviteiten zoals vereist op grond van art. 30(2) AVG.

2.9.
Employees. Persoonsgegevens zijn alleen toegankelijk voor medewerkers van Strada die dergelijke toegang nodig hebben om Strada te helpen in verband met het Doel.
Tenzij anders beperkt door de toepasselijke lokale wetgeving, vereist Strada dat alle nieuwe werknemers worden onderworpen aan een uitgebreide antecedentenonderzoek voorafgaand aan indiensttreding in overeenstemming met de lokale wetten en gebruiken.
Strada eist dat overeenkomsten die geheimhoudings- / vertrouwelijkheidsbepalingen bevatten, door alle nieuwe werknemers worden ondertekend.
Strada biedt medewerkers periodieke trainingen op het gebied van gegevensbeveiliging en privacy.

2.10.
Subprocessors. De Klant machtigt Strada in het algemeen om Subverwerkers aan te stellen ter ondersteuning van de uitvoering van de Diensten.
Strada zal haar Subverwerkers vermelden in het toepasselijke bestelformulier, de werkomschrijving, de wijzigingsopdracht of een ander document dat de toepasselijke Diensten vollediger beschrijft.
Uitsluitend voor zover nodig om te voldoen aan de wetgeving inzake gegevensbescherming, heeft de Klant het recht om binnen 10 werkdagen na een dergelijke kennisgeving bezwaar te maken tegen een wijziging; met dien verstande dat de Cliënt alleen op basis van redelijke zorgen bezwaar kan maken dat de nieuwe of vervangende Subverwerker niet in staat is om het door deze DPA vereiste niveau van bescherming van Persoonsgegevens te bieden.
Indien Opdrachtgever niet binnen deze termijn bezwaar maakt tegen de aanstelling, kan Strada de nieuwe of vervangende Subverwerker inschakelen voor de Verwerking van Persoonsgegevens.
Indien de Cliënt binnen deze termijn bezwaar maakt tegen de afspraak, kan Strada ervoor kiezen om
(a) geen gebruik te maken van een dergelijke Subverwerker, of
(b) de door Opdrachtgever in zijn bezwaar gevraagde corrigerende maatregelen te nemen en gebruik te maken van de Subverwerker.
Strada zal te goeder trouw samenwerken met de Klant om materiaal beschikbaar te stellen waaruit blijkt dat een Subverwerker in staat is om het door deze DPA vereiste niveau van bescherming van Persoonsgegevens te bieden.
Strada blijft verantwoordelijk voor het gebruik, de openbaarmaking of andere verwerking van persoonsgegevens door een van haar subverwerkers in dezelfde mate als wanneer dergelijk gebruik, openbaarmaking of andere verwerking door Strada zou plaatsvinden.
Voordat een Subverwerker Persoonsgegevens verwerkt, zal Strada een passende due diligence uitvoeren om vast te stellen dat een dergelijke Subverwerker in staat is om het door deze DPA vereiste niveau van bescherming van Persoonsgegevens te bieden.
De overeenkomst tussen Strada en elke Subverwerker wordt beheerst door een schriftelijk contract dat vereisten bevat die consistent zijn en niet minder streng dan die welke op grond van deze DPA van toepassing zijn op Strada.
Strada verklaart dat het een beveiligingsprogramma voor leveranciers onderhoudt dat de naleving van dergelijke contracten door Subverwerkers beoordeelt.
Op schriftelijk verzoek van de Klant zal Strada een samenvatting van de gegevensbeschermingsvoorwaarden van de Subverwerker ter beschikking stellen aan de Klant (indien nodig geredigeerd om vertrouwelijke informatie te beschermen).

2.11 Toegang door de overheid. Als Strada of een van haar vertegenwoordigers wordt verzocht of verplicht om persoonsgegevens bekend te maken aan een overheidsinstantie (inclusief wetshandhavingsinstanties) of anderszins te verwerken door de wet of een juridische procedure buiten het gedefinieerde doel, dan zal Strada (indien toegestaan door de wet) een dergelijk verzoek redelijkerwijs aanvechten, de Klant op de hoogte stellen en redelijkerwijs meewerken (op kosten van de Klant) bij de inspanningen van de Klant om een passend beschermingsbevel of andere remedie te verkrijgen.
Strada zal aan de relevante overheidsinstantie bekendmaken dat Strada een
(i) verwerker van de Persoonsgegevens, die
(ii) Cliënt geen toestemming heeft gegeven voor een dergelijke openbaarmaking en dat
(iii) alle verzoeken of verzoeken om toegang tot de Persoonsgegevens moeten worden gemeld aan of betekend aan de Klant.
Niettegenstaande het voorgaande, erkent Opdrachtgever dat een dergelijke betwisting niet altijd redelijk of mogelijk is in het licht van de aard, reikwijdte, context en doeleinden van het beoogde verzoek van de overheidsinstantie.
In geen geval zal Strada meer Persoonsgegevens vrijgeven dan nodig is om aan het verzoek tot openbaarmaking te voldoen.

Sectie 3.
technische en organisatorische maatregelen.

Strada zal passende fysieke, technische, organisatorische en administratieve maatregelen implementeren en handhaven die redelijkerwijs zijn ontworpen om te beschermen tegen ongeoorloofde vernietiging, verlies, toegang tot of wijziging van Persoonsgegevens, met inbegrip van de maatregelen die worden vermeld in Bijlage A die bij deze Overeenkomst is gevoegd en hierin is opgenomen.
De maatregelen die door Strada worden geïmplementeerd om persoonsgegevens te beschermen, moeten consistent zijn en niet minder streng dan wat vereist is op grond van de wetgeving inzake gegevensbescherming.
Strada implementeert en onderhoudt een schriftelijk privacy- en informatiebeveiligingsbeleid dat in overeenstemming is met de industrienormen.

Sectie 4.
Melding van en reactie op incidenten op het gebied van gegevensbeveiliging.

4.1. Strada zal de Klant zonder onnodige vertraging en in overeenstemming met de vereisten van de toepasselijke wetgeving inzake gegevensbescherming op de hoogte stellen van elke bevestigde of redelijkerwijs vermoede inbreuk op de beveiliging door Strada of een van haar subverwerkers die leidt tot onwettige of ongeoorloofde toegang, wijziging, vernietiging, openbaarmaking of verlies van Persoonsgegevens (een “Gegevensbeveiligingsincident”).

4.2. In het geval van een gegevensbeveiligingsincident zal Strada redelijke en passende maatregelen nemen om
(a) de impact van een dergelijk gegevensbeveiligingsincident te onderzoeken,
(b) de hoofdoorzaak van een dergelijk gegevensbeveiligingsincident te identificeren,
(c) het Gegevensbeveiligingsincident te verhelpen en
(d) herhaling van een dergelijk gegevensbeveiligingsincident te voorkomen.

4.3. Strada zal de Klant zonder onnodige vertraging informatie verstrekken over de aard en de gevolgen van het Gegevensbeveiligingsincident, voor zover bekend bij Strada, met inbegrip van alle informatie die nodig is om de Klant in staat te stellen de relevante partijen op de hoogte te stellen in overeenstemming met de Wetgeving inzake gegevensbescherming.
Strada zal derden niet op de hoogte stellen zonder de voorafgaande instructie van de Klant om dit schriftelijk te doen of indien vereist door de wet.

Sectie 5.
Audits.

5.1 De Klant kan, op eigen kosten en na redelijke voorafgaande kennisgeving aan Strada, de boeken, bescheiden en andere documenten van Strada controleren voor zover dat nodig is om de naleving van de voorwaarden van deze DPA door Strata te verifiëren; met dien verstande dat de Cliënt zijn controlerechten op grond van deze Overeenkomst niet meer dan één keer in een periode van 12 maanden mag uitoefenen (tenzij anders vereist door de wet of in verband met een controle die is geïnitieerd door een overheidsinstantie die rechtsbevoegdheid heeft over de Cliënt).
Elk van deze audits vindt plaats tijdens de normale kantooruren en mag de normale bedrijfsvoering van Strada niet op onredelijke wijze verstoren, en Strada is niet verplicht om informatie openbaar te maken of anderszins toegang te verlenen tot informatie waarvan de openbaarmaking ertoe zou leiden dat Strada een vertrouwelijkheidsverplichting of de toepasselijke wetgeving zou schenden.
De Klant kan een derde partij inschakelen om een dergelijke audit uit te voeren, zolang deze derde partij geen concurrent van Strada is en een geheimhoudingsovereenkomst aangaat die redelijkerwijs aanvaardbaar is voor Strada.
Audits in het kader van deze DPA zijn onderworpen aan eventuele aanvullende voorwaarden met betrekking tot audits in de Dienstenovereenkomst.

5.2 Wanneer Strada aantoont dat het voldoet aan door de industrie erkende certificeringen of goedgekeurde gedragscodes (zoals ISO 27001, EU Cloud Code of Conduct of SOC 2 Type 2 auditrapport), mag de Klant alleen gebieden auditeren die niet onder deze certificeringen of goedgekeurde gedragscode vallen.

Sectie 6.
CCPA/CPRA.

Deze sectie is van toepassing op alle Persoonsgegevens die onder de CCPA/CPRA vallen.

6.1. De Klant verklaart en garandeert aan Strada dat alle Persoonsgegevens die op grond van deze Overeenkomst door of namens de Klant worden verstrekt, uitsluitend worden verstrekt voor het Doel, namelijk een “Zakelijk Doel” (zoals gedefinieerd onder CCPA/CPRA).

6.2. Strada zal Persoonsgegevens alleen bewaren, gebruiken en openbaar maken voor het Doel en niet voor enig ander commercieel doel of anderszins buiten de relatie tussen Strada en Klant.
Strada zal geen Persoonsgegevens verkopen, delen of vermengen, tenzij uitdrukkelijk toegestaan door de CCPA/CPRA.
Strada zal voldoen aan haar verplichtingen uit hoofde van de CCPA/CPRA.
Strada zal de Klant onmiddellijk op de hoogte stellen als hij niet langer aan zijn verplichtingen uit hoofde van de CCPA/CPRA kan voldoen.

6.3. Strada erkent en stemt ermee in dat de Klant het recht heeft om redelijke en passende maatregelen te nemen om
(a) ervoor te zorgen dat Strada de Persoonsgegevens gebruikt op een manier die in overeenstemming is met de verplichtingen van de Klant onder de CCPA/CPRA en
(b) ongeoorloofd gebruik van Persoonsgegevens te stoppen en te verhelpen.

6.4. De Klant dient Strada onmiddellijk op de hoogte te stellen van elk consumentenverzoek dat op grond van de CCPA/CPRA wordt ingediend en waaraan Strada moet voldoen, en de informatie te verstrekken die Strada nodig heeft om aan een dergelijk verzoek te voldoen.

Sectie 7.
Details van de verwerking.

Bepaalde informatie over de verwerking van persoonsgegevens door Strada, vereist door artikel 28, lid 3, van de AVG, is opgenomen in bijlage B die hierbij is gevoegd en hierin is opgenomen.
De Klant kan van tijd tot tijd redelijke wijzigingen aanbrengen in Bijlage B door kennisgeving aan Strada, indien de Klant dit redelijkerwijs noodzakelijk acht om aan dergelijke vereisten te voldoen.
Niets in Bijlage B verleent enig recht of legt enige verplichting op aan een Partij.

Sectie 8.
Grensoverschrijdende overmakingen.

8.1.
General. Geen van de partijen zal persoonsgegevens over de grens doorgeven, tenzij een dergelijke overdracht voldoet aan de wetgeving inzake gegevensbescherming.
De Partijen zullen redelijkerwijs samenwerken zoals nodig om te bepalen of een grensoverschrijdende overdracht van Persoonsgegevens tussen de Klant en Strada in verband met het Doel voldoet aan de wetgeving inzake gegevensbescherming.

8.2.
SCCs. Als een overdracht van Persoonsgegevens tussen de Klant en Strada de uitvoering van de SCC’s vereist om te voldoen aan de Wetgeving inzake gegevensbescherming, gaan de Klant, als verwerkingsverantwoordelijke en gegevensexporteur, en Strada, als verwerker en gegevensimporteur, hierbij de SCC’s aan (en nemen deze hierin op door verwijzing) die van kracht zijn vanaf het begin van een dergelijke overdracht.
De Partijen maken gebruik van Module II (Verwerkingsverantwoordelijke naar Verwerker) van de SCC’s, die als volgt worden ingevuld:

8.2.1. Artikel 7: De optionele dockingclausule is van toepassing.

8.2.2. Artikel 9: Optie 2 is van toepassing en de termijn voor kennisgeving van wijzigingen in de Subverwerker is zoals overeengekomen in deze DPA.

8.2.3. Artikel 11(a): De facultatieve taal is niet van toepassing.

8.2.4. Clausule 13 en Bijlage I.C.: De toezichthoudende autoriteit van de Republiek Ierland is de bevoegde toezichthoudende autoriteit.

8.2.5. Artikel 17: Optie 1 is van toepassing en het toepasselijke recht is het recht van de Republiek Ierland.

8.2.6. Clausule 18(b): Geschillen worden beslecht door de rechtbanken van de Republiek Ierland.

8.2.7. Bijlage I:
(a) de Lijst van Partijen is zoals uiteengezet in de Serviceovereenkomst en alle toepasselijke bestelformulieren, werkomschrijvingen, wijzigingsorders of andere documenten die de toepasselijke Services vollediger beschrijven;
(b) de Beschrijvingen van de Overdracht zijn zoals uiteengezet in Bijlage B (Details van de Verwerking); en (c) de Bevoegde Toezichthoudende Autoriteit zal zijn zoals hierboven uiteengezet.

8.2.8. Bijlage II: de Technische en Organisatorische Maatregelen zijn zoals uiteengezet in Bijlage A (Technische en Organisatorische Maatregelen), die in wezen hetzelfde zijn voor Strada en haar Subverwerkers.

8.2.9. Bijlage III: de Lijst van Subverwerkers wordt bijgehouden in overeenstemming met Paragraaf 2.10 (Subverwerkers).

8.2.10. De Partijen kunnen de Bijlagen bij de SCC’s aanvullen in een bestelformulier, werkomschrijving, wijzigingsopdracht of ander document waarin de toepasselijke Diensten vollediger worden beschreven, die worden geacht hierin te zijn opgenomen door middel van verwijzing met betrekking tot dergelijke Diensten.
In geval van tegenstrijdigheid of inconsistentie tussen deze DPA of een dergelijk aanvullend document enerzijds en de SCC’s anderzijds, prevaleren de SCC’s voor zover vereist door de wetgeving inzake gegevensbescherming.
Niettegenstaande enige andersluidende bepaling in deze overeenkomst, zal deze DPA of een dergelijk aanvullend document, direct of indirect, in geen geval afbreuk doen aan de rechten van de betrokkenen op grond van de wetgeving inzake gegevensbescherming.

8.3.
UK IDTA .
If any transfer of Personal Data between Client and Strada requires execution of the UK IDTA in order to comply with Data Protection Laws, Client, as controller and data exporter, and Strada, as processor and data importer, hereby enter into (and incorporate herein by reference) the UK IDTA effective as of the commencement of such transfer.
The UK IDTA shall be populated as follows:

8.3.1. Deel 1, Tabel 1 (Partijen): De partijen zullen de toepasselijke Services vollediger beschrijven zoals uiteengezet in de Serviceovereenkomst en alle toepasselijke bestelformulieren, werkomschrijvingen, wijzigingsorders of andere documenten.

8.3.2. Deel 1, Tabel 2 (Geselecteerde SCC’s, modules en geselecteerde clausules): De IDTA van het VK wordt toegevoegd aan de SCC’s zoals uiteengezet in sectie 8.2 (SCC’s).

8.3.3. Deel 1, Tabel 3 (Bijlage-informatie): De bijlage-informatie is zoals uiteengezet in Sectie 8.2 (SCC’s).

8.3.4. Deel 1, Tabel 4 (Beëindiging van dit Addendum wanneer het Goedgekeurde Addendum wordt gewijzigd): Geen van beide Partijen mag de IDTA van het VK beëindigen zoals uiteengezet in Sectie 19 van die Overeenkomst.

8.4.
Swiss Data Protection Act .
The SCCs, as set forth in Section 8.2 (SCCs), shall apply to any cross-border transfers of Personal Data governed by the Swiss Data Protection Act, with the following modifications:

8.4.1. Alle verwijzingen in de SCC’s naar “Verordening (EU) 2016/679” moeten worden geïnterpreteerd als verwijzingen naar de Zwitserse wet op de gegevensbescherming, en alle verwijzingen in de SCC’s naar specifieke artikelen van “Verordening (EU) 2016/679” moeten worden vervangen door het overeenkomstige artikel of artikel van de Zwitserse wet op de gegevensbescherming.

8.4.2. Verwijzingen in de SCC’s naar “EU”, “Unie”, “lidstaat” of “lidstatelijk recht” moeten worden geïnterpreteerd als verwijzingen naar Zwitserland en het Zwitserse recht, naargelang het geval, en mogen niet op een manier worden geïnterpreteerd die Betrokkenen in Zwitserland uitsluit van het uitoefenen van hun rechten in hun gewone verblijfplaats in overeenstemming met clausule 18(c) van de SCC’s.
Ter bevordering van het voorgaande zal clausule 17 van de SCC’s worden gewijzigd om te bepalen dat het toepasselijke recht het recht van Zwitserland is.

8.4.3. Elke verwijzing in de SCC’s naar “bevoegde toezichthoudende autoriteit” of “bevoegde rechtbanken” moet worden geïnterpreteerd als verwijzingen naar de federale commissaris voor gegevensbescherming en informatie van Zwitserland (de “Zwitserse FDPIC“) en de rechtbanken van Zwitserland, naargelang het geval. Ter bevordering van het voorgaande zullen (a) clausule 13 en bijlage I.C. van de SCC’s worden gewijzigd om te bepalen dat de Zwitserse FDPIC bevoegd is voor gegevensoverdrachten die vallen onder de Zwitserse wet op de gegevensbescherming (waarbij is overeengekomen dat de bevoegdheid over gegevensoverdrachten die niet onder de Zwitserse wet inzake gegevensbescherming vallen, zal zijn zoals anderszins uiteengezet in deze DPA) en (b) clausule 18(b) van de SCC’s zal worden gewijzigd om te bepalen dat geschillen zullen worden beslecht door de rechtbanken van Zwitserland.

Sectie 9.
Gelieerde ondernemingen van de klant.

De voorwaarden van deze DPA zijn ook van toepassing op alle Persoonsgegevens die door of namens Strada worden verwerkt voor een aan een Cliënt gelieerde Klant.
De Klant verklaart en garandeert dat hij te allen tijde naar behoren en effectief bevoegd is en zal blijven om deze DPA aan te gaan en al zijn verplichtingen uit hoofde van deze Overeenkomst uit te voeren namens elk van deze aan de Klant gelieerde ondernemingen.
De Klant is te allen tijde aansprakelijk voor de naleving van deze DPA door de gelieerde ondernemingen van de Klant en alle handelingen en nalatigheden van de aan de Klant gelieerde ondernemingen die Diensten ontvangen op grond van de Dienstenovereenkomst worden beschouwd als handelen en nalaten van de Klant.

Sectie 10.
Verplichtingen van de klant.

Als de Klant Strada opdracht geeft om Persoonsgegevens te verstrekken aan een Klant, leverancier of andere vertegenwoordiger (anders dan Strada), is de Klant verantwoordelijk voor het handelen en nalaten van een dergelijke leverancier of andere vertegenwoordiger met betrekking daartoe.
De Klant is verantwoordelijk voor het handhaven van alle rechten (met inbegrip van de wettelijke grondslag), het verkrijgen van licenties, autorisaties, goedkeuringen en toestemmingen en het verstrekken van alle kennisgevingen, in elk geval, die nodig zijn voor Strada om Persoonsgegevens voor het Doel te Verwerken.
De Klant blijft verantwoordelijk om ervoor te zorgen dat zijn bewaring, gebruik, openbaarmaking of andere Verwerking van Persoonsgegevens in overeenstemming is met zijn beleid en praktijken en de wetten die daarop van toepassing zijn.

Sectie 11.
Term; Gevolgen van beëindiging.

De looptijd van deze DPA gaat in op de ingangsdatum van de Serviceovereenkomst en loopt door zolang de Serviceovereenkomst van kracht blijft of Strada of een van haar Subverwerkers Persoonsgegevens bewaart.
De rechten en plichten van de Partijen die naar hun aard van kracht zouden moeten blijven na beëindiging of afloop van deze DPA, blijven van kracht na beëindiging of vervaldatum.

Sectie 12.
Allerlei.

12.1.
Entire Agreement. Deze DPA wordt geacht deel uit te maken van en deel uit te maken van de Serviceovereenkomst.
Deze DPA vormt, samen met de Serviceovereenkomst, de enige en volledige overeenkomst tussen de Partijen met betrekking tot het onderwerp hiervan en daarvan, en vervangt alle eerdere en gelijktijdige afspraken, overeenkomsten, verklaringen en garanties, zowel schriftelijk als mondeling, met betrekking tot dergelijk onderwerp.
Voor alle duidelijkheid: alle vorderingen en aansprakelijkheden die voortvloeien uit of verband houden met deze DPA vallen onder en zijn onderworpen aan de voorwaarden van de Serviceovereenkomst, met inbegrip van alle bepalingen daarin met betrekking tot schadeloosstelling, beperking van aansprakelijkheid, geschillenbeslechting, rechtskeuze of forumkeuze.

12.2.
Severability. Indien een bepaling van deze DPA, of de toepassing ervan op een persoon, plaats of omstandigheid, door een bevoegde rechtbank ongeldig, nietig of niet-afdwingbaar wordt verklaard, blijft de rest van deze DPA en de bepaling die van toepassing is op andere personen, plaatsen of omstandigheden volledig van kracht en ongeldig, Vernietigde of niet-afdwingbare bepaling zal worden afgedwongen voor zover toegestaan door de wet.

12.3.
Amendment; Waiver. De Partijen komen overeen om de redelijke maatregelen te nemen die nodig zijn om deze DPA van tijd tot tijd te wijzigen en die nodig zijn voor de Partijen om te voldoen aan de Wetgeving inzake gegevensbescherming.
Deze DPA mag niet worden gewijzigd of anderszins worden gewijzigd, tenzij een dergelijke wijziging of aanpassing schriftelijk is uiteengezet, wordt geïdentificeerd als wijziging of aanpassing van deze DPA en is ondertekend door een bevoegde vertegenwoordiger van elk van de Partijen.
Van geen enkele bepaling van deze DPA kan afstand worden gedaan, tenzij een dergelijke verklaring van afstand schriftelijk is uiteengezet, wordt geïdentificeerd als een verklaring van afstand van deze DPA en is ondertekend door een bevoegde vertegenwoordiger van de partij waarvan afstand wordt gedaan.
Tenzij anders bepaald in deze DPA, zal geen enkele tekortkoming of vertraging door een Partij bij de uitoefening van enig recht uit hoofde van deze DPA gelden als een verklaring van afstand daarvan, noch zal een enkele of gedeeltelijke uitoefening daarvan enige andere of verdere uitoefening ervan of de uitoefening van enig ander recht uitsluiten.

12.4.
No Third Party Beneficiaries. Deze DPA is bindend voor en komt ten goede aan de Partijen en hun respectieve opvolgers en toegestane rechtverkrijgenden en niets in deze DPA, expliciet of impliciet, is bedoeld om een andere persoon enig wettelijk of billijk recht, voordeel of rechtsmiddel van welke aard dan ook te verlenen onder of vanwege deze DPA.

12.5.
Relationship of the Parties. De relatie tussen de Partijen is die van onafhankelijke contractanten en deze DPA zal geen agentschap, partnerschap, joint venture, fiduciaire, franchise- of arbeidsrelatie tot stand brengen tussen de Partijen (of tussen de ene Partij en een vertegenwoordiger van de andere Partij).
Geen van de Partijen heeft op grond van deze DPA enig recht, bevoegdheid of autoriteit, expliciet of impliciet, om de andere Partij te binden.

12.6.
Force Majeure; Excused Performance. Niettegenstaande enige andersluidende bepaling in deze DPA, is Strada niet aansprakelijk voor, noch wordt zij geacht in strijd te zijn met deze DPA als gevolg van, het niet nakomen van haar verplichtingen uit hoofde van deze DPA of enig ander handelen of nalaten dat kan worden toegeschreven aan
(a) het niet nakomen door de Klant van zijn verplichtingen op grond van deze Overeenkomst of op grond van de Wetgeving inzake gegevensbescherming,
(b) enig handelen of nalaten van een verkoper of andere vertegenwoordiger van de Klant (anders dan Strada en haar Subverwerkers) of
(c) een overmacht of andere handeling of omstandigheid buiten de redelijke controle van Strada; op voorwaarde dat niets in deze sectie de verplichting van Strada om haar bedrijfscontinuïteits- en noodherstelprogramma uit te voeren, beperkt of anderszins beïnvloedt.
Elk van de partijen zal commercieel redelijke inspanningen leveren om de gevolgen van een van de voorgaande omstandigheden te verzachten.

12.7.
Interpretation. Elke dubbelzinnigheid in deze DPA zal worden opgelost ten gunste van een betekenis die beide partijen in staat stelt om te voldoen aan de wetgeving inzake gegevensbescherming.
Tenzij de uitdrukkelijke context anders vereist, verwijzen de woorden “hiervan”, “hierin”, “hieronder” en woorden van vergelijkbare strekking naar deze DPA als geheel en niet naar een specifieke bepaling van deze DPA, verwijzingen naar een specifieke sectie verwijzen naar de secties in deze DPA, tenzij uitdrukkelijk anders bepaald en de woorden “inclusief”, “inclusief” en woorden van vergelijkbare strekking worden geacht te worden gevolgd door de woorden “zonder beperking”.
De bijschriften of koppen in deze DPA zijn alleen voor het gemak en mogen niet worden beschouwd als een onderdeel van of van invloed op de constructie of interpretatie van enige bepaling van deze DPA.

12.9 Zakelijke contactgegevens.
Strada en de Klant kunnen de zakelijke contactgegevens van de andere Partij, waaronder Persoonsgegevens zoals de naam en het zakelijke e-mailadres van een persoon, verwerken om contact op te nemen met een persoon, deze te identificeren of te authenticeren in een professionele of zakelijke hoedanigheid.
Deze verwerking wordt uitgevoerd als onafhankelijke verwerkingsverantwoordelijken, ongeacht of zij zaken doen om de diensten te leveren en te ontvangen.
Elk van de partijen heeft passende technische en organisatorische maatregelen geïmplementeerd en volgt deze om de zakelijke contactgegevens van de andere partij te beschermen.

12.8.
Notices. Alle kennisgevingen in het kader van deze DPA aan Strada zullen worden verzonden naar stradaclientcontracting@migration.stradaglobal.com Alle kennisgevingen onder deze DPA aan de Klant zullen worden verzonden in overeenstemming met de Serviceovereenkomst.

Bijlage A – Technische en organisatorische maatregelen

  1. Fysieke beveiliging.

Strada handhaaft beveiligingscontroles voor toegangspunten, wachtgebieden, telecommunicatiegebieden en bekabelingsgebieden die informatieverwerkende systemen of media bevatten die persoonsgegevens bevatten.
Beveiligingscontroles zijn onder meer:

  • Toegangscontrole en -beperking door gebruik te maken van een afgebakende veiligheidsperimeter, passende beveiligingsbarrières, beveiligingscamera’s, toegangscontroles en authenticatiecontroles, en het bijhouden van toegangslogboeken gedurende een periode die is gespecificeerd door de wet of het beleid;
  • Wanneer Strada-identiteitskaarten worden ingezet, een vereiste voor al het personeel, verkopers, aannemers en bezoekers om een of andere vorm van zichtbare identificatie te dragen om zich te identificeren als werknemers, aannemers, verkopers of bezoekers;
  • Een clear desk/clear screen beleid;
  • Een automatische stationair-vergrendeling voor onbeheerde apparatuur;
  • Een vereiste voor bezoekers van het terrein van Strada om te allen tijde te worden begeleid; en
  • Waar technisch haalbaar en commercieel redelijk, camera’s en CCTV’s.
  1. Bedrijfscontinuïteit en herstel na noodgevallen.

Strada handhaaft de volgende bedrijfscontinuïteitscontroles en -waarborgen:

  • Het bedrijfscontinuïteits- en noodherstelprogramma is gebaseerd op algemeen aanvaarde praktijken in de sector die zijn ontworpen om de effecten van een aanzienlijke verstoring van de activiteiten van Strada te verminderen;
  • Bedrijfscontinuïteits- en disaster recovery-programma’s worden ten minste jaarlijks getest;
  • Back-ups van Strada-systemen en -software die worden gebruikt bij de levering van Services worden gerepliceerd naar de noodherstelfaciliteit, zodat herstel kan plaatsvinden wanneer er zich een ramp voordoet; en
  • Gegevens worden gerepliceerd naar de noodherstelfaciliteit, waardoor een geplande back-up van de gegevens op een bepaald tijdstip wordt geboden om de integriteit te waarborgen.
  1. Beveiligingscontroles van het netwerk.

Strada handhaaft de volgende netwerkbeveiligingscontroles en -beveiligingen:

  • Defense-in-depth ontwerp met perimeterrouters, netwerkswitches en firewall-apparaten en standaard deny-all-beleid om de aanwezigheid op internet te beschermen;
  • Minimale bevoegdheden en geverifieerde toegang voor netwerkgebruikers en apparatuur;
  • Controle van internettoegang door proxy’s;
  • Tweefactorauthenticatie voor toegang op afstand met een niet-herbruikbaar wachtwoord;
  • Inbraakdetectiesysteem om mogelijke indringers te bewaken en erop te reageren;
  • Real-time registratie en onderzoek van netwerkgebeurtenissen met behulp van een tool voor het beheer van beveiligingsinformatiegebeurtenissen;
  • Inhoudsfiltering en websiteblokkering met behulp van goedgekeurde lijsten;
  • Beperkingen op draadloze toegang tot het netwerk;
  • Beleid en normen voor draadloze netwerkapparaten;
  • Verbod op overbrugging van draadloze en andere netwerken, met inbegrip van het bedrijfsnetwerk; en
  • Detectie en ontkoppeling van malafide draadloze toegangspunten.
  1. Beveiligingscontroles van het platform.

Strada handhaaft de volgende beveiligingscontroles en waarborgen voor het platform:

  • Onderhoud van configuratie-/hardingsstandaarden;
  • Beheersing van wijzigingen door middel van een intern wijzigingscontroleproces;
  • Verbod op het installeren van ongeoorloofde hardware en software;
  • Indien technisch haalbaar, automatische time-outs voor sessies na perioden van inactiviteit;
  • Verwijdering van door de leverancier geleverde standaardinstellingen (accounts, wachtwoorden en rollen) tijdens de installatie;
  • Verwijdering van services en apparaten die niet nodig zijn voor geldige zakelijke behoeften;
  • Gebruik van een antivirusprogramma met tijdige updates;
  • Niet-geprivilegieerde accounttoegang op werkstations en laptops;
  • Volledige schijfversleuteling op laptops;
  • Ontwikkelings- en testplatforms zullen worden gescheiden van operationele platforms die worden gebruikt bij het leveren van de Diensten;
  • Ontwikkelingstools zoals compilers, assemblers, editors en andere hulpprogramma’s voor algemeen gebruik binnen de productieomgeving zijn niet toegestaan, tenzij uitdrukkelijk vereist voor de levering van de Services, in welk geval de toegang beperkt is; en
  • De software en hardware die worden gebruikt bij de levering van de Diensten worden bijgewerkt in overeenstemming met industriestandaarden, leveranciersondersteuning en beveiligingsrichtlijnen.
  1. Beveiligingscontroles van applicaties.

Strada handhaaft de volgende beveiligingscontroles en beveiligingen voor applicaties:

  • Defense-in-depth met het gebruik van n-tier architectuur voor scheiding en bescherming van gegevens;
  • Een veilige levenscyclus voor softwareontwikkeling (SSDLC) voor applicatieontwikkeling die training, ontwikkeling, testen en doorlopende beoordelingen omvat;
  • Documentatie, beoordeling, testen en goedkeuring voordat wijzigingen in productie worden genomen;
  • Tijdig identificeren, testen en verhelpen van kwetsbaarheden en patches in applicaties; en
  • Een verbod op het gebruik van productiegegevens in ontwikkel- en testomgevingen.
  1. Gegevens- en vermogensbeheer.

Strada handhaaft de volgende beveiligingscontroles en waarborgen voor gegevens- en activabeheer:

  • technische, administratieve en fysieke waarborgen;
  • Regelmatige back-ups en opslag van Persoonsgegevens;
  • Versleuteling van persoonsgegevens die via openbare netwerken en op verwijderbare media worden verzonden;
  • Gebruik van een instrument ter voorkoming van gegevensverlies voor de overdracht van eindpuntgegevens met behulp van burgerservicenummers of andere nationale identificatienummers;
  • Gebruik van een inventarisatieprogramma om de installatie, het eigendom en de verplaatsing van hardware, software en communicatieapparatuur te controleren;
  • Versleuteling, opschoning, vernietiging of opschoning van alle fysieke media die persoonsgegevens bevatten die de bewaring van Strada verlaten om ervoor te zorgen dat de resterende magnetische, optische, elektrische of andere weergave van gegevens is verwijderd en niet kan worden hersteld; en
  • Logische scheiding van Persoonsgegevens van een Strada-klant van andere Strada-klanten.
  1. Toegangscontrole en -beheer.

Strada handhaaft de volgende beveiligingscontroles en -beveiligingen voor toegangscontrole en -beheer:

  • Het monitoren en loggen van de toegang tot en het gebruik van de Strada-systemen die Persoonsgegevens bevatten, met inbegrip van het loggen van toegangspogingen tot de Strada-systemen die Persoonsgegevens bevatten;
  • Periodieke beoordeling en validatie van op rollen gebaseerde toegang tot Persoonsgegevens en onmiddellijke verwijdering van onnodige toegang;
  • Unieke aanmeldings-ID en wachtwoorden;
  • Sterke wachtwoorden met minimale lengte, complexiteit en vervalvereisten;
  • Toegang uitschakelen na een beperkt aantal mislukte inlogpogingen; en
  • Afwijzing van eerder gebruikte wachtwoorden.
  1. Risicobeheer.

Strada handhaaft de volgende risicobeheersingsmaatregelen en -waarborgen:

  • Een risicobeheersysteem voor informatiebeveiliging dat is afgestemd op de norm van goede praktijken voor informatiebeveiliging (Forum voor informatiebeveiliging);
  • een cyclus van risicobeoordelingen van kritieke activa, waarvan de frequentie afhankelijk is van het aantal restrisico’s dat op elke locatie is geïdentificeerd;
  • Risicoanalyse wordt gedocumenteerd met behulp van gestandaardiseerde risicobeoordelingssjablonen; en
  • Risicobeheeractiviteiten worden vastgesteld wanneer risico’s zijn gedefinieerd en overeengekomen met de eigenaren van activa.
  1. Beheer van kwetsbaarheden en patches.

Strada neemt de volgende maatregelen om kwetsbaarheden te identificeren en te beperken die een bedreiging vormen voor het vermogen van Strada om de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens af te dwingen:

  • Een proces voor het bewaken van kwetsbaarheden dat waarschuwingen of meldingen geeft over nieuwe beschikbare oplossingen en het daaruit voortvloeiende tijdsbestek voor herstel;
  • Regelmatig scannen om kwetsbaarheden snel te identificeren en te verhelpen;
  • Classificatie van kwetsbaarheden op basis van ernst om herstel mogelijk te maken op basis van vooraf bepaalde verwachtingen van het serviceniveau; en
  • Penetratietests op toepasselijke Strada-omgevingen, waaronder het testen van perimeterkwetsbaarheden, het testen van interne kwetsbaarheden in de infrastructuur en het testen van applicaties.

Bijlage B – Details van de verwerking

Verwerkingen

De Verwerkingsactiviteiten die op grond van deze DPA moeten worden uitgevoerd, zijn de volgende: De Persoonsgegevens die namens de Klant worden ontvangen, zullen worden gebruikt voor het uitvoeren van Diensten in het kader van de Dienstenovereenkomst (bijv. salarisadministratie en andere uitbestedingsdiensten voor bedrijfsprocessen, softwareadvies en aanverwante activiteiten) en kunnen het volgende omvatten:

  • het leveren van software, apparatuur en diensten voor gegevensverwerking via verschillende tools, applicaties en leveranciers;
  • onderhoud en configuratie van applicaties;
  • het uploaden en overdragen van gegevens;
  • het opslaan of vastleggen van Persoonsgegevens;
  • het voorkomen van ongeoorloofde toegang tot of wijziging van Persoonsgegevens (en andere niet-Persoonsgegevens);
  • het programmeren, printen en samenstellen, beoordelen en wijzigen van verklaringen zoals aangegeven door Klant;
  • communiceren met betrokkenen in verband met dienstverlening aan Opdrachtgever; en
  • het verstrekken van referentiemateriaal op verzoek van de Klant.

Het doel van de bovenstaande verwerkingen is het leveren van de Diensten in overeenstemming met de Dienstenovereenkomst.

Betrokkenen

De Persoonsgegevens die door Strada namens de Klant worden verwerkt, hebben betrekking op de volgende categorieën van betrokkenen: huidige, voormalige en/of toekomstige werknemers, hun familieleden en familieleden en andere vertegenwoordigers van de Klant en de gelieerde ondernemingen van de Klant.

Categorieën van te verwerken persoonsgegevens

De Persoonsgegevens die door Strada worden verwerkt, bestaan uit de volgende categorieën: HR-/werknemersgegevens: die kunnen omvatten: volledige naam; meisjesnaam; identificatienummer van de werknemer; gebruikersnaam; beeld; contactgegevens (inclusief thuis- en werkadres, telefoonnummers thuis en op het werk, mobiele telefoonnummers, webadresgegevens, e-mailadres thuis en op het werk); burgerlijke staat; informatie over burgerschap; Geboortedatum; geslacht; rijbewijsgegevens; nationale en overheidsidentificatiegegevens; financiële informatie (waaronder bankrekeningen, beslagleggingen, leningen, salaris en rekeningsaldi); informatie over uitkeringsprogramma’s (inclusief uitkeringsverkiezingen, informatie over begunstigden, informatie over claims, rekeningnummers en saldi van uitkeringsplannen en datum van pensionering); loongegevens; professionele of arbeidsinformatie (inclusief datum van indiensttreding, arbeidsstatus, functietitel, werk- en opleidingsgeschiedenis, loongeschiedenis, informatie over belastinginhouding, prestatiegegevens, verlofinformatie, reisinformatie en datum van beëindiging); en dergelijke andere persoonsgegevens die van (of namens) Opdrachtgever aan Strada kunnen worden doorgegeven voor het uitvoeren van diensten voor Opdrachtgever.

Gegevens van gerelateerde personen: kunnen omvatten, maar zijn niet beperkt tot: naam, geboortedatum, geslacht en contactgegevens van personen ten laste of begunstigden (inclusief huisadres; telefoonnummers thuis en op het werk; mobiele telefoonnummers); en dergelijke andere persoonsgegevens die van (of namens) Opdrachtgever aan Strada kunnen worden doorgegeven voor het uitvoeren van diensten voor Opdrachtgever.

Bijzondere categorieën van Persoonsgegevens

De persoonsgegevens die door Strada worden verwerkt, kunnen gevoelige persoonsgegevens bevatten, waaronder informatie over ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, lidmaatschap van een vakbond, seksleven, gezondheid, genetische, biometrische of medische dossiers, en/of strafregisters.