Bijgewerkt op: 25 oktober 2022

1. Inleiding en werkingssfeer

  1. Dit Addendum Gegevensverwerking, oftewel het Data Processing Addendum (“DPA) is een addendum bij de Servicevoorwaarden (“Voorwaarden“). Alle bepalingen van de Voorwaarden zijn van toepassing op en zijn opgenomen in deze DPA, maar als er een conflict is tussen deze DPA en enige bepaling in de Voorwaarden, prevaleren de bepalingen van deze DPA.
  2. Deze DPA is alleen van toepassing op Klanten indien en voor zover (a) Kinsta Persoonsgegevens van de Klant (hieronder gedefinieerd) verwerkt voor of namens de Klant op grond van de Overeenkomst (b) en de Gegevensbeschermingswetten van toepassing zijn op dergelijke Persoonsgegevens van de Klant.
  3. Updates aan de DPA. We behouden ons het recht voor om op elk moment naar eigen goeddunken wijzigingen aan te brengen in deze DPA. Als we wijzigingen aanbrengen in deze DPA, zullen we u op de hoogte stellen van dergelijke wijzigingen door de datum bovenaan deze DPA te herzien. Als u onze Diensten blijft gebruiken na kennisgeving van wijzigingen, betekent dit dat u dergelijke wijzigingen accepteert. Bekijk deze SLA regelmatig en controleer of er updates zijn.

2. Definities

Termen met een hoofdletter die hierin niet worden gedefinieerd, hebben de betekenis die elders in de Overeenkomst wordt gegeven. Daarnaast zijn de volgende gedefinieerde termen uitsluitend van toepassing met betrekking tot deze DPA.

  1. Verwerkingsverantwoordelijke“, “Verwerker“, “Betrokkene”, Verwerking“, “Persoonsgegevens” en “Inbreuk in verband met persoonsgegevens” hebben de betekenis die daaraan wordt toegekend in de gegevensbeschermingswetgeving.
  2. Persoonsgegevens van de Klant” betekent alle Persoonlijke Gegevens van de Eindgebruiker die onderworpen zijn aan Gegevensbeschermingswetten die de Klant verstrekt, overdraagt of toegankelijk maakt voor Kinsta in de context van de Diensten.
  3. Wetten op gegevensbescherming” betekent de EU Algemene Verordening Gegevensbescherming 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (“AVG“), de Britse Data Protection Act 2018 en de UK GDPR, de Zwitserse Wet op de Gegevensbescherming, alle toepasselijke nationale uitvoeringswetgeving van dergelijke wetten, en in elk geval zoals van tijd tot tijd gewijzigd, vernieuwd of vervangen.

3. Rol van de Partijen

  1. De Klant is de Controller en Kinsta is de Verwerker met betrekking tot de Persoonsgegevens van de Klant. Kinsta zal alleen de Persoonsgegevens van de Klant verwerken in overeenstemming met de gedocumenteerde instructies van de Klant, die de bepalingen van de Overeenkomst omvatten, tenzij anders vereist om te voldoen aan de Gegevensbeschermingswetten. Wij zullen u informeren als, naar onze mening, uw instructies in strijd zijn met de Gegevensbeschermingswetten.
  2. De Klant en Kinsta zullen voldoen aan de Gegevensbeschermingswetten. De Klant zal alle vereiste machtigingen, toestemmingen, releases of permissies verkrijgen, en alle vereiste privacykennisgevingen verstrekken met betrekking tot de persoonsgegevens van de Klant. Voor alle duidelijkheid, de Klant is als enige verantwoordelijk voor de nauwkeurigheid, kwaliteit en wettigheid van alle persoonsgegevens van de Klant en de grondslagen waarop deze zijn verzameld van de Betrokkene.

4. Aard, doel en duur van de Verwerking

  1. Kinsta zal Persoonsgegevens van de Klant Verwerken zoals nodig is om de Diensten uit te voeren – wat over het algemeen beperkt is tot passieve hosting van Klant Applicaties en gerelateerde ondersteuning – of om de wettelijke rechten van Kinsta te beschermen, voor de duur van de Overeenkomst, tenzij schriftelijk anders overeengekomen.
  2. De overdracht door de Klant van Persoonsgegevens van de Klant aan Kinsta in verband met de Diensten wordt bepaald en gecontroleerd door de Klant naar eigen goeddunken.
  3. Kinsta kan de volgende categorieën persoonsgegevens van klanten verwerken: alle persoonsgegevens die worden verzameld, gebruikt of anderszins Verwerkt van Eindgebruikers van Klant Applicaties.
  4. Kinsta kan Persoonsgegevens van de Klant Verwerken van de volgende categorieën Betrokkenen: Eindgebruikers van Klant Applicaties.

5. Grensoverschrijdende verdrachten

  1. U kiest het datacentrum of de datacentra van het Google Cloud Platform waar uw Klant Applicaties worden gehost. U erkent, gaat ermee akkoord en begrijpt dat (a) al uw Persoonlijke gegevens van Klanten automatisch worden overgedragen en opgeslagen in het datacentrum van Google dat u kiest, en (b) Persoonlijke gegevens van Klanten kunnen worden overgedragen vanuit de Europese Economische Ruimte (“EER”), het Verenigd Koninkrijk of Zwitserland naar het land waar het datacentrum van Google zich bevindt, afhankelijk van uw keuze.
  2. Kinsta en Google zijn akkoord gegaan met de Google Cloud Platform Data Processing and Security Terms en Google Cloud Platform en de EU Model Contract Clauses. Zie voor aanvullende informatie, de toezeggingen van Google met betrekking tot grensoverschrijdende doorgifte in het gedeelte “Internationale gegevensoverdracht” hier: https://cloud.google.com/security/gdpr/.
  3. De Klant geeft toestemming voor de overdracht van Persoonsgegevens van de Klant naar een rechtsgebied buiten de EER, met inbegrip van de Verenigde Staten, met het oog op de verlening van de Diensten. Als verantwoordelijke voor de Verwerking en/of uitvoer van Persoonsgegevens van de Klant is de Klant ervoor verantwoordelijk dat dergelijke overdrachten in overeenstemming zijn met de Wetgeving inzake Gegevensbescherming.

6. Sub-verwerkers

  1. Kinsta schakelt externe sub-verwerkers (“Sub-verwerkers”) in die Persoonsgegevens van de Klant verwerken ten behoeve van het verlenen van de Diensten. Een actuele lijst van Sub-verwerkers is beschikbaar in Bijlage A van Kinsta’s online DPA, hier te vinden: https://kinsta.com/legal/data-processing-addendum/ (de “Lijst van sub-verwerkers“). Klant machtigt Kinsta om deze Subverwerkers in te schakelen voor het leveren van de Diensten.
  2. Kinsta kan de Lijst met Sub-verwerkers van tijd tot tijd bijwerken en dergelijke updates zijn het enige middel om de Klant op de hoogte te stellen van wijzigingen van Sub-verwerkers. De Klant is verantwoordelijk voor het regelmatig controleren en herzien van de Lijst van Sub-verwerkers. Indien Klant niet binnen veertien (14) dagen na plaatsing door Kinsta van de nieuwe Sub-verwerker op de Lijst van Sub-verwerkers schriftelijk bezwaar maakt tegen een nieuwe Sub-verwerker, geldt dit als toestemming van de Klant voor de nieuwe Sub-verwerker.
  3. Indien Kinsta naar eigen goeddunken bepaalt dat het redelijkerwijs niet kan voldoen aan het tijdige bezwaar van de Klant tegen een Sub-verwerker, kan de Klant, na kennisgeving van Kinsta, ervoor kiezen om de Overeenkomst te beëindigen op grond van de beëindigingsbepalingen in de Servicevoorwaarden, wat het enige en exclusieve rechtsmiddel van de Klant zal zijn.
  4. Kinsta legt zijn Sub-verwerkers verplichtingen op die gelijk of wezenlijk gelijkwaardig zijn aan die welke in deze DPA zijn opgenomen door middel van een schriftelijke Overeenkomst. Kinsta is aansprakelijk jegens de Klant voor de nakoming door de Sub-verwerkers van zijn gegevensbeschermingsverplichtingen met betrekking tot de Persoonsgegevens van de Klant.

7. Beveiligings- en effectbeoordelingen

  1. Kinsta zorgt ervoor dat haar personeel onderworpen is aan bindende geheimhoudingsverplichtingen met betrekking tot de Persoonsgegevens van de Klant.
  2. Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de Verwerking, alsmede met het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van de Betrokkenen, treft Kinsta passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat in verhouding staat tot het risico.
  3. Rekening houdend met de aard van de Verwerking en de informatie waarover Kinsta beschikt, zal Kinsta de Klant bijstaan bij het waarborgen van de naleving van de verplichtingen van de Klant op grond van de gegevensbeschermingswetgeving met betrekking tot beveiliging, effectbeoordelingen en overleg met toezichthoudende autoriteiten of regelgevende instanties.

8. Inbreuk op Persoonsgegevens

  1. Rekening houdend met de aard van de Verwerking en de informatie waarover Kinsta beschikt, zal Kinsta de Klant bijstaan bij het waarborgen van de naleving van de verplichtingen van de Klant op grond van de Gegevensbeschermingswetgeving met betrekking tot een Inbreuk in verband met Persoonsgegevens.
  2. In het geval van een ontdekte Inbreuk in verband met Persoonsgegevens, zal Kinsta de technische contactpersonen en accountcontactpersonen van de Klant onmiddellijk op de hoogte brengen via de middelen die zijn vastgesteld voor routinematige accountgerelateerde communicatie.
  3. Onze kennisgeving bevat de volgende informatie voor zover deze redelijkerwijs beschikbaar is voor Kinsta op het moment van de kennisgeving, en Kinsta zal haar kennisgeving bijwerken wanneer aanvullende informatie redelijkerwijs beschikbaar wordt: (a) de data en tijdstippen van de Inbreuk in verband met persoonsgegevens; (b) de basisfeiten die ten grondslag liggen aan de ontdekking van de Inbreuk in verband met persoonsgegevens, of de beslissing om een onderzoek in te stellen naar een vermoedelijke Inbreuk in verband met persoonsgegevens, voor zover van toepassing; (c) een beschrijving van de persoonsgegevens van de Klant die betrokken zijn bij de Inbreuk in verband met persoonsgegevens, hetzij specifiek, hetzij door te verwijzen naar de gegevensset(s), en (d) de maatregelen die zijn gepland of worden uitgevoerd om de kwetsbaarheid die aanleiding heeft gegeven tot de Inbreuk in verband met persoonsgegevens te verhelpen of te verminderen.

9. Verzoeken van Betrokkenen

  1. Rekening houdend met de aard van de Verwerking, zal Kinsta de Klant bijstaan met passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor de nakoming van de verplichting van de Klant om te reageren op verzoeken tot uitoefening van de rechten van de Betrokkene op grond van de Gegevensbeschermingswetgeving.
  2. Kinsta zal de Klant onmiddellijk op de hoogte stellen als we een verzoek ontvangen van een Betrokkene om zijn rechten met betrekking tot de Persoonsgegevens van de Klant in te roepen, tenzij anders verboden door de toepasselijke wetgeving; en, behalve voor zover vereist door de toepasselijke wetgeving, zullen we niet zelfstandig actie ondernemen in reactie op een verzoek van een Betrokkene zonder de voorafgaande schriftelijke instructie van de Klant.

10. Audit en Inspectie

  1. Behoudens en op voorwaarde van een schriftelijke vertrouwelijkheids- en geheimhoudingsovereenkomst, zal Kinsta de Klant informatie verstrekken die redelijkerwijs nodig is om aan te tonen dat de verplichtingen in deze DPA worden nageleefd.
  2. Alle audits zijn (i) onderworpen aan en afhankelijk van een redelijke voorafgaande schriftelijke kennisgeving, niet minder dan zestig (60) dagen, aan Kinsta; (ii) onderworpen aan en afhankelijk van een schriftelijke overeenkomst inzake vertrouwelijkheid en niet-openbaarmaking en een gedetailleerd schriftelijk auditplan beoordeeld en vooraf goedgekeurd door Kinsta; (iii) beperkt tot eens in de drie (3) kalenderjaren; (iv) uitsluitend op kosten van de Klant; (v) beperkt in omvang en doel tot het evalueren van een specifiek geïdentificeerde vermoede niet-naleving door Kinsta van de bepalingen van deze DPA en alleen nadat de Klant alle andere redelijke middelen zoals bepaald door Kinsta heeft uitgeput; en (vi) in de virtuele of fysieke aanwezigheid van een vertegenwoordiger van Kinsta zonder onredelijke verstoring van de bedrijfsactiviteiten van Kinsta.

11. Verwijdering of teruggave van persoonsgegevens van Klanten

Bij de juiste beëindiging van de Overeenkomst en op schriftelijke aanwijzing van de Klant, zal Kinsta redelijke maatregelen nemen om de Persoonsgegevens van de Klant te verwijderen of de Persoonsgegevens van de Klant en kopieën daarvan aan de Klant terug te geven, onder voorbehoud van toepasselijke wetten of andere verplichtingen van Kinsta die vereisen dat de Persoonsgegevens van de Klant door Kinsta worden bewaard.

Bijlage A

Lijst van sub-verwerkers

  • Cloudflare: We gebruiken Cloudflare om de prestaties van de Diensten te beveiligen en te verbeteren.
  • Google Cloud Platform: Wij gebruiken Google Cloud Platform voor het hosten en beveiligen van Klant Applicaties en het opslaan van gegevens met betrekking tot Klant Applicaties.
  • Google Workspace: Wij gebruiken Google Workspace-applicaties om e-mailcommunicatie te verwerken en online documenten te beheren.
  • Intercom: we gebruiken intercom om met onze klanten te communiceren en ondersteuning te bieden.
  • Mailchannels: Mailchannels is een SMTP-provider die transactionele e-mails verstuurt vanuit Klant Applicaties.
  • Migrate Guru: Ons Migratieteam kan Migrate Guru gebruiken om Klant Applicaties te migreren voor Klanten die geabonneerd zijn op Managed WordPress Hosting pakketten, met toestemming van de Klant.