Overeenkomst voor Dropbox Business

Gepubliceerd: 14 september 2016

Deze Overeenkomst voor Dropbox Business (de 'Overeenkomst') wordt gesloten tussen de organisatie die met deze voorwaarden instemt ('Klant'), en Dropbox International Unlimited Company ('Dropbox') als de Klant is gevestigd buiten de Verenigde Staten, Canada en Mexico ('Noord-Amerika') of Dropbox, Inc. in de Amerikaanse staat Delaware (eveneens 'Dropbox') als de Klant is gevestigd in Noord-Amerika. Deze Overeenkomst bevat de bepalingen inzake de toegang tot en het gebruik van de clientsoftware en de services van Dropbox Business (samen 'Dropbox Business') alsmede de Bètaservices die aan jou beschikbaar worden gesteld (samen met Dropbox Business de 'Services'). Door te klikken op 'Akkoord', door je contract voor de Services te ondertekenen of door de Services te gebruiken, accepteer je als Klant deze Overeenkomst.

Naarmate Dropbox, Inc. namens de Klant Gegevens van de Klant verwerkt die onderworpen zijn aan nationale wetten waarin de EU-gegevensbeschermingsrichtlijn (95/46/EG) ('EU-gegevensbeschermingswetgeving') wordt toegepast, gaat u door op Akkoord te klikken ook akkoord met de EU-modelcontractbepalingen van Dropbox, Inc. voor de overdracht van persoonlijke gegevens naar verwerkers zoals uiteengezet in Bijlage 1.

Als je akkoord gaat met deze Overeenkomst en (indien van toepassing) Bijlage 1, voor het gebruik van de Services door een organisatie, ga je akkoord namens die organisatie. Je moet bevoegd zijn om namens de organisatie deze voorwaarden te accepteren. Als dat niet het geval is, mag je je niet registreren voor de Services.

1. Services.
   1. Levering van Services. Klanten en gebruikers van het Services-account van de Klant ('Eindgebruikers') hebben toegang tot de Services en mogen deze in overeenstemming met deze Overeenkomst gebruiken.
   2. Voorzieningen en verwerking van gegevens. Voor het overdragen, opslaan en verwerken van Gegevens van de Klant neemt Dropbox technische en organisatorische beveiligingsmaatregelen die ten minste voldoen aan de normen in de sector. Deze maatregelen zijn bedoeld om de integriteit van Gegevens van de Klant te beschermen en om niet-geautoriseerde of onrechtmatige toegang tot, gebruik van en verwerking van Gegevens van de Klant te voorkomen. De klant stemt ermee in dat Dropbox de Gegevens van de Klant kan overdragen, opslaan en verwerken in de Verenigde Staten en op andere locaties dan het land van de Klant. Naarmate de Gegevens van de Klant zijn onderworpen aan EU-gegevensbeschermingswetgeving en worden verwerkt door Dropbox als gegevensverwerker namens de Klant (als verantwoordelijke), zal Dropbox deze Gegevens van de Klant gebruiken en verwerken zoals de klant aangeeft, om de Services te leveren en de verplichtingen van Dropbox volgens de Overeenkomst te vervullen. 'Gegevens van de Klant' betekent Opgeslagen gegevens en Accountgegevens. 'Opgeslagen gegevens' betekent bestanden en gestructureerde gegevens die door de Klant of Eindgebruikers aan de Services zijn verstrekt. 'Accountgegevens' betekent de account- en contactgegevens die door de Klant of Eindgebruikers aan de Services zijn verstrekt.
   3. Wijzigingen van de Services. Dropbox kan van tijd tot tijd de Services wijzigen. Als Dropbox de Services wijzigt op zo'n manier dat de functionaliteit van de Services substantieel wordt verminderd, zal Dropbox de Klant hiervan op de hoogte stellen via het bij het account behorende e-mailadres.
   4. Software. Bij bepaalde Services kan de Klant software van Dropbox downloaden die automatisch wordt bijgewerkt. De Klant mag de software uitsluitend gebruiken voor toegang tot de Services. Als een onderdeel van de software wordt aangeboden onder een opensourcelicentie, stelt Dropbox deze licentie ter beschikking aan de Klant en kunnen de voorwaarden van die licentie uitdrukkelijk prevaleren boven de in deze Overeenkomst opgenomen bepalingen.
   5. Bètaservices. Dropbox kan functies of producten aanbieden die nog worden getest en beoordeeld. Deze producten en functies worden aangeduid als alfa, bèta, voorproefje, vroege toegang of evaluatie (of woorden of uitdrukkingen van gelijke strekking) (gezamenlijk aangeduid als 'Bètaservices'). De volgende voorwaarden zijn van toepassing op alle Bètaservices, ongeacht andersluidende bepalingen in deze Overeenkomst of in Bijlage 1: (a) Je mag gebruikmaken of weigeren gebruik te maken van Bètaservices. (b) Bètaservices worden mogelijk niet ondersteund en kunnen op elk moment zonder kennisgeving aan jou worden gewijzigd. (c) Bètaservices zijn mogelijk minder betrouwbaar en minder goed beschikbaar dan Dropbox Business. (d) Bètaservices zijn niet onderworpen aan dezelfde beveiligingsmaatregelen en controles waaraan Dropbox Business is onderworpen. (e) DROPBOX AANVAARDT GEEN AANSPRAKELIJKHEID DIE VOORTVLOEIT UIT OF VERBAND HOUDT MET EEN BÈTASERVICE. HET GEBRUIK ERVAN IS OP EIGEN RISICO.
2. Verplichtingen van de Klant.
   1. Naleving. De Klant is verantwoordelijk voor het gebruik van de Services door zijn Eindgebruikers. De Klant en de Eindgebruikers zijn verplicht de Services te gebruiken conform het Beleid voor acceptabel gebruik. De Klant moet van zijn Eindgebruikers de noodzakelijke toestemming verkrijgen om Beheerders de activiteiten te laten uitvoeren zoals die worden omschreven in deze Overeenkomst en om Dropbox de Services te laten leveren. De Klant zal, indien van toepassing, de wet- en regelgeving naleven die van toepassing is op het gebruik van de Services door de Klant.
   2. Beheer van de Services door de Klant. De Klant kan via de beheerconsole Eindgebruikers aanwijzen als 'Beheerders'. Beheerders kunnen Gegevens van de Klant in accounts bij de Services weergeven, openbaar maken, beperken of verwijderen. Beheerders kunnen mogelijk ook toegang tot accounts bij de Services bewaken, beperken of beëindigen. De verantwoordelijkheid van Dropbox strekt zich niet uit tot het interne beheer van de Services. De Klant is verantwoordelijk voor: (i) de vertrouwelijkheid van wachtwoorden en beheerdersaccounts, (ii) het beheren van de toegang tot beheerdersaccounts en (iii) het waarborgen dat het gebruik van de Services door de Beheerders in overeenstemming is met deze Overeenkomst. De Klant begrijpt dat als de Klant de Services aanschaft via een Reseller en medewerkers van deze Reseller machtigt als beheerders van het account van de Klant bij de Services, deze Reseller zeggenschap heeft over accountgegevens, inclusief gegevens van de Klant, en toegang heeft tot het account van de Klant bij de Services, zoals hierboven beschreven.
   3. Niet-geautoriseerd gebruik en onbevoegde toegang. De Klant voorkomt niet-geautoriseerd gebruik van de Services door zijn Eindgebruikers en beëindigt alle niet-geautoriseerd gebruik van of onbevoegde toegang tot de Services. De Services zijn niet bedoeld voor gebruikers jonger dan 13 jaar. De Klant zorgt ervoor dat niemand jonger dan 13 jaar de Services kan gebruiken. De Klant stelt Dropbox onmiddellijk op de hoogte van elke vorm van niet-geautoriseerd gebruik van of onbevoegde toegang tot de Services.
   4. Beperkingen op gebruik. De Klant mag de Services niet (i) verkopen, wederverkopen of leasen, (ii) gebruiken voor activiteiten waarbij het gebruik of uitvallen van de Services kan leiden tot materiële schade, persoonlijk letsel of overlijden, en (iii) reverse-engineeren, noch een poging hiertoe doen of iemand anders helpen dat te doen. Deze beperkingen gelden niet wanneer deze wettelijk zijn verboden.
   5. Verzoeken van derden.
      1. Een 'Verzoek van derden' betekent een verzoek van een derde om gegevens die verband houden met het gebruik van de Services door een Eindgebruiker, met inbegrip van informatie in of vanuit een Services-account van een Eindgebruiker of Klant. Verzoeken van derden kunnen onder meer zijn: geldige huiszoekingsbevelen, gerechtelijke bevelen, dagvaardingen of verzoeken waarbij schriftelijke toestemming van de Eindgebruiker tot bekendmaking aanwezig is.
      2. De Klant heeft de verantwoordelijkheid om op Verzoeken van Derden te reageren via zijn of haar eigen toegang tot gegevens. De Klant moet de gegevens proberen te verkrijgen die vereist zijn om op Verzoeken van derden te reageren en neemt alleen contact op met Dropbox als hij of zij ondanks uiterste inspanningen dergelijke informatie niet kan verkrijgen.
      3. Dropbox zal alle commercieel redelijke inspanningen doen, voor zover toegestaan ​​door de wet en door de voorwaarden van het Verzoek van derden, om: (A) de Klant onmiddellijk op de hoogte te stellen van de ontvangst door Dropbox van een Verzoek van derden, (B) te voldoen aan commercieel redelijke verzoeken om informatie van de Klant over de inspanningen van Dropbox om zich te verzetten tegen een Verzoek van derden, en (C) de Klant de gegevens en hulpmiddelen te bieden die de Klant nodig heeft om te reageren op het Verzoek van derden, indien de Klant niet op andere wijze in staat is om deze informatie te verkrijgen. Als de Klant niet stipt reageert op een Verzoek van derden, kan Dropbox dat doen, maar is daartoe echter niet verplicht.
3. Services van derden. Wanneer de Klant bij de Services gebruikmaakt van een service van derden, bijvoorbeeld een service die een Dropbox-API gebruikt, (a) is Dropbox niet verantwoordelijk voor enige handeling of nalating door die derde, met inbegrip van de toegang tot of het gebruik van Gegevens van de klant door de derde, en (b) geeft Dropbox geen garantie of ondersteuning voor de door die derde geleverde service.
4. Opschorting
   1. Van accounts van Eindgebruikers door Dropbox. Als een Eindgebruiker (i) handelt in strijd met deze Overeenkomst of (ii) de Services op een wijze gebruikt waarvan Dropbox redelijkerwijze vermoedt dat deze tot aansprakelijkheid voor Dropbox zal leiden, kan Dropbox de Klant verzoeken het account van de Eindgebruiker op te schorten of te beëindigen. Als de Klant niet stipt het account van de Eindgebruiker opschort of beëindigt, kan Dropbox dit doen.
   2. Beveiligingsnoodsituaties. Onverminderd al het voorgaande in deze Overeenkomst mag Dropbox in het geval van een Beveiligingsnoodsituatie automatisch het gebruik van de Services opschorten. Dropbox moet commercieel redelijke inspanningen doen om de opschorting zo kort mogelijk te maken als nodig is om de Beveiligingsnoodsituatie te voorkomen of te beëindigen. 'Beveiligingsnoodsituatie' betekent: (i) een gebruik van de Services dat leidt of kan leiden tot onderbreking van de Services, het gebruik door andere klanten van de Services of de infrastructuur die wordt gebruikt om de Services te leveren, en (ii) niet-geautoriseerde toegang van derden tot de Services.
5. Intellectuele eigendomsrechten.
   1. Voorbehoud van rechten. Tenzij uitdrukkelijk hierin bepaald, verleent deze Overeenkomst (i) geen intellectuele eigendomsrechten aan Dropbox met betrekking tot Gegevens van de klant, en (ii) geen intellectuele eigendomsrechten aan de Klant met betrekking tot de Services of handelsmerken en merkkenmerken van Dropbox. 'Intellectuele eigendomsrechten' betekent huidige en toekomstige wereldwijde patentrechten, auteursrechten, handelsgeheimen, rechten op handelsmerken, morele rechten en andere soortgelijke rechten.
   2. Beperkte toestemming. De Klant verleent Dropbox slechts beperkte rechten die redelijkerwijze nodig zijn voor Dropbox om de Services te kunnen aanbieden, bijvoorbeeld voor het hosten van opgeslagen gegevens. Deze toestemming geldt ook voor de met Dropbox verbonden ondernemingen en vertrouwde derden met wie Dropbox samenwerkt om de Services aan te bieden (bijvoorbeeld een betalingsprovider die de betalingen van vergoedingen verwerkt).
   3. Suggesties. Dropbox kan geheel naar eigen goeddunken, voor elk doel en zonder enige verplichting ten aanzien van de Klant, alle feedback, opmerkingen of suggesties die Klanten of Eindgebruikers naar Dropbox sturen of op forums van Dropbox plaatsen, gebruiken, wijzigen of opnemen in zijn producten en services of in licentie of sublicentie geven.
   4. Lijst met klanten. Dropbox mag de naam van de Klant opnemen in een lijst met klanten van Dropbox op de website van Dropbox of in advertentiemateriaal van Dropbox.
6. Vergoedingen en betaling.
   1. Vergoedingen. De Klant zal alle van toepassing zijnde vergoedingen betalen en machtigt Dropbox of de Wederverkoper van de Klant om deze vergoedingen af te schrijven via de geselecteerde betalingsmethode van de Klant. Vergoedingen zijn niet-restitueerbaar, tenzij dit wettelijk is verplicht. De Klant heeft de verantwoordelijkheid volledige en juiste facturerings- en contactgegevens te verstrekken aan Dropbox of de Wederverkoper van de Klant. Dropbox kan de Services opschorten of beëindigen bij achterstallige betalingen van vergoedingen.
   2. Automatische verlengingen en proefperioden. ALS HET ACCOUNT VAN DE KLANT IS INGESTELD OP AUTOMATISCHE VERLENGING OF ZICH IN EEN PROEFPERIODE BEVINDT, MAG DROPBOX (OF DE WEDERVERKOPER VAN DE KLANT) AAN HET EINDE VAN DE PROEFPERIODE OF VÓÓR DE VERLENGINGSDATUM DE VERGOEDINGEN AUTOMATISCH AFSCHRIJVEN, TENZIJ DE KLANT DROPBOX (OF DE WEDERVERKOPER VAN DE KLANT, INDIEN VAN TOEPASSING) MEEDEELT DAT HIJ OF ZIJ HET AUTOMATISCH VERLENGEN WIL ANNULEREN OF UITSCHAKELEN. Dropbox kan tarieven voor de Services wijzigen door de Klant hiervan minstens 30 dagen vóór de volgende afschrijving op de hoogte te stellen.
   3. Belastingen. De Klant is verantwoordelijk voor alle belastingen. Dropbox of de Wederverkoper van de Klant brengt belasting in rekening wanneer dit wettelijk is verplicht. Als de Klant wettelijk is verplicht om belasting in te houden, moet deze een officiële fiscale verklaring of andere relevante documentatie aan Dropbox of de Wederverkoper van de Klant verstrekken.
   4. Inkooporders. Als de Klant gebruik van een inkooporder of inkoopordernummer verplicht stelt, (i) moet de Klant het inkoopordernummer op het moment van aanschaf opgeven en (ii) stemt de Klant ermee in dat mogelijke bepalingen en voorwaarden van de inkooporder van de Klant niet van toepassing zijn op deze Overeenkomst en nietig zijn. Als de Klant de Services aanschaft via een Wederverkoper, zijn alle voorwaarden van de Wederverkoper of op een inkooporder tussen de Klant en de Wederverkoper nietig als ze strijdig zijn met de Overeenkomst voor Dropbox Business.
7. Duur en ontbinding.
   1. Duur. Deze Overeenkomst blijft van kracht totdat het abonnement van de Klant op de Services verloopt of afloopt of totdat de Overeenkomst wordt ontbonden.
   2. Ontbinding op grond van contractbreuk. Zowel Dropbox als de Klant mogen deze overeenkomst beëindigen indien: (i) de andere partij de Overeenkomst wezenlijk schendt en de schending niet binnen 30 dagen na ontvangst van een schriftelijke kennisgeving opheft, of (ii) de andere partij de bedrijfsactiviteiten staakt of onderwerp wordt van een insolventieprocedure waarbij de procedure niet binnen 90 dagen wordt afgewezen.
   3. Gevolgen van ontbinding. Indien deze Overeenkomst wordt ontbonden, (i) komt onmiddellijk een einde aan de rechten die Dropbox aan de Klant heeft toegekend (met uitzondering van de bepalingen in dit artikel), (ii) kan Dropbox de Klant toegang geven tot zijn of haar account tegen de op dat moment geldende vergoedingen zodat de Klant zijn of haar Opgeslagen gegevens kan exporteren, en (iii) mag Dropbox na een commercieel redelijke tijd alle Opgeslagen gegevens met betrekking tot het account van de Klant verwijderen. De volgende artikelen blijven ook na het vervallen of beëindigen van deze Overeenkomst gelden: 2(e) (Verzoeken van derden), 5 (Intellectuele eigendomsrechten), 6 (Vergoedingen en betaling), 7(c) (Gevolgen van de ontbinding), 8 (Schadeloosstelling), 9 (Vrijwaringen), 10 (Beperking van aansprakelijkheid), 11 (Geschillen) en 12 (Diverse bepalingen).
8. Schadeloosstelling.
   1. Door de Klant. De Klant zal Dropbox schadeloos stellen voor, verdedigen tegen en vrijwaren van alle aansprakelijkheid, schade en kosten (met inbegrip van schikkingskosten en redelijke kosten van juridische bijstand) die voortvloeien uit alle vorderingen door derden tegen Dropbox en daarmee verbonden ondernemingen betreffende: (i) Gegevens van de klant, (ii) gebruik door de Klant van de Services in strijd met deze Overeenkomst, of (iii) gebruik door de Eindgebruiker van de Services in strijd met deze Overeenkomst.
   2. Door Dropbox. Dropbox zal de Klant schadeloos stellen voor, verdedigen tegen en vrijwaren van alle aansprakelijkheid, schade en kosten (met inbegrip van schikkingskosten en redelijke kosten van juridische bijstand) die voortvloeien uit alle vorderingen door derden tegen de Klant, in zoverre deze zijn gebaseerd op de bewering dat de technologie van Dropbox die wordt gebruikt om de Services aan de Klant te leveren inbreuk maakt op enig auteursrecht, handelsgeheim, patent in de Verenigde Staten of recht op een handelsmerk van deze derden, of zich deze onrechtmatig toe-eigent. In geen geval zal Dropbox krachtens dit artikel enige verplichtingen of aansprakelijkheden hebben die voortvloeien uit: (i) gebruik van enige Services in een gewijzigde vorm of in combinatie met materialen die niet door Dropbox zijn geleverd of (ii) enige inhoud, informatie of gegevens die zijn verstrekt door de Klant, Eindgebruikers of andere derden.
   3. Mogelijke inbreuk. Indien Dropbox meent dat de Services inbreuk maken op of verweten zouden kunnen worden inbreuk te maken op de Intellectuele eigendomsrechten van een derde, kan Dropbox: (i) op kosten van Dropbox voor de Klant het recht verkrijgen om de Services te mogen blijven gebruiken, (ii) een vervangende, gelijkwaardige functionaliteit bieden die geen inbreuk pleegt, of (iii) de Services zodanig aanpassen dat deze niet langer inbreuk maken. Als Dropbox van mening is dat de in dit artikel omschreven opties niet commercieel redelijk zijn, mag Dropbox het gebruik door de Klant van de betrokken Services opschorten of beëindigen (met een restitutie op pro-rata basis van de vooruitbetaalde vergoedingen voor de Services).
   4. Algemeen. De partij die schadeloosstelling vraagt, zal de andere partij onmiddellijk op de hoogte stellen van de vordering en met de andere partij samenwerken bij de verdediging tegen de vordering. De schadeloosstellende partij krijgt volledige controle en zeggenschap over de verdediging, waarbij het volgende geldt: (i) voor een schikking die vereist dat de partij die schadeloosstelling vraagt, aansprakelijkheid moet toegeven, is voorafgaande schriftelijke toestemming nodig, die niet onredelijkerwijs mag worden geweigerd of vertraagd, en (ii) de andere partij mag met eigen juridische bijstand en op eigen kosten meedoen aan de verdediging. KRACHTENS DEZE OVEREENKOMST ZIJN BIJ INBREUK DOOR DE ANDERE PARTIJ OP DE INTELLECTUELE EIGENDOMSRECHTEN VAN EEN DERDE DE BOVENGENOEMDE SCHADELOOSSTELLINGEN DE ENIGE RECHTSMIDDELEN VAN DROPBOX EN DE KLANT.
9. Vrijwaringen. ALLE SERVICES WORDEN AANGEBODEN 'IN DE HUIDIGE STATUS'. VOOR ZOVER WETTELIJK TOEGESTAAN EN TENZIJ UITDRUKKELIJK ANDERS BEPAALD IN DEZE OVEREENKOMST, GEVEN DE KLANT, DROPBOX EN DE MET DROPBOX VERBONDEN ONDERNEMINGEN, LEVERANCIERS EN DISTRIBUTEURS GEEN ENKELE GARANTIE IN ENIGE VORM, NIET EXPLICIET, NIET IMPLICIET, NIET WETTELIJK EN NIET ANDERSZINS, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID, GESCHIKTHEID VOOR EEN BEPAALD GEBRUIK OF NIET-INBREUKMAKENDHEID. DE KLANT IS VERANTWOORDELIJK VOOR HET ONDERHOUDEN EN HET MAKEN VAN BACK-UPS VAN ALLE OPGESLAGEN GEGEVENS.
10. Beperking van aansprakelijkheid.
    1. Beperking van indirecte aansprakelijkheid. VOOR ZOVER TOEGESTAAN DOOR DE WET EN UITGEZONDERD DE VERPLICHTINGEN TOT SCHADELOOSSTELLING VAN DROPBOX EN DE KLANT, ZIJN DE KLANT, DROPBOX, DE MET DROPBOX VERBONDEN ONDERNEMINGEN, LEVERANCIERS EN DISTRIBUTEURS KRACHTENS DEZE OVEREENKOMST IN GEEN GEVAL AANSPRAKELIJK VOOR (I) INDIRECTE, BIJZONDERE, INCIDENTELE OF GEVOLGSCHADE OF SCHADEVERGOEDING BIJ WIJZE VAN VOORBEELD OF BIJ WIJZE VAN SANCTIE, OF (II) VERLIES VAN GEBRUIK, GEGEVENSVERLIES, VERLIES VAN OPDRACHTEN, INKOMSTENDERVING OF WINSTDERVING (IN AL DEZE GEVALLEN ZOWEL DIRECT ALS INDIRECT), ZELFS ALS DE PARTIJ WIST OF HAD MOETEN WETEN DAT DERGELIJKE SCHADE MOGELIJK WAREN EN ZELFS ALS EEN RECHTSMIDDEL HET HOOFDDOEL NIET HAD BEREIKT.
    2. Beperking van het bedrag van de aansprakelijkheid. VOOR ZOVER TOEGESTAAN DOOR DE WET ZAL DE CUMULATIEVE AANSPRAKELIJKHEID VAN DROPBOX KRACHTENS DEZE OVEREENKOMST NIET HOGER ZIJN DAN HET KLEINSTE VAN DE VOLGENDE BEDRAGEN: $ 100.000 OF HET BEDRAG DAT DOOR DE KLANT KRACHTENS DEZE OVEREENKOMST VOOR DE SERVICES IS BETAALD GEDURENDE DE TWAALF MAANDEN VOORAFGAAND AAN DE GEBEURTENIS DIE HEEFT GELEID TOT DE AANSPRAKELIJKHEID.
11. Geschillen.
    1. Informele beslechting. Dropbox wil eventuele problemen die we met je hebben, oplossen zonder een officiële juridische procedure aan te spannen. Alvorens een vordering in te stellen komen beide partijen met elkaar overeen het geschil te beslechten door contact met de andere partij op te nemen via de kennisgevingsprocedures zoals die zijn omschreven in artikel 12(e). Als een geschil niet binnen 30 dagen na de kennisgeving wordt opgelost, heeft zowel de Klant als Dropbox het recht een formele procedure aan te spannen.
    2. Overeenkomst tot arbitrage. Klant en Dropbox komen overeen alle vorderingen met betrekking tot deze Overeenkomst of de Services op te lossen via definitieve en bindende arbitrage, behalve zoals onderstaand uiteengezet. De American Arbitration Association (AAA) zal de arbitrage beheren, volgens haar Commercial Arbitration Rules. De arbitrage vindt plaats in San Francisco (CA, VS) of op elke andere locatie die beide partijen schriftelijk overeenkomen.
    3. Uitzondering op Overeenkomst tot arbitrage. Beide partijen mogen bij de federale of staatsrechtbanken van San Francisco County, California, VS, een rechtszaak aanspannen, maar uitsluitend als dwangmiddel om niet-geautoriseerd gebruik of misbruik van de Services of inbreuk op Intellectuele eigendomsrechten te stoppen, zonder eerst deel te moeten nemen aan het informele kennisgevingsproces voor het geschil zoals dat bovenstaand is omschreven. Zowel de Klant als Dropbox stemmen in met de persoonlijke jurisdictie van de hierin gelegen rechtbanken en de rechtsgebieden.
    4. GEEN COLLECTIEVE PROCESSEN. De Klant mag geschillen met Dropbox uitsluitend slechten op individuele basis en zal geen vorderingen doen door middel van een collectief, geconsolideerd of representatief proces. Collectieve arbitrages, collectieve processen, algemene processen door een privéadvocaat en consolidatie met andere arbitrages zijn niet toegestaan.
12. Diverse bepalingen.
    1. Wijziging van de voorwaarden. Dropbox kan deze Overeenkomst van tijd tot tijd wijzigen. De meest actuele versie wordt altijd gepubliceerd op de website van Dropbox Business. Als een herziening naar het oordeel van Dropbox substantieel is, zal Dropbox de Klant hiervan op de hoogte stellen, bijvoorbeeld door een e-mail te sturen naar het e-mailadres dat bij het betreffende account hoort. Andere wijzigingen kunnen op de blog- of voorwaardenpagina van Dropbox worden gepubliceerd. De Klant heeft de verantwoordelijkheid deze pagina's regelmatig te controleren op dergelijke berichten. Door verder toegang te zoeken tot of gebruik te maken van de Services nadat de wijzigingen van kracht zijn geworden, stemt de Klant ermee in gebonden te zijn aan de herziene Overeenkomst. Als de Klant niet akkoord gaat met de bepalingen van de herziene Overeenkomst, mag hij of zij binnen 30 dagen nadat de kennisgeving over de wijziging is ontvangen het abonnement op de Services beëindigen.
    2. Gehele overeenkomst. Deze Overeenkomst, met inbegrip van de factuur en het orderformulier voor de Klant van Dropbox, vormt de gehele overeenkomst tussen de Klant en Dropbox met betrekking tot het onderwerp van deze Overeenkomst en heeft voorrang op en vervangt alle eerdere of gelijktijdige afspraken en overeenkomsten, schriftelijk dan wel mondeling, met betrekking tot het onderwerp van deze Overeenkomst. Als er sprake is van tegenstrijdigheid tussen de documenten die samen deze Overeenkomst vormen, zijn de documenten in deze volgorde van toepassing: de Dropbox-factuur, het Dropbox-orderformulier, de Overeenkomst.
    3. Toepasselijk recht. OP DE OVEREENKOMST IS HET RECHT VAN DE STAAT CALIFORNIE (V.S.) VAN TOEPASSING, WAARBIJ GEEN REKENING WORDT GEHOUDEN MET HET PRINCIPE VAN CONFLICTERENDE WETGEVING.
    4. Scheidbaarheid. Onuitvoerbare bepalingen zullen zodanig worden gewijzigd dat zij de bedoelingen van de partijen reflecteren, en uitsluitend in zoverre als noodzakelijk is om deze uitvoerbaar te maken, waarbij de overige bepalingen van de Overeenkomst volledig van kracht blijven.
    5. Kennisgevingen. Kennisgevingen moeten per post of per koeriersdienst worden verzonden en worden geacht te zijn gedaan wanneer ze worden ontvangen. Kennisgevingen aan de Klant mogen ook naar het betreffende e-mailadres worden verzonden en worden geacht te zijn gedaan wanneer ze worden verzonden. Kennisgevingen aan Dropbox moeten worden gericht aan: Dropbox, Inc., P.O. Box 77767, San Francisco, CA 94107, Verenigde Staten, met een kopie naar 'Legal Department'.
    6. Afstanddoening. Een afstanddoening voor een verzuim is geen afstanddoening voor enig daaropvolgend verzuim.
    7. Overdracht. De Klant mag zonder voorafgaande schriftelijke toestemming van Dropbox deze Overeenkomst of enige van de daarin opgenomen rechten en plichten niet overdragen. Dropbox mag deze Overeenkomst niet overdragen zonder de Klant daarvan in kennis te stellen, maar Dropbox mag zonder voorafgaande kennisgeving deze Overeenkomst of enige van de daarin opgenomen rechten en plichten wel overdragen aan een aan Dropbox verbonden onderneming, of in het geval van een fusie, overname of reorganisatie van het bedrijf, of in het geval van verkoop van al zijn activa of een gedeelte daarvan. Elke andere poging tot overdracht is nietig.
    8. Geen agentschap. Dropbox en de Klant zijn geen juridische partners of agenten, maar zijn onafhankelijk contractanten.
    9. Overmacht. Behalve voor betalingsverplichtingen zijn noch Dropbox noch de Klant aansprakelijk voor gebrekkige uitvoering van de Overeenkomst in zoverre deze is veroorzaakt door omstandigheden waarop de partij redelijkerwijs geen invloed heeft (zoals natuurrampen, oorlogsdaden of terrorisme, oproer, arbeidsonrust, overheidshandelingen en verstoringen van het internet).
    10. Geen derde partijen begunstigd. Er zijn geen derde partijen die begunstigden zijn van deze Overeenkomst. Onverminderd dit artikel zijn de Eindgebruikers van de Klant geen derde partijen die begunstigden van deze Overeenkomst zijn.
    11. Uitvoerbeperkingen. Op de uitvoer en heruitvoer van Gegevens van de klant via de Services kunnen de United States Export Administration Regulations of andere toepasselijke uitvoerbeperkingen of embargo's van toepassing zijn. De Services mogen niet worden gebruikt in Cuba, Iran, Noord-Korea, Soedan en Syrië, of enig ander land dat is onderworpen aan een embargo van de Verenigde Staten, en de Klant mag de Services niet gebruiken in strijd met enige uitvoerbeperking of embargo van de Verenigde Staten of van enig andere toepasselijke jurisdictie. Daarnaast moet de Klant waarborgen dat de Services niet worden geleverd aan personen die worden genoemd in de Table of Denial Orders, de Entity List en de List of Specially Designated Nationals van de Verenigde Staten.

Voor de toepassing van artikel 26, lid 2, van Richtlijn 95/46/EG, voor de doorgifte van persoonsgegevens aan verwerkers die zijn gevestigd in derde landen die geen passend beschermingsniveau waarborgen

Naam van de organisatie die de gegevens uitvoert: de Klant die partij is bij de Overeenkomst voor Dropbox Business met Dropbox International Unlimited Company
(de gegevensexporteur)

en

Naam van de organisatie die de gegevens invoert: Dropbox, Inc.
Adres: 333 Brannan Street, San Francisco, CA 94107, Verenigde Staten
(de gegevensimporteur)

elk afzonderlijk 'partij' en gezamenlijk 'de partijen' genoemd,

ZIJN OVEREENGEKOMEN de volgende contractbepalingen, hierna 'de bepalingen' genoemd, vast te stellen teneinde voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, bij de doorgifte van de in Appendix 1 vermelde persoonsgegevens door de gegevensexporteur aan de gegevensimporteur.

Voor de toepassing van de bepalingen:

1. gelden voor 'persoonsgegevens', 'bijzondere categorieën gegevens', 'verwerken/verwerking', 'voor de verwerking verantwoordelijke', 'verwerker', 'betrokkene' en 'toezichthoudende autoriteit' dezelfde definities als in Richtlijn95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens¹;
2. wordt onder 'de gegevensexporteur' verstaan: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;
3. wordt onder 'de gegevensimporteur' verstaan: de verwerker die overeenkomt om van de gegevensexporteur persoonsgegevens te ontvangen om deze na doorgifte namens de gegevensexporteur te verwerken in overeenstemming met diens instructies en de voorwaarden van de bepalingen, en die niet is onderworpen aan een regeling van een derde land die passende bescherming biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
4. wordt onder 'de subverwerker' verstaan: de verwerker die wordt ingehuurd door de gegevensimporteur of een andere subverwerker van de gegevensimporteur, en die overeenkomt om van de gegevensimporteur of een andere subverwerker van de gegevensimporteur persoonsgegevens te ontvangen die uitsluitend zijn bedoeld voor verwerking namens de gegevensexporteur na de doorgifte in overeenstemming met diens instructies, de voorwaarden van de bepalingen en de voorwaarden van het schriftelijke subcontract;
5. wordt onder 'toepasselijk recht inzake gegevensbescherming' verstaan: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een voor de verwerking verantwoordelijke;
6. wordt onder 'technische en organisatorische beveiligingsmaatregelen' verstaan: maatregelen die tot doel hebben persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking de doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.

De bijzonderheden betreffende de doorgifte, met name, in voorkomend geval, de bijzondere categorieën persoonsgegevens, worden nader omschreven in Appendix 1, dat een integraal deel van de bepalingen vormt.

1. De betrokkenen kunnen deze bepaling en bepaling 4 onder b) tot en met i), bepaling 5 onder a) tot en met e) en g) tot en met j), bepaling 6, leden 1 en 2, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 als derde begunstigden afdwingen tegenover de gegevensexporteur.
2. De betrokkenen kunnen deze bepaling, bepaling 5 onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de gegevensimporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dit geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen.
3. De betrokkenen kunnen deze bepaling, bepaling 5 onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de subverwerker afdwingen in die gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dat geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
4. De partijen verzetten zich er niet tegen dat de betrokkenen door een vereniging of andere instelling worden vertegenwoordigd, indien de betrokkenen dit uitdrukkelijk wensen en dit in het nationale recht is toegestaan.

De gegevensexporteur stemt ermee in en garandeert dat:

1. de verwerking van de persoonsgegevens, met inbegrip van de doorgifte zelf, is geschied en zal blijven geschieden in overeenstemming met alle relevante bepalingen van het toepasselijke recht inzake gegevensbescherming (en, waar van toepassing, is gemeld aan de betrokken autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd), en dat zij niet in strijd is met de toepasselijke bepalingen van die staat;
2. hij de gegevensimporteur instructie heeft gegeven, en gedurende de verwerking van de persoonsgegevens zal geven, om de persoonsgegevens uitsluitend namens de gegevensexporteur te verwerken, en in overeenstemming met het toepasselijke recht inzake gegevensbescherming en de bepalingen;
3. de gegevensimporteur voldoende waarborgen zal bieden ten aanzien van de technische en organisatorische beveiligingsmaatregelen die in Appendix 2 bij deze overeenkomst worden omschreven;
4. deze beveiligingsmaatregelen, na een beoordeling van de vereisten van het toepasselijke recht inzake gegevensbescherming, geschikt zijn bevonden om persoonsgegevens te beschermen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking gepaard gaat met doorzending van gegevens via een netwerk, dan wel tegen enige andere vorm van onwettige verwerking, en deze maatregelen gezien de aan de verwerking en de aard van de te beschermen gegevens verbonden risico’s een passend beveiligingsniveau waarborgen, gelet op de stand van de techniek en de kosten van de uitvoering;
5. hij op de naleving van deze beveiligingsmaatregelen zal toezien;
6. wanneer de doorgifte bijzondere categorieën gegevens betreft, de betrokkene ervan in kennis is gesteld, of vóór of zo spoedig mogelijk na de doorgifte ervan in kennis zal worden gesteld, dat zijn gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt als bedoeld in Richtlijn 95/46/EG;
7. hij overeenkomstig bepaling 5 onder b), en bepaling 8, lid 3, ontvangen kennisgevingen van de gegevensimporteur of een subverwerker aan de toezichthoudende autoriteit zal doorzenden, wanneer hij (dat wil zeggen de gegevensexporteur) besluit de doorgifte voort te zetten of de opschorting op te heffen;
8. hij op verzoek een afschrift van de bepalingen ter beschikking van de betrokkene zal stellen, met uitzondering van Appendix 2, alsmede een beknopte beschrijving van de beveiligingsmaatregelen en een afschrift van elk contract voor subverwerkingsdiensten dat overeenkomstig de bepalingen dient te worden opgesteld; indien de bepalingen of het contract commerciële informatie bevatten, mag de gegevensexporteur deze commerciële informatie verwijderen;
9. in geval van subverwerking de verwerkingsactiviteiten overeenkomstig bepaling 11 worden uitgevoerd door een subverwerker die ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van de betrokkenen waarborgt als de gegevensimporteur overeenkomstig deze bepalingen; en
10. hij zal toezien op de naleving van bepaling 4, onder a) tot en met i).

De gegevensimporteur stemt ermee in en garandeert dat:

1. hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de bepalingen verwerkt; als hij om welke reden dan ook niet daartoe in staat is, stemt hij ermee in de gegevensexporteur onverwijld daarvan in kennis te stellen; in dat geval mag de gegevensexporteur de gegevensdoorgifte opschorten en/of het contract beëindigen;
2. hij geen reden heeft aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen, en dat hij in geval van een wijziging in deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de bepalingen opgenomen waarborgen en verplichtingen, de gegevensexporteur, zodra hij de wijziging kent, onverwijld daarvan in kennis stelt; in dat geval mag de gegevensexporteur de gegevensdoorgifte opschorten en/of het contract beëindigen;
3. hij de in Appendix 2 omschreven technische en organisatorische beveiligingsmaatregelen vóór de verwerking van de doorgegeven persoonsgegevens heeft genomen;
4. hij de gegevensexporteur onverwijld ervan in kennis stelt wanneer:
   1. een wetshandhavingsinstantie een juridisch bindend verzoek om verstrekking van persoonsgegevens heeft gedaan, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;
   2. iemand per ongeluk of op ongeoorloofde wijze toegang tot de gegevens heeft gehad;
   3. hij van de betrokkenen rechtstreeks een verzoek heeft ontvangen, waarop hij niet ingaat, tenzij hem dit anderszins is toegestaan.
5. hij alle vragen van de gegevensexporteur betreffende de door hem uitgevoerde verwerking van de doorgegeven persoonsgegevens zo spoedig mogelijk naar behoren beantwoordt en het advies van de toezichthoudende autoriteit volgt bij de verwerking van de doorgegeven gegevens;
6. hij op verzoek van de gegevensexporteur zijn verwerkingsvoorzieningen beschikbaar stelt voor controle van de onder deze bepalingen vallende verwerkingsactiviteiten, welke wordt uitgevoerd door de gegevensexporteur of door een controleorgaan waarvan de leden onafhankelijk zijn, over de vereiste beroepskwalificaties beschikken, tot geheimhouding verplicht zijn en door de gegevensexporteur worden aangewezen, waar van toepassing in overleg met de toezichthoudende autoriteit;
7. hij, wanneer de betrokkene geen afschrift van de gegevensexporteur kan verkrijgen, hem op verzoek een afschrift van de bepalingen alsmede eventuele subverwerkingscontracten ter beschikking stelt, met uitzondering van Appendix 2 die door een beknopte beschrijving van de beveiligingsmaatregelen wordt vervangen; indien de bepalingen of contracten commerciële informatie bevatten, mag de gegevensimporteur deze commerciële informatie verwijderen;
8. hij, wanneer subverwerking plaatsvindt, de gegevensexporteur tevoren heeft ingelicht en diens schriftelijke toestemming heeft verkregen;
9. de verwerkingsdiensten van de subverwerker overeenkomstig bepaling 11 zullen worden uitgevoerd;
10. hij van elk subverwerkingscontract dat hij in het kader van de bepalingen aangaat, onverwijld een afschrift doet toekomen aan de gegevensexporteur.

1. De partijen komen overeen dat elke betrokkene die schade heeft geleden ten gevolge van een schending van de verplichtingen bedoeld in bepaling 3 of bepaling 11 door een partij of een subverwerker, het recht heeft van de gegevensexporteur een vergoeding voor de geleden schade te ontvangen.
2. Wanneer de betrokkene geen vordering tot schadevergoeding wegens niet-nakoming door de gegevensimporteur of diens subverwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen, als bedoeld in lid 1, tegen de gegevensexporteur kan instellen doordat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensimporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen; in dat geval kan de betrokkene zijn rechten tegenover die rechtsopvolger doen gelden.
   De gegevensimporteur kan zich niet aan zijn aansprakelijkheid onttrekken door zich te beroepen op niet-nakoming van verplichtingen door de subverwerker.
3. Wanneer de betrokkene de in lid 1 of 2 bedoelde vordering wegens niet-nakoming door de subverwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen niet tegen de gegevensexporteur of de gegevensimporteur kan instellen doordat zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de subverwerker ermee in dat de betrokkene een vordering kan instellen tegen de subverwerker, met betrekking tot diens eigen verwerkingsactiviteiten krachtens de bepalingen, alsof deze de gegevensexporteur of de gegevensimporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden. De aansprakelijkheid van de subverwerker blijft beperkt tot de verwerkingsactiviteiten die deze zelf heeft uitgevoerd krachtens de bepalingen.

1. De gegevensimporteur stemt ermee in dat, indien de betrokkene tegen hem rechten ten behoeve van derden en/of vorderingen tot schadevergoeding krachtens de bepalingen inroept, de gegevensimporteur de beslissing van de betrokkene aanvaardt:
   1. om het geschil te onderwerpen aan bemiddeling door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit;
   2. om het geschil voor te leggen aan een rechterlijke instantie in de lidstaat waar de gegevensexporteur is gevestigd.
2. De partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan diens materiële of formele rechten om op grond van andere bepalingen van nationaal of internationaal recht verhaal te zoeken.

Bepaling 8

Samenwerking met de toezichthoudende autoriteiten

1. De gegevensexporteur stemt ermee in een afschrift van dit contract bij de toezichthoudende autoriteit neer te leggen, indien deze daarom verzoekt of indien dit krachtens het toepasselijke recht inzake gegevensbescherming vereist is.
2. De partijen komen overeen dat de toezichthoudende autoriteit bevoegd is om bij de gegevensimporteur en eventuele subverwerkers een controle te verrichten die dezelfde reikwijdte heeft en aan dezelfde voorwaarden is onderworpen als de voorwaarden die krachtens het toepasselijke recht inzake gegevensbescherming voor haar controle van de gegevensexporteur zouden gelden.
3. Indien er wetgeving bestaat die op de gegevensimporteur of een subverwerker van toepassing is en die de uitvoering van controles op de gegevensimporteur of een subverwerker zoals bedoeld in lid 2 verbiedt, stelt de gegevensimporteur de gegevensexporteur daarvan onverwijld in kennis. In een dergelijk geval mag de gegevensexporteur de in bepaling 5 onder b) bedoelde maatregelen nemen.

Op de bepalingen is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing.

De partijen verbinden zich ertoe de bepalingen niet te wijzigen. Dit vormt voor de partijen geen beletsel om indien nodig bepalingen toe te voegen over kwesties die verband houden met de transactie, mits deze niet in strijd zijn met de modelcontractbepalingen.

1. De gegevensimporteur besteedt de verwerkingsactiviteiten die hij overeenkomstig de bepalingen namens de gegevensexporteur uitvoert, niet uit zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. Als de gegevensimporteur met toestemming van de gegevensexporteur zijn verplichtingen uit hoofde van de bepalingen uitbesteedt, dient hij met de subverwerker een schriftelijk contract te sluiten waarbij aan de subverwerker dezelfde verplichtingen worden opgelegd als die waaraan de gegevensimporteur uit hoofde van de bepalingen moet voldoen³. Als de subverwerker niet voldoet aan zijn verplichtingen tot gegevensbescherming uit hoofde van dat schriftelijke contract, blijft de gegevensimporteur jegens de gegevensexporteur volledig aansprakelijk voor de uitvoering van de verplichtingen van de subverwerker uit hoofde van dat contract.
2. In het tevoren tussen de gegevensimporteur en de subverwerker te sluiten schriftelijke contract dient tevens een derdenbeding te zijn opgenomen zoals vervat in bepaling 3, dat voorziet in gevallen dat de betrokkene geen vordering tot schadevergoeding als bedoeld in bepaling 6, lid 1, kan instellen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, en er geen rechtsopvolger is die contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
3. Op de bepalingen betreffende de gegevensbeschermingsaspecten van de subverwerking uit hoofde van het in lid 1 bedoelde contract is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing.
4. De gegevensexporteur houdt een lijst bij van subverwerkingscontracten die krachtens de bepalingen zijn gesloten en door de gegevensimporteur overeenkomstig bepaling 5 onder j), zijn aangemeld, en werkt deze ten minste eenmaal per jaar bij. Deze lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voor gegevensbescherming die op de gegevensexporteur toezicht houdt.

Verplichting na de beëindiging van de verwerking van persoonsgegevens

1. De partijen komen overeen dat de gegevensimporteur en de subverwerker na het beëindigen van de verlening van de gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens en kopieën daarvan aan de gegevensexporteur terugbezorgen of, indien de gegevensexporteur dat verkiest, alle persoonsgegevens vernietigen en aan de gegevensexporteur verklaren dat de vernietiging heeft plaatsgevonden, tenzij de op de gegevensimporteur toepasselijke wetgeving hem verbiedt alle of een gedeelte van de doorgegeven persoonsgegevens terug te bezorgen of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens zal respecteren en dat hij de doorgegeven gegevens niet verder actief zal verwerken.
2. De gegevensimporteur en de subverwerker garanderen dat zij op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit hun verwerkingsvoorzieningen voor een controle van de in lid 1 bedoelde maatregelen beschikbaar zullen stellen.

Termen met een hoofdletter die in Sectie A t/m C en de Appendices worden gebruikt maar niet zijn gedefinieerd in de Bepalingen, hebben de betekenis die is aangegeven in de Overeenkomst voor Dropbox Business tussen de gegevensexporteur en Dropbox International Unlimited Company.

1. Beveiligingsaudit. De gegevensimporteur beschikt over de certificeringen ISO/IEC 27001:2013 en ISO/IEC 27018:2014, die worden verstrekt door een onafhankelijke externe auditor. De gegevensimporteur blijft regelmatige audits voor ISO/IEC 27001:2013 en ISO/IEC 27018 ondergaan die noodzakelijk zijn voor het handhaven van deze certificeringen voor de Services tijdens de Duur van het abonnement. De gegevensimporteur ondergaat ook regelmatig audits van Service Organization Control 2 (SOC 2) Type II. De gegevensimporteur zal een exemplaar van het SOC 2 Type II-rapport na een schriftelijk verzoek beschikbaar stellen aan de gegevensexporteur, met voorbehoud van de verplichtingen tot vertrouwelijkheid van de gegevensimporteur. De gegevensimporteur zal nieuwe SOC 2-rapporten beschikbaar stellen wanneer deze worden voltooid, met voorbehoud van de verplichtingen tot vertrouwelijkheid van de gegevensimporteur. De gegevensimporteur controleert regelmatig de derde organisaties die subservices leveren. Deze ondergaan de audits Standards for Attestation Engagements nr. 16 (SSAE 16), International Standard on Assurance Engagements nr. 3402 (ISAE 3402), Service Organization Control 1 (SOC 1) Type II of Service Organization Control 2 (SOC 2) Type II. Hiermee worden het ontwerp en de effectiviteit van hun beveiligingsbeleid, beveiligingsprocedures en beveiligingscontroles beoordeeld.

   De gegevensexporteur stemt ermee in dat de in deze Sectie A uiteengezette verplichtingen van de gegevensimporteur volledig voldoen aan de auditrechten onder bepaling 5 onder f) en bepaling 1, lid 2, van de Bepalingen.

2. Subverwerking. De gegevensimporteur kan andere bedrijven inhuren om namens de gegevensimporteur beperkte delen van de Services te leveren (inclusief supportservices). De gegevensexporteur stemt ermee in dat de gegevensimporteur het verwerken van persoonsgegevens uitbesteedt aan dergelijke subverwerkers, zoals beschreven in de Bepalingen. De gegevensimporteur zal erop toezien dat subverwerkers alleen toegang hebben tot persoonsgegevens en persoonsgegevens alleen gebruiken om de Services te leveren, zoals uiteengezet in een geschreven overeenkomst tussen de gegevensimporteur en de subverwerker. De gegevensexporteur erkent dat wordt voldaan aan alle vereisten die volgens de Bepalingen worden gesteld aan de gegevensimporteur met betrekking tot overeenkomsten met subverwerkers, mits de overeenkomst voor subverwerking tussen de gegevensimporteur en de subverwerker ten minste het niveau van gegevensbescherming biedt dat is vereist volgens de Overeenkomst voor Dropbox Business.
3. Aansprakelijkheid. De Bepalingen zijn onderworpen aan de beperkingen en uitsluitingen van aansprakelijkheid in het gedeelte 'Beperking van aansprakelijkheid' van de Overeenkomst voor Dropbox Business, in de zin dat de totale, gezamenlijke aansprakelijkheid van de gegevensimporteur en Dropbox International Unlimited Company niet groter zal zijn dan de in de Overeenkomst voor Dropbox Business aangegeven beperkingen. Voor alle duidelijkheid: de gegevensexporteur maakt geen aanspraak op een vergoeding voor dezelfde schade van zowel de gegevensimporteur als Dropbox International Unlimited Company.

Deze Appendix maakt deel uit van de bepalingen en moet door de partijen worden ingevuld en ondertekend.

De lidstaten kunnen overeenkomstig hun nationale procedures aanvullende of meer gedetailleerde gegevens voorschrijven die in dit aanhangsel moeten worden opgenomen.

Gegevensexporteur

De gegevensexporteur is (beschrijf in het kort de voor de doorgifte relevante activiteiten):

De Klant in de Overeenkomst voor Dropbox Business met Dropbox International Unlimited Company.

Gegevensimporteur

De gegevensimporteur is (beschrijf in het kort de voor de doorgifte relevante activiteiten):

Dropbox, Inc., een wereldwijde aanbieder van cloudservices voor particulieren en bedrijven. Dropbox, Inc. en diens partners leveren een website, software en mobiele applicaties die mensen kunnen gebruiken om bestanden op te slaan, bestanden op meerdere apparaten te synchroniseren en samen te werken met anderen. Ook Application Programming Interfaces (API's) kunnen toegang krijgen tot de service van Dropbox, Inc.

Betrokkenen

De doorgegeven persoonsgegevens betreffen de volgende categorieën betrokkenen:

De eindgebruikers van de gegevensexporteur en de partners van de gegevensexporteur, inclusief werknemers, consultants en freelancers van de gegevensexporteur, evenals personen die samenwerken met of bestanden delen met deze eindgebruikers via de door de gegevensimporteur geleverde services.

Categorieën gegevens

De doorgegeven persoonsgegevens betreffen de volgende categorieën gegevens:

Gegevens waarmee eindgebruikers worden geïdentificeerd en organisatiegegevens (zowel online als offline), alsmede documenten, afbeeldingen en ander materiaal of gegevens die worden opgeslagen of verzonden door eindgebruikers via de services van de gegevensimporteur.

Verwerking

De doorgegeven persoonsgegevens zullen de volgende basisverwerkingen ondergaan:

De gegevensimporteur en zijn subverwerkers gebruiken en verwerken persoonsgegevens. De gegevensexporteur geeft de gegevensimporteur de opdracht persoonsgegevens te gebruiken en te verwerken om de Services volgens de Overeenkomst voor Dropbox Business aan te bieden.

Deze Appendix maakt deel uit van de bepalingen en moet door de partijen worden ingevuld en ondertekend.

Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur overeenkomstig bepaling 4 onder d), en bepaling 5 onder c), zijn getroffen (of bijgevoegd(e) document/wettelijke regeling):

Contactpersoon voor gegevensprivacy

De verantwoordelijke voor gegevensprivacy van de gegevensimporteur is te bereiken via privacy@dropbox.com

Beveiligingsmaatregelen

De gegevensimporteur heeft gepaste administratieve, technische en fysieke waarborgen om persoonsgegevens te beschermen geïmplementeerd en zal deze onderhouden, zoals nader is beschreven in het document Beveiliging van Dropbox Business (op de ingangsdatum beschikbaar op: https://www.dropbox.com/static/business/resources/Security_Whitepaper.pdf) en bovendien hieronder wordt uiteengezet. De gegevensimporteur mag deze beveiligingsmaatregelen van tijd tot tijd wijzigen, waarbij de meest recente versie van de beveiligingsmaatregelen is te raadplegen op de bovenstaande URL (of een andere URL zoals meegedeeld door de gegevensimporteur), mits de gegevensimporteur de gegevensexporteur op de hoogte brengt van wijzigingen in de beveiligingsmaatregelen waardoor de in het genoemde document of in deze Appendix 2 beschreven administratieve, technische of fysieke beveiligingsfuncties substantieel worden verminderd.

1. Beveiliging van de Services
   1. Architectuur van Dropbox. De service van de gegevensimporteur is opgebouwd uit meerdere beveiligingslagen die voorzien in gegevensoverdracht, encryptie, netwerkconfiguratie en functies op toepassingsniveau, en die over een schaalbare, beveiligde infrastructuur zijn verspreid. Eindgebruikers van de service van de gegevensimporteur kunnen op elk gewenst moment bestanden en mappen openen via onze desktopapp, website of mobiele apps. Al deze clients zijn via beveiligde services verbonden voor de toegang tot bestanden, het delen van bestanden met anderen en het bijwerken van gekoppelde apparaten wanneer bestanden worden toegevoegd, gewijzigd of verwijderd. De service kan worden gebruikt en benaderd via een aantal interfaces. Elk van deze interfaces is voorzien van beveiligingsinstellingen en -functies die de gegevens beschermen maar er tegelijkertijd voor zorgen dat ze gemakkelijk toegankelijk blijven.
   2. Betrouwbaarheid. De service van de gegevensimporteur is ontwikkeld met verschillende redundantielagen om gegevensverlies te voorkomen en de beschikbaarheid te waarborgen. 
   3. Encryptie. Voor de bescherming van de gegevens tijdens verzending tussen de gegevensexporteur en de gegevensimporteur gebruikt de gegevensimporteur SSL/TLS (Secure Sockets Layer/Transport Layer Security). Hiermee wordt een veilige tunnel tot stand gebracht die wordt beschermd door 128-bits AES-encryptie (Advanced Encryption Standard) of hoger. Bestandsgegevens in rust worden versleuteld met 256-bits AES-encryptie. De infrastructuur van de gegevensimporteur voor sleutelbeheer is ontworpen met operationele, technische en procedurele beveiligingstechnieken met zeer beperkte directe toegang tot sleutels. Het genereren, uitwisselen en opslaan van encryptiesleutels wordt verspreid uitgevoerd voor een gedecentraliseerde verwerking. 
   4. Beheerfuncties voor gebruikers. Eindgebruikers van de service van de gegevensimporteur kunnen zoekgeraakte bestanden herstellen en eerdere versies van bestanden terugzetten, zodat wijzigingen van die bestanden kunnen worden bijgehouden en teruggehaald. De service van de gegevensimporteur kan worden gebruikt met een procedure voor tweestapsverificatie, waarmee een extra beveiligingslaag wordt toegevoegd.
   5. Datacenters. De ondernemings- en productiesystemen van de gegevensimporteur bevinden zich in datacenters van externe subdienstverleners in de Verenigde Staten. De gegevensimporteur controleert minimaal één keer per jaar de SOC 1- en/of SOC 2-rapporten (Service Organization Control) van alle datacenters van subdienstverleners.
2. Informatiebeveiliging
   1. Beleid. De gegevensimporteur heeft een grondige set met beleidsregels voor de beveiliging opgesteld, waarin zaken aan de orde komen als informatiebeveiliging, fysieke beveiliging, calamiteitenplannen, logische toegang, fysieke productietoegang, wijzigingsbeheer en support. Deze regels worden ten minste één keer per jaar gecontroleerd en goedgekeurd. Het personeel van de gegevensimporteur wordt op de hoogte gesteld van wijzigingen in deze regels en ontvangen training in beveiliging.
   2. Personeelsbeleid en toegang. Het interne beleid van de gegevensimporteur inzake de in- en uitdiensttreding van medewerkers omvat achtergrondonderzoek (voor zover toegestaan door lokale wetgeving), de onderschrijving van het beveiligingsbeleid, de bekendmaking van updates van het beveiligingsbeleid en geheimhoudingsovereenkomsten. Alle personeelstoegang die een werknemer of freelancers heeft, wordt direct verwijderd zodra deze weggaat bij het bedrijf. De gegevensimporteur werkt met technisch toegangsbeheer en hanteert een intern beleid dat werknemers en freelancers verbiedt willekeurig bestandsgegevens te bekijken en dat de toegang beperkt tot metagegevens en andere informatie over accounts van eindgebruikers. Ter bescherming van de privacy en beveiliging van eindgebruikers heeft slechts een klein aantal werknemers of freelancers toegang tot de omgeving waar bestanden van eindgebruikers worden opgeslagen. Een dossier met het toegangsverzoek, de onderbouwing en de goedkeuring wordt door het management bijgehouden, en de toegang wordt verleend door hiervoor bevoegde personen.
   3. Netwerkbeveiliging. De gegevensimporteur onderhoudt netwerkbeveiligings- en bewakingstechnieken die zo zijn ontworpen dat ze verschillende beveiligings- en verdedigingslagen bevatten. De gegevensimporteur maakt gebruik van algemeen in de branche aanvaarde beschermingstechnieken, waaronder firewalls, netwerkbeveiligingsbewaking en indringingsdetectiesystemen om te garanderen dat alleen verkeer dat daarvoor in aanmerking komt de infrastructuur van de gegevensimporteur kan bereiken.
   4. Wijzigingsbeheer. De gegevensimporteur waarborgt dat alle beveiligingsgerelateerde wijzigingen zijn geautoriseerd voordat deze worden geïmplementeerd in de productieomgevingen. Wijzigingen aan broncode worden geïnitieerd door ontwikkelaars die een verbetering willen aanbrengen in een toepassing of service van de gegevensimporteur. Wijzigingen van de infrastructuur van de gegevensimporteur mogen uitsluitend worden aangebracht door geautoriseerd personeel. Wijzigingen in het toepassingsniveau van de services moeten geautomatiseerde QA-testprocedures (Quality Assurance, kwaliteitsborging) doorlopen om te verifiëren dat aan de beveiligingseisen wordt voldaan. Wanneer de QA-procedures zijn voltooid, kan de wijziging worden geïmplementeerd. 
   5. Naleving. De gegevensimporteur, diens aanbieders van datacenters en diens leverancier van beheerde services ondergaan regelmatige beveiligingsaudits die worden uitgevoerd door een onafhankelijke derde partij. De gegevensimporteur blijft deelnemen aan regelmatige audits volgens ISO/IEC 27001:2013 en ISO/IEC 27018:2014. De gegevensimporteur beoordeelt tevens SOC 1- en/of SOC 2-rapporten voor alle subdienstverleners. Als er geen SOC-rapport beschikbaar is voor een subdienstverlener, voert de gegevensimporteur beveiligingsbezoeken uit bij nieuwe faciliteiten om te verifiëren of de toepasselijke fysieke, omgevings- en operationele beveiligingsinstrumenten voldoen aan de controlecriteria en de contractuele vereisten. De gegevensimporteur beoordeelt voortdurend extra certificeringen en nalevingsbewijzen die door de subdienstverleners worden overlegd aan de gegevensimporteur.
3. Fysieke beveiliging
   1. Infrastructuur. De fysieke toegang tot de faciliteiten van subdienstverleners waar de productiesystemen zich bevinden, is beperkt tot door de gegevensimporteur geautoriseerd personeel, voor zover vereist voor de uitoefening van hun functie. Iedereen die aanvullende toegang nodig heeft tot faciliteiten van de productieomgeving, krijgt die toegang pas na expliciete goedkeuring door het betreffende management. 
   2. Kantoor. De gegevensimporteur onderhoudt een fysiek beveiligingsteam dat verantwoordelijk is voor het handhaven van het beleid voor fysieke beveiliging en het toezien op de beveiliging van het kantoor van de gegevensimporteur. Toegang tot gebieden met bedrijfsservices is beperkt tot geautoriseerd personeel, via rolniveaus die worden toegekend via het badgetoegangssysteem.