DPA

Deze Gegevensverwerkingsovereenkomst ("DPA") is opgenomen in elke Overeenkomst tussen Articulate Global, LLC (samen met zijn Gelieerde ondernemingen, "Articulate") en de Klant ("Klant", "u","uw ") voor de levering van de Diensten door Articulate, zoals hieronder gedefinieerd. De Klant gaat deze DPA aan namens zichzelf en enige Gelieerden die de Klant toestaat de Diensten te gebruiken op grond van de Overeenkomst ("Geautoriseerde partner"). Articulate en Klant worden elk afzonderlijk een "-partij" genoemd en gezamenlijk de "-partijen".

1. Definities

Voor de toepassing van deze DPA hebben termen met een hoofdletter de onderstaande betekenis. Andere termen met een hoofdletter hebben de betekenis die in de Overeenkomst is uiteengezet.

1.1 "Gelieerde onderneming" betekent elke entiteit die direct of indirect zeggenschap heeft over, onder zeggenschap staat van, of onder gemeenschappelijke zeggenschap staat met een partij van deze DPA.

1.2 "Overeenkomst" betekent de onderliggende overeenkomst(en) die door Articulate en de Klant schriftelijk zijn aangegaan voor de levering van Diensten door Articulate aan de Klant.

1.3 "Toepasselijke wetgeving" betekent alle wetten, reglementen en andere wettelijke vereisten die van toepassing zijn op ofwel (i) Articulate in zijn rol als leverancier van de Diensten, ofwel (ii) op u. Dit kan bijvoorbeeld de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) ("AVG")zijn; gelijkwaardige vereisten in het Verenigd Koninkrijk, waaronder de General Data Protection Regulation van het Verenigd Koninkrijk en de Data Protection Act 2018 ("Britse wetgeving inzake gegevensbescherming"); de California Consumer Privacy Act en bijbehorende regelgeving ("CCPA"),en de California Privacy Rights Act en de bijbehorende uitvoeringsvoorschriften ("CPRA"); de Personal Information Protection and Electronic Documents Act, SC 2000, c.5 ("PIPEDA"); de Australische Privacy Act 1988 en de Australische privacybeginselen (de "Privacy Act"); de Virginia Consumer Data Protection Act indien van kracht ("VCDPA"); de Utah Consumer Privacy Act indien van kracht ("UCPA"), en de Colorado Privacy Act en gerelateerde regelgeving indien van kracht ("CPA"). Elke partij is alleen verantwoordelijk voor de Toepasselijke wetgeving die op de partij van toepassing is.

1.4 "Verwerkingsverantwoordelijke" betekent de natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt.

1.5 "Klantinhoud" (of "Uw inhoud") verwijst naar alle inhoud en informatie die een Klant, een Geautoriseerde partner of een Gebruiker uploadt, importeert of ontwikkelt in of naar de Diensten, of die Articulate anderszins door of via de Diensten ontvangt van de Klant, een Geautoriseerde partner of een Gebruiker.

1.6 "Betrokkene" betekent een geïdentificeerde of identificeerbare natuurlijke persoon. Waar de CCPA of CPRA van toepassing is, omvat de term ook een geïdentificeerd of identificeerbaar huishouden.

1.7 "Persoonsgegevens" betekent (i) alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon, in de zin van de AVG (ongeacht of de AVG van toepassing is); (ii) "persoonsgegevens" in de zin van het Wv.P V.P. en de CPA (ongeacht of deze van toepassing zijn); (iii) "persoonlijke informatie" in de zin van PIPEDA, de CCPA, de CPRA en de Privacy Act (ongeacht of deze van toepassing zijn); en (iv) elke analoge term zoals gedefinieerd in de Toepasselijke wetgeving.

1.8 "Inbreuk in verband met Persoonsgegevens" betekent de onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens.

1.9 "Verwerken" en "Verwerking" betekent elke bewerking of elk geheel van bewerkingen die worden uitgevoerd met betrekking tot Persoonsgegevens of op sets van Persoonsgegevens, al dan niet via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, creëren, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorsturen, verspreiden of op andere wijze ter beschikking stellen, in lijn brengen of combineren, beperken, wissen of vernietigen.

1.10 "Verwerker" betekent een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of ander orgaan die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.

1.11 "Diensten" betekent het software-als-service aanbod van Articulate zoals uiteengezet in een prijsopgave (d.w.z. Articulate 360, Rise of beide), of andere diensten die zijn genoemd in een prijsopgave.

1.12 "Modelcontractbepalingen" en "SCC's 2021" verwijzen naar de bepalingen die zijn uitgevaardigd op grond van Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen op grond van Verordening (EU) 2016/679 van het Europees Parlement en de Raad, beschikbaar op https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj en voltooid zoals beschreven in het gedeelte "Gegevensoverdracht" hieronder.

1.13 "Subverwerker" betekent elke onderaannemer die door Articulate wordt ingeschakeld voor de verwerking van Persoonsgegevens.

1.14 "Trust & Compliance Documentation" means the documentation regarding privacy, data security, and Subprocessor information applicable to the specific Services purchased by Customer, as may be updated periodically, and accessible via Articulate's website at https://cms.articulate.zone/trust/ and https://cms.articulate.zone/trust/gdpr/

1.15 "UK SCC-addendum" betekent het Addendum Internationale Gegevensoverdracht bij de Standaardcontractbepalingen van de Europese Commissie (beschikbaar vanaf de Ingangsdatum op https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/), aangevuld zoals uiteengezet in de paragraaf "Gegevensoverdracht" hieronder.

1.16 "Gebruiker" betekent een of meer personen die de Klant toestemming geeft om toegang te krijgen tot, en gebruik te maken van, de Diensten.

2. Reikwijdte en relatie van de partijen

2.1 Deze DPA is alleen van toepassing op de Persoonsgegevens in Klantinhoud.

2.2 Voor dergelijke Persoonsgegevens bent u (of u verklaart dat u met volledige bevoegdheid handelt namens) de verwerkingsverantwoordelijke, en is Articulate uw Verwerker.

2.3 Indien u handelt namens een derde Verwerkingsverantwoordelijke (of namens tussenpersonen zoals andere Verwerkers van de Verwerkingsverantwoordelijke), voor zover wettelijk toegestaan:

3. Uw instructies voor Articulate

3.1 Articulate verwerkt de Persoonsgegevens alleen zoals beschreven in de Overeenkomst, tenzij anders vereist door de Toepasselijke wetgeving. In dat geval zal Articulate u vóór de verwerking op de hoogte brengen van die wettelijke vereiste, tenzij dit wettelijk verboden is.

3.2 De details van de Verwerking zijn uiteengezet in Bijlage 1 bij deze DPA.

3.3 De Overeenkomst, inclusief deze DPA, vormt samen met uw configuratie van eventuele instellingen of opties in de Diensten, uw volledige en definitieve instructies aan Articulate over de Verwerking van Persoonsgegevens, ook voor doeleinden van de Standaardcontractbepalingen, indien deze van toepassing zijn.

3.4 U zult voldoen aan de Toepasselijke wetgeving die relevant is voor uw gebruik van de Diensten onder meer door toestemming te verkrijgen en alle kennisgevingen te verstrekken die volgens de Toepasselijke wetgeving vereist zijn voor Articulate om de Diensten te leveren. U zorgt ervoor dat u het recht hebt om de Persoonsgegevens over te dragen aan Articulate, zodat Articulate en zijn Subverwerkers de Persoonsgegevens rechtmatig kunnen verwerken in overeenstemming met deze DPA.

3.5 U mag Articulate niet instrueren om Persoonsgegevens te verwerken die in strijd zijn met de Toepasselijke wetgeving. Articulate zal u onmiddellijk op de hoogte brengen als, naar de mening van Articulate, een instructie van u in strijd is met de Toepasselijke wetgeving.

4. Beperking van het gebruik van gegevens

4.1 Articulate zal geen Persoonsgegevens "verkopen" zoals deze term is gedefinieerd in de CCPA (ongeacht of de CCPA van toepassing is), VCDPA of de CPA, en zal geen Persoonsgegevens "delen" in de zin van de CPRA (ongeacht of de CPRA van toepassing is). Articulate zal geen persoonlijke gegevens bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen de klant en Articulate.

4.2 In het geval van een wettelijke verplichting om Persoonsgegevens aan derden te verstrekken, voor zover wettelijk toegestaan: (i) zal Articulate de Klant per direct een redelijke mogelijkheid bieden om de wettelijke verplichting aan te vechten of bescherming te zoeken voor de openbaarmaking en (ii) zal Articulate, na overleg met de Klant, alleen de minimale hoeveelheid Persoonsgegevens openbaar maken die nodig is om aan de wettelijke verplichting te voldoen.

4.3 Articulate zal voldoen aan alle toepasselijke beperkingen op grond van de CPRA voor het combineren van Persoonsgegevens in Klantinhoud met Persoonsgegevens die Articulate ontvangt van of namens een andere persoon of personen, of die Articulate verzamelt op basis van elke interactie tussen deze en een Betrokkene.

5. Subverwerkers

5.1 Articulate kan Subverwerkers inschakelen om Persoonsgegevens te verwerken in verband met het leveren van de Diensten, in overeenstemming met de Toepasselijke wetgeving. Voordat een Subverwerker persoonsgegevens verwerkt, legt Articulate contractuele verplichtingen op aan de Subverwerker die in wezen dezelfde zijn als de verplichtingen die op grond van deze DPA aan Articulate zijn opgelegd. Articulate is aansprakelijk voor de prestaties van zijn Subverwerkers in dezelfde mate als dat Articulate aansprakelijk is voor zijn eigen prestaties op grond van de Overeenkomst.

5.2 Een actuele lijst van Subverwerkers is hieronder beschikbaar.  Articulate zal klanten onmiddellijk (en in ieder geval dertig (30) dagen voordat een nieuwe Subverwerker begint met de verwerking van Persoonsgegevens) op de hoogte stellen door de bovengenoemde Subverwerker lijst(en) met betrekking tot dergelijke nieuwe Subverwerkers bij te werken voordat deze Persoonsgegevens verwerkt worden, tenzij dringende omstandigheden (zoals het falen van een bestaande Subverwerker) een eerdere verwerking van Persoonsgegevens vereisen.

Subverwerker van derden	Doel	Toepasselijke service	Producten	Locaties van datacenter Subverwerkers
Ada	Chatbot	Biedt chatondersteuningsdiensten	Articulate 360	VS
Amazon Web Services, Inc.	Hosting & Infrastructure	Biedt on-demand cloud computing-platforms en API's	Articulate 360 Rise	VS EU
Zonder browser	Webautomatisering	Genereert door de Klant aangevraagde schermafbeeldingen, pdf's en certificaten	Articulate 360 Rise	VS
BugSnag	Controlediensten	Lost problemen met productdiensten op	Articulate 360 Rise	VS
Datadog	Analytics	Lost problemen met productdiensten op	Articulate 360 Rise	VS
ElevenLabs	Optionele AI-spraakgeneratie	Converteert tekst naar spraak	Articulate 360	VS
Intercom	Ondersteunende diensten	Biedt in-app aankondigingen en productrondleidingen	Articulate 360 Rise	VS
Looker Data Sciences	Analytics	Biedt organisatorische business intelligence	Articulate 360 Rise	VS
Okta, Inc.	Authenticatie diensten	Valideert of een klant is geautoriseerd om in te loggen	Articulate 360 Rise	VS
OpenAI	Optionele AI-diensten	Maakt Articulate 360 AI-functies mogelijk	Articulate 360	VS
Postmark	E-mail verzending	Verzendt meldingen via e-mail naar cursisten of vakexperts	Articulate 360 Rise	VS
RingCentral	Verkoopcommunicatie	Biedt een AI-aangedreven cloud contactcenter	Articulate 360	VS
Salesforce	CRM	Beheert klantinteracties en verkoopgegevens	Articulate 360 Rise	VS
TalkDesk	Sales Systems	Biedt een AI-aangedreven cloud contactcenter	Rise	VS
YouTrack	Systeem om problemen bij te houden	Houdt softwarebugs en functieverzoeken bij	Rise	VS

5.3 U kunt bezwaar maken tegen het gebruik van een nieuwe Subverwerker door Articulate hiervan op de hoogte te stellen binnen tien (10) werkdagen nadat Articulate u op de hoogte heeft gesteld van de nieuwe Subverwerker overeenkomstig Paragraaf 5.2. Als u redelijkerwijs bezwaar maakt tegen een nieuwe Subverwerker, zal Articulate redelijke inspanningen leveren om u een wijziging in de Diensten beschikbaar te stellen of een commercieel redelijke wijziging in uw configuratie of gebruik van de Diensten aanbevelen om de verwerking van Persoonsgegevens door de nieuwe Subverwerker te vermijden zonder u onredelijk te belasten. Als Articulate niet in staat is om een dergelijke wijziging binnen een redelijke termijn, dat in geen geval langer mag zijn dan dertig (30) dagen, beschikbaar te stellen, kunt u de Overeenkomst en/of toepasselijke bestelling(en) beëindigen door Articulate hiervan schriftelijk op de hoogte te stellen en het gebruik van de Diensten stop te zetten op de ingangsdatum van de beëindiging. Articulate zal u een pro rata bedrag terugbetalen dat de rest van de looptijd van een dergelijk abonnement of bestelling(en) dekt na de ingangsdatum van de beëindiging met betrekking tot dergelijke beëindigde Diensten. Als u geen bezwaar maakt tegen het gebruik van de nieuwe Subverwerker en beëindigt zoals hierboven uiteengezet, wordt de Subverwerker geacht door u te zijn geaccepteerd.

5.4 Uw instemming met dit Artikel 5 vormt uw instemming onder de Standaardcontractbepalingen, indien deze van toepassing zijn, en met de Verwerking van Persoonsgegevens door de Subverwerkers die in dit DPA worden vermeld vanaf de ingangsdatum van de Overeenkomst.

5.5 Op schriftelijk verzoek zal Articulate aan de Klant kopieën van Subverwerker overeenkomsten verstrekken; op voorwaarde dat voor zover dergelijke Subverwerker overeenkomsten commerciële informatie bevatten, of bepalingen die geen verband houden met informatie die vereist is op grond van de toepasselijke wet- en regelgeving inzake gegevensbescherming, dergelijke niet-gerelateerde informatie naar eigen goeddunken door Articulate kan worden verwijderd of geredigeerd.

6. Beveiliging

6.1 Articulate zal u helpen te voldoen aan de beveiligingsverplichtingen van de AVG en andere Toepasselijke wetgeving, voor zover relevant voor de rol van Articulate bij de Verwerking van de Persoonsgegevens, rekening houdend met de aard van de verwerking en de informatie waarover Articulate beschikt, door technische en organisatorische maatregelen te nemen die worden beschreven in bijlage 2 van deze DPA, onverminderd het recht van Articulate om toekomstige vervangingen of wijzigingen aan te brengen in de maatregelen die het beveiligingsniveau van de Persoonsgegevens niet wezenlijk verlagen.

6.2 U bent als enige verantwoordelijk voor het doornemen van alle beschikbare beveiligingsdocumentatie en -functies (indien beschikbaar) en voor het zelf evalueren of de Diensten en gerelateerde beveiliging voldoen aan uw behoeften, met inbegrip van uw beveiligingsverplichtingen onder de Toepasselijke wetgeving. U mag de Diensten alleen gebruiken als de beveiligingsverplichtingen in deze DPA een beveiligingsniveau bieden dat is afgestemd op het risico met betrekking tot de Persoonsgegevens. Door deze DPA te ondertekenen, gaat de Klant ermee akkoord en verklaart de Klant dat de beveiligingsverplichtingen in deze DPA een beveiligingsniveau bieden dat geschikt is voor het risico met betrekking tot de Persoonsgegevens.

6.3 Articulate zal ervoor zorgen dat de personen die Articulate machtigt om de Persoonsgegevens te verwerken (i) onderworpen zijn aan een schriftelijke vertrouwelijkheidsovereenkomst met betrekking tot dergelijke gegevens of onder een passende wettelijke verplichting tot vertrouwelijkheid vallen en (ii) een training krijgen die bij hun rol aansluit in de verwerking van de Persoonsgegevens.

7. Melding van inbreuken in verband met Persoonsgegevens

7.1 Articulate en de Klant zullen voldoen aan de verplichtingen die verband houden met inbreuken op Persoonsgegevens die rechtstreeks op hen van toepassing zijn op grond van de AVG en andere Toepasselijke wetgeving, inclusief eventuele verplichtingen om Betrokkenen, overheidsinstanties of derden op de hoogte te stellen.

7.2 Rekening houdend met de aard van de verwerking en de informatie waarover Articulate beschikt, zal Articulate u redelijkerwijs helpen om te voldoen aan de verplichtingen met betrekking tot inbreuken op Persoonsgegevens die op u van toepassing zijn op grond van de Toepasselijke wetgeving door u zonder onnodige vertraging op de hoogte te stellen nadat u kennis heeft genomen van een bevestigde inbreuk op Persoonsgegevens. Een dergelijke kennisgeving is geen erkenning van schuld of verantwoordelijkheid. Voor zover beschikbaar, bevat deze kennisgeving de op dat moment geldende beoordeling van Articulate van het volgende, die mogelijk gebaseerd is op onvolledige informatie:

7.3 Articulate zal redelijke inspanningen leveren om de oorzaak van een bevestigde Inbreuk op Persoonsgegevens te identificeren en herstelmaatregelen te nemen die Articulate noodzakelijk en redelijk acht.

7.4 De Klant heeft te allen tijde het recht om redelijke en passende maatregelen te nemen om ongeoorloofd gebruik van Persoonsgegevens te stoppen en te verhelpen.

8. Hulp bij het reageren op betrokkenen bij gegevens

8.1 Als Articulate een verzoek of klacht van een Betrokkene ontvangt die gericht is aan de Klant of een Geautoriseerde partner, stuurt Articulate het verzoek of de klacht van de Betrokkene direct door naar de Klant.

8.2 Rekening houdend met de aard van de verwerking, zal Articulate u redelijkerwijs helpen bij de nakoming van uw verplichting om te voldoen aan verzoeken van individuen om hun rechten uit hoofde van de AVG of andere Toepasselijke wetgeving uit te oefenen (zoals rechten op toegang tot hun Persoonsgegevens) ("Verzoek van Betrokkenen") door middel van passende organisatorische en technische maatregelen, voor zover mogelijk. Voor zover u tijdens uw gebruik van de Diensten niet in staat bent om een verzoek van een Betrokkene te behandelen, zal Articulate op uw verzoek commercieel redelijke inspanningen leveren om u te helpen bij het beantwoorden van een dergelijk verzoek van een Betrokkene, voor zover Articulate daartoe verplicht is op grond van de Toepasselijke wetgeving en wettelijk bevoegd is om dit te doen.

9. Hulp bij DPIA's en overleg met toezichthoudende autoriteiten

9.1 Rekening houdend met de aard van de Verwerking en de informatie waarover Articulate beschikt, zal Articulate, op uw schriftelijk verzoek, u redelijke bijstand en medewerking verlenen bij de uitvoering van elke wettelijk verplichte gegevensbescherming effectbeoordeling van de Verwerking of voorgestelde Verwerking van de Persoonsgegevens in verband met de Diensten, en in verband daarmee met het overleg met de toezichthoudende autoriteiten. Aanvullende ondersteuning voor gegevensbescherming effectbeoordelingen of relaties met toezichthouders vereist wederzijdse overeenstemming over vergoedingen, de omvang van de betrokkenheid van Articulate en alle andere voorwaarden die de partijen passend achten.

10. Gegevensoverdracht

10.1 U machtigt Articulate en zijn Subverwerkers om de Persoonsgegevens internationaal over te dragen in overeenstemming met deze DPA en de Toepasselijke wetgeving.

10.2 Voor zover wettelijk anders vereist, maken de SCC's van 2021 deel uit van deze DPA en hebben ze voorrang op de rest van deze DPA voor zover er sprake is van een conflict, en (behalve zoals beschreven in Paragraaf 10.4) worden ze als volgt als voltooid beschouwd:

10.3 Voor zover wettelijk vereist onder de Britse wetgeving inzake gegevensbescherming, maakt het UK SCC-addendum deel uit van deze DPA en heeft het voorrang op de rest van deze DPA zoals uiteengezet in het UK SCC-addendum. Termen die niet met een hoofdletter zijn gedefinieerd en die in deze Paragraaf 10.3 worden gebruikt, hebben de definities die zijn uiteengezet in het UK SCC-addendum. Voor toepassing van het UK SCC-addendum:

10.4 Voor de overdracht van Persoonsgegevens die onderworpen zijn aan de Zwitserse Federal Act on Data Protection ("FADP"), maken de SCC's van 2021 deel uit van deze DPA zoals uiteengezet in Paragraaf 10.2 van deze DPA, maar met de volgende verschillen voor zover vereist door de FADP:

11. Controles

11.1 Op uw schriftelijk verzoek stelt Articulate u alle informatie ter beschikking die redelijkerwijs nodig is om de naleving van deze DPA aan te tonen, en om audits, inclusief inspecties, mogelijk te maken en eraan bij te dragen, die door u of een andere door u gemandateerde auditor worden uitgevoerd, en wel als volgt:

12. Terugkeer of vernietiging

12.1 Articulate zal, naar uw keuze, alle Persoonsgegevens aan u teruggeven en/of vernietigen op uw verzoek of zes maanden na de beëindiging of het verstrijken van uw gebruik van de relevante Dienst, behalve voor zover de Toepasselijke wetgeving de opslag van de Persoonsgegevens vereist. De certificering van verwijdering die vereist is door de Standaardcontractbepalingen (indien van toepassing) wordt alleen op schriftelijk verzoek verstrekt.

12.2 Niets zal Articulate verplichten om Persoonsgegevens uit bestanden te verwijderen die zijn gemaakt voor beveiligings-, back-up- en bedrijfscontinuïteitsdoeleinden, eerder dan vereist is op grond van de redelijke gegevensbewaringsprocessen van Articulate.

13. Algemeen

13.1 Toewijzing. Deze DPA komt ten goede aan, en is bindend voor, elke opvolger van alle of vrijwel alle activiteiten en activa van een van beide partijen, hetzij door fusie, verkoop van activa, andere overeenkomsten of van rechtswege.

13.2 Tegenhangers; Facsimile handtekeningen. Deze DPA kan worden uitgevoerd in meerdere exemplaren, die elk, wanneer ze worden uitgevoerd en afgeleverd, als een origineel worden beschouwd, maar die allemaal één en dezelfde akte vormen. Elke handtekeningpagina van een dergelijke tegenpartij, of elke facsimile-overdracht daarvan, kan worden toegevoegd aan een andere tegenhanger om een volledig uitgevoerde tegenhanger van deze DPA te voltooien, en elke facsimile-overdracht van een handtekening van een partij wordt beschouwd als een origineel en zal een dergelijke partij binden.

13.3 Rangschikking. Met betrekking tot de rechten en plichten van de partijen ten opzichte van elkaar, in geval van een conflict tussen de bepalingen van de Overeenkomst en deze DPA, zijn de voorwaarden van deze DPA van kracht. In het geval van een conflict tussen de voorwaarden van deze DPA en de Modelcontractbepalingen, zijn de voorwaarden van de Modelcontractbepalingen van kracht.

13.4 Aansprakelijkheid. Voor zover wettelijk toegestaan, is deze DPA onderworpen aan de clausule inzake beperkingen van aansprakelijkheid in de Overeenkomst.

13.5 Overig. Deze DPA vormt het volledige begrip van de partijen met betrekking tot het onderwerp van deze DPA en voegt alle eerdere communicatie, afspraken en overeenkomsten samen. Deze DPA kan alleen worden gewijzigd via een schriftelijke overeenkomst die door de partijen wordt ondertekend. Het nalaten van een van de partijen om op enig moment een van de bepalingen van deze overeenkomst af te dwingen, is geen verklaring van afstand van een dergelijke bepaling, of enige andere bepaling, of van het recht van een dergelijke partij om daarna een bepaling hiervan af te dwingen. Indien een bepaling van deze DPA ongeldig of niet-afdwingbaar wordt verklaard, wordt een dergelijke bepaling geacht te zijn gewijzigd voor zover nodig, mogelijk om deze geldig en afdwingbaar te maken. In elk geval zal de niet-afdwingbaarheid of ongeldigheid van een bepaling geen invloed hebben op enige andere bepaling van deze DPA, en deze DPA zal volledig van kracht blijven, en worden geïnterpreteerd en gehandhaafd, alsof een dergelijke bepaling niet was opgenomen, of was gewijzigd zoals hierboven bepaald, al naar gelang het geval.

Onderwerp, Aard en doel van de verwerking en details van verwerkingsactiviteiten: Levering van de Diensten op grond van de Overeenkomst.

Termijn/Duur van de verwerking: zoals uiteengezet in de Overeenkomst en/of een toepasselijke Prijsopgave, Klantorder of Werkomschrijving.

Categorieën van Betrokkenen: de overgedragen Persoonsgegevens kunnen betrekking hebben op huidige en toekomstige werknemers van de exporteur en zijn contractanten, en andere derden, zoals bepaald door de exporteur.

Categorieën van gegevens

Voor Articulate 360 en Rise:

• Voor- en achternaam
• Werkgever
• Zakelijke contactgegevens (bijv. e-mailadres; telefoonnummer)
• Profielafbeelding
• Titel
• Geschatte locatie
• Taalvoorkeur
• Professionele biografie

Speciale categorieën gegevens (indien van toepassing): niet van toepassing.

Toegepaste waarborgen en beperkingen die specifiek zijn voor bijzondere categorieën gegevens: Niet van toepassing. In elk geval is voor deze en andere categorieën van Persoonsgegevens dezelfde hoge beschermingsstandaard van toepassing als beschreven in Bijlage 2 van de DPA.

De frequentie van de overdracht (bijv. of de gegevens eenmalig of continu worden overgedragen): Ononderbroken zolang als nodig is om de Diensten te leveren op grond van de Overeenkomst.

De periode gedurende welke de persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen: het laagste van zes (6) maanden, zo lang als nodig is om de Diensten te leveren op grond van de Overeenkomst, of zo lang als vereist door de Toepasselijke wetgeving.

Articulate (de gegevensimporteur) implementeert de volgende technische en organisatorische beveiligingsmaatregelen.

1. Pseudonimisering en versleuteling: Persoonsgegevens worden op onze servers versleuteld in rusttoestand met behulp van industriestandaarden (zoals AES 256-bit), en het sleutelbeheer wordt beheerd door Amazon Web Services (AWS), de provider van de hostingomgeving van Articulate.
2. Maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen: Articulate maakt gebruik van een inbraakdetectiesysteem om netwerkgebeurtenissen en andere waarschuwingssituaties te analyseren, te detecteren en te melden, en schakelt een externe partner(s) in om beveiligings- en programma beoordelingen uit te voeren. Articulate gebruikt Amazon Web Services (AWS) als hostingprovider, die redundanties biedt (bijvoorbeeld in drie (3) of meer fysiek geïsoleerde en resource-onafhankelijke beschikbaarheidszones).
3. Maatregelen voor noodherstel en bedrijfscontinuïteit (herstel van de beschikbaarheid van en toegang tot persoonsgegevens in geval van een fysiek of technisch incident): Articulate heeft een noodherstelbeleid en bijbehorende procedures die bepalen dat Articulate, in geval van een ramp, zijn infrastructuur opnieuw zal opbouwen om de diensten zo snel mogelijk te herstellen met een RTO van 72 uur en een RPO van 24 uur.
4. Testen, beoordelen en evalueren van beveiligingsmaatregelen: Articulate heeft een incidentresponsbeleid dat ten minste jaarlijks wordt getest, of wanneer er een wezenlijke wijziging is in onze beveiliging.
5. Gebruikersidentificatie en -autorisatie: Articulate 360 diensten slaan geen gebruikersgegevens op; in plaats daarvan wordt gebruik gemaakt van een eenmalige aanmeldingsservice van derden die geteste en door de industrie geaccepteerde identiteitsprotocollen implementeert om gebruikers te authenticeren, waaronder versleuteling voor opslag met een minimale AES-256-cryptografische sterkte.
6. Gegevensbescherming tijdens de overdracht: Vertrouwelijke gegevens worden tijdens het transport versleuteld met ten minste het Transport Layer Security-protocol van TLS 1.2.
7. Bescherming van gegevens tijdens opslag: Vertrouwelijke gegevens worden versleuteld op onze servers in rusttoestand met behulp van de 256-bits industriestandaard Advanced Encryption Standard. Het sleutelbeheer wordt beheerd door AWS, de provider van de hostingomgeving van Articulate.
8. Fysieke beveiliging van locaties waar persoonsgegevens worden verwerkt: Articulate is een volledig gedistribueerd bedrijf, wat betekent dat we geen fysieke kantoren hebben. We hosten Articulate diensten op AWS-servers. AWS-datacenters zijn zeer modern en bevatten innovatieve architecturale en technische benaderingen, zijn gehuisvest in onopvallende faciliteiten waarvan de fysieke toegang strikt wordt gecontroleerd, zowel aan de perimeter als bij de toegangspunten van het gebouw (bijv. professioneel beveiligingspersoneel, videobewaking).
9. Logboekregistratie van gebeurtenissen: Articulate gebruikt SIEM-oplossingen in overeenstemming met gedefinieerde standaarden voor het centraliseren van logboeken en waarschuwingsfuncties, en AWS CloudWatch en AWS CloudTrail om alle wijzigingen in de infrastructuur bij te houden
10. Systeemconfiguratie, inclusief standaardconfiguratie: Articulate codificeert alle infrastructuurwijzigingen in versiebeheer en maakt gebruik van de best practices uit de branche om deze wijzigingen veilig en betrouwbaar toe te passen op Articulate diensten.
11. Bestuur en beheer van interne IT en IT-beveiliging: werknemers van Articulate ondertekenen vertrouwelijkheidsovereenkomsten en volgen een beveiligingstraining bij indiensttreding, en daarna wordt de beveiligingstraining jaarlijks voortgezet. Articulate heeft beleid en procedures voor een juiste bescherming, beheer, bewaring en verwijdering van gegevens. Articulate maakt ook gebruik van geavanceerde antivirus- en beheersoftware voor mobiele apparaten op alle Articulate-werkstations, controleert bronnen van leveranciers en derden op bijgewerkte informatie over kwetsbaarheden, deelt direct alle relevante patchinformatie en vereist dat de werkstations van alle leden van het technische team en anderen die toegang hebben tot AWS-servers (onze host), worden versleuteld in rusttoestand.
12. Certificering/borging van processen en producten: Articulate ondergaat een jaarlijkse SOC2 Type 2-audit die wordt uitgevoerd door een derde partij en we zijn gecertificeerd volgens ISO 27001 en ISO 27701. Werknemers zijn verplicht om bij indiensttreding en daarna jaarlijks een beveiligingsbewustzijn training te volgen om hun verplichtingen en verantwoordelijkheden te kennen bij het naleven van het bedrijfsbeleid dat is ontworpen om klantgegevens te beschermen.
13. Dataminimalisatie: Articulate verzamelt persoonsgegevens die nodig zijn om diensten aan klanten te verlenen en verleent alleen toegang tot persoonsgegevens als dat nodig is om personeel in staat te stellen hun werk te doen. Articulate controleert ook periodiek de toegangsrechten en verwijdert privileges binnen 24 uur nadat een persoon uit Articulate is verwijderd. Verder worden persoonsgegevens bewaard en veilig vernietigd in overeenstemming met het gegevensbewaarbeleid van Articulate (of eerder op verzoek van de klant), zolang er geen wettelijke verplichting is om dergelijke gegevens te bewaren.
14. Gegevenskwaliteit: Articulate diensten valideren gebruikersinvoer en HTTP-parameters.
15. Beperkte gegevensbewaring: Articulate heeft een bewaarbeleid dat regelmatige verwijdering van persoonlijke gegevens vereist. Articulate voert dagelijkse back-ups uit als onderdeel van ons noodherstelproces, waarbij gegevens ongeveer 60 dagen worden gearchiveerd en vervolgens automatisch worden overschreven.
16. Verantwoording: Articulate heeft een privacyprogramma geïmplementeerd, een Functionaris voor gegevensbescherming aangesteld, privacybeleid en -praktijken geïmplementeerd (onder meer op het gebied van incidentrespons) en geeft minstens een keer per jaar training aan medewerkers.
17. Overdraagbaarheid en verwijdering van gegevens: Articulate houdt zich aan de processen die zijn uiteengezet in de Gegevensverwerkingsovereenkomst om te reageren op klantverzoeken om een kopie, correctie of verwijdering van de persoonlijke gegevens van hun eindgebruikers.
18. Voor doorgiften aan (sub)verwerkers: specifieke technische en organisatorische maatregelen die door de (sub)verwerker moeten worden genomen om hulp te kunnen bieden aan de verwerkingsverantwoordelijke en, voor doorgiften van een verwerker naar een subverwerker, aan de gegevensexporteur: de beheerders en/of gebruikers van de exporteur kunnen zelfservice-functies in de Diensten gebruiken voor het openen, verwijderen of corrigeren van gegevens over eindgebruikers. Alle andere relevante hulp wordt verleend via het klantenserviceteam.