Verwerkersovereenkomst (DPA)

Verwerkersovereenkomst (DPA)

tussen Onderneming en Nuance

Voor alle doeleinden wordt de Engelse versie van deze Overeenkomst beschouwd als de originele en officiële versie van de Overeenkomst die de relatie tussen de partijen regelt en beheerst. Tenzij anders bepaald door de wet, is de vertaling van deze Overeenkomst alleen voor het gemak, en in het geval van een conflict tussen deze Engelse versie van de Overeenkomst en de vertaling in een andere taal, prevaleert deze Engelse versie.

Laatst gewijzigd op 10 maart 2025 / Vorige versies

OVERWEGINGEN

(A) De Partijen hebben één of meer overeenkomsten gesloten op grond waarvan Nuance ofwel (a) van tijd tot tijd bepaalde diensten levert aan het Bedrijf indien het Bedrijf een eindklant is of (b) indien het Bedrijf een distributeur is en Nuance de distributeur het recht heeft verleend om de diensten van Nuance te distribueren en door te verkopen aan eindklanten (gezamenlijk de "Hoofdovereenkomst" genoemd).

(B) Partijen zijn overeengekomen dat Nuance, opdat Nuance haar verplichtingen uit hoofde van deze Hoofdovereenkomst kan nakomen, bepaalde Persoonsgegevens zal Verwerken waarvoor het Bedrijf een Verwerkingsverantwoordelijke zal zijn, of een Verwerker die optreedt namens een Verwerkingsverantwoordelijke, en Nuance respectievelijk een Verwerker of een Subverwerker (zoals hieronder gedefinieerd).

(C) Derhalve zijn de Partijen overeengekomen deze overkoepelende DPA aan te gaan met betrekking tot de Verwerking van Persoonsgegevens door Nuance in haar hoedanigheid van Verwerker of Sub-Verwerker.

1. DEFINITIES.

De volgende uitdrukkingen worden in deze DPA gebruikt: In het geval dat de definities hierin verschillen van de Hoofdovereenkomst met betrekking tot gegevensbescherming, prevaleert deze DPA voor wat betreft het specifieke onderwerp van een dergelijke definitie.

(a) "Adequaat Land" heeft de betekenis die het in elke relevante jurisdictie wordt gegeven (of de dichtstbijzijnde gelijkwaardige term) in de Gegevensbeschermingswetgeving, met inbegrip van maar niet beperkt tot de wetten die door de Europese Commissie zijn gepubliceerd in het Publicatieblad van de Europese Unie, waarvoor zij heeft besloten dat een passend beschermingsniveau wordt gewaarborgd.

(b) "Biometrische Gegevens" heeft de betekenis die het in elke relevante jurisdictie wordt gegeven (of de dichtstbijzijnde gelijkwaardige term) in de Gegevensbeschermingswetgeving voor deze jurisdictie, en "biometrische identificatiemiddelen" en "biometrische informatie" zullen dienovereenkomstig worden geïnterpreteerd.

(c) "Bedrijf" betekent de entiteit die partij is bij deze DPA en bij de Hoofdovereenkomst.

(d) "Gegevensbeschermingswetgeving" betekent alle wet- en regelgeving, en wijzigingen daarop, die van toepassing zijn op de Verwerking van Persoonsgegevens onder de Hoofdovereenkomst, inclusief maar niet beperkt tot de AVG.

(e) "Verzoek van Betrokkene": een verzoek van of namens een Betrokkene om zijn rechten uit te oefenen onder de Wet Bescherming Persoonsgegevens.

(f) "EU Standaardcontractbepalingen" betekent de standaardcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad, gebaseerd op het Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021.

(g) "AVG" of “GDPR” betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (bekend als de Algemene Verordening Gegevensbescherming).

(h) "Nuance" betekent de Nuance‑entiteit die partij is bij deze DPA en bij de Hoofdovereenkomst met de Onderneming, zijnde: (i) Nuance Communications Inc. met adres te 15 Wayside Rd, Burlington, MA 01803, Verenigde Staten, of (ii) Nuance Communications Ireland Ltd met adres te 70 Sir John Rogerson's Quay, Dublin 2, D02R296, Ierland.

(i) "Persoonsgegevens" heeft de betekenis die daaraan wordt gegeven door de Gegevensbeschermingswetgeving.

(j) "Inbreuk in verband met persoonsgegevens” betekent een “inbreuk in verband met persoonsgegevens” of “gegevensinbreuk” zoals gedefinieerd onder de gegevensbeschermingswetgeving, die binnen de verantwoordelijkheid van Nuance valt door toedoen van een van haar medewerkers, subverwerkers, of een andere geïdentificeerde of niet‑geïdentificeerde derde partij, nadat Nuance zich met redelijke zekerheid bewust is geworden van het optreden van een dergelijke inbreuk in verband met persoonsgegevens.

(k) "Diensten" verwijst naar de applicatie, het product of de diensten en andere activiteiten zoals ondersteuning, onderhoud of professionele diensten die worden geleverd aan of uitgevoerd ten behoeve van het Bedrijf/de aan het Bedrijf gelieerde onderneming op grond van de Hoofdovereenkomst.

(l) "UK International Data Transfer Addendum" betekent het International Data Transfer Addendum bij de EU Standard Contractual Clauses uitgegeven door de Britse Information Commissioner voor Partijen die Restricted Transfers doen, van kracht op 21 maart 2022.

(m) "Betrokkene" en "Toezichthoudende Autoriteit" hebben de betekenis die GDPR daaraan geeft.

Nuance en het Bedrijf worden soms individueel aangeduid als een "Partij" en gezamenlijk als de "Partijen".

2. STATUS VAN DE PARTIJEN EN ONDERWERP

2.1 Bedrijf, als Verwerkingsverantwoordelijke of Verwerker die optreedt namens een Verwerkingsverantwoordelijke, verleent Nuance het recht om de Persoonsgegevens te verwerken ten behoeve van het leveren van de Diensten aan Bedrijf krachtens deze DPA en in overeenstemming met de Hoofdovereenkomst.

3. VERWERKINGSVEREISTEN

3.1 Details gegevensverwerking. Het Bedrijf is verantwoordelijk voor het vaststellen van de wettelijke basis voor de Verwerking van de Persoonsgegevens, inclusief het verkrijgen van alle noodzakelijke toestemmingen indien vereist, en zal alle toepasselijke Gegevensbeschermingswetgeving met betrekking daartoe naleven. Het type Persoonsgegevens dat verwerkt wordt krachtens deze DPA, evenals het onderwerp, de aard en het doel van de Verwerking, de Betrokkenen, de locatie(s) en de bewaarperiode staan beschreven in de Details Gegevensverwerking op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/details.html(Een nieuw venster openen). De duur van de Verwerking is de duur van de Hoofdovereenkomst.

3.2 Verwerking onder controle van Controller. Nuance zal de Persoonsgegevens uitsluitend verwerken om de Diensten te verlenen en zal uitsluitend handelen in overeenstemming met de gedocumenteerde instructies van het Bedrijf, met inbegrip van de overdracht door Nuance van Persoonsgegevens van het Bedrijf naar enig land of gebied, voor zover dit gepast is voor de verlening van de Diensten, en behalve indien dit vereist is om te voldoen aan een wettelijke verplichting waaraan Nuance is onderworpen, in welk geval Nuance het Bedrijf zal informeren over die wettelijke verplichting alvorens tot Verwerking over te gaan, tenzij die wet, voorschrift of verordening dergelijke informatie verbiedt op grond van zwaarwegende redenen van algemeen belang. De individuele instructies van het Bedrijf inzake de Verwerking van Persoonsgegevens zijn zoals beschreven in de Hoofdovereenkomst en deze DPA. Het Bedrijf draagt Nuance en haar subverwerkers en Gelieerde Ondernemingen op om de Persoonsgegevens te gebruiken, te compileren (met inbegrip van het creëren van statistische en andere modellen), te annoteren en anderszins te analyseren met het oog op het exploiteren, onderhouden, tunen, verbeteren en leveren van technische ondersteuningsdiensten voor de spraakherkenning, het begrijpen van natuurlijke taal en andere software en technologieën van Nuance die vervat zijn in de Diensten. Bedrijf erkent dat Nuance privacywaarborgen zal toepassen, zoals het anonimiseren van de Persoonsgegevens waar nodig. Instructies voor de Verwerking van Persoonlijke Gegevens kunnen worden gewijzigd, aangepast of vervangen door middel van een amendement op deze DPA via de vastgestelde change control procedure. Instructies die niet voorzien zijn in of gedekt worden door de Hoofdovereenkomst of deze DPA worden behandeld als verzoeken tot wijziging van deze DPA. Alle aanvullende of alternatieve instructies moeten schriftelijk worden overeengekomen en kunnen afzonderlijk in rekening worden gebracht. Bedrijf aanvaardt dat de volgende instructies gelden: (a) Verwerking in overeenstemming met de Hoofdovereenkomst en, indien overeengekomen, opdrachtformulier(en) of werkverklaring(en); en (b) Verwerking geïnitieerd door gebruikers van de Diensten (bijvoorbeeld bij het verzenden van een uitvoerbestand per e-mail naar een andere persoon). Het Bedrijf is verantwoordelijk voor de nakoming van zijn verplichtingen als Verwerkingsverantwoordelijke krachtens de Privacywetgeving, met inbegrip van het geven van kennisgevingen en het verkrijgen van alle noodzakelijke toestemmingen, en Nuance zal, zodra zij daarvan op de hoogte is, het Bedrijf informeren indien: (i) een instructie naar de mening van Nuance in strijd is met de wetgeving inzake gegevensbescherming of; (ii) aanvullende informatie in het bezit of beheer van het Bedrijf wordt gevraagd of vereist door een toezichthoudende autoriteit met betrekking tot de gegevensverwerkingsactiviteiten die door Nuance worden uitgevoerd krachtens deze DPA. In dergelijke gevallen zal Nuance het recht hebben om alle informatie op te vragen die nodig is om de naleving van de verplichtingen van het Bedrijf aan te tonen, die het Bedrijf indien nodig kan redigeren om de vertrouwelijkheid van de Persoonsgegevens te bewaren.

3.3 Nuance Disclaimer. Nuance verwerkt Persoonsgegevens die door het Bedrijf kunnen worden opgenomen in officiële documenten. Nuance onderhoudt het archiefsysteem van het Bedrijf niet en bewaart of onderhoudt daarom geen officiële dossiers of delen daarvan voor het Bedrijf. De originelen van alle dossiers, met inbegrip van medische dossiers, worden door het Bedrijf of zijn andere contractanten bewaard. Nuance heeft alleen toegang tot delen van de dossiers via toegang op afstand via het computersysteem van Bedrijf in verband met het leveren van de Diensten zoals uiteengezet in de Hoofdovereenkomst.

3.4 Vertrouwelijkheid. Onverminderd eventuele bestaande contractuele regelingen tussen de Partijen, zal Nuance alle Persoonsgegevens als strikt vertrouwelijk behandelen. Nuance zal gepaste stappen ondernemen zodat enkel bevoegd personeel dat onderworpen is aan bindende vertrouwelijkheidsverplichtingen, hetzij contractueel of wettelijk, toegang heeft tot de Persoonsgegevens. De beëindiging of afloop van deze DPA ontslaat Nuance niet van haar geheimhoudingsverplichtingen.

3.5 Beperking van toegang. Nuance zal ervoor zorgdragen dat de uitvoering van de Diensten volgens deze DPA beperkt blijft tot het personeel dat de Diensten uitvoert onder de Hoofdovereenkomst.

3.6 Functionaris voor gegevensbescherming (DPO). Nuance heeft een functionaris voor gegevensbescherming aangesteld, die te bereiken is op: Privacy@Nuance.com of per post (wereldwijd) op:

Hoofd Privacy
Nuance Communications, Inc.
15 Wayside Road
Burlington MA 01803
VS

Functionaris voor gegevensbescherming
Nuance Communications Ierland, Ltd
70 Sir John Rogerson's Quay,
Dublin 2,
D02R296
IERLAND

Wijzigingen in deze contactgegevens worden gepubliceerd op: https://www.nuance.com/nl-nl/about-us/company-policies/privacy-policies.html(Een nieuw venster openen).

3.7 Kennisgevingen aan Data Subjecten. Voor Persoonsgegevens die onder de Hoofdovereenkomst door het Bedrijf aan Nuance worden verstrekt, is het Bedrijf verantwoordelijk voor het verstrekken van kennisgevingen en informatie die op grond van de Gegevensbeschermingswetgeving op het moment van verzamelen moet worden verstrekt, met inbegrip van, maar niet beperkt tot kennisgeving met betrekking tot:

(i) Ontvangers of categorieën ontvangers zoals toegestaan door Artikel 5; en

(ii) Doorgifte van Persoonsgegevens aan derde landen zoals vermeld in de Sub-Processor Lijst, te vinden op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Een nieuw venster openen), voor de doeleinden zoals omschreven in Paragraaf 3.2 hierboven. Nuance zal tevens voldoen aan de vereisten voor doorgifte zoals uiteengezet in Artikel 6 hieronder.

3.8 Verzoeken van Betrokkenen. Tussen de Partijen is het Bedrijf verantwoordelijk voor de afhandeling van alle verzoeken van Betrokkenen. Nuance zal het Bedrijf onmiddellijk op de hoogte brengen wanneer Nuance een verzoek ontvangt van een Betrokkene om zijn of haar rechten als Betrokkene uit te oefenen. Rekening houdend met de aard van de Verwerking en in de mate van het mogelijke, zal Nuance het Bedrijf bijstaan met gepaste technische en organisatorische maatregelen om te voldoen aan de verplichtingen van het Bedrijf om te reageren op een dergelijk verzoek van een Betrokkene onder de Gegevensbeschermingswetgeving. Voor zover wettelijk toegestaan, is het Bedrijf verantwoordelijk voor alle kosten die voortvloeien uit het verlenen van dergelijke bijstand door Nuance.

3.9 Kennisgeving van inbreuk op persoonsgegevens. Nuance hanteert een beleid voor incidentenbeheer en zal het Bedrijf zonder onnodige vertraging na kennisname op de hoogte stellen van een inbreuk op Persoonsgegevens. Dergelijke kennisgeving zal de vereiste informatie bevatten die Nuance als Verwerker verplicht is te verstrekken aan de Verwerkingsverantwoordelijke onder de Gegevensbeschermingswetten, voor zover dergelijke informatie redelijkerwijs beschikbaar is voor Nuance.

In het geval van Persoonsgegevensinbreuk zal Nuance de oorzaak van die Persoonsgegevensinbreuk onderzoeken en de stappen ondernemen die Nuance noodzakelijk en redelijk acht volgens de industrienormen, om de oorzaak van die inbreuk te herstellen en zo te voldoen aan de verplichting van het Bedrijf onder de Gegevensbeschermingswetgeving.

3.10 Verwijdering van Persoonsgegevens. Nuance zal zo snel als redelijkerwijs mogelijk is na de beëindiging van deze DPA of de Hoofdovereenkomst alle Persoonsgegevens verwijderen, behalve voor zover de toepasselijke wetgeving Nuance verplicht om de Persoonsgegevens te blijven opslaan. Bedrijf erkent dat het verwijderen van Persoonsgegevens door Nuance betekent dat wordt voldaan aan een eventuele wettelijke verplichting om Persoonsgegevens aan Bedrijf te retourneren.

3.11 Audit en Registratie. Behoudens redelijke voorafgaande kennisgeving van het Bedrijf, zal Nuance het Bedrijf voorzien van redelijk bewijsmateriaal om de naleving door Nuance van deze DPA en de Gegevensbeschermingswetgeving aan te tonen en zal Nuance toestemming geven voor en meewerken aan audits, met inbegrip van inspecties, uitgevoerd door het Bedrijf of een andere auditor die door het Bedrijf is aangesteld. Nuance kan voldoen aan het recht op controle van het Bedrijf onder de Gegevensbeschermingswetgeving indien Nuance aan het volgende aan Bedrijf verschaft:

(a) een auditrapport dat niet ouder is dan 18 maanden van een geregistreerde en onafhankelijke externe auditor die aantoont dat de technische en organisatorische maatregelen van Nuance zoals beschreven in de Description of Technical and Organizational Measures, te vinden op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Een nieuw venster openen), toereikend zijn en in overeenstemming met een geaccepteerde industrie auditstandaard zoals SSAE 18, SOC 1, SOC 2, SOC 3, ISO 27001, ISAE 3402; en/of

(b) aanvullende informatie in het bezit of beheer van Nuance aan een Toezichthoudende Autoriteit wanneer deze aanvullende informatie vraagt of vereist met betrekking tot de gegevensverwerkingsactiviteiten die door Nuance krachtens deze DPA worden uitgevoerd.

(c) Ondanks het bovenstaande, in het geval dat Bedrijf een andere vorm van audit wenst uit te voeren, kan Bedrijf de controlepraktijken van Nuance auditen, met inbegrip van on-site op de faciliteiten van Nuance, en zal Bedrijf contact opnemen met Nuance in overeenstemming met de sectie "Kennisgevingen" onder de Hoofdovereenkomst. Bedrijf zal Nuance vergoeden voor de tijd die besteed is aan een dergelijke on-site audit tegen de op dat moment geldende tarieven voor professionele diensten van Nuance, die op verzoek aan Bedrijf ter beschikking zullen worden gesteld. Voor aanvang van een dergelijke on-site audit zullen Bedrijf en Nuance onderling de reikwijdte, timing en duur van de audit overeenkomen, naast het compensatietarief waarvoor Bedrijf verantwoordelijk zal zijn. Alle compensatietarieven zullen redelijk zijn, rekening houdend met de door Nuance bestede middelen. Het Bedrijf zal Nuance onmiddellijk op de hoogte stellen van informatie met betrekking tot non-conformiteiten die tijdens een audit wordt ontdekt en zal voldoende tijd geven voor herstel.

(d) De Partijen komen overeen dat bij het uitvoeren van auditprocedures die relevant zijn voor de bescherming van Persoonsgegevens, het Bedrijf alle redelijke maatregelen zal nemen om eventuele gevolgen voor Nuance en de gebruikelijke Bedrijfsvoering van Nuance te beperken.

3.12 Bijstand van Nuance. Nuance zal in haar rol als Verwerker, enkel voor zover vereist door de Gegevensbeschermingswetgeving, het Bedrijf bijstaan in het naleven van haar verplichtingen als Verwerkingsverantwoordelijke onder de Gegevensbeschermingswetgeving, rekening houdend met de aard van de Verwerking en de informatie waarover Nuance beschikt. Dit kan assistentie inhouden bij het waarborgen van een beveiligingsniveau van de Persoonsgegevens dat past bij het risico, en waar van toepassing, het melden van inbreuken op Persoonsgegevens aan de Toezichthoudende Autoriteit en de respectievelijke Betrokkenen, evenals redelijke assistentie bij gegevensbeschermingseffectbeoordeling en het raadplegen van de Toezichthoudende Autoriteit voorafgaand aan de Verwerking.

4. BEVEILIGING

Rekening houdend met de meest recente beschikbare technologie, de kosten van implementatie en de aard, omvang, context en doeleinden van de Verwerking, evenals het risico van variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal Nuance passende technische en organisatorische maatregelen handhaven om een beveiligingsniveau te waarborgen dat past bij het risico, zoals uiteengezet in de Description of Technical and Organizational Measures, te vinden op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Een nieuw venster openen).

5. SUBVERWERKING

5.1 Gelieerde Ondernemingen als Subverwerkers. Bedrijf verleent Nuance een algemene machtiging om alle andere entiteiten die de zeggenschap hebben over, in gemeenschappelijk bezit zijn van of onder zeggenschap staan van Nuance's moedermaatschappij, Nuance Communications, Inc. ("Gelieerde Onderneming"), zoals gespecificeerd in de Sub‑Processor List op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Een nieuw venster openen). aan te wijzen als subverwerkers ter ondersteuning van de levering van de Diensten.

5.2 Subverwerkers van derden. Bedrijf verleent Nuance en Gelieerde Onderneming een algemene machtiging om de subverwerkers aan te wijzen die vermeld staan op de Sub‑Processor List die te vinden is op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Een nieuw venster openen).

5.3 Wijzigingen in subverwerker; recht van Bedrijf om bezwaar te maken. Nuance zal het Bedrijf op de hoogte stellen van de namen van alle nieuwe en vervangende subverwerkers voordat zij beginnen met de subverwerking van Persoonsgegevens. Binnen tien (10) werkdagen na ontvangst van het bericht tot wijziging van een subverwerker kan het Bedrijf bezwaar maken door Nuance hiervan schriftelijk op de hoogte te stellen. De kennisgeving dient de grondslag voor het bezwaar van het Bedrijf te bevatten, dat redelijke gronden moet hebben. Het niet melden van een bezwaar binnen deze periode houdt in dat het Bedrijf afziet van het recht om bezwaar te maken. Als het Bedrijf schriftelijk bezwaar maakt, zullen Nuance en het Bedrijf het bezwaar te goeder trouw bespreken om een oplossing te vinden. Als er geen oplossing wordt gevonden binnen 30 dagen na de eerste kennisgeving van het bezwaar, en als de Hoofdovereenkomst niet kan worden uitgevoerd zonder het gebruik van de subverwerker waartegen het bezwaar is gericht, kan het Bedrijf de Diensten van het betreffende Bedrijf beëindigen met inachtneming van een schriftelijke opzegtermijn van 60 dagen, waarbij deze opzegtermijn niet later mag zijn dan 45 dagen na de datum van de eerste kennisgeving van het bezwaar.

5.4 Verantwoordelijkheid van Nuance. Nuance en/of Gelieerde Onderneming zullen van alle subverwerkers eisen dat zij een schriftelijke overeenkomst aangaan met Nuance om Persoonsgegevens te beschermen met gelijkwaardige gegevensbeschermingsverplichtingen als die in deze DPA. Nuance blijft aansprakelijk jegens het Bedrijf voor elke inbreuk door de subverwerker op zijn overeenkomst met Nuance.

6. GEGEVENSOVERDRACHTEN

6.1 Nuance Hostinglocatie. Nuance levert, exploiteert en onderhoudt de datahostingcentra op de locaties beschreven in de Data Processing Details, gevestigd op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/details.html(Een nieuw venster openen), ter ondersteuning van de werking van de Diensten.

6.2 Overdrachten buiten het eerste rechtsgebied door Nuance. Het Bedrijf erkent dat Nuance Persoonsgegevens kan verwerken of toegang daartoe kan toestaan ("overdragen") aan subverwerkers: (i) buiten de jurisdictie(s) waarin Persoonsgegevens zijn ontstaan ("Eerste Jurisdictie"), en (ii) een jurisdictie die in de Eerste Jurisdictie niet wordt beschouwd als een Adequaat Land. Indien Persoonsgegevens worden overgedragen door Nuance , zal Nuance ervoor zorgen dat er een mechanisme aanwezig is om adequaatheid te bereiken met betrekking tot de Verwerking, zoals:

(a) De vereiste dat de subverwerker zichzelf moet certificeren onder het EU-US Data Privacy Framework (EU-US DPF), de UK Extension op de EU‑U.S. DPF en het Swiss‑U.S. Data Privacy Framework (Swiss‑U.S. DPF);

(b) Voor Persoonsgegevens afkomstig uit een land binnen de EER, (i) de uitvoering tussen Nuance en haar subverwerkers van Standaardcontractbepalingen van de EU (module drie - van verwerker tot verwerker), waarvan een kopie op verzoek aan het Bedrijf ter beschikking kan worden gesteld, en (ii) de eis dat subverwerkers voldoen aan de principes voor verdere doorgifte onder de EU Standard Contractual Clauses ; en

(c) de goedkeuring door Nuance en haar subverwerkers van bijkomende waarborgen, waar nodig, om te verzekeren dat de Persoonsgegevens tijdens en na de overdracht onderworpen zijn aan een beschermingsniveau dat gelijkwaardig is aan dat van de EU. Dergelijke waarborgen kunnen anonimisering van Persoonsgegevens omvatten, evenals pseudonimisering en versleuteling, ook tijdens de doorgifte, waarbij in elk geval rekening wordt gehouden met het niveau van gegevensbescherming in het ontvangende land en de aard van de Persoonsgegevens in kwestie. Verdere details over de waarborgen die worden toegepast door Nuance en haar Gelieerde Onderneming worden uiteengezet in de Description of Technical and Organizational Measures op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Een nieuw venster openen), terwijl de aanvullende waarborgen die worden toegepast door Nuance en haar subverwerkers het Bedrijf niet ontslaan van haar eigen verplichtingen op het gebied van gegevensbescherming; of

(d) Elke andere specifiek goedgekeurde waarborg voor de doorgifte van gegevens volgens de Gegevensbeschermingswetgeving of een bevinding van adequaatheid door de Europese Commissie.

Voor de doeleinden van paragraaf 6.2 (a) wordt hierbij bevestigd dat Nuance Communications Inc. en haar Amerikaanse Gelieerde Ondernemingen als Subverwerkers gecertificeerd zijn voor de EU‑US DPF, de UK Extension to the EU‑U.S. DPF en de Swiss‑U.S. Privacy Shield Frameworks en de verplichtingen die deze met zich meebrengen. Nuance stemt ermee in om het Bedrijf op de hoogte te stellen als het vaststelt dat het niet langer kan voldoen aan zijn verplichting om hetzelfde beschermingsniveau te bieden als vereist door de EU‑US Data Privacy Framework Principles met betrekking tot de verwerking van persoonsgegevens ontvangen uit de Europese Unie in vertrouwen op de EU‑VS DPF en uit het Verenigd Koninkrijk (en Gibraltar) in vertrouwen op de UK Extension to the EU‑U.S. DPF en/of door de Swiss‑U.S. Data Privacy Framework Principles met betrekking tot de verwerking van persoonsgegevens ontvangen uit Zwitserland.

6.3 Doorgifte buiten de Eerste Jurisdictie door Bedrijf. Indien Persoonsgegevens die afkomstig zijn uit de Eerste Jurisdictie door het Bedrijf/de met het Bedrijf verbonden ondernemingen worden doorgegeven aan Nuance in een land: (i) buiten de Eerste Jurisdictie, en (ii) een jurisdictie die in de Eerste Jurisdictie niet wordt beschouwd als een Toereikend Land:

(a) Als Persoonsgegevens afkomstig zijn uit een land binnen de EER, zijn de Standaard Contractuele Clausules van de EU (Module Twee - Controller to Processor) op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/eu-standard-contract-clause-C2P.html(Een nieuw venster openen) van toepassing en wordt het Bedrijf/de Gelieerde Onderneming van het Bedrijf als Exporteur beschouwd. De Standaard Contractuele Clausules van de EU worden hierbij overeengekomen en door middel van verwijzing opgenomen in deze DPA en worden er een integraal onderdeel van. De vereiste om te voldoen aan de beginselen voor verdere doorgifte die zijn uiteengezet in Sectie 6.2 (b) en de verplichtingen die zijn uiteengezet in Sectie 6.2 (c) zijn dienovereenkomstig van toepassing.

(b) Voor Persoonsgegevens die afkomstig zijn van een land buiten de EER, worden specifieke bepalingen voor grensoverschrijdende gegevensoverdracht beschreven in Sectie 8 hieronder.

7. AANVULLENDE BEPALINGEN VOOR SPECIFIEKE SOORTEN PERSOONSGEGEVENS

7.1 Kindgegevens. Bedrijf verklaart hierbij en garandeert dat:

(a) Voor zover van toepassing voldoen de website, diensten en producten van het Bedrijf aan de AVG, de Amerikaanse Children's Online Privacy Protection Act van 1998, ("COPPA") en andere Gegevensbeschermingswetgeving ter bescherming van persoonsgegevens van kinderen jonger dan 16 jaar ("Kindgegevens"), met inbegrip van maar niet beperkt tot regels voor het verkrijgen van toestemming.

(b) Het Bedrijf zal de Diensten van Nuance niet gebruiken in verband met een online site, dienst of product dat zich richt op kinderen jonger dan 16 jaar als primair publiek ("Primair Kindgericht"). Primair Kindgericht is gebaseerd op empirisch bewijs met betrekking tot de samenstelling van het publiek en bewijs met betrekking tot het beoogde publiek, zoals het onderwerp, de visuele inhoud, het gebruik van animatiefiguren of kindgerichte activiteiten en prikkels, muziek of andere audio-inhoud, de leeftijd van modellen, de aanwezigheid van kindsterren of beroemdheden die kinderen aanspreken, het taalgebruik of andere kenmerken van de website of online dienst, evenals of reclame die de website of online dienst promoot of daarop verschijnt, gericht is op kinderen.

(c) Indien het Bedrijf gebruik maakt van door Nuance gelicentieerde software voor Primair Kindgericht gerichte online sites, diensten of producten, dan mag het Bedrijf geen Kindgegevens naar Nuance sturen (in verband met onderhoud, ondersteuning en tools met betrekking tot de door Nuance gelicentieerde software, of anderszins).

(d) Indien het Bedrijf Diensten gebruikt voor gemengde of algemene online sites, diensten of producten die toegankelijk kunnen zijn voor kinderen jonger dan 16 jaar, maar die niet Primair Kindgericht zijn, dan zullen het controleerbare mechanisme voor ouderlijke toestemming, de directe kennisgeving en de webkennisgeving van het Bedrijf, indien vereist door de Wet Bescherming Persoonsgegevens, de overdracht van Kindgegevens aan Nuance en het verzamelen en verwerken van Kindgegevens door Nuance in overeenstemming met deze DPA op adequate wijze bekendmaken en afdoende afdekken.

De partijen komen overeen dat Nuance geen exploitant is zoals die term wordt gedefinieerd in COPPA.

7.2 Naleving CCPA. Voor zover Nuance van het Bedrijf "persoonlijke informatie" ontvangt van een "consument" waarop de California Consumer Privacy Act ("CCPA") van toepassing is voor verwerking namens het Bedrijf krachtens deze DPA, zullen Nuance en het Bedrijf elk voldoen aan alle toepasselijke bepalingen van de CCPA en elke Partij zal, op redelijk schriftelijk verzoek van de ander, te goeder trouw samenwerken om aanvullende en gewijzigde voorwaarden aan te gaan teneinde wijzigingen in de CCPA te verwerken of anderszins de naleving van de CCPA door de partijen te waarborgen. Voor zover van toepassing, zal Nuance worden beschouwd als een "dienstverlener" aan het Bedrijf onder de CCPA, en zal Nuance niet (a) dergelijke persoonlijke informatie behouden, gebruiken of bekendmaken voor enig ander doel dan voor het specifieke doel van het uitvoeren van Diensten onder deze DPA of zoals anderszins toegestaan door de CCPA, inclusief voor een geldig "zakelijk doel"; (b) dergelijke persoonlijke informatie behouden, gebruiken of bekendmaken voor een "commercieel doel" anders dan het leveren van de Diensten onder deze DPA; (c) dergelijke persoonlijke informatie behouden, gebruiken of bekendmaken buiten de directe zakelijke relatie tussen Nuance en het Bedrijf; of (d) dergelijke persoonlijke informatie "verkopen". Nuance begrijpt en verklaart dat zij de verbodsbepalingen in deze overeenkomst zal naleven. In het kader van deze paragraaf hebben de termen "persoonlijke informatie", "consument", "dienstverlener", "zakelijk doel", "commercieel doel" en "verkopen" de betekenis die wordt vermeld in de CCPA.

7.3 Biometrische Gegevens.

7.3.1 Met betrekking tot de Persoonsgegevens gedefinieerd in Artikel 1, omvatten Persoonsgegevens biometrische gegevens voor zover Nuance biometrische identificatoren, biometrische informatie of Persoonsgegevens die het resultaat zijn van specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragskenmerken van een natuurlijke persoon creëert of van het Bedrijf ontvangt, die de unieke identificatie of authenticatie van die natuurlijke persoon mogelijk maken of bevestigen.

7.3.2 In aanvulling op de vereisten genoemd in Artikel 3.7, is het Bedrijf verantwoordelijk voor het verstrekken van alle kennisgevingen, schriftelijk beleid dat beschikbaar wordt gesteld aan het publiek en/of informatie met betrekking tot Persoonsgegevens die wordt vereist door Gegevensbeschermingswetgeving, met inbegrip van, maar niet beperkt tot het verstrekken van kennisgevingen met betrekking tot:

(i) Het opnemen van gesprekken met het Bedrijf en het openbaar maken van dergelijke opnames aan Nuance, aan Nuance Gelieerde Ondernemingen en subverwerkers;

(ii) Verwerking door Nuance van fysieke, fysiologische of gedragskenmerken met als doel het creëren, verzamelen of opslaan van Persoonsgegevens. Het Bedrijf erkent dat een dergelijke Verwerking beperkt is tot het verlenen van diensten en dat Nuance geen biometrische kenmerken of biometrische informatie van een natuurlijke persoon koopt, verkoopt, least, verhandelt of anderszins profiteert;

(iii) Termijn en richtlijnen voor het permanent vernietigen van biometrische identificatiemiddelen of biometrische gegevens die worden verzameld, opgeslagen en gebruikt.

7.3.3 Het Bedrijf zal alle noodzakelijke toestemmingen, vrijstellingen of licenties verkrijgen, waar vereist, om Nuance in staat te stellen de Persoonsgegevens vast te leggen, op te slaan, te verwerken, openbaar te maken, te gebruiken en internationaal over te dragen.

7.3.4 Het Bedrijf zal alle noodzakelijke bekendmakingen doen aan en goedkeuring verkrijgen van Toezichthoudende Autoriteiten die vereist zijn onder de Gegevensbeschermingswetgeving, inclusief maar niet beperkt tot de Wet van Quebec tot instelling van een wettelijk kader voor informatietechnologie (R.S.Q., c. C‑1.1) met betrekking tot een database van biometrische kenmerken en metingen.

7.3.5 Wanneer een persoon zich afmeldt voor biometrische verificatie, zijn account wordt opgeheven of wanneer anderszins is voldaan aan het oorspronkelijke doel voor het verzamelen of verkrijgen van dergelijke Persoonsgegevens, zal het Bedrijf Nuance voorzien van instructies met betrekking tot het verwijderen van Persoonsgegevens zoals vereist door Gegevensbeschermingswetgeving.

7.3.6 Niet‑naleving door het Bedrijf van de voorwaarden van dit Artikel 7.3 is een wezenlijke schending van deze DPA en de Hoofdovereenkomst en zal Nuance in staat stellen om de Diensten op te schorten.

8. AANVULLENDE BEPALINGEN VOOR PERSONEN DIE ZICH IN BEPAALDE LANDEN BEVINDEN.

Elk van de volgende aanvullende bepalingen is van toepassing op basis van de locatie van de persoon in het respectieve land wiens Persoonsgegevens worden verwerkt.

8.1 AANVULLENDE BEPALINGEN VOOR ARGENTINIE

8.1.1 Gegevensbeschermingswetgeving. Met betrekking tot de Persoonsgegevens van personen in Argentinië, omvat de toepasselijke Gegevensbeschermingswetgeving gedefinieerd in Artikel 1 de Argentijnse Privacybeginselen, zoals gedefinieerd in de Argentijnse Wet op de Bescherming van Persoonsgegevens 25 326.

8.1.2 Algemene Verwerkingsverplichting. Nuance zal de Persoonsgegevens verwerken op een wijze die in overeenstemming is met de bepalingen van de Wet Bescherming Persoonsgegevens.

8.1.3 Doorgifte buiten Argentinië door Bedrijf. Voor Persoonsgegevens die afkomstig zijn uit Argentinië, komen de Partijen overeen dat de Argentijnse Standaardcontractbepalingen uitgevoerd tussen Bedrijf en Nuance op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/ar-standard-contract-clause.html(Een nieuw venster openen) van toepassing zijn.

8.1.4 Doorgifte buiten Argentinië door Nuance. Indien de overdracht plaatsvindt aan een subverwerker die zich niet in een Adequaat Land bevindt, zal Nuance ervoor zorgen dat er een mechanisme aanwezig is om geschiktheid te bereiken met betrekking tot de Verwerking, zoals:

(a) De uitvoering door Nuance, voor zichzelf en/of namens het Bedrijf, van de Argentijnse Standaardcontractbepalingen. Op verzoek zal Nuance dergelijke kopieën van overeenkomsten ter inzage aan het Bedrijf verstrekken, met dien verstande dat vertrouwelijke commerciële informatie die niet relevant is voor de vereisten krachtens deze DPA zal worden geredigeerd. Het Bedrijf machtigt Nuance en haar dochterondernemingen om namens het Bedrijf Argentijnse standaardcontractbepalingen aan te gaan die in overeenstemming zijn met deze DPA en de Argentijnse Standaardcontractbepalingen op https://www.nuance.com/nl-nl/about-us/terms-and-conditions/data-processing-terms/ar-standard-contract-clause.html(Een nieuw venster openen), controller-to-processor;

(b) Het bestaan van een zelfreguleringskader of bindende Bedrijfsregels die voldoende bescherming bieden voor de overgedragen Persoonsgegevens.

8.2 AANVULLENDE BEPALINGEN VOOR AUSTRALIË

8.2.1 Gegevensbeschermingswetgeving. Met betrekking tot de Persoonsgegevens van personen in Australië omvatten de in Artikel 1 gedefinieerde Gegevensbeschermingswetgeving de toepasselijke federale, staats- en territoriale privacywetgeving.

8.2.2 Algemene Verwerkingsverplichting. Nuance zal de Persoonsgegevens verwerken op een wijze die in overeenstemming is met de Gegevensbeschermingswetgeving.

8.2.3 Meldplicht inbreuken. Als het Bedrijf in Australië is gevestigd, omvat de definitie van Inbreuk op Persoonsgegevens in Artikel 1 alle "in aanmerking komende inbreuken op gegevens" zoals gedefinieerd onder de Australische Regeling Meldplicht Datalekken.

8.2.4 Doorgifte buiten Australië. In aanvulling op de vereisten van Artikel 6.3 zal Nuance, in het geval dat Nuance Persoonlijke Gegevens buiten Australië overdraagt, overeenkomsten aangaan of hebben afgesloten met de verkrijgers die contractuele bescherming bevatten die in wezen gelijk is aan de Australische Privacybeginselen om de Persoonlijke Gegevens in dezelfde mate te beveiligen en te beschermen als vereist wordt door de verplichtingen die door deze DPA aan Nuance worden opgelegd.

8.3 AANVULLENDE BEPALINGEN VOOR BRAZILIË

8.3.1 Gegevensbeschermingswetgeving. Met betrekking tot de Persoonsgegevens van personen in Brazilië omvat de toepasselijke Gegevensbeschermingswetgeving zoals gedefinieerd in Artikel 1 de "LGPD" of de Braziliaanse Algemene Verordening Gegevensbescherming, Wet Nº 13.709/2018 die de Verwerking van Persoonsgegevens in Brazilië regelt.

8.3.2 Algemene Verwerkingsverplichting. Nuance zal de Persoonsgegevens verwerken op een wijze die in overeenstemming is met de Braziliaanse Algemene Verordening Gegevensbescherming, Wet Nº 13.709/2018.

8.3.3 Doorgifte buiten Brazilië. In aanvulling op de vereisten van Sectie 6.3 zal Nuance, in het geval dat Nuance Persoonlijke Gegevens overdraagt naar een land buiten Brazilië dat niet wordt beschouwd als een Adequaat Land, overeenkomsten aangaan of hebben afgesloten met de overnemers die contractuele bescherming bevatten om de Persoonlijke Gegevens te beveiligen en te beschermen in dezelfde mate als vereist wordt door de verplichtingen die door deze DPA aan Nuance worden opgelegd.

8.4 AANVULLENDE BEPALINGEN VOOR CANADA

8.4.1 Verantwoordelijke. Met betrekking tot de verwerking van Persoonsgegevens van personen in Canada omvat de term Verwerkingsverantwoordelijke, zoals gedefinieerd in Artikel 1, een organisatie met betrekking tot persoonlijke informatie die de organisatie verzamelt, gebruikt of openbaar maakt in het kader van commerciële activiteiten; of een beheerder van gezondheidsinformatie, bewaarder, overheidsinstantie, onderneming, trustee, of een vergelijkbare aanwijzing onder de toepasselijke Gegevensbeschermingswetgeving.

8.4.2 Gegevensbeschermingswetten. Met betrekking tot de Persoonsgegevens van personen in Canada omvat de Gegevensbeschermingswetgeving zoals gedefinieerd in Artikel 1 de toepasselijke federale en provinciale privacywetgeving.

8.4.3 Persoonsgegevens. Persoonsgegevens zoals gedefinieerd in Artikel 1 omvatten persoonlijke informatie en persoonlijke gezondheidsinformatie zoals deze termen zijn gedefinieerd in de toepasselijke Gegevensbeschermingswetgeving.

8.4.4 Verwerker. Met betrekking tot de verwerking van Persoonsgegevens van personen in Canada, omvat de term Verwerker, zoals gedefinieerd in Sectie 1, een agent, een provider, een dienstverlener of een vergelijkbare aanduiding onder de toepasselijke Gegevensbeschermingswetgeving.

8.4.5 Algemene Verwerkingsverplichting. Nuance zal de Persoonsgegevens verwerken op een wijze die in overeenstemming is met de Gegevensbeschermingswetgeving. Deze DPA is van toepassing op alle Persoonsgegevens die door Nuance namens het Bedrijf worden verwerkt, ongeacht of de Persoonsgegevens direct of indirect van het Bedrijf worden ontvangen, met inbegrip van Persoonsgegevens van het Bedrijf die aan Nuance worden verstrekt door een distributeur of wederverkoper bij het verlenen van ondersteunende diensten aan het Bedrijf.

8.4.6 Doorgifte buiten Canada. Het Bedrijf erkent dat Nuance in het kader van de uitvoering van deze DPA Persoonsgegevens kan overdragen buiten Canada, en in dat geval zal Nuance, in overeenstemming met het verantwoordingsbeginsel, overeenkomsten aangaan of hebben afgesloten met de verkrijgers die contractuele waarborgen bevatten om de Persoonsgegevens in dezelfde mate te beveiligen en te beschermen als vereist wordt door de verplichtingen die door deze DPA aan Nuance worden opgelegd.

8.4.7 Toepasselijk recht. Deze Overeenkomst wordt beheerst door de wetten van de Provincie waar het Bedrijf is gevestigd ("Toepasselijke Provincie"), en de federale wetten van Canada die daar van toepassing zijn, zonder rekening te houden met conflictenrechtelijke beginselen. De Partijen komen overeen om alle geschillen met betrekking tot deze Overeenkomst uitsluitend voor te leggen aan de rechtbanken in de Toepasselijke Provincie, waarbij elke Partij instemt met de jurisdictie van deze rechtbanken en afstand doet van enig bezwaar dat zij zou kunnen hebben met betrekking tot de locatie.

8.5 AANVULLENDE BEPALINGEN VOOR CHILI

8.5.1 Wet Bescherming Persoonsgegevens. Met betrekking tot de Persoonsgegevens van individuen in Chili, omvat de Gegevensbeschermingswetgeving gedefinieerd in Artikel 1 de Chileense Wet 19.628 op de Bescherming van het Privéleven in bestaande taal.

8.6 AANVULLENDE BEPALINGEN VOOR COLOMBIA

8.6.1 Gegevensbeschermingswet. Met betrekking tot de Persoonsgegevens van personen in Colombia, omvat de Gegevensbeschermingswetgeving gedefinieerd in Artikel 1 de Colombiaanse Wet 1581 van 2012 en Decreet 1074 van 2015.

8.6.2 Algemene Verwerkingsverplichting. Nuance zal de Persoonsgegevens verwerken op een wijze die in overeenstemming is met de Colombiaanse Privacybeginselen, zoals gedefinieerd in artikel 4 van Wet 1581 van 2012.

8.6.3 Toereikendheidsbesluiten. "Adequaat Land" betekent een land en internationale organisatie gepubliceerd door de Colombiaanse Gegevensbeschermingsautoriteit (Superintendence of Industry and Commerce).

8.6.4 Doorgifte buiten Colombia. Nuance mag de Persoonsgegevens die verwerkt worden in het kader van deze DPA en de Hoofdovereenkomst, overdragen of doorsturen naar om het even welk land of grondgebied, zelfs als dit niet beschouwd wordt als een Adequaat Land onder de Colombiaanse wetgeving, behalve in gevallen waarin het Bedrijf uitdrukkelijk en schriftelijk vereist niet over te dragen of door te sturen naar een bepaald land. Het Bedrijf garandeert dat overdrachten of transmissies door Nuance toegestaan zijn binnen de reikwijdte van de toestemming die door de Betrokkene werd gegeven.

8.6.5 Melding van inbreuk op Persoonsgegevens. Bedrijf en Nuance zullen samenwerken om te voldoen aan hun wederzijdse verplichting om elke schending van de veiligheidsmaatregelen en het bestaan van risico's in het beheer van de Persoonsgegevens te melden aan de Superintendence of Industry and Commerce, binnen 15 werkdagen vanaf de datum waarop de schending van de Persoonsgegevens wordt ontdekt.

8.7 AANVULLENDE BEPALINGEN VOOR JAPAN

8.7.1 Gegevensbeschermingswetgeving. Met betrekking tot de Persoonsgegevens van personen in Japan omvat de Gegevensbeschermingswetgeving zoals gedefinieerd in Artikel 1 de Japanse Wet Bescherming Persoonsgegevens en relevante richtlijnen uitgegeven door de Commissie Bescherming Persoonsgegevens van Japan.

8.7.2 Doorgifte buiten Japan. Nuance mag de Persoonsgegevens die verwerkt worden in het kader van deze DPA en de Hoofdovereenkomst, overdragen of doorgeven naar om het even welk land of grondgebied, zelfs indien dit niet beschouwd wordt als een Adequaat Land onder de Japanse wetgeving, behalve in gevallen waarin het Bedrijf uitdrukkelijk en schriftelijk vereist om niet over te dragen of door te geven naar een bepaald land, in welk geval Nuance mogelijk niet in staat zal zijn om de Diensten te leveren, wat, om twijfel te vermijden, niet zal neerkomen op een inbreuk op de Hoofdovereenkomst. Bedrijf garandeert dat overdrachten of verzendingen door Nuance zijn toegestaan binnen de reikwijdte van de door de Betrokkene gegeven toestemming.

8.8 AANVULLENDE BEPALINGEN VOOR MEXICO

8.8.1 Gegevensbeschermingswetgeving. Met betrekking tot de Persoonsgegevens van personen in Mexico omvat de Gegevensbeschermingswetgeving zoals gedefinieerd in Artikel 1 de Mexicaanse Federale Wet op de Bescherming van Persoonsgegevens in bezit van Particuliere Partijen.

8.8.2 Overdrachten buiten Mexico. In het geval Nuance Persoonsgegevens overdraagt naar landen buiten Mexico, zal Nuance overeenkomsten aangaan of hebben afgesloten met de verkrijgers waarin contractuele bescherming is opgenomen om de Persoonsgegevens in dezelfde mate te beveiligen en te beschermen als wordt vereist door de verplichtingen die door deze DPA aan Nuance worden opgelegd.

8.9 AANVULLENDE BEPALINGEN VOOR ZUID‑AFRIKA

8.9.1 Gegevensbeschermingswetgeving. Met betrekking tot de Persoonsgegevens van personen die woonachtig zijn in de Republiek Zuid-Afrika ("Zuid-Afrika"), omvat de Gegevensbeschermingswetgeving zoals gedefinieerd in Artikel 1 de Zuid-Afrikaanse Wet Bescherming Persoonsgegevens ("POPIA").

8.9.2 Algemene Verwerkingsverplichting. Nuance zal de Persoonsgegevens verwerken op een wijze die in overeenstemming is met POPIA, zoals gedefinieerd in de toepasselijke Gegevensbeschermingswetgeving.

8.9.3 Doorgifte buiten Zuid-Afrika. Indien in verband met deze DPA Persoonsgegevens door het Bedrijf aan Nuance worden verstrekt buiten Zuid-Afrika, zal een dergelijke overdracht worden geregeld door de Standaardcontractbepalingen zoals uiteengezet in Artikel 6.3, met de volgende wijzigingen: (i) de bevoegde Toezichthoudende Autoriteit is de Zuid-Afrikaanse Information Regulator; (ii) het toepasselijk recht is het recht van Zuid-Afrika; (iii) de forumkeuze is de rechtbank van Zuid-Afrika; en (iv) de verplichtingen onder Clausules 14 en 15 van de Standaardcontractbepalingen zijn niet van toepassing.

8.10 AANVULLENDE BEPALINGEN VOOR ZUID-KOREA

Nuance mag de Persoonsgegevens die in het kader van deze DPA en de Hoofdovereenkomst worden verwerkt, overdragen of doorgeven naar om het even welk land of gebied, behalve in gevallen waarin het Bedrijf uitdrukkelijk en schriftelijk vereist om niet over te dragen of door te geven naar een bepaald land, in welk geval Nuance mogelijk niet in staat is om de Diensten te leveren, wat, voor alle duidelijkheid, geen schending van de Hoofdovereenkomst inhoudt. Bedrijf garandeert dat overdrachten of verzendingen door Nuance zijn toegestaan binnen de reikwijdte van de door de Betrokkene gegeven toestemming.

8.11 AANVULLENDE BEPALINGEN VOOR HET VERENIGD KONINKRIJK

8.11.1 Gegevensbeschermingswetgeving. Met betrekking tot de Persoonsgegevens van personen in het Verenigd Koninkrijk omvatten de Gegevensbeschermingswetgeving en AVG zoals gedefinieerd in Artikel 1 de Verordening (EU) 2016/679 zoals deze deel uitmaakt van de wetgeving van Engeland en Wales, Schotland en Noord-Ierland krachtens en zoals gewijzigd door enige wetgeving voortvloeiend uit de 2018 Withdrawal Act van het Verenigd Koninkrijk uit de Europese Unie.

8.11.2 Doorgifte buiten het Verenigd Koninkrijk door Bedrijf. Voor Persoonsgegevens afkomstig uit het Verenigd Koninkrijk, komen de Partijen overeen dat het UK International Data Transfer Addendum tussen Bedrijf en Nuance Gelieerde Onderneming buiten het Verenigd Koninkrijk, te vinden op https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/uk-standard-contract-clause.html(Een nieuw venster openen), van toepassing is.

8.11.3 Doorgifte buiten het Verenigd Koninkrijk door Nuance. Indien de overdracht plaatsvindt naar een subverwerker die zich niet in een Adequaat Land bevindt, zal Nuance ervoor zorgen dat er een mechanisme aanwezig is om geschiktheid te bereiken met betrekking tot de Verwerking, zoals:

(a) de uitvoering tussen Nuance en haar subverwerkers buiten het Verenigd Koninkrijk van het UK International Data Transfer Addendum, waarvan een kopie op verzoek beschikbaar kan worden gesteld;

(b) Het bestaan van een zelfreguleringskader of bindende Bedrijfsregels die adequate bescherming bieden voor de doorgegeven Persoonsgegevens.

9. DIVERSE BEPALINGEN

9.1 Volgorde van voorrang. Voor zover bepalingen in deze DPA strijdig zijn met bepalingen in de Hoofdovereenkomst, prevaleert deze DPA voor wat betreft het specifieke onderwerp van dergelijke bepalingen. De bepalingen in deze DPA zijn bedoeld als verduidelijking van de wijze waarop de Partijen hun verplichtingen onder de Standaardcontractbepalingen die van toepassing zijn in elk rechtsgebied zullen nakomen. In het geval dat een van deze bepalingen in strijd is met de Standaardcontractbepalingen, dan prevaleren de Standaardcontractbepalingen voor zover deze strijdig zijn.

9.2 Taal. Als Nuance deze DPA verstrekt in meer dan één taal voor het land waarin het Bedrijf is gevestigd, en er is een discrepantie tussen de Engelse tekst en de vertaalde tekst, dan is de Engelse tekst doorslaggevend.

9.3 Updates van DPA-voorwaarden. Wanneer een Bedrijf een nieuw abonnement op de Dienst verlengt of aanschaft of een werkorder voor professionele Diensten aangaat, zullen de op dat moment geldende DPA-voorwaarden van toepassing zijn en niet veranderen gedurende het abonnement van het Bedrijf op die Dienst of de termijn voor die werkorder voor professionele Dienst. Niettegenstaande het voorgaande kan Nuance, wanneer Nuance functies, aanbiedingen, supplementen of verwante software introduceert die nieuw zijn (d.w.z. die niet eerder bij de Diensten waren inbegrepen), voorwaarden verstrekken of updates maken van deze DPA die van toepassing zijn op het gebruik van die nieuwe functies, aanbiedingen, supplementen of verwante software door het Bedrijf. Als die voorwaarden wezenlijke nadelige veranderingen in de voorwaarden van de DPA bevatten, zal Nuance het Bedrijf de keuze bieden om de nieuwe functies, aanbiedingen, supplementen of verwante software te gebruiken, zonder verlies van bestaande functionaliteit van een algemeen beschikbare Dienst. Als Bedrijf de nieuwe functies, aanbiedingen, aanvullingen of verwante software niet installeert of gebruikt, zullen de corresponderende nieuwe voorwaarden niet van toepassing zijn.

9.4 Wijzigingen in regelgeving. Ongeacht de voorwaarden onder Artikel 9.3 kan Nuance een Dienst wijzigen of beëindigen in elk land of rechtsgebied waar sprake is van een huidige of toekomstige overheidsvereiste of -verplichting die (1) Nuance onderwerpt aan enige regelgeving of vereiste die niet algemeen van toepassing is op bedrijven die daar actief zijn, (2) een moeilijkheid vormt voor Nuance om de Diensten zonder wijziging te blijven uitvoeren, en/of (3) Nuance doet geloven dat de DPA-voorwaarden of de Diensten in strijd kunnen zijn met een dergelijke vereiste of verplichting.

9.5 Gehele overeenkomst. Deze DPA vervangt alle voorgaande overeenkomsten, regelingen en afspraken tussen de Partijen en vormt de volledige overeenkomst tussen de Partijen met betrekking tot het onderwerp hiervan.

9.6 Geldigheid en afdwingbaarheid. Mocht een bepaling van deze DPA ongeldig of niet‑afdwingbaar zijn, dan blijft de rest van deze DPA geldig en van kracht. De ongeldige of niet‑afdwingbare bepalingen zullen ofwel (i) worden gewijzigd voor zover dit nodig is om hun geldigheid en afdwingbaarheid te waarborgen, terwijl de intenties van de Partijen zo goed mogelijk worden behouden of, als dit niet mogelijk is, (ii) worden geïnterpreteerd alsof het ongeldige of niet‑afdwingbare deel nooit in deze DPA had gestaan.

9.7 In niet-productieomgevingen kunnen minder of andere privacy- en beveiligingsmaatregelen worden genomen dan in een productieomgeving. Als het Bedrijf Persoonsgegevens of andere gegevens indient of toestaat dat Betrokkenen deze indienen in een niet-productieomgeving die onderhevig is aan wettelijke of reglementaire nalevingsvereisten, erkent het Bedrijf dat het dit op eigen verantwoordelijkheid doet. De volgende voorwaarden in deze DPA zijn niet van toepassing op niet-productieomgevingen: Verwerkingsvereisten, Beveiliging, Aanvullende Bepalingen voor Specifieke Soorten Persoonsgegevens en Aanvullende bepalingen voor Personen in Bepaalde Landen.

9.8 Bedrijf is verantwoordelijk voor het implementeren en handhaven van privacybescherming en beveiligingsmaatregelen voor onderdelen die Bedrijf levert of beheert (zoals Bedrijfsgegevens voor toegang tot webgebaseerde rapportage en zelfbedieningstools die Nuance beschikbaar stelt aan Bedrijf in verband met de Diensten).

Deze DPA, zoals hieronder ondertekend, wordt een bindend onderdeel van de Hoofdovereenkomst tussen de Partijen, met ingang van de eerstgenoemde datum.

Data processing agreement

Last Modified March 10, 2025 / Previous Versions

RECITALS

(A) The Parties have entered into one or more agreements under which Nuance either (a) supplies certain Services to Company from time to time if Company is an end customer or (b) if Company is a distributor and Nuance has granted the distributor the right to distribute and resell Nuance’s services to end customers (referred to collectively as the “Main Agreement”).

(B) The Parties have agreed that in order for Nuance to perform its obligations pursuant to such Main Agreement, it will Process certain Personal Data in respect of which, Company will be a Controller, or a Processor acting on behalf of a Controller, and Nuance will be a Processor or a sub‑processor respectively (as defined below).

(C) Now therefore, the Parties have agreed to enter into this overarching DPA relating to the Processing of Personal Data by Nuance in its capacity as a Processor or sub‑processor.

1. DEFINITIONS.

The following expressions are used in this DPA: In the event the definitions herein differ from the Main Agreement relating to data protection, this DPA shall prevail as to the specific subject matter of such definition.

(a) “Adequate Country” means, in each relevant jurisdiction, the meaning given to it (or in the nearest equivalent term) in the Data Protection Laws, including but not limited to those published by the European Commission in the Official Journal of the European Union for which it has decided that an adequate level of protection is ensured.

(b) “Biometric Data” has, in each relevant jurisdiction, the meaning given to (or in the nearest equivalent term) in the applicable Data Protection Laws for that jurisdiction, and “biometric identifiers” and “biometric information” will be interpreted accordingly.

(c) “Company” means the entity which is a party to this DPA and to the Main Agreement.

(d) “Data Protection Laws” means all laws and regulations, and amendments thereto, applicable to the Processing of Personal Data under the Main Agreement, including but not limited to the GDPR.

(e) “Data Subject Request” means a request from or on behalf of a Data Subject to exercise its rights under Data Protection Laws.

(f) “EU Standard Contractual Clauses” means the standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, based on the European Commission Implementing Decision (EU) 2021/914 of 4 June 2021.

(g) “GDPR” means Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the Processing of personal data and on the free movement of such data (known as the General Data Protection Regulation).

(h) “Nuance” means the Nuance entity which is a party to this DPA and to the Main Agreement with Company, being: (i) Nuance Communications Inc. with address at 15 Wayside Rd, Burlington, MA 01803, United States, or (ii) Nuance Communications Ireland Ltd with address at 70 Sir John Rogerson's Quay, Dublin 2, D02R296, Ireland.

(i) “Personal Data” shall have the meaning given to it by Data Protection Laws.

(j) “Personal Data Breach” means a “personal data breach” or “data breach” as defined under Data Protection Laws that is within Nuance’s scope of responsibility by any of its staff, sub‑processors or any other identified or unidentified third party after Nuance becomes aware with a reasonable degree of certainty that such Personal Data Breach has occurred.

(k) “Services” refers to the application, product or services and other activities such as support, maintenance or professional services to be supplied to or carried out on behalf of Company/Company affiliate pursuant to the Main Agreement.

(l) “UK International Data Transfer Addendum” means the International Data Transfer Addendum to the EU Standard Contractual Clauses issued by the United Kingdom Information Commissioner for Parties making Restricted Transfers, in force 21st March, 2022.

(m) “Process”, “Processing”, “Controller”, “Processor”, “Data Subject” and “Supervisory Authority” shall have the meanings given to them by GDPR.

Nuance and Company are sometimes referred to individually as a “Party” and collectively as the “Parties”.

2. STATUS OF THE PARTIES AND SUBJECT MATTER

2.1 Company, as Controller or Processor acting on behalf of a Controller, grants Nuance the right to Process the Personal Data for the purposes of providing the Services to Company pursuant to this DPA and in accordance with the Main Agreement.

3. PROCESSING REQUIREMENTS

3.1 Data Processing Details. Company is responsible for establishing the lawful basis for Processing the Personal Data, including obtaining all necessary consent where required, and will comply with all applicable Data Protection Laws with respect thereto. The type of Personal Data Processed pursuant to this DPA as well as the subject matter, nature and purpose of the Processing, the Data Subjects involved, location(s) and retention period are as described in the Data Processing Details located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/details.html(Een nieuw venster openen). The duration of Processing will be the duration of the Main Agreement.

3.2 Processing under Control of Controller. Nuance shall only Process the Personal Data to provide the Services and shall act only in accordance with Company’s documented instructions, including the transfer by Nuance of Company Personal Data to any country or territory, to the extent appropriate for the provision of the Services, and except as required to comply with a legal obligation to which Nuance is subject, in such case, Nuance will inform Company of that legal requirement before Processing, unless that law, regulation or order prohibits such information on important grounds of public interest. Company’s individual instructions on Processing of Personal Data shall be as detailed in the Main Agreement and this DPA. Company instructs Nuance and its sub‑processors and Affiliates to use, compile (including creating statistical and other models), annotate and otherwise analyze the Personal Data for the purpose of operating, maintaining, tuning, enhancing, improving and providing technical support services for the speech recognition, natural language understanding and other Nuance software and technologies that are embodied in the Services. Company acknowledges that Nuance will apply privacy safeguards such as the anonymization of the Personal Data where appropriate. Personal Data Processing instructions can be modified, amended or replaced through an amendment to this DPA through the established change control process. Instructions not foreseen in or covered by the Main Agreement or this DPA shall be treated as requests for amendments to this DPA. Any additional or alternate instructions must be agreed upon in writing, and may be charged for, separately. Company accepts that the following are the instructions: (a) Processing in accordance with the Main Agreement and, if so agreed, order form(s) or statement(s) of work; and (b) Processing initiated by users of the Services (for example, when sending an output file by email to another person). Company shall be responsible for compliance with its obligations as a Controller under Data Protection Laws including giving notice and obtaining all necessary consents and Nuance shall, immediately upon becoming aware, inform Company if: (i) in Nuance’s opinion, an instruction infringes Data Protection Laws or; (ii) additional information in Company’s possession or control is requested or required by a Supervisory Authority in relation to the data Processing activities carried out by Nuance under this DPA. In such cases Nuance will have the right to request all information necessary to demonstrate compliance with Company´s obligations, which Company may redact as appropriate to preserve the confidentiality of any Personal Data.

3.3 Nuance Disclaimer. Nuance Processes Personal Data that may be incorporated by Company into official records. Nuance does not maintain the Company’s system of records, and therefore Nuance does not store or maintain any official records or part thereof for Company. The originals of any records, including medical records, will be maintained by Company or its other contractors. Nuance only has access to parts of the records via remote access over Company’s computer system in connection with the provision of the Services set forth in the Main Agreement.

3.4 Confidentiality. Without prejudice to any existing contractual arrangements between the Parties, Nuance shall treat all Personal Data as strictly confidential. Nuance shall take appropriate steps so that only authorized personnel who are subject to binding obligations of confidentiality, either contractual or statutory, will have access to the Personal Data. Termination or expiration of this DPA shall not discharge Nuance from its confidentiality obligations.

3.5 Limitation of Access. Nuance will ensure the performance of the Services according to this DPA is limited to the personnel performing the Services under the Main Agreement.

3.6 Data Protection Officer (DPO). Nuance has appointed a data protection officer, who can be reached at: Privacy@Nuance.com or by mail (Worldwide) at:

Chief Privacy Officer
Nuance Communications, Inc.
15 Wayside Road
Burlington MA 01803
USA

Data Protection Officer
Nuance Communications Ireland, Ltd
70 Sir John Rogerson’s Quay,
Dublin 2,
D02 R296
IRELAND

Any changes to this contact information will be published at https://www.nuance.com/about-us/company-policies/privacy-policies.html(Een nieuw venster openen).

3.7 Data Subject Notices. For Personal Data that is provided to Nuance by Company under the Main Agreement, Company is responsible for providing any notices and information required by Data Protection Laws to be given at the time of collection, including, but not limited to notice with respect to:

i) Recipients or categories of recipients as permitted by Section 5; and

ii) Transfer of Personal Data to third countries as outlined in the Sub‑Processor List, located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Een nieuw venster openen), for the purposes as outlined in Section 3.2 above. Nuance shall also comply with the transfer requirements set forth in Section 6 below.

3.8 Data Subject Requests. As between the Parties, Company shall be responsible for addressing all Data Subject Requests. Nuance shall promptly notify Company if Nuance receives a request from a Data Subject to exercise his or her Data Subject’s rights. Taking into account the nature of the Processing and insofar as possible, Nuance shall assist Company by appropriate technical and organizational measures in fulfilment of Company’s obligations to respond to said Data Subject Request under Data Protection Laws. To the extent legally permitted, Company shall be responsible for any costs arising from Nuance’s provision of such assistance.

3.9 Notice of Personal Data Breach. Nuance maintains an incident management policy and shall notify Company of any Personal Data Breach without undue delay after becoming aware. Such notification will include the required information which Nuance as a Processor is obliged to provide to the Controller under Data Protection Laws, to the extent that such information is reasonably available to Nuance.

In the event of a Personal Data Breach, Nuance shall investigate the cause of such Personal Data Breach and take steps as Nuance deems necessary and reasonable under industry standards, in order to remediate the cause of such breach in fulfilling Company’s obligation under Data Protection Laws.

3.10 Deletion of Personal Data. As reasonably practicable following the termination of this DPA or the Main Agreement, Nuance shall delete all Personal Data, except to the extent applicable law requires Nuance to continue to store the Personal Data. Company acknowledges that Nuance’s deletion of Personal Data represents compliance with any legal obligation to return Personal Data to Company.

3.11 Audit and Records. Subject to reasonable prior notice from Company, Nuance shall provide Company with reasonable evidence to demonstrate Nuance’s compliance with this DPA and Data Protection Laws and shall allow for and contribute to audits, including inspections, conducted by Company or another auditor mandated by Company. Company’s right of audit under Data Protection Laws may be satisfied by Nuance through Nuance providing to Company:

(a) an audit report not older than 18 months by a registered and independent external auditor demonstrating that Nuance’s technical and organizational measures described in the Description of Technical and Organizational Measures, located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Een nieuw venster openen), are sufficient and in accordance with an accepted industry audit standard such as SSAE 18, SOC 1, SOC 2, SOC 3, ISO 27001, ISAE 3402; and/or

(b) additional information in Nuance’s possession or control to a Supervisory Authority when it requests or requires additional information in relation to the data Processing activities carried out by Nuance under this DPA.

(c) Notwithstanding the aforementioned, in the event that Company wished to undertake a different form of audit, Company may audit Nuance’s control practices, including on‑site at Nuance’s facilities, and Company shall contact Nuance in accordance with the “Notices” section under the Main Agreement. Company shall reimburse Nuance for any time expended for any such on‑site audit at Nuance’s then‑current professional services rates, which shall be made available to Company upon request. Before the commencement of any such on‑site audit, Company and Nuance shall mutually agree upon the scope, timing, and duration of the audit in addition to the reimbursement rate for which Company shall be responsible. All reimbursement rates shall be reasonable, taking into account the resources expended by Nuance. Company shall promptly notify Nuance with information regarding any noncompliance discovered during the course of an audit and allow reasonable time for remediation.

(d) The Parties agree that when carrying out audit procedures relevant to the protection of Personal Data, Company shall take all reasonable measures to limit any impact on Nuance and Nuance’s usual course of business operations.

3.12 Nuance assistance. Nuance shall in its role as a Processor, only to the extent required under Data Protection Laws, assist the Company in ensuring compliance with its obligations under Data Protection Laws as a Controller, taking into account the nature of Processing and the information available to Nuance. This may include assistance on ensuring a level of security of the Personal Data appropriate to the risk, and where applicable, notifying Personal Data breaches to the Supervisory Authority and respective Data Subjects, as well as reasonable assistance on data protection impact assessments and consulting the Supervisory Authority prior to Processing.

4. SECURITY

Taking into account the most recent available technology, the costs of implementation and the nature, scope, context and purposes of Processing, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, Nuance will maintain appropriate technical and organizational measures to ensure a level of security appropriate to the risk, as set forth in the Description of Technical and Organizational Measures, located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Een nieuw venster openen).

5. SUB-PROCESSING

5.1 Affiliates as Sub‑Processors. Company grants a general authorization to Nuance to appoint as sub‑processors to support the delivery of the Services any other entities controlling, under common ownership with, or under control of Nuance’s parent corporation, Nuance Communications, Inc. (“Affiliates”), as specified in the Sub‑Processor List located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Een nieuw venster openen).

5.2 Third‑party Sub‑Processors. Company grants Nuance and Affiliates a general authorization to appoint the sub‑processors listed at the Sub‑Processor List located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Een nieuw venster openen).

5.3 Sub‑Processor Changes; Company’s Right to Object. Nuance will notify Company of the names of any new and replacement sub‑processors prior to them beginning sub‑processing of Personal Data. Within ten (10) business days of receiving notice of a sub‑processor change, Company may object by providing written notice to Nuance. The notice shall describe the basis for Company’s objection, which must have reasonable grounds. Failure to notify an objection during such time period shall constitute waiver of the right to object. If Company gives written notice of objection, Nuance and Company will discuss the objection in good faith to seek to resolve it. If no resolution is found within 30 days after initial notice of objection is given, and if the Main Agreement cannot be performed without the use of the objected‑to sub‑processor, Company may terminate the affected Company’s Services on 60 days’ written notice, such notice to be given no later than 45 days after the date of the initial notice of objection.

5.4 Nuance’s Responsibility. Nuance and/or Affiliates will require all sub‑processors to enter into a written agreement with Nuance to protect Personal Data with equivalent data protection obligations to those in this DPA. Nuance shall remain liable to Company for any breach by the sub‑processor of its agreement with Nuance.

6. DATA TRANSFERS

6.1 Nuance Hosting Location. Nuance provides, operates, and maintains the data hosting centers in the locations described in the Data Processing Details, located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/details.html(Een nieuw venster openen), to support the operation of the Services.

6.2 Transfers outside the first jurisdiction by Nuance. Company acknowledges that Nuance may Process or permit access from (“transfer”) Personal Data to sub‑processors: (i) outside the jurisdiction(s) in which any Personal Data originated (“First Jurisdiction”), and (ii) a jurisdiction which is not deemed an Adequate Country in the First Jurisdiction. If Personal Data is transferred by Nuance, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:

(a) The requirement that the sub-processor be self-certified under the EU-U.S. Data Privacy Framework (EU-U.S. DPF), the UK Extension to the EU-U.S. DPF, and the Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF);

(b) For Personal Data originated from a country within the EEA, (i) the execution between Nuance and its sub‑processors of EU Standard Contractual Clauses (Module Three – Processor to Processor), a copy of which can be made available to Company upon request, and (ii) the requirement of sub‑processors to comply with onward transfer principles under EU Standard Contractual Clauses; and

(c) the adoption by Nuance and its sub‑processors of additional safeguards, where necessary, to ensure that during and after the transfer, the Personal Data is subject to a level of protection equivalent to that of the EU. Such safeguards might include anonymization of Personal Data as well as pseudonymization and encryption, including during transmission, in each case taking account of the level of data protection in the recipient country and the nature of the Personal Data concerned. Further details on the safeguards applied by Nuance and Affiliates are set out in the Description of Technical and Organizational Measures located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Een nieuw venster openen), whereas the additional safeguards applied by Nuance and its sub‑processors do not release Company from its own data protection obligations; or

(d) Any other specifically approved safeguard for data transfer under Data Protection Laws or a European Commission finding of adequacy;

For the purposes of section 6.2 (a), it is hereby confirmed that Nuance Communications Inc. and its U.S. Affiliates as Sub-processors are certified to the EU-U.S. DPF, the UK Extension to the EU-U.S. DPF and the Swiss-U.S. Privacy Shield Frameworks and the commitments they entail. Nuance agrees to notify Company if it makes a determination that it can no longer meet its obligation to provide the same level of protection as is required by the EU-U.S. Data Privacy Framework Principles with regard to the processing of personal data received from the European Union in reliance on the EU-U.S. DPF and from the United Kingdom (and Gibraltar) in reliance on the UK Extension to the EU-U.S. DPF and/or by the Swiss-U.S. Data Privacy Framework Principles with regard to the processing of personal data received from Switzerland.

6.3 Transfers outside the first jurisdiction by Company. If Personal Data originating from the First Jurisdiction is disclosed by Company/Company affiliates to Nuance in a country: (i) outside the First Jurisdiction, and (ii) a jurisdiction which is not deemed an Adequate Country in the First Jurisdiction:

a) Where Personal Data is originating from a country within the EEA, EU Standard Contractual Clauses (Module Two – Controller to Processor) located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/eu-standard-contract-clause-C2P.html(Een nieuw venster openen), will apply, and Company/Company Affiliate shall be deemed Exporter. The EU Standard Contractual Clauses is hereby agreed and incorporated by reference into this DPA and made an integral part. The requirement to comply with onward transfer principles set out in Section 6.2 (b) and the obligations set out in Section 6.2 (c) apply correspondingly.

b) For Personal Data originating from a country outside the EEA, specific cross‑border data transfer provisions are detailed in Section 8 below.

7. ADDITIONAL PROVISIONS FOR SPECIFIC TYPES OF PERSONAL DATA

7.1 Child Data. Company hereby represents and warrants that;

(a) Where applicable, Company’s website, services and products comply with the GDPR, US Children's Online Privacy Protection Act of 1998, (“COPPA”) and other Data Protection Laws protecting Personal Data from children under 16 (“Child Data”) including but not limited to any rules for obtaining consent.

(b) Company shall not use Nuance’s Services in connection with an online site, service, or product that targets children under 16 as its primary audience (“Primarily Child‑Directed”). Primarily Child‑Directed is based on empirical evidence regarding audience composition, and evidence regarding the intended audience, such as subject matter, visual content, use of animated characters or child‑oriented activities and incentives, music or other audio content, age of models, presence of child celebrities or celebrities who appeal to children, language or other characteristics of the web site or online service, as well as whether advertising promoting or appearing on the web site or online service is directed to children.

(c) If Company uses Nuance licensed software for Primarily Child‑Directed online sites, services or products, then Company must not send to Nuance (in connection with maintenance, support and tools regarding the Nuance licensed software, or otherwise) any Child Data.

(d) If Company uses Services for mixed audience or general audience online sites, services or products which may be accessed by children under 16, but are not Primarily Child‑Directed, then Company’s verifiable parental consent mechanism, direct notice, and web notice, when required by Data Protection Laws, shall adequately disclose and sufficiently cover the transfer of Child Data to Nuance and Nuance's collection and Processing of Child Data consistent with this DPA.

The Parties agree that Nuance is not an operator as that term is defined in COPPA.

7.2 CCPA Compliance. To the extent that Nuance receives from Company any “personal information” of any “consumer” subject to the California Consumer Privacy Act (“CCPA”) for Processing on behalf of Company pursuant to this DPA, Nuance and Company shall each comply with all applicable provisions of the CCPA and each Party shall, upon the other’s reasonable written request, cooperate in good faith to enter into additional and modified terms to address any amendments to the CCPA or otherwise to ensure the Parties’ compliance therewith. To the extent applicable, Nuance shall be considered a “service provider” to Company under the CCPA, and shall not (a) retain, use or disclose such personal information for any purpose other than for the specific purpose of performing Services under this DPA or as otherwise permitted by the CCPA, including for a valid “business purpose”; (b) retain, use or disclose such personal information for a “commercial purpose” other than providing the Services under this DPA; (c) retain, use or disclose such personal information outside the direct business relationship between Nuance and Company; or (d) “sell” such personal information. Nuance understands and certifies that it will comply with the prohibitions outlined herein. For the purposes of this paragraph, the terms “personal information”, “consumer”, “service provider”, “business purpose”, “commercial purpose” and “sell” shall have the meanings set forth in the CCPA.

7.3 Biometric Data.

7.3.1 With respect to the Personal Data defined in Section 1, Personal Data shall include biometric data to the extent that Nuance creates or receives from Company biometric identifiers, biometric information or Personal Data resulting from specific technical processing relating to the physical, physiological or behavioral characteristics of a natural person, which allow or confirm the unique identification or authentication of that natural person.

7.3.2 In addition to the requirements listed in Section 3.7, Company is responsible for providing any notices, written policy made available to the public and/or information related to Personal Data required by Data Protection Laws, including, but not limited to giving notice with respect to:

i) Recording of conversations with Company and disclosure of such recordings to Nuance, Nuance’s Affiliates and sub‑processors;

ii) Processing by Nuance of physical, physiological or behavioral characteristics for the purpose of creating, collecting or storing Personal Data. Company acknowledges that such Processing is for the limited purpose of providing service and Nuance is not buying, selling, leasing, trading, or otherwise profiting from a natural person's biometric identifier or biometric information;

iii) Length of term and guidelines for permanently destroying biometric identifier or biometric data being collected, stored, and used.

7.3.3 Company shall obtain all necessary consents, releases or licenses, where required, to allow Nuance to capture, store, process, disclose, use, and transfer internationally the Personal Data.

7.3.4 Company will make all necessary disclosures to, and obtain approval from Supervisory Authorities required under the Data Protection Laws, including but not limited to the Quebec Act to Establish a Legal Framework for Information Technology (R.S.Q., c. C‑1.1) governing a database of biometric characteristics and measurements.

7.3.5 When a person unenrolls in biometric authentication, their account is closed or when the initial purpose for collecting or obtaining such Personal Information has otherwise been satisfied, Company shall provide Nuance with instructions regarding the deletion of Personal Data required by Data Protection Laws.

7.3.6 Company’s failure to comply with the terms of this Section 7.3 is a material breach of this DPA and the Main Agreement and will allow Nuance to suspend the Services.

8. ADDITIONAL PROVISIONS FOR INDIVIDUALS LOCATED IN CERTAIN COUNTRIES.

Each one or more of the following additional provisions apply based on the location of the individual in the respective country whose Personal Data is being Processed.

8.1 ADDITIONAL PROVISIONS FOR ARGENTINA

8.1.1 Data Protection Law. With respect to the Personal Data of individuals in Argentina, the Data Protection Laws defined in Section 1 shall include the Argentinian Privacy Principles, as defined in Argentine Personal Data Protection Law 25 326.

8.1.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the provisions of the Data Protection Laws.

8.1.3 Transfer outside Argentina by Company. For Personal Data originating from Argentina, the Parties agree that the Argentina Standard Contractual Clauses executed between Company and Nuance located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/ar-standard-contract-clause.html(Een nieuw venster openen) will apply.

8.1.4 Transfers outside Argentina by Nuance. Where the transfer is to a sub‑processor which is not located in an Adequate Country, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:

(a) The execution by Nuance, for itself and/or on behalf of Company, of the Argentina Standard Contractual Clauses. Upon request, Nuance will provide to Company for review such copies of agreements, subject to redaction for confidential commercial information not relevant to the requirements under this DPA. Company authorizes Nuance and its Affiliates to enter into Argentina Standard Contractual Clauses consistent with this DPA and the Argentina Standard Contractual Clauses located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/ar-standard-contract-clause.html(Een nieuw venster openen), controller‑to‑processor, on behalf of Company;

(b) The existence of any self‑regulation framework or binding corporate rules providing adequate protection to the transferred Personal Data.

8.2 ADDITIONAL PROVISIONS FOR AUSTRALIA

8.2.1 Data Protection Law. With respect to the Personal Data of individuals in Australia, the Data Protection Laws defined in Section 1 shall include the applicable federal, state and territorial privacy legislation.

8.2.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with Data Protection Laws.

8.2.3 Breach Notification Obligation. If Company is located in Australia, the definition of Personal Data Breach set forth in Section 1 shall include any “eligible data breaches” as defined under the Australian Notifiable Data Breach Scheme.

8.2.4 Transfers outside Australia. In addition to the requirements of Section 6.3, in the event that Nuance transfers Personal Data outside Australia, Nuance will enter or have entered into agreements with the transferees that include contractual protections substantially similar to the Australian Privacy Principles to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.

8.3 ADDITIONAL PROVISIONS FOR BRAZIL

8.3.1 Data Protection Law. With respect to the Personal Data of individuals in Brazil, the Data Protection Laws defined in Section 1 shall include the “LGPD” or the Brazilian General Data Protection Regulation, Law Nº 13.709/2018 which regulates the Processing of Personal Data in Brazil.

8.3.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the Brazilian General Data Protection Regulation, Law Nº 13.709/2018.

8.3.3 Transfers outside Brazil. In addition to the requirements of Section 6.3, in the event that Nuance transfers Personal Data to a country outside Brazil that is not deemed an Adequate Country, Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.

8.4 ADDITIONAL PROVISIONS FOR CANADA

8.4.1 Controller. With respect to the processing of Personal Data of individuals in Canada, the term Controller defined in Section 1 shall include an organization in respect of personal information that the organization collects, uses or discloses in the course of commercial activities; or a health information custodian, custodian, public body, enterprise, trustee, or similar designation under Applicable Data Protection Law.

8.4.2 Data Protection Laws. With respect to the Personal Data of individuals in Canada, the Data Protection Laws defined in Section 1 shall include the applicable federal and provincial privacy legislation.

8.4.3 Personal Data. Personal Data defined in Section 1 shall include personal information and personal health information as those terms are defined in applicable Data Protection Law.

8.4.4 Processor. With respect to the processing of Personal Data of individuals in Canada, the term Processor defined in Section 1 shall include an agent, a provider, service provider or similar designation under Applicable Data Protection Law.

8.4.5 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with Data Protection Laws. This DPA applies to all Personal Data processed by Nuance on behalf of Company, regardless of whether the Personal Data is received directly or indirectly from Company, including Company Personal Data provided to Nuance by a distributor or reseller in the provision of support services to Company.

8.4.6 Transfers outside Canada. Company acknowledges and consents that Nuance may, in the performance of this DPA, transfer Personal Data outside Canada, and in such event, in compliance with the accountability principle Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.

8.4.7 Governing Law. This Agreement will be governed by the laws of the Province where Company is located (“Applicable Province”), and the federal laws of Canada applicable therein, without regard to principles of conflict of laws. The Parties hereto agree to submit all disputes related to this Agreement exclusively to the courts in the Applicable Province, to which each Party consents to the jurisdiction of such courts and waives any objection it may have with respect to venue.

8.5 ADDITIONAL PROVISIONS FOR CHILE

8.5.1 Data Protection Law. With respect to the Personal Data of individuals in Chile, the Data Protection Laws defined in Section 1 shall include the Chilean Law 19,628 on the Protection of Private Life to existing language.

8.6 ADDITIONAL PROVISIONS FOR COLOMBIA

8.6.1 Data Protection Law. With respect to the Personal Data of individuals in Colombia, the Data Protection Laws defined in Section 1 shall include Colombian Law 1581 of 2012 and Decree 1074 of 2015.

8.6.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the Colombian Privacy Principles, as defined in article 4 Law 1581 of 2012.

8.6.3 Adequacy Decisions. “Adequate Country” means a country and international organization published by the Colombian Data Protection Authority (Superintendence of Industry and Commerce).

8.6.4 Transfers outside Colombia. Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Main Agreement, to any country or territory, even if it is not considered as an Adequate Country under Colombian law, except in cases where Company expressly and by writing requires not to transfer or transmit to a particular country. Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.

8.6.5 Notice of Personal Data Breach. Company and Nuance will work cooperatively to meet their mutual obligation to report to the Superintendence of Industry and Commerce any violation of the security measures and the existence of risks in the administration of the Personal Data, within 15 working days from the date in which the Personal Data Breach is detected.

8.7 ADDITIONAL PROVISIONS FOR JAPAN

8.7.1 Data Protection Laws. With respect to the Personal Data of individuals in Japan, the Data Protection Laws defined in Section 1 shall include the Japanese Act on Protection of Personal Information and relevant guidelines issued by the Personal Information Protection Commission of Japan.

8.7.2 Transfers outside Japan. Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Main Agreement, to any country or territory, even if it is not considered as an Adequate Country under Japanese law, except in cases where Company expressly and by writing requires not to transfer or transmit to a particular country, in which case Nuance may not be able to provide the Services, which for the avoidance of doubt shall not amount to a breach of the Main Agreement. Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.

8.8 ADDITIONAL PROVISIONS FOR MEXICO

8.8.1 Data Protection Law. With respect to the Personal Data of individuals in Mexico, the Data Protection Laws defined in Section 1 shall include Mexican Federal Law on the Protection of Personal Data held by Private Parties.

8.8.2 Transfers outside Mexico. In the event that Nuance transfers Personal Data outside Mexico, Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.

8.9 ADDITIONAL PROVISIONS FOR SOUTH AFRICA

8.9.1 Data Protection Laws. With respect to the Personal Data of individuals residing in the Republic of South Africa ("South Africa"), the Data Protection Laws defined in Section 1 shall include South Africa's Protection of Personal Information Act ("POPIA").

8.9.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with POPIA, as defined in the applicable Data Protection Laws.

8.9.3 Transfer outside South Africa. If, in connection with this DPA, any Personal Data is provided by Company to Nuance outside of South Africa, such transfer will be governed by the Standard Contractual Clauses set out in Section 6.3, with the following amendments: (i) the competent Supervisory Authority shall be South Africa's Information Regulator; (ii) the governing law shall be the laws of South Africa; (iii) the choice of forum shall be the courts of South Africa; and (iv) the obligations under Clauses 14 and 15 of the Standard Contractual Clauses shall not apply.

8.10 ADDITIONAL PROVISIONS FOR SOUTH KOREA

8.10.1 Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Main Agreement to any country or territory, except in cases where Company expressly and by writing requires not to transfer or transmit to a particular country, in which case Nuance may not be able to provide the Services, which for the avoidance of doubt shall not amount to a breach of the Main Agreement. Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.

8.11 ADDITIONAL PROVISIONS FOR UNITED KINGDOM

8.11.1 Data Protection Laws. With respect to the Personal Data of individuals in United Kingdom, the Data Protection Laws and GDPR defined in Section 1 shall include the Regulation (EU) 2016/679 as it forms part of the law of England and Wales, Scotland and Northern Ireland pursuant to and as amended by any legislation arising out of the 2018 Withdrawal Act of the United Kingdom from the European Union.

8.11.2 Transfer outside of the United Kingdom by Company. For Personal Data originating from the United Kingdom, the Parties agree that the UK International Data Transfer Addendum between Company and Nuance Affiliate outside the United Kingdom located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/uk-standard-contract-clause.html(Een nieuw venster openen) will apply.

8.11.3 Transfers outside United Kingdom by Nuance. Where the transfer is to a sub‑processor which is not located in an Adequate Country, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:

(a) The execution between Nuance and its sub‑processors outside the United Kingdom of the UK International Data Transfer Addendum, a copy of which can be made available upon request;

(b) The existence of any self‑regulation framework or binding corporate rules providing adequate protection to the transferred Personal Data.

9. MISCELLANEOUS PROVISIONS

9.1 Order of Precedence. To the extent that any provisions of this DPA conflict with any provisions in the Main Agreement, this DPA shall prevail as to the specific subject matter of such provisions. The provisions in this DPA are intended to be clarifications as to how the Parties will meet their obligations under the Standard Contractual Clauses applicable in each jurisdiction. In the event that any of these provisions is in contradiction with the Standard Contractual Clauses, then the Standard Contractual Clauses shall prevail to the extent of that contradiction.

9.2 Language. If Nuance provides this DPA in more than one language for the country of Company’s address, and there is a discrepancy between the English text and the translated text, the English text will govern.

9.3 Updates to DPA terms. When Company renews or purchases a new subscription to Service or enters into a work order for a professional Services, the then‑current DPA terms will apply and will not change during Company’s subscription for that Service or term for that professional Service work order. Notwithstanding the aforementioned, when Nuance introduces features, offerings, supplements or related software that are new (i.e., that were not previously included with the Services), Nuance may provide terms or make updates to this DPA that apply to Company´s use of those new features, offerings, supplements or related software. If those terms include any material adverse changes to the DPA terms, Nuance will provide Company a choice to use the new features, offerings, supplements, or related software, without loss of existing functionality of a generally available Service. If Company does not install or use the new features, offerings, supplements, or related software, the corresponding new terms will not apply.

9.4 Regulatory changes. Notwithstanding the terms under Section 9.3, Nuance may modify or terminate a Service in any country or jurisdiction where there is any current or future government requirement or obligation that (1) subjects Nuance to any regulation or requirement not generally applicable to businesses operating there, (2) presents a hardship for Nuance to continue operating the Services without modification, and/or (3) causes Nuance to believe the DPA terms or the Services may conflict with any such requirement or obligation.

9.5 Entire agreement. This DPA shall supersede any prior agreements, arrangements and understandings between the Parties and constitutes the entire agreement between the Parties relating to the subject matter hereof.

9.6 Validity and enforceability. Should any provision of this DPA be invalid or unenforceable, then the remainder of this DPA shall remain valid and in force. The invalid or unenforceable provisions shall be either (i) amended as necessary to ensure their validity and enforceability, while preserving the Parties’ intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.

9.7. Non‑production environments may employ lesser or different privacy and security measures than those typically present in a production environment. If Company submits or allows Data Subjects to submit to a non‑production environment Personal Data or other data that is subject to legal or regulatory compliance requirements, Company acknowledges that it does so on its own responsibility. The following terms in this DPA do not apply to non‑production environments: Processing Requirements, Security, Additional Provisions for Specific Types of Personal Data, and Additional Provisions for Individuals Located in Certain Countries.

9.8 Company is responsible for implementing and maintaining privacy protections and security measures for components that Company provides or controls (such as Company credentials for accessing Web based reporting and self‑service tools that Nuance makes available to Company in connection with the Services).