Willux.be

Addendum Gegevensbescherming

Overwegende dat:

De Klant heeft met de Dienstverlener een Raamovereenkomst voor het uitvoeren van de Diensten afgesloten. De Partijen gaan akkoord dat onderhavig Addendum Gegevensbescherming, welke integraal deel uitmaakt van de Raamovereenkomst tussen Partijen, de respectievelijke verplichtingen met betrekking tot de verwerking en beveiliging van Persoonsgegevens in verband met de Diensten inhoudt.

Onderhavig Addendum Gegevensbescherming is door middel van verwijzing onder het artikel “Bescherming van Persoonsgegevens” opgenomen in de Raamovereenkomst. Voor het gebruik van andere Diensten dan omschreven in de Raamovereenkomst gelden afzonderlijke voorwaarden, die ingeval deze afwijken van onderhavig Addendum Gegevensbescherming, opgenomen zullen worden in een ander document.

De Dienstverlener neemt als verwerker de verplichtingen in onderhavig Addendum Gegevensbescherming ten aanzien van de Klant op zich voor wat betreft de verwerking en beveiliging van Persoonsgegevens overeenkomstig hetgeen bepaald is geworden in de Raamovereenkomst.

In het kader van deze voorwaarden komen Partijen overeen dat de Klant de verwerkingsverantwoordelijke en de Dienstverlener de verwerker is met betrekking tot de Persoonsgegevens, uitgezonderd in de gevallen dat de Klant optreedt als verwerker van de Persoonsgegevens. In dat geval is de Dienstverlener een SubVerwerker. Onderhavige voorwaarden zijn van toepassing op de verwerking van Persoonsgegevens namens de Klant door de Dienstverlener binnen de reikwijdte van de AVG.

Wordt als volgt overeengekomen:

Artikel 1 – Definities

  1. Voor de interpretatie van onderhavige Addendum Gegevensbescherming zijn volgende definities van toepassing. Onderhavige definities worden toegepast samen met de definities zoals geformuleerd in de Raamovereenkomst, welke ook onverminderd van toepassing is op dit Addendum Gegevensbescherming. In geval van strijdigheid met de Raamovereenkomst prevaleren, voor de interpretatie van onderhavig Addendum Gegevensbescherming, onderhavige definities:
    1. Raamovereenkomst: Betekent de toepasselijke overeenkomst die Partijen hebben afgesloten, met inbegrip van de beschrijving van de Diensten (zoals bepaald in de offerte) die de Dienstverlener aan de Klant zal ter beschikking stellen en alle bijlagen die er integraal één geheel mee vormen.
    2. Diensten: Betekent de diensten zoals omschreven in artikel 1, 1° van de Raamovereenkomst.
    3. Wetgeving Gegevensbescherming: Betekent de AVG, alsook het Lidstatelijke recht of andere Europese regelgeving die van toepassing is op verwerking en beveiliging van Persoonsgegevens ingevolge de uitvoering van de Raamovereenkomst.
    4. Addendum Gegevensbescherming: Betekent onderhavig addendum, met inbegrip van de hieraan gevoegde annexen.
    5. AVG: Betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
    6. Persoonsgegevens: Betekent informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare natuurlijke persoon is een persoon waarvan de identiteit direct of indirect kan worden bepaald, met name aan de hand van een identiteitsaanduiding zoals een naam, een identificatienummer, locatiegegevens, online identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van de betreffende natuurlijke persoon.
    7. Gegevens van de Diensten: Betekent alle gegevens, met inbegrip van tekst-, geluids-, video-, afbeelding- of andere bestanden en Persoonsgegevens die aan de Dienstverlener worden verstrekt door of namens een Klant (of waarvoor de Klant een machtiging verleent aan de Dienstverlener om deze op te halen of te consulteren in de uitvoering van de Diensten) of overigens zijn verkregen of verwerkt door of namens de Dienstverlener in het kader van de Raamovereenkomst met de Klant voor het uitvoeren van de Diensten.
    8. SubVerwerker: Betekent een andere verwerker die wordt gebruikt door de Dienstverlener voor het verwerken van Gegevens van de Diensten, met inbegrip van onderaannemers die Gegevens van de Diensten verwerken
    9. Modelcontractbepalingen: Betekent de standaardbepalingen voor gegevensbescherming (module verwerker-naar-verwerker) tussen de Dienstverlener en de SubVerwerker voor de overdracht van Persoonsgegevens van verwerkers in de EER naar verwerkers die zijn gevestigd in derde landen die geen adequaat niveau van gegevensbescherming bieden, zoals beschreven in artikel 46 van de AVG.
    10. Incident: Een ongeplande onderbreking of vermindering van kwaliteit van de Diensten.
    11. Beveiligingsincident: Elke gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens of van de daarmee verband houdende Diensten die worden aangeboden of toegankelijk zijn via het netwerk- en informatiesysteem van de Klant aantast.
    12. Inbreuk: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen, of anderszins verwerkte gegevens en Persoonsgegevens.
  2. De termen die met een kleine letter worden geschreven, maar niet worden gedefinieerd in onderhavig Addendum Gegevensbescherming, hebben de betekenis die er wordt aan gegeven in de AVG.

Artikel 2 -rangorde van bepalingen

  1. Onderhavig Addendum Gegevensbescherming maakt integraal deel uit van de Raamovereenkomst.
  2. Ingeval van strijdigheid tussen bepalingen prevaleren de bepalingen zoals omschreven in onderhavig Addendum Gegevensbescherming op de bepalingen van de Raamovereenkomst, dit behoudens andersluidend schriftelijke overeenkomst tussen Partijen.

Artikel 3 – Duurtijd

  1. Onderhavig Addendum Gegevensverwerking is van toepassing voor de periode dat Raamovereenkomst van kracht is.
  2. Indien de Raamovereenkomst wordt beëindigd, eindigt ook onderhavig Addendum Gegevensbescherming met uitzondering van de geheimhouding, deze blijft van kracht na het overdragen of beëindigen van deze Addendum Gegevensbescherming.
  3. Indien bij de uitvoering van onderhavig Addendum Gegevensbescherming een partij tekortschiet in de naleving van de voorwaarden, kan de meest gerede partij het Addendum Gegevensbescherming geheel of gedeeltelijk ontbinden, dit binnen de dertig (30) dagen na schriftelijke (inclusief e-mail) ingebrekestelling, indien de belangrijke tekortkoming niet opgeheven of geremedieerd is.

Artikel 4 - Wijzigingen aan het Addendum Gegevensbescherming

  1. Niettegenstaande de bepalingen van artikel 3 van het Addendum Gegevensbescherming kan de Dienstverlener, wanneer functies of aanvullingen aangeboden en door de Klant afgenomen worden die nieuw zijn (i.c. Diensten die eerder niet in de Raamovereenkomst waren inbegrepen), nieuwe voorwaarden voorschrijven of het Addendum Gegevensbescherming aanpassen wat betreft het gebruik van deze functies of aanvullingen of Diensten door de Klant.
  2. Indien deze aangepaste voorwaarden van het Addendum Gegevensbescherming materiële nadelige wijzigingen bevatten die van toepassing zijn op het gebruik van de Diensten door de Klant, zal Dienstverlener de Klant de keuze bieden om de nieuwe aanbiedingen, functies of aanvullingen of Diensten al dan niet te gebruiken en desgevallend, indien technisch mogelijk, uit te schakelen.
  3. Niettegenstaande het voorgaande kan de Dienstverlener het Addendum Gegevensbescherming alsmede de Diensten wijzigen of beëindigen, in elk land of rechtsgebied, waarin een huidige of toekomstige vereiste of verplichting van de overheid de Dienstverlener onderwerpt aan een regelgeving die de uitvoering van de Diensten, functionaliteiten van de Diensten alsmede de verwerking van Persoonsgegevens en Gegevens van Diensten verzwaart of dreigt te verzwaren. De Dienstverlener verwijst in dit kader naar de toepassing van het artikel Overmacht in de Raamovereenkomst.

Artikel 5 – Instructies en verwerkingsdetails

  1. De Klant en de Dienstverlener komen overeen dat de Klant de verwerkingsverantwoordelijke en de Dienstverlener de verwerker is met betrekking tot de Persoonsgegevens, uitgezonderd in gevallen dat de Klant optreedt als verwerker van de Persoonsgegevens. In dat geval is de Dienstverlener een SubVerwerker.

    Wanneer de Dienstverlener optreedt als de verwerker of SubVerwerker verwerkt de Dienstverlener de Persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant.

  2. De Klant gaat ermee akkoord dat de Raamovereenkomst van de Klant (met inbegrip van dit Addendum Gegevensbescherming en eventuele toepasselijke updates) samen met de Diensten en het gebruik en de configuratie van de voorzieningen van de Diensten door de Klant, de volledige en definitieve gedocumenteerde instructies van de Klant aan de Dienstverlener zijn voor de verwerking van Persoonsgegevens. Eventuele aanvullende of alternatieve instructies van de Klant dienen door de Dienstverlener schriftelijk te worden goedgekeurd en als annex aan onderhavig Addendum te worden toegevoegd.

  3. De Klant waarborgt aan de Dienstverlener dat de instructies van de Klant, met inbegrip van de benoeming van de Dienstverlener als verwerker in overeenstemming is met de Wetgeving Gegevensbescherming en garandeert dat alle Persoonsgegevens die aan de Dienstverlener worden toevertrouwd rechtmatig zijn verkregen en rechtmatig kunnen worden verwerkt tijdens de hele duur van de Raamovereenkomst.

    De Klant waarborgt aan de Dienstverlener dat de instructies van de Klant, met inbegrip van de benoeming van de Dienstverlener als SubVerwerker, zijn geautoriseerd door de relevante verwerkingsverantwoordelijke en in overeenstemming zijn met de Wetgeving Gegevens-bescherming Gegevensbescherming en garandeert dat alle Persoonsgegevens die aan de Dienstverlener worden toevertrouwd rechtmatig zijn verkregen en rechtmatig kunnen worden verwerkt tijdens de volledige duur van de Raamovereenkomst.

  4. De Partijen erkennen en gaan akkoord met het volgende:
    • Het onderwerp van de verwerking is beperkt tot Persoonsgegevens binnen de uitvoering van de Diensten zoals omschreven in de Raamovereenkomst;
    • De duur van de verwerking is overeenkomstig de instructies van de Klant en de voorwaarden van onder Addendum Gegevensbescherming;
    • De aard en het doel van de verwerking is de levering van de Diensten in het kader van de uitvoering van de Raamovereenkomst;
    • Tot de categorieën Persoonsgegevens die door de Dienstverlener worden verwerkt in het kader van de levering van de Diensten behoren: (i) Persoonsgegevens die de Klant verkiest op te nemen in de Gegevens van de Diensten (De categorieën Persoonsgegevens die de Klant verkiest op te nemen in Gegevens van de Diensten kunnen elk van de categorieën van Persoonsgegevens zijn die zijn aangeduid in een register dat wordt onderhouden door de Klant die optreedt als verwerkingsverantwoordelijke in de zin van artikel 30 van de AVG, met inbegrip van de categorieën Persoonsgegevens die worden beschreven onder “Betrokkenen en categorieën van persoonsgegevens” in Annex A); en (ii) Persoonsgegevens die door het gebruik van de Diensten worden verwerkt.
    • De betrokkenen worden beschreven in Annex A.
  5. De Dienstverlener gebruikt en verwerkt Gegevens van de Diensten uitsluitend voor het verlenen van de Diensten aan de Klant overeenkomstig hetgeen is bepaald in de Raamovereenkomt en onderhavig Addendum Gegevensbescherming.
  6. Tussen Partijen behoudt de Klant alle rechten, eigendom en belangen met betrekking tot de Gegevens van de Diensten. De Dienstverlener verkrijgt geen rechten met betrekking tot de Gegevens van de Diensten, behoudens de rechten die de Klant in onderhavig Addendum Gegevensbescherming aan de Dienstverlener verleent. Dit artikel heeft geen invloed op de rechten van de Klant met betrekking tot Diensten waarvoor de Dienstverlener de Klant een licentie verleent.
  7. Binnen de context van onderhavig Addendum Gegevensbescherming bestaat het leveren van de Diensten uit:
    • Levering van de Diensten zoals omschreven in de Raamovereenkomst, met inbegrip van o.a. technische ondersteuning, professionele diensten voor planning, advies, begeleiding, gegevensmigratie en implementatie;
    • Probleemoplossing (problemen voorkomen, detecteren, onderzoeken, verlichten en verhelpen, met inbegrip van Beveiligingsincidenten en problemen die zijn vastgesteld tijdens de levering van de Diensten);

Artikel 6 – Bekendmaking

  1. De Dienstverlener maakt geen verwerkte Persoonsgegevens in de uitvoering van de Diensten of Gegevens van de Diensten bekend en maakt deze niet toegankelijk, uitgezonderd: (1) op aanwijzing van de Klant; (2) zoals beschreven in dit Addendum Gegevensbescherming; of (3) indien wettelijk verplicht.

    De verwerking van Gegevens van de Diensten is onderworpen aan de vertrouwelijkheidsplicht van Dienstverlener op grond van onderhavig Addendum Gegevensbescherming.

  2. De Dienstverlener maakt geen Gegevens van de Diensten bekend en verleent geen toegang daartoe aan de autoriteiten, tenzij wettelijk verplicht. Indien de autoriteiten contact opnemen met de Dienstverlener om Gegevens van de Diensten op te vragen, probeert de Dienstverlener de autoriteiten door te verwijzen om die gegevens rechtstreeks bij de Klant op te vragen.

    Indien de Dienstverlener is gehouden om Gegevens van Diensten bekend te maken of toegang daartoe te verlenen aan de autoriteiten, zal de Dienstverlener de Klant hiervan onmiddellijk op de hoogte stellen en een kopie van de vordering verstrekken, tenzij dit wettelijk niet is toegestaan.

  3. Bij ontvangst van ieder ander verzoek van derden om Gegevens van de Diensten, zal de Dienstverlener de Klant onmiddellijk op de hoogte stellen, tenzij dit wettelijk niet is toegestaan. De Dienstverlener zal het verzoek afwijzen, tenzij de Dienstverlener wettelijk verplicht is aan het verzoek te voldoen. Indien het verzoek gegrond is, zal de Dienstverlener proberen de derde partij door te verwijzen zodat deze de gegevens rechtstreeks bij de Klant op kan vragen.
  4. De Dienstverlener verstrekt het volgende niet aan derden: (a) directe, indirecte, algehele of onbeperkte toegang tot de Gegevens van de Diensten; (b) de sleutels die zijn gebruikt voor het beveiligen van de Gegevens van de Diensten of middelen om deze versleuteling te breken.
  5. Ter ondersteuning van het bovenstaande, kan de Dienstverlener de basiscontactgegevens van de Klant aan de derde partij of autoriteit verstrekken.

Artikel 7 – Geheimhoudingsplicht

  1. De Dienstverlener zal erop toezien dat het personeel dat wordt ingezet voor de verwerking van Gegevens van de Diensten (i) deze uitsluitend zal verwerken op aanwijzing van de Klant of zoals beschreven in onderhavig Addendum Gegevensbescherming en (ii) verplicht zal zijn de vertrouwelijkheid en veiligheid van de gegevens te bewaken, ook nadat de werkovereenkomst met hen is geëindigd.
  2. De Dienstverlener zal een periodiek trainings- en bewustzijnsprogramma inzake privacy en -beveiliging van Persoonsgegevens bieden aan het personeel dat toegang heeft tot Gegevens van de Diensten overeenkomstig de wetten die op de Dienstverlener in haar hoedanigheid van professionele verlener van Diensten van toepassing zijn en de binnen de sector geldende normen.
  3. De Dienstverlener zal zijn personeel door middel van een geheimhoudingsverklaring als bijlage bij de arbeidsovereenkomst en/of arbeidsreglement of via interne policies tot geheimhouding en vertrouwelijkheid van de Gegevens van de Diensten verbinden.

Artikel 8 – Samenwerkingsplicht

  1. De Dienstverlener zal, rekening houdend met de aard van de verwerking, de Klant door middel van passende technische en organisatorische maatregelen, voor zoveel als redelijk mogelijk, de nodige informatie ter beschikking stellen en bijstand verlenen bij het vervullen van de opgelegde verplichtingen in de AVG zoals bepaald in artikelen 28.3.e t.e.m. h AVG.
  2. Voor zover de in vorige alinea bedoelde dienstverlening passend en mogelijk is, zullen Partijen de modaliteiten hiervan overeenkomen, alsook de redelijke vergoeding vanwege de Klant waarop de Dienstverlener voor deze dienstverlening gerechtigd is.
  3. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van de betrokkene, treft de Klant ook zelf passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. Deze maatregelen worden door de Klant op regelmatige tijdstippen geëvalueerd en indien nodig geactualiseerd.
  4. De Klant zal op een transparante manier communiceren met de Dienstverlener en dient onmiddellijk iedere Inbreuk, Beveiligingsincident en Incident die gevolgen kan meebrengen voor de Diensten van de Dienstverlener, evenals elk officieel verzoek / elke officiële inspectie van een gerechtelijke of administratieve overheid onverwijld aan de Dienstverlener mee te delen.
  5. De Klant heeft het recht om de naleving van onderhavige Addendum Gegevensbescherming te controleren. De Dienstverlener zal de Klant alle informatie ter beschikking stellen die nodig is om de nakoming van de in artikel 28 AVG genoemde verplichtingen aan te tonen en audits, waaronder inspecties, door de Klant of een door de Klant gemachtigde controle mogelijk te maken en eraan bij te dragen.

Artikel 9 – Rechten van betrokkenen

  1. De Dienstverlener is gehouden, rekening houdend met de aard van de Diensten, voor zover mogelijk, bijstand te verlenen aan de Klant bij het vervullen van diens plicht om te voldoen aan de verzoeken van de betrokkenen om hun rechten op grond van de AVG uit te oefenen.
  2. Indien de Dienstverlener een verzoek ontvangt van een betrokkene van de Klant om gebruik te maken van een of meer rechten op grond van de AVG in verband met de Diensten waarvoor de Dienstverlener fungeert als verwerker of SubVerwerker, zal de Dienstverlener de betrokkene doorverwijzen om het verzoek rechtstreeks aan de Klant te richten. De Klant is ervoor verantwoordelijk te reageren op een dergelijk verzoek.

Artikel 10 – Gegevensbeveiliging

  1. De Dienstverlener implementeert en onderhoudt gepaste technische en organisatorische maatregelen om de Gegevens van de Diensten te beschermen tegen onvoorziene of onrechtmatige vernietiging, verlies en wijziging, of ongeautoriseerde bekendmaking van of toegang tot Persoonsgegevens die worden verzonden of anderszins worden verwerkt.
  2. Een beschrijving van de beveiligingsmaatregelen die worden gehanteerd voor de Diensten en andere informatie betreffende de beveiligingsmaatregelen en -beleidsregels van de Dienstverlener worden omschreven in Annex B.
  3. De Klant is geheel zelf verantwoordelijk voor de onafhankelijke vaststelling of de technische en organisatorische maatregelen voor de Diensten voldoen aan de vereisten van de Klant, met inbegrip van de veiligheidsverplichtingen op grond van de Wetgeving Gegevensbescherming.
  4. De Klant erkent en gaat ermee akkoord dat de veiligheidsmaatregelen en het veiligheidsbeleid die worden geïmplementeerd en onderhouden door de Dienstverlener een mate van veiligheid bieden die in overeenstemming is met het risico dat aan de verwerkte Persoonsgegevens is verbonden, rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en doeleinden van de verwerking van de Persoonsgegevens, alsmede de risico’s voor individuele personen.
  5. De Klant is verantwoordelijk voor het implementeren en handhaven van maatregelen ter bescherming van de privacy en de beveiliging van Persoonsgegevens op de eigen infrastructuur en voor diensten die de Klant zelf aan derden levert of voor derden beheert.

Artikel 11 – SubVerwerker

  1. De Dienstverlener kan SubVerwerkers inhuren om diensten te leveren namens de Dienstverlener. De Klant stemt in met voormelde aanstelling van SubVerwerkers alsook het aanstellen van met de Dienstverlener gelieerde ondernemingen overeenkomstig artikel 1:20 van het Wetboek van Vennootschappen en Verenigingen als SubVerwerkers.

    De bovenstaande autorisaties vormen de voorafgaande schriftelijke toestemming van de Klant voor de uitbesteding van de verwerking van Gegevens van de Diensten door de Dienstverlener indien deze toestemming is vereist op grond van de Modelcontractbepalingen of de Wetgeving Gegevensbescherming.

  2. Wanneer een SubVerwerker wordt ingeschakeld, ziet de Dienstverlener er door middel van een schriftelijk contract op toe dat de SubVerwerkers enkel de Gegevens van de Diensten uitsluitend mag raadplegen en gebruiken voor het leveren van de diensten waarvoor de Dienstverlener de SubVerwerker heeft ingehuurd en de Gegevens van de Diensten voor geen enkel ander doel of doeleinde mag gebruiken.

    De Dienstverlener zal erop toezien dat SubVerwerkers gebonden zijn door schriftelijke overeenkomsten die hen verplichten ten minste dezelfde mate van bescherming van Persoonsgegevens te bieden als de Dienstverlener, met inbegrip van de beperkingen betreffende bekendmaking van verwerkte Persoonsgegevens.

    De contractuele aansprakelijkheid van de Dienstverlener blijft onverminderd van toepassing wanneer een SubVerwerkers de verplichtingen ten aanzien van de beveiliging van Persoonsgegevens en Gegevens van de Diensten niet nakomt.

  3. Een actuele lijst van de actieve onderaannemingscontracten met SubVerwerkers wordt door de Dienstverlener bijgehouden en kan binnen een termijn van 30 dagen, op schriftelijk verzoek (incl. via e-mail) worden voorgelegd ter inzage aan de Klant. De Dienstverlener brengt de Klant op structurele basis op de hoogte wanneer deze lijst wijzigt.
  4. De Dienstverlener dient de Klant op voorhand in te lichten over het in dienst nemen van SubVerwerkers na afsluiten van de Raamovereenkomst. De Klant heeft het recht omwille van gemotiveerde redenen bezwaar aan te tekenen tegen voormelde indienstneming.

Artikel 12 – Gegevensdoorgifte

  1. Gegevens van de Diensten die Dienstverlener namens de Klant verwerkt, kunnen worden overgedragen naar en opgeslagen en verwerkt in andere landen dan waar de Dienstverlener of haar SubVerwerkers werkzaam zijn.

    De Klant wijst de Dienstverlener aan om deze doorgifte van de Gegevens van de Diensten naar een van deze andere landen en de opslag en verwerking van Gegevens van de Diensten, uit te voeren ten behoeve van de levering van de Diensten.

  2. Elke overdracht van Gegevens van de Diensten, met inbegrip van Persoonsgegevens, buiten de Europese Unie, de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland ten behoeve van de levering van de Diensten is onderworpen aan de Modelcontractbepalingen die door de Dienstverlener zijn geïmplementeerd.

  3. Indien de Dienstverlener in het kader van het leveren van de Diensten gehouden is om Persoonsgegevens te verzamelen, te gebruiken, over te dragen, te bewaren en/of op overige wijze te verwerken uit de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland, dan dient de Dienstverlener zich te houden aan de vereisten van de wetgeving inzake bescherming van Persoonsgegevens van het desbetreffende land in de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland.

    Alle overdrachten van Persoonsgegevens naar een derde land of een internationale organisatie zijn onderworpen aan passende veiligheidsmechanismen, zoals beschreven in artikel 46 van de AVG, en dergelijke overdrachten en veiligheidsmechanismen worden gedocumenteerd overeenkomstig artikel 30, lid 2 van de AVG.

Artikel 13 – Inbreuk in verband met Persoonsgegevens

  1. Indien de Dienstverlener kennis heeft van een Inbreuk, een schending van de beveiliging die leidt tot onopzettelijke of onwettige vernietiging, verlies of wijziging van, of ongeautoriseerde bekendmaking van of toegang tot Gegevens van de Diensten die op dat moment door de Dienstverlener worden verwerkt, zal de Dienstverlener onmiddellijk na kennisname van de Inbreuk en zonder onnodige vertraging (1) de Klant op de hoogte stellen van de Inbreuk; (2) de Inbreuk onderzoeken en de Klant voorzien van gedetailleerde informatie over de Inbreuk; en (3) redelijke stappen nemen om de gevolgen te beperken en de schade die voortkomt uit de Inbreuk te beperken.
  2. Kennisgeving(en) van een Inbreuk worden verzonden naar de contactpersoon van de Klant, dit via e-mail. Het is de volledige verantwoordelijkheid van de Klant erop toe te zien dat de Klant de meest accurate contactgegevens aan de Dienstverlener meedeelt en gevolg geeft aan de door de Dienstverlener meegedeelde kennisgeving(en).
  3. De Klant is geheel zelf verantwoordelijk voor de naleving van zijn verplichtingen op grond van de Wetgeving Gegevensbescherming en/of andere wetgeving betreffende de kennisgeving van Beveiligingsincidenten die van toepassing zijn op de Klant en de nakoming van zijn verplichtingen met betrekking tot de kennisgeving van Inbreuken aan derden.
  4. De Dienstverlener zal redelijke inspanningen verrichten om de Klant te helpen bij de nakoming van de verplichtingen van de Klant op grond van artikel 33 van de AVG of andere toepasselijke wetten of voorschriften om de relevante toezichthoudende autoriteit en de betrokkenen op de hoogte te stellen van een dergelijke Inbreuk.
  5. De kennisgeving van of reactie op een Inbreuk door de Dienstverlener is geen erkenning van de Dienstverlener van enig gebrek of aansprakelijkheid met betrekking tot de Inbreuk of Beveiligingsincident.
  6. De Klant dient de Dienstverlener onmiddellijk op de hoogte te stellen van mogelijk misbruik van de accounts of verificatiegegevens van de Klant of Incidenten in verband met de Diensten.

Artikel 14 – Verwijdering van Persoonsgegevens

  1. De Dienstverlener zal alle exemplaren van de Gegevens van de Diensten verwijderen nadat de zakelijke doeleinden van de Diensten zijn vervuld, of eerder op schriftelijk verzoek van de Klant.
  2. Indien de opslag van voormelde Persoonsgegevens Unierechtelijk of lidstaatrechtelijk verplicht is, kan de Dienstverlener niet overgaan tot verwijdering van de Persoonsgegevens of gevolg geven aan het schriftelijk verzoek van de Klant.

Artikel 15 – Algemene bepalingen

  1. Onderhavig Addendum Gegevensbescherming omvat de gehele overeenkomst tussen Partijen en is van toepassing op de Raamovereenkomst en iedere uitvoering van de Diensten door de Dienstverlener. Tenzij anders, schriftelijk, overeengekomen zijn de voorwaarden van de Klant niet van toepassing.
  2. Indien één of meerdere bepalingen van de Addendum Gegevensbescherming nietig of onuitvoerbaar worden verklaard, zullen Partijen deze bepalingen vervangen door een geldige en uitvoerbare bepaling die, in de mate van het mogelijke, het economische, zakelijke of ander doel van de genoemde nietige of onuitvoerbare bepaling zal bereiken en blijven de overige bepalingen van de Addendum Gegevensbescherming van kracht.
  3. De Dienstverlener kan de Klant via elektronische weg informatie en mededelingen geven over de Diensten, zowel via e-mail als via het klantenportaal of via een de website van de Dienstverlener. Kennisgeving geldt vanaf de datum waarop deze informatie beschikbaar is gemaakt door de Dienstverlener.

Annex A – Betrokkenen en categorieën van persoonsgegevens

Artikel A1 – Betrokkenen

  1. Tot de betrokkenen behoren de vertegenwoordigers en eindgebruikers van de Klant met inbegrip van werknemers, opdrachtnemers en klanten van de Klant.
  2. Tot de betrokkenen behoren mogelijk tevens individuele personen die trachten te communiceren met of persoonlijke informatie over te dragen aan gebruikers van de Diensten die worden geleverd door de Dienstverlener.
  3. Niet limitatief kunnen de gegevens van volgende betrokkene verwerkt worden:
    • Medewerkers, opdrachtnemers, tijdelijke krachten (huidige, voormalige, toekomstige) van de Klant en ondergeschikten van voormelde;
    • Partners/contactpersonen van de Klant (natuurlijke personen) of medewerkers, opdrachtnemers of tijdelijke krachten van partners/contactpersonen (rechtspersoon) (huidige, voormalige, toekomstige);
    • Gebruikers (bijvoorbeeld klanten, cliënten, bezoekers, enzovoort) en andere betrokkenen die gebruikers zijn van de Diensten;
    • Belanghebbenden of personen die actief samenwerken, communiceren of op andere wijzen contact hebben met medewerkers van de Klant en/of gebruikmaken van communicatiehulpmiddelen;
    • Belanghebbenden of personen die passief contact hebben met de Klant (bijvoorbeeld omdat ze als onderwerp fungeren of worden vermeld in documenten of van correspondentie met de Klant);
    • Personen, zowel natuurlijke als rechtspersonen, die onderworpen zijn aan een beroepsgeheim.

Artikel A2 – Categorieën van persoonsgegevens

  1. Tot de categorieën van Persoonsgegevens behoren de Persoonsgegevens die zijn opgenomen in elektronische vorm in de context van de Diensten.
  2. De Dienstverlener erkent dat, afhankelijk van het gebruik van de Diensten door de Klant, volgende categorieën van Persoonsgegevens kunnen worden verwerkt:
Categorieën van persoonsgegevens Omschrijving van de persoonsgegevens
Persoonlijke identificatiegegevens Naam, titel, adres
Verificatiegegevens Omschrijving van de Persoonsgegevens
Contactgegevens Adressen, e-mailadres, telefoonnummer, …
Financiële identificatiegegevens Identificatie- en bankrekeningnummers, nummers van krediet- of debetkaarten
Elektronische identificatiegegevens Apparaat ID, simkaartnummer, MAC adres, IP-adressen, cookies, verbindingsmomenten
Telecommunicatiegegevens Locatiegegevens op het moment van het begin/einde van een gesprek, chatberichten (intern als extern) met inbegrip van mogelijke foto’s, video en/of audio, voicemails communicatiegeschiedenis
Personeelsgegevens Functie, positie, beschikbaarheid
Andere persoonsgegevens vanwege de gebruikers van de Diensten Persoonsgegevens zoals omschreven in artikel 4 van de AVG en ingedeeld in de aanbeveling 06/2017 dd. 14 juni 2017 van de Gegevensbeschermingsautoriteit

Annex B – Maatregelen voor beveiliging

Artikel B1 – Maatregelen

  1. De Dienstverlener heeft voor Gegevens van de Diensten de volgende veiligheidsmaatregelen geïmplementeerd en zal deze onderhouden.
  2. De in deze Bijlage opsomde maatregelen (met inbegrip van de AVG-voorwaarden) zijn de enige verantwoordelijkheid van de Dienstverlener met betrekking tot de veiligheid van deze gegevens. De Klant is gehouden zelf de nodige technische en organisatorische maatregelen binnen zijn organisatie te nemen ten einde de verwerking van Persoonsgegevens afdoende te beveiligen.
  3. De Dienstverlener heeft volgende maatregelen geïmplementeerd:

Categorieën van persoonsgegevens

Omschrijving van de persoonsgegevens

Algemene organisatie

Aanduiden verantwoordelijken. De Dienstverlener heeft een of meer personen aangewezen die verantwoordelijk zijn voor het coördineren en controleren van de beveiligingsregels en -procedures.

Beveiligingsrollen en -verantwoordelijkheden. Medewerkers van de Dienstverlener met toegang tot Gegevens van de Diensten zijn onderworpen aan verplichtingen met betrekking tot vertrouwelijkheid.

Risicobeheer. De Dienstverlener heeft een risicoanalyse uitgevoerd voorafgaand aan het verwerken van Gegevens van de Diensten. De Dienstverlener bewaart de beveiligingsdocumenten nadat de geldigheid ervan is verstreken conform haar bewaartermijnvereisten.

Training

De Dienstverlener stelt haar medewerkers op de hoogte van relevante beveiligingsprocedures en hun rol daarbij. De Dienstverlener stelt haar medewerkers ook op de hoogte van de mogelijke gevolgen van het schenden van de beveiligingsregels en -procedures. De Dienstverlener gebruikt alleen anonieme gegevens bij de training.

Beveiliging

Fysieke toegang tot faciliteiten.

De Dienstverlener beperkt de toegang tot faciliteiten waar informatiesystemen zijn geplaatst waarmee Gegevens van de Diensten worden verwerkt, tot geïdentificeerde, geautoriseerde personen.

Fysieke toegang tot hardware/software.

De Dienstverlener beperkt de toegang tot faciliteiten waar informatiesystemen zijn geplaatst waarmee Gegevens van de Diensten worden verwerkt, tot geïdentificeerde, geautoriseerde personen.

Bescherming tegen verstoringen.

De Dienstverlener gebruikt verschillende systemen die voldoen aan industrienormen om te beschermen tegen gegevensverlies vanwege stroom- of lijnstoringen.

Verwijdering van onderdelen.

De Dienstverlener maakt gebruik van procedures die aan industrienormen voldoen om Gegevens van de Diensten te verwijderen wanneer deze niet langer nodig zijn.

Beheer van de Diensten

Operationeel beleid. De Dienstverlener houdt beveiligingsdocumenten bij met beschrijvingen van de beveiligingsmaatregelen en de relevante procedures en verantwoordelijkheden van haar medewerkers die toegang hebben tot Gegevens van de Diensten.

Procedures voor gegevensherstel

  • De Dienstverlener beheert voortdurend meerdere exemplaren van de Gegevens van Professionele Diensten waarmee de Gegevens van de Diensten kunnen worden hersteld (indien technisch mogelijk).
  • De Dienstverlener slaat exemplaren van de Gegevens van de Diensten en herstelprocedures op een andere locatie op dan de locatie van de primaire computerapparatuur waarmee de Gegevens van de Diensten worden verwerkt.
  • De Dienstverlener heeft specifieke procedures geïmplementeerd waarmee de toegang tot Gegevens van de Diensten wordt beheerd.
  • De Dienstverlener controleert procedures voor gegevensherstel op proactieve wijze.
  • De Dienstverlener houdt een logboek bij van de pogingen tot gegevensherstel, waaronder de verantwoordelijke persoon, de beschrijving van de herstelde gegevens en indien van toepassing, de persoon die daarvoor verantwoordelijk is, en welke gegevens eventueel handmatig moesten worden ingevoerd tijdens het gegevensherstel.

Schadelijke software.

De Dienstverlener beschikt over programma’s die voorkomen dat met behulp van schadelijke software ongeoorloofde toegang wordt verschaft van uit de infrastructuur van de Dienstverlener tot Gegevens van de Diensten.

Gegevens buiten grenzen.

De Dienstverlener versleutelt de Gegevens van de Diensten die worden overgedragen via openbare netwerken of stelt de Klant in staat dat te doen.

Registratie van gebeurtenissen

De Dienstverlener registreert toegang tot en gebruik van informatiesystemen die Gegevens van de Diensten bevatten of stelt de Klant in staat dit te doen. Hierbij wordt de toegangs-id, tijd, verleende of geweigerde autorisatie en relevante activiteit vastgelegd.

Toegangbeheer

Toegangsbeleid.

De Dienstverlener houdt een bestand bij met beveiligingsmachtigingen van personen die toegang hebben tot Gegevens van de Diensten.

Machtiging tot toegang

  • De Dienstverlener houdt een bestand bij met medewerkers die zijn gemachtigd tot toegang tot systemen die Gegevens van Professionele Diensten bevatten.
  • De Dienstverlener schakelt authenticatiereferenties die gedurende een periode van maximaal zes maanden niet zijn gebruikt, uit.
  • De Dienstverlener identificeert de medewerkers die geoorloofde toegang tot de Gegevens van de Diensten verlenen, wijzigen of intrekken.

Minimale rechten

Technisch ondersteunend personeel heeft alleen toegang tot Gegevens van de Diensten indien nodig.

De Dienstverlener beperkt toegang tot Gegevens van de Diensten tot die personen voor wie toegang tot Gegevens van de Klant nodig is om hun werk te kunnen uitvoeren.

Integriteit en vertrouwelijkheid

De Dienstverlener draagt medewerkers op beheersessies af te sluiten bij het verlaten van locaties die in het beheer van de Dienstverlener zijn, of wanneer computers anderszins onbeheerd zijn.

De Dienstverlener slaat wachtwoorden zodanig op dat ze onbegrijpelijk zijn wanneer ze in gebruik zijn.

Authenticatie

  • De Dienstverlener gebruikt praktijken die voldoen aan branchenormen om gebruikers die proberen zich toegang te verschaffen tot gegevenssystemen, te identificeren en te verifiëren.
  • Waar authenticatiemechanismen gebaseerd zijn op wachtwoorden, vereist De Dienstverlener dat de wachtwoorden regelmatig worden vernieuwd.
  • Waar authenticatiemechanismen gebaseerd zijn op wachtwoorden, vereist de Dienstverlener dat de wachtwoorden afdoende complex en lang zijn.
  • De Dienstverlener zorgt ervoor dat uitgeschakelde of verlopen id’s niet aan andere personen worden verleend.
  • De Dienstverlener houdt toezicht op herhaalde pogingen tot het openen van de gegevenssystemen met een ongeldig wachtwoord of stelt de Klant in staat hierop toezicht te houden.
  • De Dienstverlener maakt gebruik van procedures die voldoen aan industrienormen om wachtwoorden die zijn beschadigd of per ongeluk onthuld zijn uit te schakelen.
  • De Dienstverlener gebruikt voor het beschermen van wachtwoorden procedures die voldoen aan industrienormen, waaronder procedures voor het behouden van de vertrouwelijkheid en integriteit van wachtwoorden, bij het toewijzen, verspreiden en opslaan van wachtwoorden.

Netwerkveiligheid.

De Dienstverlener zet middelen in om te voorkomen dat personen die zich toegangsrechten toe-eigenen die niet aan hen zijn toegewezen, toegang verkrijgen tot Gegevens van de Diensten waartoe zij niet zijn gemachtigd.

Beheer van incidenten op beveiliging

Antwoordprocedure incidenten

  • De Dienstverlener houdt een bestand bij met schendingen van de beveiliging, met een beschrijving van de schending, de periode en de gevolgen van de schending, de naam van degene die de schending meldt, de naam van degene aan wie de schending wordt gemeld, en de procedure voor het herstellen van gegevens.
  • De Dienstverlener beschikt over nood- en calamiteitenplannen voor de faciliteiten waar de informatiesystemen van de Dienstverlener zijn geplaatst waarmee Gegevens van de Diensten worden verwerkt.

Service Monitoring.

Beveiligingsmedewerkers van de Dienstverlener controleren logboeken om indien noodzakelijk herstelprocedures voor te stellen.

Beheer continuïteit

De opslag en de procedures voor gegevensherstel van de Dienstverlener zijn ontworpen om op maximale wijze de Gegevens van de Diensten te kunnen herstellen in de originele of laatst gerepliceerde staat voordat de gegevens verloren raakten of vernietigd werden.

Annex C – Verwerkingscharter

Artikel C1 – Eenzijdige verbintenis

  1. De Dienstverlener verbindt zich aan deze AVG-voorwaarden voor alle klanten met ingang van 25 mei 2018. Deze verplichtingen zijn bindend voor de Dienstverlener ten aanzien van de Klant, indien de Klant zich wegens gemotiveerde redenen niet akkoord verklaart met het Addendum Gegevensbescherming die overigens een onderdeel is van de Raamovereenkomst.
  2. In het kader van deze AVG-voorwaarden komen de Klant en de Dienstverlener overeen dat de Klant de verwerkingsverantwoordelijke en de Dienstverlener de verwerker is met betrekking tot de Persoonsgegevens, uitgezonderd in gevallen dat de Klant optreedt als verwerker van de Persoonsgegevens. In dat geval is de Dienstverlener een SubVerwerker. Deze AVG-voorwaarden zijn van toepassing op de verwerking van Persoonsgegevens namens de Klant door de Dienstverlener binnen de reikwijdte van de AVG.
  3. Deze AVG-voorwaarden vormen geen beperking of vermindering van de verplichtingen met betrekking tot de bescherming van Persoonsgegevens die de Dienstverlener op zich neemt in de het Addendum Gegevensbescherming of een andere overeenkomst tussen de Dienstverlener en de Klant.
  4. Deze AVG-voorwaarden zijn niet van toepassing wanneer de Dienstverlener de Verwerkingsverantwoordelijke is met betrekking tot Persoonsgegevens.

Artikel C2 – Verplichtingen van de Dienstverlener

  1. De Dienstverlener neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Klant.

    In het geval van algemene schriftelijke toestemming licht de Dienstverlener de Klant in over beoogde veranderingen inzake de toevoeging of vervanging van andere SubVerwerkers, waarbij de Klant de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. (Artikel 28, lid 2 AVG)

  2. De verwerking door de Dienstverlener wordt geregeld door deze AVG-voorwaarden krachtens het recht van de Europese Unie of de lidstaat (hierna “Unierecht of het lidstatelijk recht”) die de Dienstverlener ten aanzien van de Klant bindt.

    Het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort Persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de Klant worden omschreven in de Raamovereenkomst, met inbegrip van deze AVG-voorwaarden. Hierin is met name bepaalt dat de Dienstverl

    • de Persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de Klant, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de Dienstverlener van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling de Dienstverlener tot verwerking verplicht; in dat geval stelt de Dienstverlener de Klant, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;
    • waarborgt dat de tot het verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
    • alle overeenkomstig artikel 32 AVG vereiste maatregelen neemt;
    • aan de in de leden a) en c) bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet;
    • rekening houdend met de aard van de verwerking, de Klant door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van de plicht van de Klant om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene te beantwoorden;
    • rekening houdend met de aard van de verwerking en de door de Dienstverlener ter beschikking gestelde informatie de Klant bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG;
    • na afloop van de verwerkingsdiensten, naargelang de keuze van de Klant, alle Persoonsgegevens wist of deze aan de Klant terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht;
    • de Klant alle informatie ter beschikking stelt die nodig is om de nakoming van de in artikel 28 AVG genoemde verplichtingen aan te tonen en audits, waaronder inspecties, door de Klant of een door de Klant gemachtigde controleur mogelijk te maken en eraan bij te dragen.
  3. De Dienstverlener zal de Klant onmiddellijk informeren indien een instructie, naar mening van de Dienstverlener, in strijd is met de AVG of andere Unierechtelijke of lidstaatrechtelijke bepalingen wat betreft de bescherming van Persoonsgegevens. (Artikel 28, lid 3 AVG)

  4. Wanneer de Dienstverlener een andere verwerker in dienst neemt om bepaalde verwerkingsactiviteiten voor de Klant te verrichten, worden dezelfde verplichtingen wat betreft de bescherming van Persoonsgegevens die in deze AVG-voorwaarden zijn uiteengezet, opgelegd aan deze andere verwerker door middel van een overeenkomst of een andere rechtshandeling op grond van het Unierecht of lidstatelijk recht.

    Dit geldt in het bijzonder om voldoende garanties te bieden om passende technische en organisatorische maatregelen uit te voeren zodat de verwerking voldoet aan de voorwaarden van de AVG.

    Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Dienstverlener ten aanzien van de Klant volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker. (Artikel 28, lid 4 AVG)

  5. Ingeval van strijdigheid tussen de voorwaarden van onderhavig Verwerkingscharter en de Overeenkomst tussen Partijen prevaleren de voorwaarden van het Verwerkingscharter op de bepalingen van de Raamovereenkomst, welke dan aanvullend zullen werken.
  6. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de Klant en de Dienstverlener passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvat:
    • de pseudonimisering en versleuteling van Persoonsgegevens;
    • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
    • het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen; en
    • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen om de veiligheid van de verwerking te garanderen. (Artikel 32, lid 1 AVG)
  7. Bij de beoordeling van het passende beveiligingsniveau wordt rekening gehouden met de risico’s die ontstaan door verwerking, vooral als gevolg van de vernietiging, het verlies, de wijziging, de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, hetzij per ongeluk, hetzij onrechtmatig. (Artikel 32, lid 2 AVG).
  8. De Klant en de Dienstverlener treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de Klant of van de Dienstverlener en toegang heeft tot Persoonsgegevens, deze slechts in opdracht van de Klant verwerkt, tenzij hij of zij daartoe Unierechtelijk of lidstaatrechtelijk toe verplicht is. (Artikel 32, lid 4 AVG).

  9. De Dienstverlener informeert de Klant zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met Persoonsgegevens. (Artikel 33, lid 2 AVG).

    In een dergelijke kennisgeving dient de informatie te zijn opgenomen die een verwerker verplicht is te verstrekken aan een verwerkingsverantwoordelijke op grond van artikel 33, lid 3 AVG, voor zover deze informatie redelijkerwijs beschikbaar is voor de Dienstverlener.

Home | Addendum Gegevensbescherming

Winkelmandje

Het product is toegevoegd aan je winkelmandje