De Klant heeft met de Dienstverlener een Goedgekeurde Offerte en/of Ondertekende (Raam)overeenkomst voor het uitvoeren van de Diensten afgesloten. De Partijen gaan akkoord dat onderhavig Addendum Gegevensbescherming, welke integraal deel uitmaakt van de Goedgekeurde Offerte en/of Ondertekende (Raam)overeenkomst tussen Partijen, de respectievelijke verplichtingen met betrekking tot de verwerking en beveiliging van Persoonsgegevens in verband met de Diensten inhoudt.
Onderhavig Addendum Gegevensbescherming is door middel van verwijzing onder het artikel “Bescherming van Persoonsgegevens” opgenomen in de Goedgekeurde Offerte en/of Ondertekende (Raam)overeenkomst. Voor het gebruik van andere Diensten dan omschreven in de Goedgekeurde Offerte en/of Ondertekende (Raam)overeenkomst gelden afzonderlijke voorwaarden, die ingeval deze afwijken van onderhavig Addendum Gegevensbescherming, opgenomen zullen worden in een ander document.
De Dienstverlener neemt als Verwerker de verplichtingen in onderhavig Addendum Gegevensbescherming ten aanzien van de Klant op zich voor wat betreft de verwerking en beveiliging van Persoonsgegevens overeenkomstig hetgeen bepaald is geworden in de Goedgekeurde Offerte en/of Ondertekende (Raam)overeenkomst.
In het kader van deze voorwaarden komen Partijen overeen dat de Klant de verwerkingsverantwoordelijke en de Dienstverlener de Verwerker is met betrekking tot de Persoonsgegevens, uitgezonderd in de gevallen dat de Klant optreedt als Verwerker van de Persoonsgegevens. In dat geval is de Dienstverlener een SubVerwerker. Onderhavige voorwaarden zijn van toepassing op de verwerking van Persoonsgegevens namens de Klant door de Dienstverlener binnen de reikwijdte van de AVG.
Wanneer de Dienstverlener optreedt als de Verwerker of SubVerwerker verwerkt de Dienstverlener de Persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant.
De Klant gaat ermee akkoord dat de Goedgekeurde Offerte en/of Ondertekende (Raam)overeenkomst van de Klant (met inbegrip van dit Addendum Gegevensbescherming en eventuele toepasselijke updates) samen met de Diensten en het gebruik en de configuratie van de voorzieningen van de Diensten door de Klant, de volledige en definitieve gedocumenteerde instructies van de Klant aan de Dienstverlener zijn voor de verwerking van Persoonsgegevens. Eventuele aanvullende of alternatieve instructies van de Klant dienen door de Dienstverlener schriftelijk te worden goedgekeurd en als annex aan onderhavig Addendum te worden toegevoegd.
De Klant waarborgt aan de Dienstverlener dat de instructies van de Klant, met inbegrip van de benoeming van de Dienstverlener als Verwerker in overeenstemming is met de Wetgeving Gegevensbescherming en garandeert dat alle Persoonsgegevens die aan de Dienstverlener worden toevertrouwd rechtmatig zijn verkregen en rechtmatig kunnen worden verwerkt tijdens de hele duur van de Goedgekeurde Offerte en/of Ondertekende (Raam)overeenkomst.
De Klant waarborgt aan de Dienstverlener dat de instructies van de Klant, met inbegrip van de benoeming van de Dienstverlener als SubVerwerker, zijn geautoriseerd door de relevante verwerkingsverantwoordelijke en in overeenstemming zijn met de Wetgeving Gegevensbescherming en garandeert dat alle Persoonsgegevens die aan de Dienstverlener worden toevertrouwd rechtmatig zijn verkregen en rechtmatig kunnen worden verwerkt tijdens de volledige duur van de Goedgekeurde Offerte en/of Ondertekende (Raam)overeenkomst.
De Partijen erkennen en gaan akkoord met het volgende:
De Dienstverlener gebruikt en verwerkt Gegevens van de Diensten uitsluitend voor het verlenen van de Diensten aan de Klant overeenkomstig hetgeen is bepaald in de Raamovereenkomt en onderhavig Addendum Gegevensbescherming.
Tussen Partijen behoudt de Klant alle rechten, eigendom en belangen met betrekking tot de Gegevens van de Diensten. De Dienstverlener verkrijgt geen rechten met betrekking tot de Gegevens van de Diensten, behoudens de rechten die de Klant in onderhavig Addendum Gegevensbescherming aan de Dienstverlener verleent. Dit artikel heeft geen invloed op de rechten van de Klant met betrekking tot Diensten waarvoor de Dienstverlener de Klant een licentie verleent.
Binnen de context van onderhavig Addendum Gegevensbescherming bestaat het leveren van de Diensten uit:
De Dienstverlener maakt geen verwerkte Persoonsgegevens in de uitvoering van de Diensten of Gegevens van de Diensten bekend en maakt deze niet toegankelijk, uitgezonderd: (1) op aanwijzing van de Klant; (2) zoals beschreven in dit Addendum Gegevensbescherming; of (3) indien wettelijk verplicht. De verwerking van Gegevens van de Diensten is onderworpen aan de vertrouwelijkheidsplicht van Dienstverlener op grond van onderhavig Addendum Gegevensbescherming.
De Dienstverlener maakt geen Gegevens van de Diensten bekend en verleent geen toegang daartoe aan de autoriteiten, tenzij wettelijk verplicht. Indien de autoriteiten contact opnemen met de Dienstverlener om Gegevens van de Diensten op te vragen, probeert de Dienstverlener de autoriteiten door te verwijzen om die gegevens rechtstreeks bij de Klant op te vragen. Indien de Dienstverlener is gehouden om Gegevens van Diensten bekend te maken of toegang daartoe te verlenen aan de autoriteiten, zal de Dienstverlener de Klant hiervan onmiddellijk op de hoogte stellen en een kopie van de vordering verstrekken, tenzij dit wettelijk niet is toegestaan.
Bij ontvangst van ieder ander verzoek van derden om Gegevens van de Diensten, zal de Dienstverlener de Klant onmiddellijk op de hoogte stellen, tenzij dit wettelijk niet is toegestaan. De Dienstverlener zal het verzoek afwijzen, tenzij de Dienstverlener wettelijk verplicht is aan het verzoek te voldoen. Indien het verzoek gegrond is, zal de Dienstverlener proberen de derde partij door te verwijzen zodat deze de gegevens rechtstreeks bij de Klant op kan vragen.
De Dienstverlener verstrekt het volgende niet aan derden: (a) directe, indirecte, algehele of onbeperkte toegang tot de Gegevens van de Diensten; (b) de sleutels die zijn gebruikt voor het beveiligen van de Gegevens van de Diensten of middelen om deze versleuteling te breken.
Ter ondersteuning van het bovenstaande, kan de Dienstverlener de basiscontactgegevens van de Klant aan de derde partij of autoriteit verstrekken.
De Dienstverlener zal erop toezien dat het personeel dat wordt ingezet voor de verwerking van Gegevens van de Diensten (i) deze uitsluitend zal verwerken op aanwijzing van de Klant of zoals beschreven in onderhavig Addendum Gegevensbescherming en (ii) verplicht zal zijn de vertrouwelijkheid en veiligheid van de gegevens te bewaken, ook nadat de werkovereenkomst met hen is geëindigd.
De Dienstverlener zal een periodiek trainings- en bewustzijnsprogramma inzake privacy en beveiliging van Persoonsgegevens bieden aan het personeel dat toegang heeft tot Gegevens van de Diensten overeenkomstig de wetten die op de Dienstverlener in haar hoedanigheid van professionele verlener van Diensten van toepassing zijn en de binnen de sector geldende normen.
De Dienstverlener zal zijn personeel door middel van een geheimhoudingsverklaring als bijlage bij de arbeidsovereenkomst en/of arbeidsreglement of via interne policies tot geheimhouding en vertrouwelijkheid van de Gegevens van de Diensten verbinden.
De Dienstverlener zal, rekening houdend met de aard van de verwerking, de Klant door middel van passende technische en organisatorische maatregelen, voor zoveel als redelijk mogelijk, de nodige informatie ter beschikking stellen en bijstand verlenen bij het vervullen van de opgelegde verplichtingen zoals bepaald in artikelen 28.3.e t.e.m. h van de Algemene Verordening Gegevensbescherming (hierna “AVG”).
Voor zover de in vorige alinea bedoelde dienstverlening passend en mogelijk is, zullen Partijen de modaliteiten hiervan overeenkomen, alsook de redelijke vergoeding vanwege de Klant waarop de Dienstverlener voor deze dienstverlening gerechtigd is.
Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van de betrokkene, treft de Klant ook zelf passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. Deze maatregelen worden door de Klant op regelmatige tijdstippen geëvalueerd en indien nodig geactualiseerd.
De Klant zal op een transparante manier communiceren met de Dienstverlener en dient onmiddellijk iedere Inbreuk, Beveiligingsincident en Incident die gevolgen kan meebrengen voor de Diensten van de Dienstverlener, evenals elk officieel verzoek / elke officiële inspectie van een gerechtelijke of administratieve overheid onverwijld aan de Dienstverlener mee te delen.
De Klant heeft het recht om de naleving van onderhavige Addendum Gegevensbescherming te controleren. De Dienstverlener zal de Klant alle informatie ter beschikking stellen die nodig is om de nakoming van de in artikel 28 AVG genoemde verplichtingen aan te tonen en audits, waaronder inspecties, door de Klant of een door de Klant gemachtigde controle mogelijk te maken en eraan bij te dragen.
De Dienstverlener is gehouden, rekening houdend met de aard van de Diensten, voor zover mogelijk, bijstand te verlenen aan de Klant bij het vervullen van diens plicht om te voldoen aan de verzoeken van de betrokkenen om hun rechten op grond van de AVG uit te oefenen.
Indien de Dienstverlener een verzoek ontvangt van een betrokkene van de Klant om gebruik te maken van een of meer rechten op grond van de AVG in verband met de Diensten waarvoor de Dienstverlener fungeert als Verwerker of SubVerwerker, zal de Dienstverlener de betrokkene doorverwijzen om het verzoek rechtstreeks aan de Klant te richten. De Klant is ervoor verantwoordelijk te reageren op een dergelijk verzoek.
De Dienstverlener implementeert en onderhoudt gepaste technische en organisatorische maatregelen om de Gegevens van de Diensten te beschermen tegen onvoorziene of onrechtmatige vernietiging, verlies en wijziging, of ongeautoriseerde bekendmaking van of toegang tot Persoonsgegevens die worden verzonden of anderszins worden verwerkt.
De Dienstverlener kan SubVerwerkers inhuren om diensten te leveren namens de Dienstverlener. De Klant stemt in met voormelde aanstelling van SubVerwerkers alsook het aanstellen van met de Dienstverlener gelieerde ondernemingen overeenkomstig artikel 1:20 van het Wetboek van Vennootschappen en Verenigingen als SubVerwerkers.
De bovenstaande autorisaties vormen de voorafgaande schriftelijke toestemming van de Klant voor de uitbesteding van de verwerking van Gegevens van de Diensten door de Dienstverlener indien deze toestemming is vereist op grond van de Modelcontractbepalingen of de Wetgeving Gegevensbescherming.
Wanneer een SubVerwerker wordt ingeschakeld, ziet de Dienstverlener er door middel van een schriftelijk contract op toe dat de SubVerwerkers enkel de Gegevens van de Diensten uitsluitend mag raadplegen en gebruiken voor het leveren van de diensten waarvoor de Dienstverlener de SubVerwerker heeft ingehuurd en de Gegevens van de Diensten voor geen enkel ander doel of doeleinde mag gebruiken.
De Dienstverlener zal erop toezien dat SubVerwerkers gebonden zijn door schriftelijke overeenkomsten die hen verplichten ten minste dezelfde mate van bescherming van Persoonsgegevens te bieden als de Dienstverlener, met inbegrip van de beperkingen betreffende bekendmaking van verwerkte Persoonsgegevens.
De contractuele aansprakelijkheid van de Dienstverlener blijft onverminderd van toepassing wanneer een SubVerwerkers de verplichtingen ten aanzien van de beveiliging van Persoonsgegevens en Gegevens van de Diensten niet nakomt.
Een actuele lijst van de actieve onderaannemingscontracten met SubVerwerkers wordt door de Dienstverlener bijgehouden en kan binnen een termijn van 30 dagen, op schriftelijk verzoek (incl. via e-mail) worden voorgelegd ter inzage
Indien de Dienstverlener in het kader van het leveren van de Diensten gehouden is om Persoonsgegevens te verzamelen, te gebruiken, over te dragen, te bewaren en/of op overige wijze te verwerken uit de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland, dan dient de Dienstverlener zich te houden aan de vereisten van de wetgeving inzake bescherming van Persoonsgegevens van het desbetreffende land in de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland.
Alle overdrachten van Persoonsgegevens naar een derde land of een internationale organisatie zijn onderworpen aan passende veiligheidsmechanismen, zoals beschreven in artikel 46 van de AVG.
Categorieën van persoonsgegevens | Omschrijving van de persoonsgegevens |
---|---|
Persoonlijke identificatiegegevens | Naam, titel, adres |
Verificatiegegevens | Omschrijving van de Persoonsgegevens |
Contactgegevens | Adressen, e-mailadres, telefoonnummer, … |
Financiële identificatiegegevens | Identificatie- en bankrekeningnummers, nummers van krediet- of debetkaarten |
Elektronische identificatiegegevens | Apparaat ID, simkaartnummer, MAC adres, IP-adressen, cookies, verbindingsmomenten |
Telecommunicatiegegevens | Locatiegegevens op het moment van het begin/einde van een gesprek, chatberichten (intern als extern) met inbegrip van mogelijke foto’s, video en/of audio, voicemails communicatiegeschiedenis |
Personeelsgegevens | Functie, positie, beschikbaarheid |
Andere persoonsgegevens vanwege de gebruikers van de Diensten | Persoonsgegevens zoals omschreven in artikel 4 van de AVG en ingedeeld in de aanbeveling 06/2017 dd. 14 juni 2017 van de Gegevensbeschermingsautoriteit |
Categorieën van persoonsgegevens |
Omschrijving van de persoonsgegevens |
---|---|
Algemene organisatie |
Aanduiden verantwoordelijken. De Dienstverlener heeft een of meer personen aangewezen die verantwoordelijk zijn voor het coördineren en controleren van de beveiligingsregels en -procedures. Beveiligingsrollen en -verantwoordelijkheden. Medewerkers van de Dienstverlener met toegang tot Gegevens van de Diensten zijn onderworpen aan verplichtingen met betrekking tot vertrouwelijkheid. Risicobeheer. De Dienstverlener heeft een risicoanalyse uitgevoerd voorafgaand aan het verwerken van Gegevens van de Diensten. De Dienstverlener bewaart de beveiligingsdocumenten nadat de geldigheid ervan is verstreken conform haar bewaartermijnvereisten. |
Training |
De Dienstverlener stelt haar medewerkers op de hoogte van relevante beveiligingsprocedures en hun rol daarbij. De Dienstverlener stelt haar medewerkers ook op de hoogte van de mogelijke gevolgen van het schenden van de beveiligingsregels en -procedures. De Dienstverlener gebruikt alleen anonieme gegevens bij de training. |
Beveiliging |
Fysieke toegang tot faciliteiten. De Dienstverlener beperkt de toegang tot faciliteiten waar informatiesystemen zijn geplaatst waarmee Gegevens van de Diensten worden verwerkt, tot geïdentificeerde, geautoriseerde personen. Fysieke toegang tot hardware/software. De Dienstverlener beperkt de toegang tot faciliteiten waar informatiesystemen zijn geplaatst waarmee Gegevens van de Diensten worden verwerkt, tot geïdentificeerde, geautoriseerde personen. Bescherming tegen verstoringen. De Dienstverlener gebruikt verschillende systemen die voldoen aan industrienormen om te beschermen tegen gegevensverlies vanwege stroom- of lijnstoringen. Verwijdering van onderdelen. De Dienstverlener maakt gebruik van procedures die aan industrienormen voldoen om Gegevens van de Diensten te verwijderen wanneer deze niet langer nodig zijn. |
Beheer van de Diensten |
Operationeel beleid. De Dienstverlener houdt beveiligingsdocumenten bij met beschrijvingen van de beveiligingsmaatregelen en de relevante procedures en verantwoordelijkheden van haar medewerkers die toegang hebben tot Gegevens van de Diensten. Procedures voor gegevensherstel
Schadelijke software. De Dienstverlener beschikt over programma’s die voorkomen dat met behulp van schadelijke software ongeoorloofde toegang wordt verschaft van uit de infrastructuur van de Dienstverlener tot Gegevens van de Diensten. Gegevens buiten grenzen. De Dienstverlener versleutelt de Gegevens van de Diensten die worden overgedragen via openbare netwerken of stelt de Klant in staat dat te doen. Registratie van gebeurtenissen De Dienstverlener registreert toegang tot en gebruik van informatiesystemen die Gegevens van de Diensten bevatten of stelt de Klant in staat dit te doen. Hierbij wordt de toegangs-id, tijd, verleende of geweigerde autorisatie en relevante activiteit vastgelegd. |
Toegangbeheer |
Toegangsbeleid. De Dienstverlener houdt een bestand bij met beveiligingsmachtigingen van personen die toegang hebben tot Gegevens van de Diensten. Machtiging tot toegang
Minimale rechten Technisch ondersteunend personeel heeft alleen toegang tot Gegevens van de Diensten indien nodig. De Dienstverlener beperkt toegang tot Gegevens van de Diensten tot die personen voor wie toegang tot Gegevens van de Klant nodig is om hun werk te kunnen uitvoeren. Integriteit en vertrouwelijkheid De Dienstverlener draagt medewerkers op beheersessies af te sluiten bij het verlaten van locaties die in het beheer van de Dienstverlener zijn, of wanneer computers anderszins onbeheerd zijn. De Dienstverlener slaat wachtwoorden zodanig op dat ze onbegrijpelijk zijn wanneer ze in gebruik zijn. Authenticatie
Netwerkveiligheid. De Dienstverlener zet middelen in om te voorkomen dat personen die zich toegangsrechten toe-eigenen die niet aan hen zijn toegewezen, toegang verkrijgen tot Gegevens van de Diensten waartoe zij niet zijn gemachtigd. |
Beheer van incidenten op beveiliging |
Antwoordprocedure incidenten
Service Monitoring. Beveiligingsmedewerkers van de Dienstverlener controleren logboeken om indien noodzakelijk herstelprocedures voor te stellen. |
Beheer continuïteit |
De opslag en de procedures voor gegevensherstel van de Dienstverlener zijn ontworpen om op maximale wijze de Gegevens van de Diensten te kunnen herstellen in de originele of laatst gerepliceerde staat voordat de gegevens verloren raakten of vernietigd werden. |
De verwerking door de Dienstverlener wordt geregeld door deze AVG-voorwaarden krachtens het recht van de Europese Unie of de lidstaat (hierna “Unierecht of het lidstatelijk recht”) die de Dienstverlener ten aanzien van de Klant bindt.
Het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort Persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de Klant worden omschreven in de Goedgekeurde Offerte en/of Ondertekende (Raam)overeenkomst, met inbegrip van deze AVG-voorwaarden. Hierin is met name bepaald dat de Dienstverlener:
Wanneer de Dienstverlener een andere Verwerker in dienst neemt om bepaalde verwerkingsactiviteiten voor de Klant te verrichten, worden dezelfde verplichtingen wat betreft de bescherming van Persoonsgegevens die in deze AVG-voorwaarden zijn uiteengezet, opgelegd aan deze andere Verwerker door middel van een overeenkomst of een andere rechtshandeling op grond van het Unierecht of lidstatelijk recht.
Dit geldt in het bijzonder om voldoende garanties te bieden om passende technische en organisatorische maatregelen uit te voeren zodat de verwerking voldoet aan de voorwaarden van de AVG.
Wanneer de andere Verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Dienstverlener ten aanzien van de Klant volledig aansprakelijk voor het nakomen van de verplichtingen van die andere Verwerker. (Artikel 28, lid 4 AVG)
De Dienstverlener informeert de Klant zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met Persoonsgegevens. (Artikel 33, lid 2 AVG).
In een dergelijke kennisgeving dient de informatie te zijn opgenomen die een Verwerker verplicht is te verstrekken aan een verwerkingsverantwoordelijke op grond van artikel 33, lid 3 AVG, voor zover deze informatie redelijkerwijs beschikbaar is voor de Dienstverlener.
Winkelmandje
Het product is toegevoegd aan je winkelmandje