Overeenkomst gegevensbescherming
De EU Algemene Verordening Gegevensbescherming (EU AVG) is een privacy- en gegevensbeschermingswetgeving in de Europese Unie die op 25 mei 2018 van kracht is geworden.
De EU AVG legt nieuwe verplichtingen op aan organisaties die persoonsgegevens beheren of verwerken en introduceert nieuwe rechten en bescherming voor EU-burgers.
ORdigiNAL is toegewijd aan het beschermen van uw privacy, en wij houden ons strikt aan de bepalingen van alle relevante wetgeving inzake gegevensbescherming, waaronder zowel de EU AVG-richtlijn als de herziene UK AVG-richtlijn. We zorgen ervoor dat alle persoonlijke gegevens worden behandeld in overeenstemming met de principes die in de verordening zijn vastgelegd.
De AVG in het VK weerspiegelt de AVG in de EU, maar introduceert nieuwe procedures voor het VK om zijn eigen adequaatheidsbeslissingen te nemen en andere VK-specifieke overdrachtswaarborgen goed te keuren. De UK AVG-richtlijn sluit nauw aan bij de Data Protection Act 2018. U kunt meer informatie vinden op [link naar meer informatie].
ORdigiNAL zet zich in voor de naleving van de AVG als verwerker van persoonsgegevens en heeft een werkgroep opgericht om ons AVG-implementatieproject te leiden om voortdurende naleving te waarborgen.
1. Definities
1.1. In het kader van deze DPA:
“Persoonsgegevens”: alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”); een identificeerbare natuurlijke persoon kan direct of indirect worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon;
– “Wet Bescherming Persoonsgegevens”: alle toepasselijke wetten, voorschriften en andere wettelijke vereisten met betrekking tot (a) privacy, gegevensbeveiliging, consumentenbescherming, marketing, promotie en tekstberichten, e-mail en andere communicatie; en (b) het gebruik, de verzameling, het bewaren, de opslag, de beveiliging, de openbaarmaking, de overdracht, de verwijdering en andere verwerking van Persoonsgegevens;
– “Filiaal van het Bedrijf”: een entiteit die direct of indirect zeggenschap heeft over het Bedrijf, onder zeggenschap staat van het Bedrijf of onder gemeenschappelijke zeggenschap staat met het Bedrijf. “Zeggenschap” betekent in deze definitie direct of indirect eigendom van of zeggenschap over meer dan 50% van de stemgerechtigde belangen van de betreffende entiteit;
– “Diensten”: elk van de volgende diensten die door het Bedrijf worden geleverd: (a) productaanbiedingen onder de merknaam van het Bedrijf die beschikbaar worden gesteld via de website van het Bedrijf, (b) advies- of trainingsdiensten die door het Bedrijf worden geleverd, hetzij op afstand via het internet of persoonlijk, en (c) alle ondersteunende diensten die door het Bedrijf worden geleverd, inclusief toegang tot de helpdesk van het Bedrijf;
– de termen “gegevensbeheerder”, “gegevensverwerker”, “betrokkene”, “persoonsgegevens”, “verwerking” en “passende technische en organisatorische maatregelen” hebben de betekenis die eraan wordt gegeven onder de toepasselijke wetgeving inzake gegevensbescherming.
2. Onderwerp, Aard en Doel van de Verwerking van Persoonsgegevens door het Bedrijf
2.1. Doel van Persoonsgegevensverwerking
Het doel van het verwerken van Persoonsgegevens onder deze DPA is de uitvoering van de Diensten door het Bedrijf, zoals nader schriftelijk geïnstrueerd door de Klant in het kader van het gebruik van de Diensten. Tenzij anders vereist door de toepasselijke wetgeving inzake gegevensbescherming, zal het Bedrijf, indien van toepassing, de Klant informeren over dergelijke wettelijke vereisten voordat de verwerking plaatsvindt. Het Bedrijf zal uitsluitend Persoonsgegevens verzamelen en verwerken gedurende de periode waarin de Diensten worden verleend, en dit zal gebeuren op een wijze die strikt noodzakelijk is voor het verlenen van de Diensten, in overeenstemming met zowel deze DPA als de toepasselijke wetgeving inzake gegevensbescherming.
3. Duur
3.1. De verwerking van Persoonsgegevens door het Bedrijf zal voortduren zolang de Dienstenaccount van de Klant bestaat, of zolang als nodig is voor de uitvoering van de verplichtingen en rechten tussen het Bedrijf en de Klant, tenzij schriftelijk anders is overeengekomen.
4. Type Verwerkte Persoonsgegevens
4.1. De Klant kan Persoonsgegevens aan de Diensten verstrekken, waarvan de omvang wordt bepaald en gecontroleerd door de Klant naar eigen goeddunken. Deze Persoonsgegevens kunnen bestaan uit, maar zijn niet beperkt tot, de volgende categorieën van Persoonsgegevens:
– Accountgegevens: Wanneer de Klant zich aanmeldt voor een Services Account, is bepaalde informatie vereist, zoals de naam en e-mailadres van de Klant. De Klant kan zijn informatie en e-mailvoorkeuren op elk gewenst moment bijwerken of corrigeren door de Services Account te bezoeken. Het Bedrijf kan de Klant ook aanvullende ondersteuning bieden bij het openen, corrigeren, verwijderen of wijzigen van de informatie die de Klant heeft verstrekt en die is gekoppeld aan de Services Account van de Klant. Ter bescherming van de veiligheid neemt het Bedrijf redelijke stappen, zoals het opvragen van wettelijke informatie, om de identiteit van de Klant te verifiëren voordat correcties worden aangebracht. De Klant is te allen tijde verantwoordelijk voor het geheimhouden van het wachtwoord en de informatie van de Services-account van de Klant.
– Aanvullende Profielinformatie: De Klant kan ervoor kiezen om aanvullende informatie toe te voegen als onderdeel van zijn profiel. Profielinformatie helpt de Klant om meer uit de Diensten te halen. Het is de keuze van de Klant om al dan niet gevoelige informatie op te nemen in zijn profiel.
– Andere informatie: De Klant kan er ook voor kiezen om het Bedrijf informatie te verstrekken wanneer de Klant een formulier invult, een zoekopdracht uitvoert, informatie bijwerkt of toevoegt aan zijn Services Account, reageert op enquêtes, post op communityforums, deelneemt aan promoties of andere functies van het Services platform gebruikt.
5. Verplichtingen van het Bedrijf
5.1. Het Bedrijf stemt ermee in en/of garandeert dat:
– (a) Het Persoonsgegevens alleen zal verwerken namens de Klant en in overeenstemming met diens instructies en deze DPA. Als het om welke reden dan ook niet aan deze verplichting kan voldoen, zal het de Klant onmiddellijk op de hoogte stellen van zijn onvermogen om aan deze verplichting te voldoen. In dat geval heeft de Klant het recht om de overdracht van gegevens op te schorten en/of de Diensten te beëindigen.
– (b) Alle Persoonsgegevens die namens de Klant worden verwerkt, eigendom blijven van de Klant en/of de relevante betrokkenen.
– (c) Het geen reden heeft om aan te nemen dat de toepasselijke wetgeving zijn vermogen om de instructies van de Klant na te komen en zijn verplichtingen onder deze DPA te vervullen, beperkt. Als er een wijziging in de wetgeving optreedt die naar verwachting een substantieel negatief effect zal hebben op de garanties en verplichtingen die door deze DPA worden geboden, zal het Bedrijf de Klant onmiddellijk op de hoogte stellen van de wijziging, zodra dit bekend is. In dat geval heeft de Klant het recht om de overdracht van gegevens op te schorten en/of de Diensten te beëindigen.
– (d) Het de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in Bijlage 1 heeft geïmplementeerd voordat het Persoonsgegevens verwerkt.
– (e) Het de Klant onmiddellijk zal informeren over: i) elk wettelijk bindend verzoek tot openbaarmaking van Persoonsgegevens door een rechtshandhavingsinstantie, tenzij anderszins verboden, zoals een verbod op grond van het strafrecht om de vertrouwelijkheid van een rechtshandhavingsonderzoek te bewaren; ii) accidentele of ongeautoriseerde toegang; en iii) elk verzoek dat rechtstreeks van de betrokkenen wordt ontvangen zonder daarop in te gaan, tenzij anderszins gemachtigd.
– (f) Alle vragen van de Klant met betrekking tot zijn verwerking van de Persoonsgegevens die onderwerp zijn van deze overdracht, snel en correct zal afhandelen en zich zal houden aan het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de doorgegeven gegevens.
– (g) Op verzoek van de Klant zijn gegevensverwerkingsfaciliteiten ter beschikking zal stellen voor een audit van de verwerkingsactiviteiten die onder deze DPA vallen.
– (h) In geval van subverwerking de Klant vooraf heeft geïnformeerd en zijn voorafgaande schriftelijke toestemming heeft verkregen.
– (i) De verwerkingdiensten door de subverwerker(s) in overeenstemming met Artikel 7 zullen worden uitgevoerd.
– (j) Een functionaris voor gegevensbescherming zal aanstellen en dat deze functionaris zijn/haar taken zal uitvoeren in overeenstemming met de Wet Bescherming Persoonsgegevens. De contactgegevens van de functionaris voor gegevensbescherming zijn beschikbaar op de webpagina van het Bedrijf.
k) Alleen medewerkers die gebonden zijn aan geheimhouding en vooraf op de hoogte zijn gebracht van de relevante bepalingen inzake gegevensbescherming met betrekking tot hun werkzaamheden, mogen belast worden met de gegevensverwerking zoals beschreven in deze DPA. Het Bedrijf en iedere persoon die onder zijn gezag handelt en toegang heeft tot Persoonsgegevens, zullen deze gegevens niet verwerken, tenzij op instructie van de Klant of wanneer de Wet Bescherming Persoonsgegevens dit vereist.
l) Interne processen worden periodiek gecontroleerd om ervoor te zorgen dat de verwerking binnen het verantwoordelijkheidsgebied van het Bedrijf in overeenstemming is met de vereisten van de Wet Bescherming Persoonsgegevens en de bescherming van de rechten van de betrokkene.
6. Verplichtingen van de klant
6.1. De Klant stemt ermee in en/of garandeert dat:
a) De verwerking van Persoonsgegevens, inclusief de doorgifte ervan, in overeenstemming is en blijft met de relevante bepalingen van de Wet Bescherming Persoonsgegevens, zonder enige schending.
b) De Klant het Bedrijf heeft geïnstrueerd en zal blijven instrueren gedurende de gehele looptijd van de diensten om Persoonsgegevens uitsluitend namens de Klant en in overeenstemming met de Wet Bescherming Persoonsgegevens en deze DPA te verwerken.
c) Het Bedrijf voldoende garanties zal bieden met betrekking tot de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in Bijlage 1 van deze DPA.
d) Na beoordeling van de vereisten van de Wet Bescherming Persoonsgegevens, de beveiligingsmaatregelen passend zijn om Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of verlies, wijziging, onbevoegde openbaarmaking of toegang. Dit geldt met name wanneer de verwerking de overdracht van gegevens via een netwerk omvat, en tegen alle andere onrechtmatige vormen van verwerking. Deze maatregelen moeten een beveiligingsniveau waarborgen dat passend is voor de risico’s die de verwerking met zich meebrengt, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging.
e) Toezicht zal worden gehouden op de naleving van de beveiligingsmaatregelen.
f) Toegang tot en gebruik van de Diensten alleen voor wettelijke, geautoriseerde en aanvaardbare doeleinden zal zijn. De Klant zal de Diensten niet gebruiken (of anderen helpen bij het gebruik ervan) op manieren die de rechten van het Bedrijf, zijn gebruikers of anderen schenden, met inbegrip van privacy-, publiciteits-, intellectuele eigendoms- of andere eigendomsrechten.
g) Geen ontoelaatbare of onbevoegde toegang tot het Dienstenplatform zal worden verkregen of ondersteund, inclusief reverse-engineering, wijziging, aanpassing, decompileren of code-extractie van het Dienstenplatform.
h) De Klant zal verantwoordelijk zijn voor het veilig houden van de Services Account van de Klant, en zal het Bedrijf onmiddellijk op de hoogte stellen van elk ongeoorloofd gebruik of inbreuk op de beveiliging van de Account van de Klant of het Services platform.
i) De Klant krijgt een beperkte, herroepbare, niet-exclusieve, niet-sublicentieerbare en niet-overdraagbare licentie om het Dienstenplatform te gebruiken, uitsluitend voor het doel zoals toegestaan door deze DPA. Er worden geen licenties of rechten aan de Klant verleend door implicatie of anderszins, behalve de expliciete rechten die hierin zijn vermeld..
7. Technische en organisatorische maatregelen
7.1. Het Bedrijf zal passende technische en organisatorische maatregelen treffen om Persoonsgegevens adequaat te beschermen tegen onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of toegang, zoals beschreven in Bijlage 1. Dergelijke maatregelen omvatten, maar zijn niet beperkt tot, fysieke en IT-maatregelen, en organisatorische maatregelen om:
a) Onbevoegde toegang tot systemen voor de verwerking van Persoonsgegevens te voorkomen (fysieke toegangscontrole).
b) Ongeautoriseerd gebruik van systemen voor de verwerking van Persoonsgegevens te voorkomen (logische toegangscontrole).
c) Te waarborgen dat personen die gerechtigd zijn een systeem voor de verwerking van Persoonsgegevens te gebruiken, alleen toegang hebben tot die Persoonsgegevens waartoe zij op grond van hun toegangsrechten toegang hebben. Daarnaast moet gewaarborgd worden dat Persoonsgegevens tijdens de verwerking of het gebruik en na opslag ervan niet zonder machtiging kunnen worden gelezen, gekopieerd, gewijzigd of gewist (controle op de toegang tot de gegevens).
d) Ervoor te zorgen dat Persoonsgegevens niet ongeoorloofd kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens elektronische overdracht, vervoer of opslag op opslagmedia, en dat de doelentiteiten voor elke overdracht van Persoonsgegevens door middel van datatransmissievoorzieningen kunnen worden vastgesteld en gecontroleerd (controle op gegevensoverdracht).
e) Een controlespoor vast te stellen om te documenteren of en door wie Persoonsgegevens zijn ingevoerd, gewijzigd of verwijderd uit systemen voor de verwerking van Persoonsgegevens (toegangscontrole).
f) Te waarborgen dat Persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies (beschikbaarheidscontrole).
7.2. De technische en organisatorische maatregelen zijn onderhevig aan technische vooruitgang en verdere ontwikkeling. In dit opzicht kan het Bedrijf alternatieve adequate maatregelen implementeren, maar het beveiligingsniveau van de gedefinieerde maatregelen mag nooit worden verlaagd. Belangrijke wijzigingen moeten worden gedocumenteerd..
8. Subverwerkers
8.1. Subverwerkers inschakelen
De Klant stemt ermee in dat het Bedrijf Filialen van het Bedrijf of derden kan inschakelen om Persoonsgegevens te verwerken om het Bedrijf te helpen bij het leveren van de Diensten namens de Klant (“Subverwerkers”). Het Bedrijf heeft of zal met elke Subverwerker een schriftelijke overeenkomst aangaan die gegevensbeschermingsverplichtingen bevat die niet minder beschermend zijn dan die in deze DPA, voor zover van toepassing op de aard van de Diensten die door deze Subverwerker worden geleverd. Als de Subverwerker de Diensten buiten de EU/EER verwerkt, zal het Bedrijf ervoor zorgen dat de overdracht plaatsvindt overeenkomstig de door de Europese Commissie goedgekeurde modelcontractbepalingen voor de overdracht van Persoonsgegevens die de Klant het Bedrijf machtigt om namens hem af te sluiten, of dat er andere passende wettelijke mechanismen voor gegevensoverdracht worden gebruikt.
8.2. Huidige Subverwerkers
De huidige Subverwerkers voor de Diensten staan vermeld op de website van het Bedrijf (“Subverwerkerslijst”) en de Klant stemt ermee in en accepteert dat het Bedrijf dergelijke Subverwerkers heeft ingeschakeld om Persoonsgegevens te verwerken zoals vermeld in de lijst. Het Bedrijf zal kennisgeving doen van een nieuwe Subverwerker(s) voordat het Bedrijf een nieuwe Subverwerker(s) machtigt om Persoonsgegevens te verwerken in verband met de levering van de toepasselijke Dienst.
8.3. Bezwaar tegen nieuwe Subverwerker(s)
Het Bedrijf stelt de Klant dertig (30) dagen van tevoren op de hoogte van voorgenomen wijzigingen betreffende de toevoeging of vervanging van een Subverwerker, gedurende welke periode de Klant bezwaar kan maken tegen de aanstelling van de Subverwerker. Eventuele bezwaren dienen onverwijld (en in ieder geval niet later dan veertien (14) dagen na de kennisgeving door het Bedrijf van de voorgenomen wijzigingen) kenbaar te worden gemaakt. Indien het Bedrijf ervoor kiest om de Subverwerker waartegen bezwaar is gemaakt aan te houden, zal het Bedrijf de Klant ten minste veertien (14) dagen voordat het de Subverwerker toestemming geeft om Persoonsgegevens te verwerken hiervan op de hoogte stellen, waarna de Klant het gebruik van het betreffende deel van de Diensten onmiddellijk kan staken en het betreffende deel van de Diensten kan beëindigen.
8.4. Aansprakelijkheid voor Subverwerkers
Voor alle duidelijkheid: indien een Subverwerker zijn verplichtingen onder een subverwerkingsovereenkomst of onder de toepasselijke wetgeving niet nakomt, blijft het Bedrijf volledig aansprakelijk jegens de Klant voor de nakoming van zijn verplichtingen onder deze DPA..
9. Controle
9.1. Audits door Klant
Om de naleving van deze DPA te bevestigen, staat het de Klant vrij om een audit uit te voeren door een onafhankelijke derde partij aan te wijzen die in dit verband verplicht is tot geheimhouding. Een dergelijke audit dient plaats te vinden tijdens de normale kantooruren van het Bedrijf en is alleen toegestaan voor zover dit nodig is voor de Klant om de naleving van deze DPA door het Bedrijf te beoordelen. In verband met een dergelijke audit zal de Klant ervoor zorgen dat de auditor:
(a) alle informatie op de bedrijfslocatie van het Bedrijf zal bekijken;
(b) redelijke toegang op locatie en andere beperkingen die redelijkerwijs door het Bedrijf worden opgelegd in acht zal nemen;
(c) het beleid en de procedures van het Bedrijf zal naleven, en
(d) de bedrijfsactiviteiten van het Bedrijf niet op onredelijke wijze zal verstoren. Het Bedrijf behoudt zich het recht voor om een audit te beperken of op te schorten in geval van schending van de in dit artikel 8 genoemde voorwaarden.
9.2. Extra Audits
In het geval dat de Klant, een toezichthouder of gegevensbeschermingsautoriteit aanvullende informatie of een audit vereist met betrekking tot de Diensten, dan stemt het Bedrijf ermee in om zijn gegevensverwerkingsfaciliteiten, gegevensbestanden en documentatie die nodig zijn voor het verwerken van Persoonsgegevens te onderwerpen aan een audit door de Klant (of een derde partij, zoals inspectieagenten of auditors, geselecteerd door de Klant) om de naleving van deze DPA vast te stellen, op voorwaarde dat de auditor hiervan op de hoogte wordt gesteld en de auditor rechtstreeks een geheimhoudingsovereenkomst aangaat met het Bedrijf. Het Bedrijf stemt ermee in om redelijke medewerking te verlenen aan de Klant in de loop van dergelijke activiteiten, met inbegrip van het verstrekken van alle relevante informatie en toegang tot alle apparatuur, software, gegevens, bestanden, informatiesystemen, enz. die worden gebruikt voor de uitvoering van Diensten, met inbegrip van de verwerking van Persoonsgegevens. Dergelijke audits worden uitgevoerd op kosten van de Klant.
9.3. Voorwaarden voor Audits
De audit kan alleen worden uitgevoerd wanneer er specifieke redenen zijn om misbruik van Persoonsgegevens te vermoeden, en niet eerder dan twee weken nadat de Klant het Bedrijf schriftelijk op de hoogte heeft gesteld.
9.4. Opvolging van Auditbevindingen
De bevindingen met betrekking tot de uitgevoerde audit
zullen worden besproken en geëvalueerd door de partijen en, indien van toepassing, dienovereenkomstig worden geïmplementeerd, al naar gelang het geval door een van de partijen of gezamenlijk door beide partijen. De kosten van de audit komen voor rekening van de Klant.
10. Melding van een Datalek
10.1. Melding van Datalekken
In het geval dat het Bedrijf op de hoogte is van een inbreuk op de beveiliging die resulteert in de onopzettelijke, ongeautoriseerde of onwettige vernietiging of ongeautoriseerde bekendmaking van of toegang tot Persoonsgegevens, zal het Bedrijf de Klant hiervan naar beste vermogen onverwijld op de hoogte stellen, waarna de Klant zal bepalen of hij de betrokkenen en/of de relevante regelgevende instantie(s) al dan niet op de hoogte zal stellen. Deze meldplicht geldt ongeacht de impact van het lek. Het Bedrijf zal ernaar streven dat de verstrekte informatie volledig, juist en nauwkeurig is.
10.2. Samenwerking bij Meldingen
Indien vereist door wet- en/of regelgeving zal het Bedrijf meewerken aan het in kennis stellen van de relevante autoriteiten en/of betrokkenen. De Klant blijft verantwoordelijk voor alle wettelijke verplichtingen in verband hiermee.
10.3. Informatie bij Meldingen
De meldplicht omvat in ieder geval de plicht tot het melden van het feit dat zich een lek heeft voorgedaan, met inbegrip van gegevens over:
– De (vermoedelijke) oorzaak van het lek.
– De (thans bekende en/of verwachte) gevolgen daarvan.
– De (voorgestelde) oplossing.
– De reeds genomen maatregelen..
11. Verwijdering en teruggave van Persoonsgegevens
11.1. Teruggave of Vernietiging van Persoonsgegevens
De partijen komen overeen dat bij beëindiging van de levering van gegevensverwerkingsdiensten, het Bedrijf en zijn onderaannemers, naar keuze van de Klant, alle doorgegeven Persoonsgegevens en de kopieën daarvan aan de Klant zullen retourneren of alle Persoonsgegevens zullen vernietigen en aan de Klant zullen verklaren dat zij dit hebben gedaan, tenzij wetgeving die aan het Bedrijf is opgelegd, het Bedrijf belet om alle of een deel van de doorgegeven Persoonsgegevens te retourneren of te vernietigen. In dat geval garandeert het Bedrijf dat het de vertrouwelijkheid van de doorgegeven Persoonsgegevens zal waarborgen en de doorgegeven Persoonsgegevens niet meer actief zal verwerken.
Het Bedrijf en zijn onderaannemers garanderen dat zij op verzoek van de Klant en/of van de toezichthoudende autoriteit hun gegevensverwerkingsfaciliteiten zullen onderwerpen aan een audit van de maatregelen waarnaar wordt verwezen in Sectie 8.
12. Toepasselijk recht/Forum
12.1. Toepasselijk Recht en Bevoegdheidsbepalingen
Deze DPA wordt beheerst door en geïnterpreteerd in overeenstemming met het toepasselijk recht en de bevoegdheidsbepalingen in de Overeenkomst, tenzij anders vereist door de toepasselijke Gegevensbeschermingswetten.
12.2. Vertrouwelijkheid van Arbitrage
De partijen stemmen ermee in om alle details van de arbitrageprocedure en de arbitrale uitspraak strikt vertrouwelijk te houden en zullen alle redelijke inspanningen leveren om de gepaste maatregelen te nemen om de ongeoorloofde bekendmaking van de procedure, alle informatie die in verband daarmee bekend wordt gemaakt en de toegekende uitspraak te voorkomen.
Bijlage Nr. 1
Beschrijving van de technische en organisatorische maatregelen
Het Bedrijf zal de in deze bijlage beschreven maatregelen implementeren, mits de maatregelen direct of indirect bijdragen of kunnen bijdragen aan de bescherming van Persoonsgegevens gedurende de periode dat het Bedrijf Diensten verleent aan de Klant. Indien het Bedrijf van mening is dat een maatregel niet noodzakelijk is voor de betreffende Dienst of een deel daarvan, zal het Bedrijf dit rechtvaardigen en tot overeenstemming komen met de Klant.
De technische en organisatorische maatregelen zijn onderhevig aan technische vooruitgang en ontwikkeling. In dit opzicht is het Bedrijf toegestaan om alternatieve adequate maatregelen te implementeren. Het beveiligingsniveau moet in overeenstemming zijn met de beste beveiligingspraktijken in de branche en mag niet lager zijn dan de maatregelen die in dit document worden beschreven.
1. Risicobeheer
1.1. Beheer van beveiligingsrisico’s
De Onderneming identificeert en evalueert beveiligingsrisico’s met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid. Op basis van deze evaluatie worden passende technische en organisatorische maatregelen geïmplementeerd om een beveiligingsniveau te handhaven dat evenredig is aan het vastgestelde risico.
De onderneming heeft gedocumenteerde processen en procedures voor het omgaan met risico’s binnen haar operationele activiteiten. Deze processen en procedures bieden richtlijnen voor het effectief beheren en minimaliseren van geïdentificeerde risico’s.
Periodiek evalueert de onderneming de risico’s met betrekking tot haar informatiesystemen en de verwerking, opslag en verzending van informatie. Deze evaluaties zijn essentieel om ervoor te zorgen dat de beveiligingsmaatregelen up-to-date zijn en blijven afgestemd op de veranderende risicolandschap.
1.2. Beheer van beveiligingsrisico’s voor persoonsgegevens
1.2.1. De Onderneming identificeert en evalueert beveiligingsrisico’s met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid, met specifieke aandacht voor de verwerking van Persoonsgegevens. Op basis van deze evaluatie worden geschikte technische en organisatorische maatregelen geïmplementeerd om een beveiligingsniveau te waarborgen dat in lijn is met het risico dat specifieke soorten Persoonsgegevens en bijbehorende doeleinden met zich meebrengen. Deze maatregelen omvatten, indien van toepassing:
– Het pseudonimiseren en versleutelen van Persoonsgegevens.
– Het waarborgen van de permanente vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten.
– Het vermogen om de beschikbaarheid van en toegang tot de Gegevens van de Klant tijdig te herstellen in geval van fysieke of technische incidenten.
– Een proces voor regelmatige tests, beoordelingen en evaluaties van de effectiviteit van technische en organisatorische maatregelen ter waarborging van de beveiliging van de verwerking..
1.2.2. De
Persoonsgegevens namens de Klant.
Het bedrijf heeft gedocumenteerde processen en procedures voor het omgaan met risico’s met betrekking tot de verwerking van Persoonsgegevens namens de Klant. Deze processen en procedures zorgen ervoor dat Persoonsgegevens op een veilige en wettelijk conforme manier worden behandeld.
1.2.3. Periodiek beoordeelt het bedrijf de risico’s met betrekking tot informatiesystemen en de verwerking, opslag en verzending van Persoonsgegevens om ervoor te zorgen dat de beveiligingsmaatregelen actueel zijn en blijven afgestemd op de veranderende bedreigingsomgeving.
1.3. Informatiebeveiligingsbeleid
1.3.1. De Onderneming heeft een gedocumenteerd systeem voor het beheer van informatiebeveiliging, inclusief een informatiebeveiligingsbeleid en bijbehorende procedures. Deze documenten worden goedgekeurd door de directie van de Onderneming en zijn beschikbaar gesteld binnen de organisatie. Alle relevante medewerkers worden op de hoogte gebracht van deze beleidsdocumenten.
1.3.2. Het beveiligingsbeleid en de bijbehorende procedures worden regelmatig geëvalueerd en bijgewerkt indien nodig, om ervoor te zorgen dat ze in overeenstemming zijn met de beveiligingsvereisten uiteengezet in deze bijlage.
2. Organisatie van Informatiebeveiliging
– De onderneming definieert en documenteert beveiligingstaken en -verantwoordelijkheden binnen haar organisatie.
– De onderneming benoemt minimaal één functionaris voor gegevensbescherming met de vereiste competenties op het gebied van beveiliging, belast met de algehele verantwoordelijkheid voor de uitvoering van beveiligingsmaatregelen in overeenstemming met deze bijlage. Deze functionaris fungeert als contactpersoon voor de beveiligingsmedewerkers van de klant..
3. Beveiliging van Personeel
– De onderneming zorgt ervoor dat haar personeel informatie behandelt in overeenstemming met het vereiste vertrouwelijkheidsniveau zoals bepaald in de DPA.
– Het relevante personeel van de onderneming is op de hoogte van het goedgekeurde gebruik van informatie, faciliteiten en systemen in overeenstemming met de DPA.
– De onderneming voert passende screening en achtergrondverificatie uit voor al haar personeel dat opdrachten uitvoert in het kader van de overeenkomst en zorgt ervoor dat dit gedurende de opdracht wordt gehandhaafd.
– De onderneming zorgt ervoor dat personeel van de onderneming met beveiligingsverantwoordelijkheden adequaat wordt opgeleid voor het uitvoeren van beveiligingstaken.
– De onderneming verzorgt regelmatige bewustmakings- en trainingsprogramma’s over beveiliging voor haar personeel, waaronder onderwerpen als:
(a) Hoe om te gaan met de beveiliging van klantinformatie.
(b) Het belang van informatiebeveiliging en gegevensbescherming.
(c) Identificatie van beveiligingsbedreigingen.
(d) Naleving van informatiebeveiligingsbeleid en normen/procedures.
(e) Persoonlijke verantwoordelijkheid voor informatiebeveiliging..
4. Toegangscontrole
Het bedrijf heeft een gedefinieerd en gedocumenteerd beleid voor toegangscontrole dat betrekking heeft op faciliteiten, locaties, netwerken, systemen, applicaties en informatie- of gegevensbronnen. Dit beleid omvat fysieke, logische en externe toegangsbeheersmaatregelen, evenals een proces voor autorisatie van gebruikers en toekenning van gebruikersrechten. Daarnaast zijn er duidelijke procedures vastgesteld voor het intrekken van toegangsrechten en het bevorderen van aanvaardbaar gebruik van toegangsrechten door het bedrijfspersoneel.
Een formeel en gedocumenteerd proces voor de registratie en uitschrijving van gebruikers is geïmplementeerd om ervoor te zorgen dat toegangsrechten op een gecontroleerde manier worden toegewezen en ingetrokken.
Alle toegangsprivileges worden toegewezen op basis van het ‘need-to-know’-principe en het ‘least privilege’-principe, wat betekent dat gebruikers alleen toegang krijgen tot die middelen en informatie die strikt noodzakelijk zijn voor het uitvoeren van hun taken.
Het bedrijf past sterke authenticatie (multifactor) toe voor externe gebruikers en gebruikers die verbinding maken vanaf niet-vertrouwde netwerken om een extra beveiligingslaag te bieden.
Het bedrijf waarborgt dat elk bedrijfspersoneelslid beschikt over een persoonlijke en unieke identificatiecode (gebruikers-ID) en maakt gebruik van passende authenticatietechnieken om de identiteit van gebruikers te verifiëren en te garanderen.
5. Fysieke en Omgevingsbeveiliging
De onderneming handhaaft bescherming van haar informatieverwerkingsfaciliteiten tegen externe en omgevingsbedreigingen, inclusief stroom- en kabelstoringen, en andere storingen in ondersteunende nutsvoorzieningen. Deze beveiliging omvat fysieke perimeter- en toegangscontroles.
6. Bedrijfsbeveiliging
De onderneming heeft een systeem voor veranderingsbeheer geïmplementeerd voor het doorvoeren van veranderingen in bedrijfsprocessen, informatieverwerkingsfaciliteiten en systemen. Dit systeem omvat tests en beoordelingen voordat veranderingen worden doorgevoerd, evenals procedures voor het afhandelen van dringende veranderingen, rollbackprocedures om te herstellen van mislukte veranderingen, en logboeken die de aard van de verandering, het tijdstip van implementatie en de verantwoordelijke partij documenteren.
Het Bedrijf zal bescherming tegen malware implementeren om ervoor te zorgen dat alle software die wordt gebruikt voor het leveren van diensten aan de Klant, beschermd is tegen malware.
Het Bedrijf maakt regelmatig back-ups van kritieke informatie en voert tests uit om te garanderen dat deze informatie hersteld kan worden volgens de overeengekomen procedures met de Klant.
Het Bedrijf registreert en bewaakt activiteiten, waaronder het creëren, lezen, kopiëren, wijzigen en verwijderen van verwerkte gegevens, evenals uitzonderingen, fouten en informatiebeveiligingsgebeurtenissen. Deze activiteiten worden regelmatig beoordeeld. De loggegevens worden beschermd en opgeslagen volgens wettelijke vereisten (ten minste 6 maanden of de periode vastgesteld door de Wet Bescherming Persoonsgegevens), en het Bedrijf verstrekt bewakingsgegevens op verzoek aan de Klant. Anomalieën, incidenten en indicatoren van compromittering worden gerapporteerd in overeenstemming met de vereisten voor het beheer van datalekken zoals beschreven in Artikel 9 hieronder.
7. 7. Communicatiebeveiliging
De onderneming implementeert netwerkbeveiligingscontroles, zoals service levels, firewalls en scheiding, om haar informatiesystemen te beschermen. Deze controles zorgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en gegevens tijdens de communicatie.
8. Bedrijfsrelatie met onderleveranciers
Inbedding van Beveiligingsvereisten in Overeenkomsten met Subverwerkers
Het bedrijf weerspiegelt de inhoud van deze bijlage in zijn overeenkomsten met subverwerkers die taken uitvoeren die onder de gegevensbeschermingsovereenkomst vallen.
Het bedrijf voert regelmatige controles, beoordelingen en audits uit om de naleving van deze bijlage door subverwerkers te waarborgen.
Op verzoek van de Klant verstrekt het Bedrijf bewijsmateriaal aan de Klant met betrekking tot de naleving van deze bijlage door Subverwerkers.
9. Beheer van datalekken
Procedures voor Beheer van Datalekken
Het Bedrijf heeft procedures vastgesteld voor het beheer van datalekken.
Het Bedrijf informeert de Klant onmiddellijk, maar uiterlijk binnen 36 uur na vaststelling, over elk datalek, inclusief incidenten met betrekking tot de verwerking van Persoonsgegevens.
Alle meldingen van beveiligingsincidenten worden behandeld als vertrouwelijke informatie en worden versleuteld volgens de geldende normen.
Meldingen van datalekken bevatten ten minste:
– De aard van het datalek.
– De soorten getroffen Persoonsgegevens.
– De categorieën en het aantal betrokkenen.
– Het aantal betrokken Persoonsgegevensrecords.
– De genomen maatregelen om de inbreuk aan te pakken.
– De mogelijke gevolgen van het datalek.
– Alle andere informatie die de Klant wettelijk verplicht is te melden aan de betrokken toezichthouder of betrokkene.
Het Bedrijf zal de Klant geen kosten in rekening brengen voor ondersteunende diensten in overeenstemming met dit Artikel 9..
10. Beheer van bedrijfscontinuïteit
De Onderneming identificeert risico’s met betrekking tot bedrijfscontinuïteit en neemt proactieve maatregelen om deze risico’s te monitoren en te beperken.
Er zijn gedocumenteerde processen en procedures vastgesteld voor het beheer van bedrijfscontinuïteit binnen het bedrijf. Deze processen en procedures voorzien in richtlijnen voor het omgaan met situaties die de bedrijfscontinuïteit kunnen beïnvloeden.
De Vennootschap zorgt ervoor dat informatiebeveiliging is geïntegreerd in de bedrijfscontinuïteitsplannen om ervoor te zorgen dat deze plannen rekening houden met de bescherming van informatie en gegevens.
De onderneming voert periodieke evaluaties uit van de effectiviteit van haar bedrijfscontinuïteitsbeheer en zorgt ervoor dat deze in overeenstemming zijn met eventuele beschikbaarheidsvereisten.
De onderneming streeft ernaar haar bedrijfscontinuïteitsmaatregelen voortdurend te verbeteren om de risico’s voor bedrijfscontinuïteit te minimaliseren en de beschikbaarheid van services te waarborgen.
Voor meer informatie kunt u contact opnemen met [email protected].
