Overeenkomst gegevensbescherming (GDPR)

1. Definities
1.1. Voor de doeleinden van deze DPA:

"Persoonsgegevens": alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); een identificeerbare natuurlijke persoon kan direct of indirect worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

"Wet Bescherming Persoonsgegevens" betekent alle toepasselijke wetten, voorschriften en andere wettelijke vereisten met betrekking tot (a) privacy, gegevensbeveiliging, consumentenbescherming, marketing, promotie en tekstberichten, e-mail en andere communicatie; en (b) het gebruik, de verzameling, het bewaren, de opslag, de beveiliging, de openbaarmaking, de overdracht, de verwijdering en andere verwerking van Persoonsgegevens;

"Filiaal van de Onderneming" betekent een entiteit die direct of indirect zeggenschap heeft over de Onderneming, waarover zeggenschap wordt uitgeoefend door de Onderneming of waarover gezamenlijk zeggenschap wordt uitgeoefend. In deze definitie betekent "zeggenschap" direct of indirect eigendom van of zeggenschap over meer dan 50% van de stemgerechtigde belangen van de betreffende entiteit;

"Diensten" betekent elk van de volgende diensten die door het Bedrijf worden geleverd: (a) productaanbiedingen onder het merk van het Bedrijf die beschikbaar worden gesteld via de website van het Bedrijf, (b) advies- of trainingsdiensten die door het Bedrijf worden geleverd, hetzij op afstand via het internet of persoonlijk, en (c) alle ondersteunende diensten die door het Bedrijf worden geleverd, inclusief toegang tot de helpdesk van het Bedrijf;

de termen "gegevensbeheerder", "gegevensverwerker", "betrokkene", "persoonsgegevens", "verwerking" en "passende technische en organisatorische maatregelen" hebben de betekenis die eraan wordt gegeven in de toepasselijke wetgeving inzake gegevensbescherming.

2. Onderwerp, aard en doel van de verwerking van persoonsgegevens door het bedrijf

2.1. Het onderwerp, de aard en het doel van de verwerking van Persoonsgegevens op grond van deze DPA is de uitvoering van de Diensten door het Bedrijf zoals verder schriftelijk geïnstrueerd door de Klant in zijn gebruik van de Diensten, tenzij anders vereist door de Wet Bescherming Persoonsgegevens, in welk geval het Bedrijf, voor zover toegestaan door de Wet Bescherming Persoonsgegevens, de Klant op de hoogte zal stellen van deze wettelijke vereiste voordat de verwerking wordt uitgevoerd. Het Bedrijf zal alleen Persoonsgegevens verzamelen of verwerken voor de periode waarin de Diensten worden verleend, voor zover en op een wijze die noodzakelijk is voor het verlenen van de Diensten en in overeenstemming met de DPA en de Wet Bescherming Persoonsgegevens die op het Bedrijf van toepassing zijn.

3. Duur

3.1. De verwerking van Persoonsgegevens zal worden uitgevoerd door het Bedrijf zolang de Diensten Account van de Klant bestaat of zoals nodig is voor de uitvoering van de verplichtingen en rechten tussen het Bedrijf en de Klant tenzij schriftelijk anders is overeengekomen.

4. Type Verwerkte Persoonlijke Gegevens

4.1. De Klant kan Persoonsgegevens van de Klant aan de Diensten verstrekken, waarvan de omvang naar eigen goeddunken door de Klant wordt bepaald en gecontroleerd, en die de volgende categorieën Persoonsgegevens kunnen omvatten, maar daartoe niet zijn beperkt:

- Accountinformatie. Wanneer de Klant zich aanmeldt voor een Services Account, is bepaalde informatie vereist, zoals de naam en e-mail. De Klant kan zijn informatie en e-mailvoorkeuren op elk gewenst moment bijwerken of corrigeren door de Services Account te bezoeken. Het Bedrijf kan de Klant aanvullende ondersteuning bieden bij het openen, corrigeren, verwijderen of wijzigen van de informatie die de Klant

verstrekt aan het Bedrijf en gekoppeld aan de Dienstenaccount van de Klant. Ter bescherming van de veiligheid neemt het Bedrijf redelijke stappen (zoals het opvragen van wettelijke informatie) om de identiteit van de Klant te verifiëren voordat correcties worden doorgevoerd. De Klant is te allen tijde verantwoordelijk voor het geheim houden van het wachtwoord en de informatie van de Services Account van de Klant.

• Aanvullende profielinformatie. De Klant kan ervoor kiezen om aanvullende informatie te verstrekken als onderdeel van zijn profiel. Profielinformatie helpt de Klant om meer uit de Diensten te halen. Het is de keuze van de Klant om gevoelige informatie op te nemen in zijn profiel.
• Andere informatie. De Klant kan er anderszins voor kiezen om het Bedrijf informatie te verstrekken wanneer de Klant een formulier invult, een zoekopdracht uitvoert, informatie bijwerkt of toevoegt aan zijn Services Account, reageert op enquêtes, post op community forums, deelneemt aan promoties, of andere functies van het Services platform gebruikt.3. Verplichtingen van het Bedrijf

  3.1. Het Bedrijf stemt ermee in en/of garandeert het volgende:

1. (a) de Persoonsgegevens uitsluitend te verwerken namens de Klant en in overeenstemming met zijn instructies en de DPA; als hij om welke reden dan ook niet in staat is deze naleving te bieden, stemt hij ermee in de Klant onmiddellijk te informeren over zijn onvermogen tot naleving, in welk geval de Klant het recht heeft om de overdracht van gegevens op te schorten en/of de Diensten te beëindigen;
2. (b) dat alle Persoonsgegevens die namens de Klant worden verwerkt, eigendom blijven van de Klant en/of de betreffende Betrokkenen;
3. (c) dat zij geen reden heeft om aan te nemen dat de op haar van toepassing zijnde wetgeving haar belemmert om de van de Klant ontvangen instructies en haar verplichtingen onder de DPA na te komen en dat zij in het geval van een wijziging in deze wetgeving die waarschijnlijk een substantieel negatief effect zal hebben op de garanties en verplichtingen onder de DPA, de Klant onmiddellijk op de hoogte zal stellen van de wijziging zodra zij daarvan op de hoogte is, in welk geval de Klant het recht heeft om de overdracht van gegevens op te schorten en/of de Diensten te beëindigen;
4. (d) dat hij de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in Bijlage 1 heeft geïmplementeerd voordat hij de doorgegeven Persoonsgegevens verwerkt;
5. (e) dat zij de Klant onmiddellijk op de hoogte zal stellen van:
   1. elk wettelijk bindend verzoek tot openbaarmaking van de Persoonsgegevens door een wetshandhavingsinstantie, tenzij anderszins verboden, zoals een verbod onder strafrecht om de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;
   2. onopzettelijke of onbevoegde toegang; en
   3. elk verzoek dat rechtstreeks van de betrokkenen wordt ontvangen zonder op dat verzoek in te gaan, tenzij zij daartoe anderszins gemachtigd is;
6. (f) alle vragen van de Klant met betrekking tot zijn verwerking van de Persoonsgegevens die worden doorgegeven, snel en correct af te handelen en zich te houden aan het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de doorgegeven gegevens;
7. (g) op verzoek van de Klant zijn gegevensverwerkingsfaciliteiten ter beschikking te stellen voor een audit van de verwerkingsactiviteiten die onder de DPA vallen;

(h)dat zij, in geval van subverwerking, de Klant vooraf heeft geïnformeerd en diens voorafgaande schriftelijke toestemming heeft verkregen;

(i) dat de verwerkingsdiensten door de subverwerker zullen worden uitgevoerd in overeenstemming met sectie 7;

(j) een functionaris voor gegevensbescherming aanstellen, die zijn/haar taken uitvoert in overeenstemming met de Wet bescherming persoonsgegevens. De contactgegevens van de functionaris voor gegevensbescherming zijn beschikbaar op de webpagina van het bedrijf.

(k) alleen die medewerkers te belasten met de gegevensverwerking zoals beschreven in deze DPA die tot geheimhouding verplicht zijn en vooraf bekend zijn gemaakt met de bepalingen inzake gegevensbescherming die relevant zijn voor hun werk. Het Bedrijf en elke persoon die onder zijn gezag handelt en toegang heeft tot Persoonsgegevens, zal deze gegevens niet verwerken, tenzij op instructie van de Klant, tenzij de Wet Bescherming Persoonsgegevens dit vereist;

(l) het periodiek controleren van de interne processen om ervoor te zorgen dat de verwerking binnen het verantwoordelijkheidsgebied van het bedrijf in overeenstemming is met de vereisten van de Wet Bescherming Persoonsgegevens en de bescherming van de rechten van de betrokkene.

5. Verplichtingen van de klant

5.1. De Klant stemt ermee in en/of garandeert het volgende:

1. (a) dat de verwerking, inclusief de doorgifte zelf, van de Persoonsgegevens is uitgevoerd en zal blijven worden uitgevoerd in overeenstemming met de relevante bepalingen van de Wet Bescherming Persoonsgegevens en de relevante bepalingen niet schendt;
2. (b) dat hij het Bedrijf heeft geïnstrueerd en gedurende de gehele looptijd van de diensten voor de verwerking van persoonsgegevens zal instrueren om de doorgegeven Persoonsgegevens uitsluitend namens de Klant en in overeenstemming met de Wet Bescherming Persoonsgegevens en de DPA te verwerken;
3. (c) dat het Bedrijf voldoende garanties zal geven met betrekking tot de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in Bijlage 1 van deze DPA;

(d) dat de beveiligingsmaatregelen, na beoordeling van de eisen van de gegevensbeschermingswet, geschikt zijn om Persoonsgegevens te beschermen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en dat deze maatregelen een passend beveiligingsniveau waarborgen gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich meebrengen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging ervan;

5. (e) dat zij zal toezien op de naleving van de beveiligingsmaatregelen;
6. (f) de Diensten alleen te benaderen en te gebruiken voor legale, geautoriseerde en acceptabele doeleinden. De Klant zal de Diensten niet gebruiken (of anderen helpen bij het gebruik ervan) op manieren die: (a) de rechten van het Bedrijf, zijn gebruikers of anderen schenden, verduisteren of er inbreuk op maken, met inbegrip van privacy-, publiciteits-, intellectuele eigendoms- of andere eigendomsrechten; (b) onwettig, obsceen, lasterlijk, bedreigend, intimiderend, intimiderend, haatdragend, racistisch of etnisch beledigend zijn, of aanzetten tot of aanzetten tot gedrag dat onwettig of anderszins ongepast zou zijn; (c) betrekking hebben op het publiceren van onwaarheden, onjuiste voorstellingen van zaken of misleidende verklaringen; (d) zich voordoen als iemand; (e) betrekking hebben op het verzenden van illegale of ontoelaatbare communicatie zoals bulkberichten, automatische berichtenuitwisseling, automatisch bellen en dergelijke; of (f) betrekking hebben op enig ander gebruik van de Services zoals voorgeschreven in deze DPA, tenzij anderszins toegestaan door het Bedrijf;
7. (g) het Dienstenplatform niet te openen, te gebruiken, te kopiëren, aan te passen, te wijzigen, er afgeleide werken op te baseren, te verspreiden, in licentie te geven, in onderlicentie te geven, over te dragen, weer te geven, uit te voeren of anderszins te exploiteren op ontoelaatbare of ongeoorloofde manieren, of op manieren die het Bedrijf, het Dienstenplatform, systemen, andere gebruikers of anderen belasten, benadelen of schaden, met inbegrip van het feit dat de Klant niet rechtstreeks of via geautomatiseerde middelen: (a) reverse-engineering, wijziging, aanpassing, afgeleide werken maken van, decompileren of code extraheren van het Dienstenplatform; (b) virussen of andere schadelijke computercode verzenden, opslaan of verzenden via of naar het Dienstenplatform; (c) ongeautoriseerde toegang verkrijgen of proberen te verkrijgen tot het Dienstenplatform of systemen; (d) de integriteit of prestaties van het Dienstenplatform verstoren of verstoren; (e) op ongeoorloofde of geautomatiseerde wijze accounts aan te maken voor het Services platform; (f) op ongeoorloofde of ongeoorloofde wijze informatie te verzamelen van of over andere gebruikers; (g) het Services platform te verkopen, door te verkopen, te verhuren of in rekening te brengen; of (h) het Services platform te distribueren of beschikbaar te maken via een netwerk waar het door meerdere apparaten tegelijkertijd kan worden gebruikt;

(h)dat de Klant verantwoordelijk is voor het veilig en beveiligd houden van de Services Account van de Klant, en dat de Klant het Bedrijf onmiddellijk op de hoogte zal stellen van elk ongeoorloofd gebruik of inbreuk op de beveiliging van de Account van de Klant of het Dienstenplatform;

(i) dat het Bedrijf de Klant een beperkte, herroepbare, niet-exclusieve, niet-sublicentieerbare en niet-overdraagbare licentie verleent om het Dienstenplatform te gebruiken. Deze licentie is uitsluitend bedoeld om de Klant in staat te stellen het Dienstenplatform te gebruiken op de manier die door deze DPA wordt toegestaan. Er zijn geen licenties of rechten

impliciet of anderszins aan de Klant worden verleend, met uitzondering van de licenties en rechten die uitdrukkelijk aan de Klant worden verleend.

6. Technische en organisatorische maatregelen

6.1. Het Bedrijf zal de passende technische en organisatorische maatregelen nemen om Persoonsgegevens adequaat te beschermen tegen onopzettelijke of onwettige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van of toegang tot Persoonsgegevens, zoals beschreven in Bijlage 1. Dergelijke maatregelen omvatten, maar zijn niet beperkt tot, fysieke en IT-maatregelen, en organisatorische maatregelen om:

1. (a) het voorkomen dat onbevoegden toegang krijgen tot systemen voor de verwerking van Persoonsgegevens (fysieke toegangscontrole),
2. (b) het voorkomen dat systemen voor de verwerking van Persoonsgegevens zonder autorisatie worden gebruikt (logische toegangscontrole),
3. (c) ervoor te zorgen dat personen die gerechtigd zijn om een systeem voor de verwerking van Persoonsgegevens te gebruiken, alleen toegang hebben tot die Persoonsgegevens waartoe zij op grond van hun toegangsrechten gerechtigd zijn, en dat de Persoonsgegevens tijdens de verwerking of het gebruik en na de opslag niet zonder machtiging kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd (controle op de toegang tot de gegevens),

(d)ervoor zorgen dat Persoonsgegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens elektronische overdracht, transport of opslag op opslagmedia, en dat de doelentiteiten voor elke overdracht van Persoonsgegevens door middel van datatransmissievoorzieningen kunnen worden vastgesteld en geverifieerd (controle op gegevensoverdracht),

5. (e) ervoor zorgen dat een controlespoor wordt aangelegd om te documenteren of en door wie Persoonsgegevens zijn ingevoerd in, gewijzigd in of verwijderd uit systemen voor de verwerking van Persoonsgegevens (toegangscontrole),
6. (f) ervoor zorgen dat Persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies (beschikbaarheidscontrole).

6.2. De technische en organisatorische maatregelen zijn onderhevig aan technische vooruitgang en verdere ontwikkeling. In dit opzicht mag het bedrijf alternatieve adequate maatregelen implementeren, maar het beveiligingsniveau van de gedefinieerde maatregelen mag nooit worden verlaagd. Belangrijke wijzigingen moeten worden gedocumenteerd.

7. Subverwerkers

7.1. De Klant stemt ermee in dat het Bedrijf Filialen van het Bedrijf of derden kan inschakelen om Persoonsgegevens te verwerken om het Bedrijf te helpen bij het leveren van de Diensten namens de Klant ("Subverwerkers"). Het Bedrijf heeft of zal met elke Subverwerker een schriftelijke overeenkomst aangaan die gegevensbeschermingsverplichtingen bevat die niet minder beschermend zijn dan die in deze DPA, voor zover van toepassing op de aard van de Diensten die door deze Subverwerker worden geleverd. Als de Subverwerker de Diensten buiten de EU/EER verwerkt, zal het Bedrijf ervoor zorgen dat de overdracht plaatsvindt overeenkomstig de door de Europese Commissie goedgekeurde modelcontractbepalingen voor de overdracht van Persoonsgegevens die de Klant het Bedrijf machtigt om namens hem af te sluiten, of dat er andere passende wettelijke mechanismen voor gegevensoverdracht worden gebruikt.

7.2. De huidige Subverwerkers voor de Diensten staan vermeld op de website van het Bedrijf ("Subverwerkerslijst") en de Klant stemt ermee in en stemt ermee in dat het Bedrijf dergelijke Subverwerkers heeft ingeschakeld om Persoonsgegevens te verwerken zoals vermeld in de lijst. Het Bedrijf zal kennisgeving doen van een nieuwe Subverwerker(s) voordat het Bedrijf een nieuwe Subverwerker(s) machtigt om Persoonsgegevens te verwerken in verband met de verlening van de toepasselijke Dienst.

7.3. Het Bedrijf stelt de Klant dertig (30) dagen van tevoren op de hoogte van voorgenomen wijzigingen betreffende de toevoeging of vervanging van een Subverwerker, gedurende welke periode de Klant bezwaar kan maken tegen de benoeming van de Subverwerker. Eventuele bezwaren dienen onverwijld (en in ieder geval niet later dan veertien (14) dagen na de kennisgeving door het Bedrijf van de voorgenomen wijzigingen) kenbaar te worden gemaakt. Indien het Bedrijf ervoor kiest om de Subverwerker waartegen bezwaar is gemaakt in dienst te houden, zal het Bedrijf de Klant ten minste veertien (14) dagen voordat het de Subverwerker toestemming geeft om Persoonsgegevens te verwerken hiervan op de hoogte stellen, waarna de Klant het gebruik van het betreffende deel van de Diensten onmiddellijk kan staken en het betreffende deel van de Diensten kan beëindigen.

7.4. Om twijfel te voorkomen: als een Subverwerker zijn verplichtingen onder een subverwerkingsovereenkomst of onder de toepasselijke wetgeving niet nakomt, blijft het Bedrijf volledig aansprakelijk jegens de Klant voor de nakoming van zijn verplichtingen onder deze DPA.

8. Controle

8.1. Om de naleving van deze DPA te bevestigen, staat het de Klant vrij om een audit uit te voeren door een onafhankelijke derde partij aan te wijzen die in dit verband verplicht is tot geheimhouding. Een dergelijke audit dient plaats te vinden tijdens de normale kantooruren van het Bedrijf en is alleen toegestaan voor zover dit nodig is voor de Klant om de naleving van deze DPA door het Bedrijf te beoordelen. In verband met een dergelijke audit zal de Klant ervoor zorgen dat de auditor: (a) alle informatie op de bedrijfslocatie van het Bedrijf zal bekijken; (b) redelijke toegang op locatie en andere beperkingen die redelijkerwijs door het Bedrijf worden opgelegd in acht zal nemen; (c) het beleid en de procedures van het Bedrijf zal naleven, en (d) de bedrijfsactiviteiten van het Bedrijf niet op onredelijke wijze zal verstoren. Het Bedrijf behoudt zich het recht voor om een audit te beperken of op te schorten in geval van schending van de in dit artikel 8 genoemde voorwaarden.

8.2. In het geval dat de Klant, een toezichthouder of gegevensbeschermingsautoriteit aanvullende informatie of een audit vereist met betrekking tot de Diensten, dan stemt het Bedrijf ermee in om zijn gegevensverwerkingsfaciliteiten, gegevensbestanden en documentatie die nodig zijn voor het verwerken van Persoonsgegevens te onderwerpen aan een audit door de Klant (of een derde partij, zoals inspectieagenten of auditors, geselecteerd door de Klant) om de naleving van deze DPA vast te stellen, onder voorbehoud van kennisgeving en het aangaan van een geheimhoudingsovereenkomst door de auditor rechtstreeks met het Bedrijf. Het Bedrijf stemt ermee in om redelijke medewerking te verlenen aan de Klant in de loop van dergelijke activiteiten, met inbegrip van het verstrekken van alle relevante informatie en toegang tot alle apparatuur, software, gegevens, bestanden, informatiesystemen, enz. die worden gebruikt voor de uitvoering van Diensten, met inbegrip van de verwerking van Persoonsgegevens. Dergelijke controles worden uitgevoerd op kosten van de Klant.

8.3. De controle kan alleen worden uitgevoerd wanneer er specifieke redenen zijn om misbruik van Persoonsgegevens te vermoeden, en niet eerder dan twee weken nadat de Klant het Bedrijf schriftelijk op de hoogte heeft gesteld.

8.4. De bevindingen met betrekking tot de uitgevoerde audit zullen worden besproken en geëvalueerd door de partijen en, indien van toepassing, dienovereenkomstig worden geïmplementeerd door een van de partijen of gezamenlijk door beide partijen. De kosten van de audit zijn voor rekening van de Klant.

9. Melding van een datalek

9.1. In het geval dat het Bedrijf op de hoogte is van een inbreuk op de beveiliging die resulteert in de onopzettelijke, ongeautoriseerde of onwettige vernietiging of ongeautoriseerde bekendmaking van of toegang tot Persoonsgegevens, zal het Bedrijf naar beste vermogen de Klant hiervan onverwijld op de hoogte stellen, waarna de Klant zal bepalen of hij de betrokkenen en/of de relevante regelgevende instantie(s) al dan niet op de hoogte zal stellen. Deze meldplicht geldt ongeacht de impact van het lek. Het Bedrijf zal ernaar streven dat de verstrekte informatie volledig, juist en nauwkeurig is.

9.2. Indien vereist door wet- en/of regelgeving zal het Bedrijf meewerken aan het informeren van de relevante autoriteiten en/of betrokkenen. De Klant blijft verantwoordelijk voor alle wettelijke verplichtingen in verband hiermee.

9.3. De meldingsplicht omvat in elk geval de plicht om te melden dat er een lek is opgetreden, met inbegrip van details over:

de (vermoedelijke) oorzaak van het lek;
de (momenteel bekende en/of verwachte) gevolgen daarvan; de (voorgestelde) oplossing;
de reeds genomen maatregelen.

10. Verwijdering en teruggave van persoonlijke gegevens

10.1. De partijen komen overeen dat bij beëindiging van de verlening van gegevensverwerkingsdiensten, het Bedrijf en zijn onderaannemers, naar keuze van de Klant, alle doorgegeven Persoonsgegevens en de kopieën daarvan aan de Klant zullen retourneren of alle Persoonsgegevens zullen vernietigen en aan de Klant zullen verklaren dat zij dit hebben gedaan, tenzij wetgeving die aan het Bedrijf is opgelegd, het Bedrijf verbiedt om alle of een deel van de doorgegeven Persoonsgegevens te retourneren of te vernietigen. In dat geval garandeert het Bedrijf dat het de vertrouwelijkheid van de doorgegeven Persoonsgegevens zal waarborgen en de doorgegeven Persoonsgegevens niet actief zal verwerken.

meer. Het Bedrijf en zijn onderaannemers garanderen dat zij op verzoek van de Klant en/of van de toezichthoudende autoriteit hun gegevensverwerkingsfaciliteiten zullen overleggen voor een audit van de maatregelen waarnaar wordt verwezen in Sectie 8.

11. Toepasselijk recht/Forum

11.1. Deze DPA wordt beheerst door en geïnterpreteerd in overeenstemming met het toepasselijk recht en de bevoegdheidsbepalingen in de Overeenkomst, tenzij anders vereist door de toepasselijke wetgeving inzake gegevensbescherming.

11.2. De partijen stemmen ermee in om alle details van de arbitrageprocedure en de arbitrale uitspraak strikt vertrouwelijk te houden en zullen alle redelijke inspanningen leveren om de gepaste maatregelen te nemen om ongeoorloofde bekendmaking van de procedure, alle informatie die in verband daarmee bekend wordt gemaakt en de toegekende uitspraak te voorkomen.

Bijlage nr. 1

Beschrijving van de technische en organisatorische maatregelen die het bedrijf heeft geïmplementeerd:

zal het Bedrijf de in deze bijlage beschreven maatregelen implementeren, mits de maatregelen direct of indirect bijdragen of kunnen bijdragen aan de bescherming van Persoonsgegevens gedurende de periode dat het Bedrijf Diensten verleent aan de Klant. Indien het Bedrijf van mening is dat een maatregel niet noodzakelijk is voor de betreffende Dienst of een deel daarvan, zal het Bedrijf dit rechtvaardigen en tot overeenstemming komen met de Klant.

De technische en organisatorische maatregelen zijn onderhevig aan technische vooruitgang en ontwikkeling. In dit opzicht is het de Onderneming toegestaan om alternatieve adequate maatregelen te implementeren. Het beveiligingsniveau moet in overeenstemming zijn met de beste beveiligingspraktijken in de branche en mag niet lager zijn dan de hierin beschreven maatregelen. Alle belangrijke wijzigingen moeten met de Klant worden overeengekomen en gedocumenteerd.

1. Risicobeheer

1.1. Beheer van veiligheidsrisico's

1. De onderneming identificeert en evalueert beveiligingsrisico's met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid en implementeert op basis van een dergelijke evaluatie passende technische en organisatorische maatregelen om een beveiligingsniveau te garanderen dat is afgestemd op het risico.
2. Het bedrijf heeft gedocumenteerde processen en routines voor het omgaan met risico's binnen zijn activiteiten.
3. Het bedrijf beoordeelt periodiek de risico's met betrekking tot informatiesystemen en het verwerken, opslaan en verzenden van informatie.

1.2. Beheer van beveiligingsrisico's voor persoonsgegevens

1.2.1. De Onderneming identificeert en evalueert beveiligingsrisico's met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid en implementeert op basis van een dergelijke evaluatie passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico van de specifieke soorten Persoonsgegevens en doeleinden die door de Onderneming worden verwerkt, met inbegrip van onder andere passende maatregelen:

• Het pseudonimiseren en versleutelen van Persoonsgegevens;
• Het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te garanderen;
• De mogelijkheid om de beschikbaarheid van en toegang tot de Gegevens van de Klant tijdig te herstellen in geval van een fysiek of technisch incident;
• Een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.

1.2.2. De
Persoonsgegevens namens de Klant.

Het bedrijf heeft gedocumenteerde processen en routines voor het omgaan met risico's bij het verwerken van

1.2.3. Het Bedrijf beoordeelt periodiek de risico's met betrekking tot informatiesystemen en het verwerken, opslaan en verzenden van Persoonsgegevens.

1.3. Informatiebeveiligingsbeleid

1.3.1. De rederij beschikt over een welomschreven en gedocumenteerd systeem voor het beheer van de informatiebeveiliging, met inbegrip van een informatiebeveiligingsbeleid en -procedures, die door de directie van de rederij moeten worden goedgekeurd. Deze worden binnen de organisatie van de rederij gepubliceerd en aan het betrokken personeel van de rederij meegedeeld.

1.3.2. De Onderneming evalueert periodiek het beveiligingsbeleid en de beveiligingsprocedures van de Onderneming en werkt deze indien nodig bij om ervoor te zorgen dat ze in overeenstemming zijn met deze bijlage.

2. Organisatie van informatiebeveiliging

- Het bedrijf heeft de beveiligingsrollen en -verantwoordelijkheden binnen zijn organisatie gedefinieerd en gedocumenteerd.

- De Onderneming benoemt ten minste één functionaris voor gegevensbescherming met passende beveiligingscompetenties die de algehele verantwoordelijkheid draagt voor de uitvoering van de beveiligingsmaatregelen uit hoofde van deze Bijlage en die de contactpersoon is voor de beveiligingsmedewerkers van de Klant.

3. Veiligheid van personeel

- Het bedrijf zorgt ervoor dat het personeel van het bedrijf informatie behandelt in overeenstemming met het niveau van vertrouwelijkheid dat wordt vereist door de DPA.

- Het bedrijf zorgt ervoor dat het relevante personeel van het bedrijf op de hoogte is van het goedgekeurde gebruik (inclusief gebruiksbeperkingen, al naargelang het geval) van informatie, faciliteiten en systemen onder de DPA.

- Het Bedrijf zorgt ervoor dat al het Bedrijfspersoneel dat opdrachten uitvoert in het kader van de Overeenkomst betrouwbaar is, voldoet aan vastgestelde veiligheidscriteria en onderworpen is, en tijdens de duur van de opdracht zal blijven, aan passende screening en achtergrondverificatie.

- De onderneming zorgt ervoor dat het bedrijfspersoneel met beveiligingstaken voldoende is opgeleid om de beveiligingstaken uit te voeren.

- De onderneming verzorgt periodieke trainingen in veiligheidsbewustzijn voor het betreffende bedrijfspersoneel of zorgt ervoor dat dit gebeurt. Deze bedrijfstraining omvat, zonder beperking:

1. (a) Hoe om te gaan met de beveiliging van klantinformatie (d.w.z. de bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie);
2. (b) Waarom informatiebeveiliging nodig is om informatie en systemen van klanten te beschermen;
3. (c) De gangbare soorten bedreigingen voor de beveiliging (zoals identiteitsdiefstal, malware, hacken, uitlekken van informatie en bedreiging van binnenuit);
4. (d) Het belang van het naleven van informatiebeveiligingsbeleid en het toepassen van bijbehorende normen/procedures;
5. (e) Persoonlijke verantwoordelijkheid voor informatiebeveiliging (zoals het beschermen van privacygerelateerde informatie van klanten en het melden van werkelijke en vermoede gegevensschendingen).

4. Toegangscontrole

Het bedrijf heeft een gedefinieerd en gedocumenteerd toegangscontrolebeleid voor faciliteiten, locaties, netwerk-, systeem-, applicatie- en informatie-/gegevenstoegang (inclusief fysieke, logische en externe toegangscontroles), een autorisatieproces voor gebruikerstoegang en -rechten, procedures voor het intrekken van toegangsrechten en aanvaardbaar gebruik van toegangsrechten voor bedrijfspersoneel.

Het bedrijf heeft een formeel en gedocumenteerd proces voor de registratie en uitschrijving van gebruikers geïmplementeerd om de toewijzing van toegangsrechten mogelijk te maken.

Het bedrijf kent alle toegangsprivileges toe op basis van het "need-to-know"-principe en het "least privilege"-principe.

Het bedrijf gebruikt sterke authenticatie (multifactor) voor externe gebruikers en gebruikers die verbinding maken vanaf een niet-vertrouwd netwerk.

Het bedrijf zorgt ervoor dat het bedrijfspersoneel een persoonlijke en unieke identificatiecode (gebruikers-ID) heeft en gebruikt een geschikte authenticatietechniek die de identiteit van gebruikers bevestigt en garandeert.

5. Fysieke en milieuveiligheid

Het bedrijf beschermt informatieverwerkende faciliteiten tegen bedreigingen en gevaren van buitenaf en uit de omgeving, waaronder stroom- en kabelstoringen en andere storingen veroorzaakt door storingen in ondersteunende nutsvoorzieningen. Dit omvat fysieke perimeter- en toegangsbeveiliging.

6. Operationele veiligheid

Het bedrijf beschikt over een systeem voor wijzigingsbeheer voor het doorvoeren van wijzigingen in bedrijfsprocessen, informatieverwerkingsfaciliteiten en systemen. Het veranderingsbeheersysteem omvat tests en beoordelingen voordat veranderingen worden doorgevoerd, zoals procedures voor het afhandelen van urgente veranderingen, rollbackprocedures om te herstellen van mislukte veranderingen, logboeken die laten zien wat er is veranderd, wanneer en door wie.

Het Bedrijf zal bescherming tegen malware implementeren om ervoor te zorgen dat alle software die gebruikt wordt voor de levering van de Diensten door het Bedrijf aan de Klant beschermd is tegen malware.

Het Bedrijf maakt reservekopieën van kritieke informatie en test reservekopieën om ervoor te zorgen dat de informatie kan worden hersteld zoals overeengekomen met de Klant.

Het Bedrijf zal activiteiten, zoals het aanmaken, lezen, kopiëren, wijzigen en verwijderen van verwerkte gegevens, evenals uitzonderingen, fouten en informatiebeveiligingsgebeurtenissen loggen en bewaken en deze regelmatig herzien. Bovendien zal het Bedrijf de loggegevens beschermen en opslaan (gedurende ten minste 6 maanden of de periode(n) die is/zijn vastgesteld door de Wet Bescherming Persoonsgegevens), en op verzoek bewakingsgegevens aan de Klant verstrekken. Anomalieën/incidenten/indicatoren van compromittering worden gerapporteerd volgens de vereisten voor het beheer van datalekken zoals uiteengezet in artikel 9 hieronder.

Het bedrijf beheert kwetsbaarheden van alle relevante technologieën zoals besturingssystemen, databases, applicaties proactief en tijdig.

De onderneming stelt baselines voor beveiliging op (hardening) voor alle relevante technologieën, zoals besturingssystemen, databases en toepassingen.

Het bedrijf zorgt ervoor dat de ontwikkeling wordt gescheiden van de test- en productieomgeving.

7. Communicatiebeveiliging

Het bedrijf implementeert netwerkbeveiligingscontroles zoals serviceniveau, firewalling en scheiding om informatiesystemen te beschermen.

8. Bedrijfsrelatie met onderleveranciers

Het Bedrijf zal de inhoud van deze Bijlage weergeven in zijn overeenkomsten met Subverwerkers die taken uitvoeren die onder de DPA zijn toegewezen.

Het Bedrijf zal de naleving van deze Bijlage door de Sub-verwerker regelmatig controleren, beoordelen en auditen.

Het Bedrijf zal, op verzoek van de Klant, aan de Klant bewijs verstrekken met betrekking tot de naleving van deze Bijlage door Subverwerker.

9. Beheer van datalekken

Het bedrijf heeft procedures opgesteld voor het beheer van datalekken.

Het Bedrijf informeert de Klant zo spoedig mogelijk over een datalek (met inbegrip van, maar niet beperkt tot incidenten in verband met de verwerking van Persoonsgegevens), maar niet later dan 36 uur nadat het datalek is vastgesteld.

Alle rapportage van beveiligingsgerelateerde incidenten wordt behandeld als vertrouwelijke informatie en wordt versleuteld met behulp van encryptiemethoden die voldoen aan de industrienormen.

De melding van een datalek bevat ten minste de volgende informatie:

(a) (b) (c) (d) (e) (f) (g)

De aard van het datalek,
De aard van de Persoonsgegevens die hierdoor zijn getroffen,
De betrokken categorieën en het aantal betrokkenen,
Het aantal betrokken Persoonsgegevensrecords,
Maatregelen die zijn genomen om het datalek aan te pakken,
De mogelijke gevolgen en nadelige effecten van het datalek, en
Alle overige informatie die de Klant verplicht is te melden aan de betreffende toezichthouder of betrokkene.

Aan de
die niet te wijten zijn aan tekortkomingen van het Bedrijf.

voor zover wettelijk mogelijk, kan het Bedrijf compensatie eisen voor ondersteunende diensten onder dit artikel 9

10. Bedrijfscontinuïteitsbeheer

Het bedrijf identificeert bedrijfscontinuïteitsrisico's en neemt de nodige maatregelen om dergelijke risico's te beheersen en te beperken.

De onderneming beschikt over gedocumenteerde processen en routines voor het omgaan met bedrijfscontinuïteit.
De onderneming zorgt ervoor dat informatiebeveiliging is ingebed in de bedrijfscontinuïteitsplannen.

Het bedrijf beoordeelt periodiek de efficiëntie van zijn bedrijfscontinuïteitsbeheer en de naleving van de beschikbaarheidsvereisten (indien van toepassing).

Neem voor meer informatie contact op met [email protected].