Dit Gegevensverwerkingsaddendum wordt gesloten door en tussen:
Dit Gegevensverwerkingsaddendum wordt gesloten door en tussen:
Transics Belux BV, met statutaire zetel te Xxx Xxxxxx 00, 0000 Xxxxx, Xxxxxx, btw-nummer BE 0471.481.366 RPR/RPM Gent (hierna “Transics Belux”), handelend in eigen naam en in naam en voor rekening van Transics International BV/SRL, met statutaire zetel te Xxx Xxxxxx 00, 0000 Xxxxx, Xxxxxx, btw- nummer BE 0000.000.000 RPR/RPM Gent (hierna “Transics International”);
Waarbij wordt overeengekomen dat elke Transics-entiteit die dit Gegevensverwerkingsaddendum sluit, als enige verantwoordelijk is voor haar verplichtingen uit hoofde daarvan en niet samen met enige andere Transics-entiteit gebonden zal zijn;
(Hierna “Transics” of de “Verwerker” genoemd),
en
, met zetel te ,
(Hierna de “Klant” of de “Verwerkingsverantwoordelijke” genoemd);
De Verwerkingsverantwoordelijke en de Verwerker worden hierna gezamenlijk de “Partijen” en individueel de “Partij” genoemd.
Overwegende dat Transics fleetmanagement- en andere gerelateerde diensten (de “Diensten”) aanbiedt aan de Klant, zoals beschreven in de Dienstverleningsovereenkomst en/of werkorders (hierna de “Dienstverleningsovereenkomst”), aangegaan tussen Transics en de Klant.
Overwegende dat voor het verstrekken van de Diensten Persoonsgegevens moeten worden verwerkt en gedeeld tussen de respectievelijke Partijen, willen de Partijen de voorwaarden bepalen waaronder ze Persoonsgegevens van de andere Partij kunnen ontvangen, inzien en verder verwerken als, en voor zover, Transics Persoonsgegevens verwerkt als Verwerker voor rekening van de Klant met betrekking tot de door Transics aan de Klant verstrekte Diensten in het kader van de Dienstverleningsovereenkomst.
VERKLAREN DE PARTIJEN TE ZIJN OVEREENGEKOMEN:
1. Definities
1. De termen gedefinieerd in de Dienstverleningsovereenkomst tussen de Verwerker en de Verwerkingsverantwoordelijke zullen dezelfde betekenis hebben wanneer ze in dit Gegevensverwerkingsaddendum (“Addendum”) worden gebruikt.
2. In het kader van dit Addendum hebben de termen “Persoonsgegevens”, “Bijzondere categorieën van gegevens”, “Verwerken / Verwerking”, “Verwerkingsverantwoordelijke” (of “Gegevensverwerkingsverantwoordelijke”), “Verwerker” (of “Gegevensverwerker”), “Subverwerker”, “Betrokkene” en “Inbreuk op de persoonsgegevens” de betekenis zoals beschreven in de toepasselijke wetten op de gegevensbescherming.
3. “Wetten op de gegevensbescherming” betekent de Algemene verordening gegevensbescherming 2016/679 (“GDPR”) en de aanvullende nationale wettelijke bepalingen in de EER-lidstaten, de Europese richtlijn 2002/58/EG van 12 juli
2002 betreffende de verwerking van Persoonsgegevens en de
Dienstverleningsovereenkomst.
Dit Addendum vervangt, zonder ze te vernietigen, alle vorige overeenkomsten aangegaan tussen de Partijen voor de aspecten die betrekking hebben op de verwerking van Persoonsgegevens, inclusief, maar niet beperkt tot, Gegevensverwerkingsovereenkomsten.
Dit Addendum maakt integraal deel uit van de Dienstverleningsovereenkomst. Dit Addendum wordt geacht in werking te treden vanaf de datum van ondertekening en blijft volledig van kracht tot de beëindiging van de Dienstverleningsovereenkomst.
3. Omvang
De Partijen zullen, elk in hun respectievelijke hoedanigheid, de Persoonsgegevens verwerken in overeenstemming met de toepasselijke wet op de gegevensbescherming, de toepasselijke richtlijn betreffende privacy en elektronische communicatie, GDPR van 25 mei 2018, en elke andere toepasselijke reglementering waaraan de Verwerkingsverantwoordelijke en/of de Verwerker onderworpen zijn.
Gegevenstype
De Verwerkingsverantwoordelijke heeft bepaald dat de volgende gegevenscategorieën door de Verwerker zullen worden verzameld, verwerkt en gebruikt uit hoofde van dit Addendum:
Persoonsgegevens die door de Klant of zijn eindgebruikers worden ingezonden, opgeslagen, verzonden of ontvangen via de Fleetmanagementoplossing, kunnen omvatten:
• Naam, functie, rijbewijsnummer, kwalificatie, datums in- / uitdiensttreding, vervaldatum van medisch attest
• Bedrijfs-, commerciële of kantooradressen
• Datum / jaar / geboortedatum
• Telecommunicatiegegevens (bijv. verbinding, plaats, gebruik en verkeersgegevens)
• Telefoonnummer, mobiel nummer
• E-mailadres
• Tachogegevens (rij-, rust-, werkuren)
• Berichten
• IP-adressen
• Planning- en controlegegevens
• Exacte locatiegegevens (GPS-posities)
• Nummerplaat voertuig en oplegger
• Toestel- en servicegerelateerde diagnosticsgegevens
• Gegevens over het gebruik van het voertuig, zoals: afgelegde afstand, tijdstip van de dag, rijtijd, snelheid van het voertuig, toerental van de motor, motorbelasting, motortemperatuur, rem- / bochten- / acceleratiemanoeuvres, duur en afstand van de rit, batterijspanning
Categorieën betrokkenen
De Verwerkingsverantwoordelijke heeft de volgende categorieën betrokkenen bepaald van wie de Verwerker de hierboven gedefinieerde Persoonsgegevens zal verzamelen, verwerken en gebruiken uit hoofde van deze Gegevensverwerkingsovereenkomst:
• de werknemers van de Klant;
• de contractanten van de Klant;
• het personeel van de klanten, leveranciers en onderaannemers van de Klant;
• elke andere persoon die gegevens verstuurt via
Transics de mogelijkheid om deze Persoonsgegevens te verwijderen of niet langer meer toegankelijk te maken. De Klant dient voor het verstrijken van deze termijn alle nodige data te exporteren via de Transics-tooling. Transics is niet verplicht kopieën van Persoonsgegevens te verwijderen, die bewaard zijn in geautomatiseerde back-upkopieën gegenereerd door Transics, en maximaal zullen bewaard worden om de continuïteit te garanderen, maar zullen verwijderd worden binnen 14 maanden vanaf hun creatie. Dergelijke reservekopieën blijven onderworpen aan deze DPA en de Overeenkomst totdat ze vernietigd zijn. Onverminderd het recht van de Verwerkingsverantwoordelijke zoals beschreven in artikel 4.i hieronder, heeft Transics het recht de in het kader van het verstrekken van de Diensten verzamelde, gegenereerde en/of opgeslagen Persoonsgegevens te anonimiseren en de aldus geanonimiseerde gegevens te gebruiken voor statistische, analytische, commerciële en vergelijkingsdoeleinden.
4. Verplichtingen van de Verwerker Wanneer Transics (in de hoedanigheid van Verwerker) Persoonsgegevens verwerkt voor rekening van de Klant (in de hoedanigheid van Verwerkingsverantwoordelijke), moet hij:
a. Deze Persoonsgegevens verwerken of laten verwerken in overeenstemming met de wetten op de gegevensbescherming waaraan hij als Verwerker is onderworpen.
b. Persoonsgegevens verwerken – en ervoor zorgen dat personen die onder zijn verantwoordelijkheid handelen Persoonsgegevens verwerken – voor rekening van de Verwerkingsverantwoordelijke en in overeenstemming met zijn schriftelijke instructies, tenzij de wetgeving van de Europese Unie of de EU-lidstaat waaraan de Verwerker onderworpen is, dit vereist. In dat geval dient de Verwerker de Verwerkingsverantwoordelijke vóór de verwerking van deze wettelijke vereiste in kennis te stellen, tenzij de wet deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Dit Addendum wordt bij de schriftelijke instructies van de Verwerkingsverantwoordelijke aan de Verwerker gevoegd. In opdracht van de Verwerkingsverantwoordelijke zal de Verwerker de Persoonsgegevens ook corrigeren, rechtzetten of blokkeren, en ervoor zorgen dat alleen behoorlijk opgeleid personeel toegang krijgt tot de Persoonsgegevens.
c. Rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor de Verwerker, de Verwerkingsverantwoordelijke bijstaan bij het nakomen van zijn verplichtingen uit hoofde van de toepasselijke wetten op de gegevensbescherming, inclusief het uitvoeren van privacy-impactbeoordelingen indien nodig.
d. Passende technische en organisatorische maatregelen nemen zoals vereist door de toepasselijke wetten op de gegevensbescherming om de Persoonsgegevens te beschermen tegen onbedoelde of onwettige vernietiging of onbedoeld verlies, wijziging, niet- toegelaten toegang, onthulling of overdraging, misbruik, en om elke onwettige vorm van verwerking, en minstens de volgende beveiligingsmaatregelen nemen:
i. Pseudonimisering en versleuteling van de
bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, zoals omgezet in de nationale
wetgeving van de EER-lidstaten, zoals van tijd tot tijd eventueel gewijzigd, ingetrokken, vervangen of aangevuld, evenals alle
Dataretentie
de Fleetmanagementoplossing, inclusief personen die met de eindgebruikers van de Klant samenwerken en communiceren.
ii.
Persoonsgegevens;
In staat zijn om de vertrouwelijkheid, integriteit, beschikbaarheid en bestendigheid van de verwerkingssystemen en -diensten permanent te
andere gegevensbeschermings- en privacywetten of - reglementeringen inzake Persoonsgegevens waaraan de Partijen onderworpen zijn.
2. Voorwerp en duur
Dit Addendum is van toepassing op de verzameling, het gebruik, het delen en de verdere verwerking van
Persoonsgegevens door Transics als, en voor zover, Transics Persoonsgegevens verwerkt als Verwerker voor rekening van
De Verwerker mag de Persoonsgegevens niet langer bewaren
dan noodzakelijk is voor de doeleinden waarvoor hij de Persoonsgegevens via Transics’ FMS verwerkt in een vorm die de identificatie van de Betrokkenen mogelijk maakt, tenzij anders vereist of toegestaan door de wetten op de gegevensbescherming of andere toepasselijke reglementeringen. De Klant geeft uitdrukkelijke instructie aan Transics om de retentieperiode vast te zetten op 1 jaar, om
iii. iv.
waarborgen;
In staat zijn om de beschikbaarheid en de toegang tot de Persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident;
Over een proces beschikken om de effectiviteit van de technische en organisatorische maatregelen regelmatig te testen, te beoordelen en te evalueren om de veiligheid van de verwerking te waarborgen.
de Klant met betrekking tot de door Transics aan de Klant verstrekte diensten in het kader van de
zodoende de beschikbaarheid van alle data voor de Klant ten
allen tijde te kunnen garanderen. Na deze periode heeft
In Bijlage 1 documenteert de Verwerker de
implementatie van de technische en organisatorische
maatregelen.
e. De Verwerkingsverantwoordelijke alle informatie ter beschikking te stellen, die noodzakelijk is om te bewijzen dat hij aan de verplichtingen van de Verwerker inzake de naleving van de toepasselijke wet op de gegevensbescherming voldoet, en audits, inclusief inspecties, door de Verwerkingsverantwoordelijke of een andere door de Verwerkingsverantwoordelijke gemachtigde auditeur toe te laten en er zijn medewerking aan te verlenen. De Verwerkingsverantwoordelijke heeft het recht een audit uit te voeren op voorwaarde dat hij de Verwerker hiervan minstens vier (4) weken vooraf schriftelijk op de hoogte brengt.
f. Met betrekking tot punt (e) hierboven, de Verwerkingsverantwoordelijke onmiddellijk informeren als hij van mening is dat een instructie van de Verwerkingsverantwoordelijke de wetten op de gegevensbescherming schendt.
g. Rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor de Verwerker, de Verwerkingsverantwoordelijke met de gepaste technische en organisatorische maatregelen bijstaan, voor zover mogelijk, bij de naleving van zijn verplichting om een betrokkene informatie te verstrekken over de verzameling, verwerking en het gebruik van Persoonsgegevens en aanvragen voor de uitoefening van rechten van betrokkenen te beantwoorden. Elke aanvraag die een betrokkene direct aan de Verwerker richt, moet naar de Verwerkingsverantwoordelijke worden doorgestuurd.
h. De Verwerkingsverantwoordelijke onverwijld in kennis stellen van inbreuken op de Persoonsgegevens die impact hebben op de door de Verwerker verwerkte Persoonsgegevens en, rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor de Verwerker, de Verwerkingsverantwoordelijke, voor zover mogelijk, bijstaan bij het nakomen van zijn verplichtingen in geval van een schending van de Persoonsgegevens.
i. Naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens verwijderen of aan de Verwerkingsverantwoordelijke teruggeven na het beëindigen van het verstrekken van de met de verwerking gerelateerde diensten en bestaande kopieën vernietigen, tenzij de wet van de EU-lidstaat vereist dat de Persoonsgegevens worden bewaard. Indien na 3 maanden na het beëindigen van de Diensten nog steeds geen keuze of instructies zijn overgemaakt, zal Transics de Persoonsgegevens niet meer toegankelijk maken of verwijderen. De Klant dient binnen de 3 maanden na het beëindigen van de Diensten de nodige data te exporteren via de Transics- tooling.
j. Ervoor zorgen dat personen (bijvoorbeeld medewerkers) die gemachtigd zijn de Persoonsgegevens te verwerken, zich ertoe verbinden ze vertrouwelijk te behandelen of onder een gepaste statutaire vertrouwelijkheidsverplichting vallen.
schriftelijke toestemming om een andere verwerker in te schakelen voor de gehele of gedeeltelijke verwerking in het kader van dit Addendum.
2. Er wordt overeengekomen dat een in Bijlage 2 vermelde Subverwerker uitdrukkelijk toestemming heeft gekregen.
3. De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte brengen van eventuele geplande wijzigingen betreffende de toevoeging of vervanging van andere verwerkers en de Verwerkingsverantwoordelijke zo de kans geven om bezwaar te maken tegen deze wijzigingen. Als de Verwerkingsverantwoordelijke belangrijke en legitieme redenen heeft om zich tegen de specifieke Subverwerker te verzetten, zal hij deze bezwaren schriftelijk en zo snel mogelijk na ontvangst van het bericht van de Verwerker betreffende deze Subverwerker aan de Verwerker overmaken.
4. Als Transics, met de algemene toestemming van de Verwerkingsverantwoordelijke zoals hierboven vermeld, regelingen treft of overweegt om Persoonsgegevens die in het kader van dit Addendum worden bewaard, over te dragen naar en te laten verwerken door een Subverwerker, zijn de volgende voorwaarden van toepassing:
a) Transics zal dit uitsluitend doen door middel van een schriftelijke overeenkomst met de Subprocessor die de Subprocessor dezelfde verplichtingen oplegt als de Verwerker in het kader van dit Addendum, meer bepaald de verplichting om passende technische en organisatorische maatregelen te nemen, zodat de verwerking aan de toepasselijke vereisten van de toepasselijke wetten op de gegevensbescherming voldoet.
b) Indien Persoonsgegevens buiten de EER worden of zullen worden overgedragen naar een land dat geen passend beschermingsniveau voor Persoonsgegevens biedt, zullen de Subprocessor en de Verwerkingsverantwoordelijke een overeenkomst op basis van de modelcontractbepalingen van de EU aangaan (in voorkomend geval, waarbij Transics optreedt namens de Verwerkingsverantwoordelijke) of moeten andere passende mechanismen voor gegevensoverdracht worden ingevoerd in overeenstemming met de toepasselijke wetten op de gegevensbescherming; en de Klant geeft Transics hierbij uitdrukkelijk toestemming om voor rekening van de Klant overeenkomsten op basis van de modelcontractbepalingen van de EU aan te gaan met de Subverwerkers die in de betrokken Bijlagen zijn vermeld.
c) Indien de Subverwerker niet voldoet aan zijn verplichtingen inzake gegevensbescherming uit hoofde van een dergelijke schriftelijke overeenkomst, blijft de Verwerker jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor de uitvoering van de verplichtingen van de Subverwerker onder voorbehoud van de in dit Addendum overeengekomen aansprakelijkheidsverplichtingen.
6. Verplichtingen van de Verwerkingsverantwoordelijke
1. De Verwerkingsverantwoordelijke bepaalt de doeleinden en de middelen voor de verwerking van Persoonsgegevens door middel van Transics’ FMS.
2. De Verwerkingsverantwoordelijke garandeert dat:
a. De Verwerker toestemming krijgt om de Persoonsgegevens te gebruiken voor verwerkingsdoeleinden zoals bepaald in dit
de gegevens worden verwerkt op een dusdanige manier dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, door het nemen van passende technische of organisatorische maatregelen.
4. De Verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden in overeenstemming met GDPR waarin Transics’ FMS moet zijn vermeld.
7. Uitbesteding
De Verwerker zal zijn verplichtingen uit hoofde van dit Gegevensverwerkingsaddendum niet uitbesteden zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, met uitzondering van de uitbesteding aan een dochteronderneming of een geaffilieerde onderneming die deel uitmaakt van de ZF-groep, waarvoor geen voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke is vereist. Wanneer de Verwerker dit Gegevensverwerkingsaddendum uitbesteedt met toestemming van de Verwerkingsverantwoordelijke, dient hij met de onderaannemer een schriftelijke overeenkomst te sluiten waarbij aan de onderaannemer dezelfde verplichtingen worden opgelegd als die waaraan de Verwerker uit hoofde van dit Gegevensverwerkingsaddendum moet voldoen.
8. Aansprakelijkheid
De respectievelijke wederzijdse aansprakelijkheid van de Partijen met betrekking tot schending van dit Addendum en hun verplichting tot schadevergoeding aan de andere Partij voor vorderingen van derden tegenover een Partij als gevolg van een al dan niet contractuele inbreuk op dit Addendum of de wetten op de gegevensbescherming door de andere Partij, vallen onder de aansprakelijkheids- en schadevergoedingsbepalingen vermeld in de Dienstverleningsovereenkomst tussen Transics en de Klant voor de betrokken Diensten.
9. Toepasselijk recht en rechtsmacht
Dit Gegevensverwerkingsaddendum valt onder het recht dat van toepassing is op de betrokken Dienstverleningsovereenkomst (tenzij een dergelijke rechtskeuze niet geldig zou zijn onder de toepasselijke wetgeving van het land waar de betrokken Verwerkingsverantwoordelijke is gevestigd, in welk geval dit Gegevensverwerkingsaddendum onder het recht van het land valt waar de betrokken Verwerkingsverantwoordelijke is gevestigd).
Het bevoegde rechtsgebied voor al dan niet contractuele geschillen die voortvloeien uit of verband houden met dit Addendum, is het rechtsgebied dat in de betrokken Dienstverleningsovereenkomst werd overeengekomen. Deze paragraaf doet echter geen afbreuk aan de respectievelijke verplichtingen van de Partijen in het kader van de toepasselijke wetten op de gegevensbescherming.
OVEREENGEKOMEN door de Partijen via hun naar behoren gemachtigde vertegenwoordigers op de datum waarop de Partijen dit Gegevensverwerkingsaddendum hebben ondertekend.
Voor en in naam van:
Transics
k. Onverminderd de in artikel 6.4 hieronder beschreven verplichting van de Verwerkingsverantwoordelijke een
Gegevensverwerkingsaddendum.
b. De Persoonsgegevens rechtmatig werden verzameld
register bijhouden van alle categorieën verwerkingsactiviteiten die voor rekening van de Verwerkingsverantwoordelijke worden uitgevoerd in overeenstemming met GDPR.
De Verwerker heeft het recht een vergoeding te eisen voor de bijstand die hij de Verwerkingsverantwoordelijke verleent die verder gaat dan wat de wetten op de gegevensbescherming en dit Gegevensbeschermingsaddendum vereisen.
5. Subverwerking
1. Door middel van dit Addendum geeft de Verwerkingsverantwoordelijke de Verwerker een algemene
en verwerkt in overeenstemming met de wetten op de gegevensbescherming.
c. De naleving van de toepasselijke wetten op de gegevensbescherming wordt gegarandeerd wanneer de Verwerkingsverantwoordelijke Persoonsgegevens aan de Verwerker doorgeeft om aan dit Gegevensverwerkingsaddendum te voldoen en wanneer hij de Verwerker instructies geeft met betrekking tot de verwerking van de Persoonsgegevens.
3. De Verwerkingsverantwoordelijke dient ervoor te zorgen dat
Naam: Xxxxxxx Xxxxxx
Functie: DCS BU Leader
Klant
Naam:
Functie:
Datum:
Bijlage 1: Technische en operationele maatregelen
Deze Bijlage is bestemd voor klanten en zakenpartners en beschrijft de technische en organisatorische maatregelen om de Persoonsgegevens te beschermen tegen ongeoorloofde toegang, aantasting en verlies in overeenstemming met de wetten op de gegevensbescherming.
Dit document bevat meer gedetailleerde informatie over de technische en organisatorische maatregelen die de Verwerker heeft geïmplementeerd met het oog op de gegevensbescherming.
DATACENTRUM- & NETWERKBEVEILIGING
Het datacenter dat Transics gebruikt, is een datacenter van tier 3-niveau:
• SLA Beschikbaarheid energie – 100%
• SLA Temperatuur
Doelstelling: Continu behoud van de temperatuur in de computerzaal tussen 18
°C en 27 °C op voorwaarde dat de buitentemperatuur minder dan 40 °C bedraagt en in lijn met de ASHRAE- richtlijnen.
• SLA Vochtigheid
Doelstelling: Behoud van een vochtigheidsgraad in de computerzaal tussen 40% en 60%
• Installatie
Oplossingen met hoge densiteit beschikbaar 24 x 7 x 365 gebruik gebouw
Vloer van 800 mm verhoogd tot op 3,5 meter van de onderkant van het plafondplenum Overdekte leveringszone met laadbrug en beveiligde opslaglokalen
Vloerbelasting 12KN per vierkante meter
• Stroom
Dubbele stroomvoorziening N+1-generatoren
2N UPS
• Beveiliging
24 x 7 onsite beveiliging Kaartlezers en biometrie
Slagboom die bumperkleven voorkomt Omheining van 3m hoog rond de site Interne en externe bewakingscamera’s – opnames 90 dagen
• Conformiteit / Certificaties
Tier 3-certificering van het Uptime Institute ISO27001, PCIDSS-compliant, BREEAM-
gecertificeerd
ASHRAE-normen en richtlijnen voor datacenters
• Koeling
Indirecte adiabatische buitenluchtoplossing Geen conventionele mechanische koeling nodig
Geen water in de ruimte waar de apparatuur zich bevindt
TRANSICS-GEBOUWEN
1. Toegangscontrole (gebouw / kantoren / datacentrum)
De Verwerker heeft onder meer de volgende maatregelen geïmplementeerd om ongeoorloofde toegang tot gegevensverwerkingssystemen waarmee Persoonsgegevens worden verwerkt, te voorkomen:
• Personeelsleden hebben een personeelskaart / - badge om toegang te krijgen tot het gebouw.
• Niet-gemachtigde personen krijgen geen fysieke toegang tot terreinen, gebouwen of lokalen waar zich gegevensverwerkingssystemen bevinden die Persoonsgegevens verwerken en/of gebruiken.
2. Toegangscontrole (systemen)
De Verwerker heeft onder meer de volgende maatregelen geïmplementeerd om het gebruik van gegevensverwerkingssystemen waarmee Persoonsgegevens
worden verwerkt door niet gemachtigde personen, te voorkomen:
• Ondernemingsbrede informatiesystemen worden permanent gemonitord 24x7, 365 dagen / jaar door het Transics IT-team.
• Personeelsleden hebben allemaal een aparte terminal met persoonlijke identificatie en wachtwoord.
• Een gebruikersterminal die gedurende een bepaalde tijd niet wordt gebruikt, wordt automatisch uitgeschakeld. De identificatie en het wachtwoord zijn vereist om hem weer in te schakelen.
• Automatische blokkering van het gebruikers-ID na herhaald invoeren van foutieve wachtwoorden, logbestand van gebeurtenissen (monitoring van inbraakpogingen).
• Alle personeelsleden zijn gebonden door geheimhoudings- en
vertrouwelijkheidsovereenkomsten. De toegang tot niet-publieke gegevens wordt uitsluitend op een “need-to-know”-basis toegekend en gemonitord. De gebruikers worden permanent geïnformeerd over het belang van gegevensbescherming in het bedrijf.
• De toegang tot productiesystemen gebeurt op basis van multi-factorauthenticatie.
• Transics kent toegang toe per functioneel verantwoordelijkheidsdomein, bijv. het R&D- team, het hostingteam, het ServiceDesk-team, … De toegang is op rollen gebaseerd en het lidmaatschap van de groepen wordt regelmatig gecontroleerd.
3. Toegangscontrole (gegevens)
De Verwerker heeft onder meer de volgende maatregelen geïmplementeerd om ervoor te zorgen dat gemachtigde gebruikers van een gegevensverwerkingssysteem alleen toegang krijgen tot de gegevens waarvoor ze gemachtigd zijn en te voorkomen dat Persoonsgegevens zonder machtiging worden gelezen terwijl ze worden gebruikt, verplaatst of zijn opgeslagen:
• Klantenverbindingen worden geauthenticeerd met multi-factorauthenticatie.
• Centraal loginportaal met beveiligde toegang tot klantenapplicaties op basis van het “single sign- on”-principe die kan worden gecombineerd met “two-factor”-authenticatie.
4. Overdrachtcontrole
De Verwerker heeft onder meer de volgende maatregelen geïmplementeerd om ervoor ze zorgen dat Persoonsgegevens niet kunnen worden gelezen, gekopieerd of gewijzigd tijdens elektronische verzending, vervoer of opslag op schijf. Daarnaast, om te controleren en te bepalen naar welke organisaties Persoonsgegevens via communicatieapparatuur mogen worden doorgestuurd:
• Gebeuren alle klanteninteracties op het internet via SSL- / TLS-beveiligde verbindingen
• Zijn alle verbindingen met de database versleuteld
• Zijn alle back-ups en opgeslagen gegevens versleuteld
5. Invoercontrole
De Verwerker heeft onder meer de volgende maatregelen geïmplementeerd om ervoor te zorgen dat kan worden gegarandeerd, en daarna gecontroleerd en bepaald, of en door wie Persoonsgegevens werden ingevoerd in, gewijzigd in, of verwijderd uit gegevensverwerkingssystemen:
• een authorisatiebeleid voor de invoer van gegevens in het geheugen, en voor het lezen, wijzigen of verwijderen van opgeslagen gegevens;
• authenticatie van het gemachtigde personeel;
• beveiligingsmaatregelen voor de invoer van gegevens in het geheugen en voor het lezen,
wijzigen of verwijderen van opgeslagen gegevens;
• gebruik van gebruikerscodes (wachtwoorden);
• een beleid dat bepaalt dat alle medewerkers van Transics die toegang hebben tot voor de Klant verwerkte Persoonsgegevens hun wachtwoorden minstens een keer in een periode van 90 dagen moeten wijzigen;
• de mogelijkheid om de ingangen tot de gegevensverwerkingsfaciliteiten (de lokalen waar de computerhardware en de bijbehorende apparatuur zich bevinden) te vergrendelen;
• automatisch uitloggen van gebruikers-ID’s die
gedurende lange tijd niet werden gebruikt.
6. Opdrachtverwerking
De Verwerker heeft onder meer de volgende maatregelen geïmplementeerd om ervoor te zorgen dat Persoonsgegevens die op verzoek van de eigenaar van de gegevens door een gegevensverwerker worden verwerkt, uitsluitend worden verwerkt zoals opgedragen door de eigenaar van de gegevens: De eigenaar van de gegevens heeft altijd het recht de correcte uitvoering van alle door hem opgedragen taken te controleren. Transics zal de Klant adequate informatie verstrekken over het uitgevoerde werk.
7. Beschikbaarheidscontrole
De Verwerker heeft onder meer de volgende maatregelen geïmplementeerd om ervoor te zorgen dat Persoonsgegevens zijn beschermd tegen onopzettelijke vernietiging of verlies:
Zie het hoofdstuk “Datacenter”.
8. Gescheiden verwerking
De Verwerker heeft onder meer de volgende maatregelen geïmplementeerd om ervoor te zorgen dat gegevens die voor verschillende doeleinden werden verzameld, gescheiden kunnen worden verwerkt:
• De toegang tot de gegevens is afgescheiden via applicatiebeveiliging voor de geschikte gebruikers;
• Er zijn aparte omgevingen voor DEV, QA en PRODUCTION;
• De live- en testomgeving zijn gescheiden.
9. Data Protection Officer
De Verwerker heeft een Data Protection Officer (DPO) aangesteld in overeenstemming met de GDPR. Deze persoon zal instaan voor de naleving van GDPR en andere wetten op de gegevensbescherming. Xxxxxxx alle vragen aan de DPO via xxxxxxx.xxxxxxx@xx.xxx te stellen.
Bijlage 2: Lijst van Subverwerkers
Via de volgende link vindt u een overzicht van de huidige Subverwerkers, waar Transics mee samenwerkt: xxxxx://xxx.xx.xxx/xxxxxxxx/xx/xx/xxxxx/xxx_xx_xxxxx/xxxxxxx essors.html