VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

(Treams BV online versie v2.0.2)

Deze verwerkersovereenkomst beschrijft de voorwaarden voor de verwerking van persoonsgegevens door Treams B.V., namens de klant op basis van de Hoofdovereenkomst wat tussen Partijen is overeengekomen. Deze verwerkersovereenkomst vormt een integraal en onlosmakelijk onderdeel van de Algemene Voorwaarden die van toepassing zijn op het platform voor talentontwikkeling & performance management van Treams..

1 Toepassingsgebied

1.1 Deze overeenkomst is van toepassing gedurende de looptijd van de Hoofdovereenkomst en voor zover bij het leveren van de diensten onder de Hoofdovereenkomst een of meer verwerkingen plaatsvinden die zijn opgenomen in Bijlage 1.

1.2 De verwerkingen van Bijlage 1 die bij het leveren van de diensten plaatsvinden worden hierna: "de Verwerkingen" genoemd. De persoonsgegevens die daarbij worden verwerkt: "de Persoonsgegevens".

1.3 De natuurlijke personen waarvan de Persoonsgegevens worden verwerkt, worden hierna ook als "de Betrokkenen" aangeduid.

1.4 Alle begrippen in deze overeenkomst hebben de betekenis die daar in de AVG aan wordt gegeven.

1.5 Indien meer en andere Persoonsgegevens in opdracht van Verwerkingsverantwoordelijke worden verwerkt of indien anders wordt verwerkt dan in dit artikel omschreven, geldt deze overeenkomst zoveel mogelijk ook voor die verwerkingen.

1.6 De bijlagen maken onderdeel uit van deze overeenkomst. Het gaat om:

● Bijlage 1: de te verwerken Persoonsgegevens, doeleinden en de bewaartermijnen;

● Bijlage 2: de genomen beveiligingsmaatregelen;

● Bijlage 3: de subverwerkers en categorieën subverwerkers die Verwerkingsverantwoordelijke goedkeurt;

● Bijlage 4: aanpassingen t.o.v. standaard tekst (optioneel).

1.7 Deze Verwerkersovereenkomst is de standaardtekst van Verwerker. Voor zover partijen aanpassingen in de standaard tekst beogen, worden die aanpassingen onder opgave van reden geregistreerd in Bijlage 4.

2 Onderwerp

2.1 Verwerkingsverantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens. Verwerker verwerkt Persoonsgegevens uitsluitend op basis van

schriftelijke instructies van Verwerkingsverantwoordelijke. De Hoofdovereenkomst geldt als een generieke instructie ter zake.

2.2 De Verwerkingen geschieden uitsluitend in het kader van de Hoofdovereenkomst. Verwerker verwerkt Persoonsgegevens niet anders dan in de Hoofdovereenkomst is bepaald. Met name gebruikt de Verwerker de Persoonsgegevens niet voor eigen doeleinden.

2.3 Verwerker verricht de Verwerkingen op behoorlijke en zorgvuldige wijze en garandeert de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de gegevensbescherming, zoals de AVG.

2.4 Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft gekregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of subverwerkers in landen buiten de EU zonder een passend beschermingsniveau. Verwerker zal Verwerkingsverantwoordelijke melden in welk land of landen de Persoonsgegevens worden verwerkt.

3 Beveiligingsmaatregelen

3.1 Verwerker neemt passende technische en organisatorische beveiligingsmaatregelen (die gezien de huidige stand van de techniek, de daarmee gemoeide kosten en de gehele context die van belang is voor het bepalen van het risico voor de betrokken personen) een op het risico afgestemd beveiligingsniveau waarborgen.

3.2 Verwerker neemt in ieder geval de technische en organisatorische beveiligingsmaatregelen die op grond van de AVG en in het bijzonder op grond van artikel 32 AVG van haar worden geëist. Een en ander zoals nader uitgewerkt in Bijlage 2.

3.3 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Partijen zullen daarom de maatregelen zoals geïmplementeerd periodiek evalueren. Maatregelen worden in goed overleg tussen Partijen verscherpt, aangevuld of verbeterd om te blijven voldoen aan de verplichtingen uit dit artikel 3.

4 Datalekken

4.1 Verwerker zal Verwerkingsverantwoordelijke direct, dan wel binnen 12 uur na constateren, op de hoogte stellen van iedere "inbreuk in verband met persoonsgegevens" als bedoeld in artikel 4 sub 12 AVG. Zo'n inbreuk wordt hierna: "Datalek" genoemd.

4.2 Verwerker verschaft Verwerkingsverantwoordelijke tijdig alle informatie die zij bezit en die nodig is om aan de verplichtingen uit artikel 33 AVG te voldoen. Dat is in ieder geval:

● het melden van het feit dat er een Datalek is geweest;

● aard van de inbreuk, categorieën Betrokkenen, aantal Betrokkenen (bij benadering) en persoonsgegevensregister (registratie van de verwerking);

● alsmede wat de (vermeende) oorzaak is van het Datalek;

● wat het (vooralsnog bekende en/of te verwachten) gevolg is;

● wat de (voorgestelde) oplossing is;

● wat de contactgegevens zijn ten aanzien van de opvolging van de melding;

● wie eventueel al geïnformeerd is;

● wat de reeds genomen maatregelen zijn.

Verwerker verschaft de betreffende informatie zo snel mogelijk, doch in ieder geval binnen 24 uur na het constateren van het Datalek in een door Verwerker te bepalen gangbaar formaat.

Contactgegevens van contactpersoon (DPO) binnen Verwerkingsverantwoordelijke over een Datalek:

Naam:

E-mailadres:

Telefoonnummer:

4.3 Verwerker stelt de Verwerkingsverantwoordelijke over een Datalek niet op de hoogte indien het aanstonds duidelijk is dat dat Datalek geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

4.4 Indien er ruimte is voor twijfel daaromtrent, meldt Verwerker het Datalek wel aan de Verwerkingsverantwoordelijke teneinde deze in staat te stellen omtrent een eventuele melding van het Datalek een eigen oordeel te vormen.

4.5 Verwerker zal álle inbreuken, ook die niet aan de Verwerkingsverantwoordelijke gemeld hoeven te worden, documenteren, en die documentatie eenmaal per kwartaal aan Verwerkingsverantwoordelijke verstrekken.

4.6 Het is uitsluitend aan Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens en/of aan betreffende Betrokkenen. Verwerker op verzoek meewerken aan het informeren van de ter zake relevante autoriteiten en/of Betrokkenen.

5 Inschakeling subverwerkers

5.1 Verwerker is niet gerechtigd bij de Verwerking een derde als subverwerker in te schakelen zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Toestemming van Verwerkingsverantwoordelijke kan ook betrekking hebben op een bepaalde soort derden.

5.2 Indien Verwerkingsverantwoordelijke zijn toestemming geeft, draagt Verwerker er zorg voor dat de betreffende derde een schriftelijke overeenkomst sluit waarin hij zich tenminste houdt aan dezelfde wettelijke verplichtingen als die Verwerker heeft.

Verwerkingsverantwoordelijke heeft het recht de hierbij betrokken overeenkomsten in te zien.

5.3 In het geval dat de toestemming betrekking heeft op een bepaalde soort derden, licht Verwerker Verwerkingsverantwoordelijke in over de door hem ingeschakelde subverwerkers. Verwerkingsverantwoordelijke kan dan bezwaar maken tegen toevoegingen of vervangingen met betrekking tot de subverwerkers van Verwerker.

5.4 Verwerkingsverantwoordelijke geeft hierbij toestemming voor het inschakelen van de in Bijlage 3 opgenomen subverwerkers en/of categorieën van subverwerkers.

5.5 Niettegenstaande de toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een subverwerker blijft Verwerker volledig aansprakelijk tegenover Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan de subverwerker.

6 Geheimhoudingsplicht

6.1 Verwerker houdt de Persoonsgegevens geheim. Verwerker draagt ervoor zorg dat personen, niet beperkt tot werknemers, die bij Verwerker deelnemen aan de Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de Persoonsgegevens.

6.2 Verwerker draagt ervoor zorg dat de Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden wordt ook het personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat zij kennis nemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.

6.3 Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens, in strijd met de in dit artikel opgenomen geheimhoudingsplicht.

7 Bewaartermijnen en wissen

7.1 Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Voor zover Persoonsgegevens onder controle van de Verwerkingsverantwoordelijke zijn (bijvoorbeeld in het geval van hosting diensten) wist hij die zelf tijdig.

7.2 Verwerker zal de Persoonsgegevens niet langer bewaren dan nodig is voor de in bijlage 1 genoemde doelen. De Verwerker zal waar de Persoonsgegevens niet meer nodig zijn de Verwerkingsverantwoordelijke raadplegen ter zake de voortzetting van het bewaren van die Persoonsgegevens.

7.3 Verwerker zal de Persoonsgegevens binnen dertig dagen na het einde van de Hoofdovereenkomst, of indien van toepassing aan het einde van de overeengekomen

bewaartermijnen of op schriftelijk verzoek van Verwerkingsverantwoordelijke, kosteloos, wissen (vernietigen) of, naar keuze van de Verwerkingsverantwoordelijke, aan deze overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen van Verwerker, dan wel indien Verwerkingsverantwoordelijke verzoekt Persoonsgegevens langer te bewaren en Verwerker en Verwerkingsverantwoordelijke over de kosten en overige voorwaarden van dat langere bewaren overeenstemming bereiken, dit laatste onverminderd de verantwoordelijkheid van Verwerkingsverantwoordelijke de wettelijke bewaartermijnen in acht te nemen. Een eventuele overdracht van de Persoonsgegevens aan de Verwerkingsverantwoordelijke geschiedt in een algemeen gangbaar, gestructureerd gegevensformaat langs elektronische weg. Indien teruggave, vernietiging of wissen niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.

7.4 Verwerker zal op verzoek van Verwerkingsverantwoordelijke bewijs leveren dan wel verklaren dat het wissen (vernietigen) in het voorgaande lid bedoeld heeft plaatsgevonden. Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of dat inderdaad is gebeurd. Artikel 10 van deze overeenkomst is van toepassing op die controle.

7.5 Bij het einde van de Verwerkersovereenkomst zal Verwerker voor zover nodig alle subverwerkers die betrokken zijn bij het verwerken van Persoonsgegevens op de hoogte stellen van beëindiging van de Hoofdovereenkomst. De verplichtingen uit artikel 7.3 zijn van overeenkomstige toepassing op deze subverwerkers, en Verwerker zal waarborgen dat alle betrokken subverwerkers hieraan uitvoering zullen geven.

8 Rechten van Betrokkenen

8.1 Indien Verwerkingsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens voldoet hij zelf aan alle verzoeken van de Betrokkenen met betrekking tot de Persoonsgegevens.

8.2 Verwerker zal eventueel door Verwerker ontvangen verzoeken onverwijld aan Verwerkingsverantwoordelijke doorgeven. Verwerker mag de Betrokkene van de doorzending op de hoogte stellen.

8.3 Indien een Betrokkene een verzoek met betrekking tot de Persoonsgegevens richt, zal Verwerker zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om:

● een kopie van de aanwezige (categorieën) van persoonsgegevens te verstrekken in een gangbare elektronische vorm. Verwerker kan deze opleveren aan Verwerkingsverantwoordelijke;

● Persoonsgegevens te wissen of te corrigeren;

● het markeren (tijdelijk slot op) Persoonsgegevens met als doel de verwerking in de toekomst te beperken. tijdens beperking mogen de gegevens niet worden gebruikt zonder

toestemming van Xxxxxxxxxx, tenzij gebruikt worden voor rechtsvordering, bescherming van rechten van derde of om gewichtige redenen van algemeen belang voor Unie of een lidstaat;

● een kopie van de aanwezige gegevens te verstrekken die op grond van de overeenkomst of met toestemming van de Betrokkene zijn verkregen. In gestructureerde, gangbare, machinaal leesbare en overdraagbare vorm (bijvoorbeeld een Excel-bestand of een CSV-bestand). Verwerker kan deze opleveren aan Verwerkingsverantwoordelijke of door de Verwerkingsverantwoordelijk aangewezen derde;

● Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of aan andere toepasselijke wetgeving op het gebied van verwerking van de Persoonsgegevens te voldoen.

8.4 De kosten van en eisen aan de in het voorgaande lid genoemde medewerking stellen partijen gezamenlijk vast. Zonder een afspraak daaromtrent zijn de kosten voor de Verwerkingsverantwoordelijke.

9 Aansprakelijkheid

9.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. Indien Verwerker tekortschiet in de nakoming van de verwerkersovereenkomst is Verwerker aansprakelijk voor de boetes, schade en kosten die de Verwerkingsverantwoordelijke daardoor lijdt of heeft geleden.

9.2 Verwerker vrijwaart Verwerkingsverantwoordelijke voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verwerkingsverantwoordelijke worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende privacywetgeving door Xxxxxxxxx. Om een beroep te kunnen doen op deze vrijwaring is Verwerkingsverantwoordelijke gehouden om:

● Verwerker terstond op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,

● in samenspraak met Xxxxxxxxx te handelen en te communiceren richting de toezichthouder én

● tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is.

10 Controle

10.1 Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze overeenkomst eenmaal per jaar op eigen kosten te controleren of deze te laten controleren door een onafhankelijke registeraccountant of registerinformaticus.

10.2 Verwerker zal aan de controle (audit) meewerken en stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is voor de controle (inclusief ondersteunende gegevens zoals systeemlogs alsmede medewerkers).

10.3 Het onderzoek van Verwerkingsverantwoordelijke zal zich altijd beperken tot de systemen van Verwerker die voor de Verwerkingen worden gebruikt. Verwerkingsverantwoordelijke zal de bij de controle gevonden informatie geheim houden en alleen gebruiken om de naleving door Verwerker van de verplichtingen uit deze overeenkomst te controleren en de informatie of delen daarvan zo snel als kan wissen. Verwerkingsverantwoordelijke staat er voor in dat eventuele ingeschakelde derden deze verplichtingen ook op zich nemen.

10.4 Partijen beoordelen gezamenlijk de uit de controle (audit) voortkomende aanbevelingen. Verwerker voert de door Verwerkingsverantwoordelijke, uit de controle voortkomende, aangegeven redelijke aanbevelingen ter verbetering, na overleg, uit binnen de daartoe door Verwerkingsverantwoordelijke te bepalen redelijke termijn.

11 Overige bepalingen

11.1 Wijzigingen van deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.

11.2 Partijen zullen deze overeenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht in de toepassing van de AVG (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of rapporten), de introductie van standaardbepalingen en/of andere gebeurtenissen of inzichten die een dergelijke aanpassing nodig maken.

11.3 Deze overeenkomst duurt zolang de Hoofdovereenkomst duurt. De bepalingen van deze overeenkomst blijven gelden voor zover nodig voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het einde van deze overeenkomst te overleven. Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.

11.4 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.

11.5 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen partijen in onderling overleg.

11.6 Deze overeenkomst prevaleert boven de Hoofdovereenkomst en alle overige overeenkomsten tussen Verwerkingsverantwoordelijke en Verwerker.

11.7 Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.

11.8 Partijen zullen hun geschillen verband houdende met deze Verwerkersovereenkomst uitsluitend voorleggen aan de Rechtbank te Amsterdam.

Aldus overeengekomen en in tweevoud getekend op de datum en in de plaatsen zoals hierna aangegeven:

Naam klant: Treams B.V.

Naam verantwoordelijke: S. Snoeren

Functie: Functie: CTO

Plaats: Plaats: Eindhoven

Datum: Datum:

Bijlage 1: Verwerkingen van persoonsgegevens, doeleinden en bewaartermijnen

Hier uitwerken:

1. Welke Persoonsgegevens zullen worden verwerkt in het kader van de Hoofdovereenkomst (bijvoorbeeld: naam, adres, postcode, woonplaats, e-mailadres, geboortedatum, gegevens met betrekking tot abonnement/betalingen);

2. Hoe worden de Persoonsgegevens verwerkt, welke middelen worden ingezet (bijvoorbeeld: verzamelen, opslaan, analyse, online dienstverlening);

3. De doeleinden waarvoor de Persoonsgegevens verwerkt zullen worden (te relateren aan hetgeen partijen overeengekomen zijn in de Hoofdovereenkomst)

4. Wat is de duur van de opslag (bijvoorbeeld: gebruiks- en bewaartermijnen van de (verschillende soorten) Persoonsgegevens).

Verwerkte gegevens per doeleinde

1.1 Algemene informatie tbv. medewerkersprofiel binnen de organisatie

● volledige naam

● titel

● e-mailadres

● datum in dienst

● datum uit dienst

● administratienummer

● functiegegevens

● profielfoto

● profiel banner

● gebruikersnaam en wachtwoord

1.2 Informatie tbv. registratie ontwikkeling en performance van de medewerker

● competenties

● salarisgegevens

● beoordelingen

● certificeringen

● opleidingsinformatie

● ontwikkel en performance doelen

● gespreksnotities

1.3 Technische informatie tbv. organisatie rapportage en Treams productverbetering

● IP adres

● gebruikersactiviteit op xxxxxxxx.xxx

● chatberichten en mails gericht aan supportdesk

De gebruiks- en bewaartermijnen van de (verschillende soorten) Persoonsgegevens:

Na beëindiging van de Verwerkersovereenkomst en/of na beëindiging van de Diensten door Verwerker is de Verwerker na een schriftelijk verzoek van een gevolmachtigd vertegenwoordiger van Verwerkersverantwoordelijke verplicht de (Persoons-) gegevens binnen 30 dagen aan Verwerkingsverantwoordelijke te retourneren (of Verwerkingsverantwoordelijke de mogelijkheid te bieden om de Gegevens digitaal terug te halen). Eventuele resterende (kopieën van) (Persoons-) Gegevens en/of back-ups dienen na beëindiging binnen 90 dagen door Verwerker te worden vernietigd.

Iedere bewaring/behoud/verwijdering etc. van de Gegevens zowel tijdens als na voltooiing van de Overeenkomst valt uitsluitend binnen de invloedssfeer van de Verwerkingsverantwoordelijke. Hetzelfde geldt voor back-ups en dergelijke.

IV De categorieën medewerkers (functierollen/functiegroepen) van Verwerker die Persoonsgegevens verwerken:

Categorieën medewerkers	(Categorie) Persoonsgegevens die door Medewerkers worden verwerkt	Verwerkingsactiviteit
Project/implementatie manager	Gewone persoonsgegevens	Verwerken, opslaan, bijwerken, wijzigen, raadplegen van gegevens
Teamlead development	Gewone persoonsgegevens	Afschermen, wissen of vernietigen van gegevens Data-analyse
Office management	Gewone persoonsgegevens	Raadplegen van gebruikersaantallen voor financiële administratie

Bijlage 2: Beveiligingsmaatregelen

Uitgangspunten

● Eenmaal per kwartaal wordt een audit uitgevoerd op basis van deze bijlage. De resultaten van de audit worden niet gedeeld.

● Hergebruiken standaard software heeft voorkeur over maatwerk.

● Software testing en reviews, in het specifiek van kritieke componenten, zijn sterk meegenomen in het ontwikkelproces.

● Recruitment proces: alle developers worden uitvoerig getest op kennis en moeten een proefopdracht maken alvorens ze worden aangenomen.

●

● Kritieke web server updates worden periodiek en zo snel als mogelijk toegepast.

● Alle verbindingen tussen client en server zijn encrypted met TLS. Treams gebruikt de laatst beschikbare versie wanneer wordt verbonden met een client. TLS 1.2 en TLS 1.3 worden ondersteund.

Infrastructuur

● Dataopslag en verwerking van productiedata vindt plaats op servers van Amazon AWS. We gebruiken hierbij altijd de locatie in Ierland. Uitzondering hierop zijn externe diensten gebruikt voor analytics, error logging en support.

● Naast de gangbare firewall, is er een firewall geïnstalleerd op applicatieniveau (WAF).

● Het Treams server cluster is geplaatst in een apart subnet. De enige route naar buiten vanuit dit subnet is onze webservice. Alle andere services zijn niet publiekelijk toegankelijk.

● Autorisatie naar diensten van Amazon werkt via de module IAM (Access Management) van Amazon. Iedere persoon met toegang heeft eigen credentials met een op maat gemaakt rechten model.

● Inlog systeem (zowel standaard als SSO) is gebouwd op Amazon Cognito.

● Alle database tabellen zijn gescheiden met een workspace ID kolom. Dit zorgt ervoor dat de teruggegeven data altijd bij de juiste workspace (klant) hoort.

Versturen van e-mails en encryptie

● E-mails worden verstuurd vanuit het e-mailadres: xxxxxxx@xxxxxxxxxxxxx.xxxxxxxx.xxx.

● Onze e-mailserver maakt gebruik van het TLS protocol wanneer mogelijk. Treams gebruikt de laatst beschikbare versie wanneer wordt verbonden met een client. TLS 1.0, TLS 1.1 en TLS 1.2 worden ondersteund.

● Het is (nog) niet mogelijk om een white label e-mailadres te gebruiken voor het versturen van emails vanuit Treams.

●

Fysieke beveiligingsmaatregelen

● Er wordt bijgehouden welke devices toegang hebben tot de sourcecode.

Omgang persoonsgegevens

● Het testen van functionaliteiten wordt uitgevoerd op een staging omgeving. Deze omgeving bevat geen persoonsgegevens.

● Disk-encryptie is toegepast op alle laptops en computers met toegang tot persoonsgegevens en broncode.

● Er worden verschillende autorisatieniveaus toegepast en hierbij geldt “principle of least privilege”.

Back-ups

● Back-ups worden opgeslagen bij Amazon. We hebben per uur een back-up via logbestand (voor point-in-time restore) en we hebben elke dag een volledige back-up. Back-ups worden tot 7 dagen terug bewaard. Back-ups worden versleuteld opgeslagen.

● Het terugzetten van een backup wordt bij elke periode opnieuw getest.

Bijlage 3: Subverwerkers/categorieën van subverwerkers Volledige naam organisatie 1: Xxxxxx.xxx, Inc.

Webadres: xxxxx://xxx.xxxxxx.xxx/

Plaats gevestigd: U.S.A.

Data opslag locatie: Ireland, Europe

Doeleinden: Versturen van e-mailberichten, opslag en verwerking van gegevens in het product OnTreams.

Verwerkte gegevens: Alle gegevens uit bijlage 1.1, 1.2 en 1.3

Bewaartermijn: 2 jaar na einde van het dienstverband medewerker of 30 dagen na einde hoofdovereenkomst.

Volledige naam organisatie 2: Intercom, Inc.

Webadres: xxxxx://xxxxxxxx.xxx

Plaats gevestigd: North Virginia, U.S.A.

Doeleinden: Afhandelen support verzoeken OnTreams.

Verwerkte gegevens: Chatberichten en mails gericht aan supportdesk.

Voornaam en achternaam van medewerker. IP-adres van medewerker.

SSC xxxxx://xxx.xxxxxxxx.xxx/xxxxx/xxxxxxx art. 6

Volledige naam organisatie 3: Algolia, Inc.

Webadres: xxxxx://xxxxxxx.xxx

Plaats gevestigd: California, U.S.A.

Data opslag locatie: Germany, Europe

Doeleinden: Zoeken en filteren op medewerkers in OnTreams

Verwerkte gegevens:

Bewaartermijn:

● volledige naam

● titel

● datum in dienst

● functiegegevens

● administratienummer

● profielfoto

● gebruikersnaam

2 jaar na einde van het dienstverband medewerker of 30 dagen na einde hoofdovereenkomst.

Volledige naam organisatie 4: Mixpanel, Inc.

Webadres: xxxxx://xxxxxxxx.xxx

Plaats gevestigd: Nederland, Europe

Doeleinden: Productverbetering OnTreams

Verwerkte gegevens: Gebuikersactiviteit op xxxxxxxx.xxx. Voornaam, achternaam, user-agent, OS en IP-adres.

Bewaartermijn: 2 jaar

Bijlage 4: Aanpassingen t.o.v. standaard tekst (Optioneel)

Bij voorkeur blijft de gehele tekst van Treams BV gehandhaafd, uitgezonderd de bijlagen 1, 2 en 3 die per overeenkomst specifiek moeten worden ingevuld. Mochten er toch nog additionele wijzigingen in de tekst nodig zijn (na onderhandelingen tussen Verwerkingsverantwoordelijke en Verwerker dan kunnen de aanpassingen in deze Bijlage 4 worden beschreven onder opgave van:

- Artikelnummer;

- Betreffende tekst uit de standaard die vervalt;

- Nieuwe vervangende tekst;

- Redenen van wijziging (bijvoorbeeld: n.v.t., onacceptabel voor Verwerker, onderhandeld, etc.)

Art. Tekst die vervalt Vervangende tekst Reden