DATAVERWERKINGSOVEREENKOMST
Document versie april 0000
XXXXXXXXXXXXXXXXXXXXXXXXXXX
TUSSEN
1/ De naamloze vennootschap “TEAMLEADER”, waarvan de zetel gevestigd is te 0000 Xxxx, Xxx-Xxxxx 0X xxx 000, Xxxxxx, BTW BE- 0899.623.0.35, RPR Gent, afdeling Gent, hierbij rechtsgeldig vertegenwoordigd door haar gedelegeerd bestuurder Xxxxxx Xx Xxx;
Hierna genoemd de “Teamleader”
2/ De Klant
Partijen sub 1 en 2 worden hierna gezamenlijk de “Partijen” of afzonderlijk een “Partij” genoemd.
OVERWEGENDE DAT
In het kader van de uitvoering van bepaalde werkzaamheden voor de Klant zal Teamleader enerzijds toegang hebben tot persoonsgegevens en/of anderzijds persoonsgegevens moeten verwerken, waarvoor de Klant verantwoordelijk is als verwerkingsverantwoordelijke in de zin van (i) de Wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (i.e. zolang niet opgeheven), (ii) de EU Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), en/of (iii) de (toekomstige) Belgische wetgeving omtrent de implementatie van voornoemde Verordening (hierna de “Privacy Wetgeving”).
Middels onderhavige overeenkomst wensen Partijen hun wederzijdse afspraken omtrent (i) het beheren, beveiligen en/of verwerken van persoonsgegevens en
(ii) het naleven van de verplichtingen van de Privacy Wetgeving schriftelijk vast te leggen.
WORDT OVEREENGEKOMEN HETGEEN VOLGT
1 DEFINITIES
In deze overeenkomst betekenen de volgende begrippen hetgeen daarbij hieronder is vermeld (wanneer zij met hoofdletter worden geschreven):
Betrokkene: Degene op wie een Persoonsgegeven betrekking
heeft;
Datalek: Ongeoorloofde openbaarmaking, toegang, misbruik, verlies, diefstal of accidentele of onwettige vernietiging van Persoonsgegevens, dewelke Teamleader in opdracht van de Klant Verwerkt;
Diensten: Alle diensten, dewelke Teamleader verstrekt aan de Klant met betrekking tot het Platform (zoals maar niet beperkt tot support, webinars, e- books);
Opdracht: Alle werkzaamheden, dewelke Teamleader uitvoert in opdracht van de Klant, en iedere andere vorm van samenwerking waarbij Teamleader Persoonsgegevens verwerkt voor de Klant, ongeacht het rechtskarakter van de overeenkomst waaronder dat geschiedt;
Persoonsgegeven(s): Elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijk persoon;
Platform: De online applicatie van Teamleader onder de merknaam “Teamleader®” (merkregistratienummer 012661963), dewelke een integratie aanbiedt van verschillende diensten met het oog op een efficiëntere bedrijfsadministratie van haar klanten. De online diensten faciliteren onder meer online beheer en samenwerking, en bestaan onder andere uit een CRM systeem, agenda, offertebeheer, API, projectplanningmodule, facturatiemodule, ticketing en Voice-over-IP;
Sub-verwerker: Xxxx Xxxxxxxxx aangesteld door Teamleader;
Verwerkings-
verantwoordelijke: De entiteit, dat alleen of samen met anderen, het
doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt;
Verwerker: De entiteit dat ten behoeve van de
Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt;
Verwerking/Verwerken: Elke handeling of elk geheel van handelingen met
betrekking tot Persoonsgegevens, waaronder in ieder geval begrepen dient te worden zonder evenwel limitatief te zijn: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, aligneren of combineren, alsmede het afschermen, wissen, of vernietigen van Persoonsgegevens.
Tot deze overeenkomst behoren de volgende bijlagen:
Bijlage I: Overzicht van (i) de Persoonsgegevens die Partijen verwachten te Verwerken, (ii) de categorieën van Betrokkenen van wie de Partijen verwachten Persoonsgegevens te Verwerken,
(iii) het gebruik (i.e. de wijze(n) van Verwerking) van de Persoonsgegevens, (iv) de doeleinden en de middelen van de Verwerking(en) en (v) de gebruiks- en bewaartermijn(en) van de (verschillende soorten) Persoonsgegevens;
Bijlage II: Overzicht en beschrijving van de door Teamleader getroffen beveiligingsmaatregelen.
2 HOEDANIGHEID VAN DE PARTIJEN
Partijen erkennen en aanvaarden in kader van de Verwerking van Persoonsgegevens dat de Klant dient beschouwd te worden als ‘Verwerkingsverantwoordelijke’ en Teamleader als ‘Verwerker’. Bovendien zal Teamleader gerechtigd zijn om beroep te doen op Sub- Verwerkers conform de bepalingen van Artikel 6.
3 GEBRUIK VAN HET PLATFORM EN/OF DE DIENSTEN
3.1 De Klant erkent uitdrukkelijk dat:
✓ Teamleader louter optreedt als facilitator van het Platform en/of de Diensten zodoende de Klant als enige de verantwoordelijkheid draagt over de wijze waarop zij het Platform en/of de Diensten aanwendt;
✓ Ingevolge het gebruik dat zij maakt van het Platform er automatisch een aantal integraties gemaakt zullen worden via de application programming interface (‘API’). Alle overige integraties die Teamleader aanbiedt zijn optioneel en zullen pas doorgevoerd worden wanneer de Klant hierom uitdrukkelijk verzoekt;
✓ Zij als enige verantwoordelijk is om alle wet- en regelgeving (onder meer betreffende de bewaartermijn), dewelke op haar van toepassing is ingevolge het gebruik die zij maakt van het Platform en/of de Diensten, na te leven.
3.2 Ingeval van misbruik door de Klant van het Platform en/of de Diensten, aanvaardt de Klant dat Teamleader hier in geen geval voor aansprakelijk kan gesteld worden noch voor enige schade die voortvloeit uit voornoemd misbruik.
3.3 De Klant verbindt er zich aldus toe om Teamleader te vrijwaren voor dergelijk misbruik, alsook voor elke claim van een Betrokkene en/of enige derde partij ingevolge van het misbruik door de Klant.
4 VOORWERP
4.1 De Klant erkent dat ingevolge het gebruik dat zij maakt van het Platform en/of de Diensten van Teamleader, laatstgenoemde Persoonsgegevens – zoals verzameld door de Klant – zal Verwerken.
4.2 Teamleader zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de Privacy Wetgeving en andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens Verwerken.
Meer bepaald, zal Teamleader bij de uitvoering van de Opdracht al haar know-how ter beschikking stellen om de Opdracht volgens de regels van de kunst, zoals het een gespecialiseerde en “goede” Verwerker past, uit te voeren.
4.3 Teamleader Verwerkt de Persoonsgegevens evenwel slechts in opdracht van de Klant en volgt alle instructies van de Klant, zoals beschreven in Bijlage I, dienaangaande op, behoudens afwijkende wettelijke verplichtingen.
4.4 De Klant, als Verwerkingsverantwoordelijke, heeft en behoudt volledige zeggenschap betreffende onder meer (i) de Verwerking van de Persoonsgegevens, (ii) welke Persoonsgegevens er verzameld worden, (iii) het doel van Verwerking en (iv) het feit of de Verwerking proportioneel is.
Bovendien is de Klant als enige verantwoordelijk om alle (wettelijke) verplichtingen die op haar rusten als Verwerkingsverantwoordelijke na te leven (onder meer betreffende de bewaartermijn), alsook voor de nauwkeurigheid, kwaliteit en rechtmatigheid van de Persoonsgegevens, ingegeven in het Platform, en voor de wijze waarop ze de Persoonsgegevens heeft verworven.
De zeggenschap over de Persoonsgegevens verstrekt onder deze overeenkomst komt dan ook nimmer bij Teamleader te berusten.
5 BEVEILIGINGSMAATREGELEN
Rekening houdende met de stand van de techniek, neemt Teamleader alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden – inclusief beveiliging tegen enige vorm van onzorgvuldig, ondeskundig, onbevoegd of onrechtmatig gebruik en/of Verwerking en beveiliging tegen verlies, vernietiging of schade
– alsook voor de bescherming van de confidentialiteit en integriteit van de Persoonsgegevens, zoals beschreven in Bijlage II.
6 SUB-VERWERKERS
6.1 De Klant erkent en aanvaardt dat Teamleader gerechtigd is voor de uitvoering van de Opdracht beroep te doen op Sub-verwerkers. In zulk geval staat Teamleader er voor in dat de Sub-verwerkers minstens zijn gebonden door dezelfde verplichtingen, als waardoor Teamleader is gebonden op grond van deze overeenkomst.
6.2 Teamleader verbindt er zich toe om het Platform twee (2) lijsten ter beschikking te stellen betreffende het beroep dat zij doet op Sub- verwerkers voor de uitvoering van de Opdracht, met name:
✓ Een lijst van Sub-verwerkers waarop Teamleader steeds beroep doet gezien deze integraties standaard voorzien zijn (cfr. Artikel 3.1); en
✓ Een lijst van optionele Sub-verwerkers waarop Teamleader slechts beroep doet wanneer de Klant heeft geopteerd voor deze integratie(s) (cfr. Artikel 3.1).
Dergelijke lijsten bevatten de identiteit van de Sub-verwerkers, alsook hun land van vestiging.
6.3 Teamleader verbindt er zich toe om de Klant in kennis te stellen wanneer de lijst van Sub-verwerkers zal wijzigen (zoals maar niet beperkt tot de toevoeging en/of vervanging van een Sub-verwerker).
6.4 Onverminderd Artikel 6.3, heeft de Klant het recht om zich te verzetten tegen een door Teamleader aangestelde nieuwe Sub- verwerker wanneer het gaat om een Sub-verwerker van een standaard integratie.
Wanneer de Klant haar recht tot verzet wenst uit te oefenen, dient zij Teamleader schriftelijk en op gemotiveerde wijze hiervan in kennis te stellen en dit uiterlijk binnen de tien (10) dagen volgende op de ontvangst van voornoemde kennisgeving door de Klant (cfr. Artikel 6.3).
6.5 In het geval de Klant bezwaar maakt tegen een nieuwe Sub- verwerker en het bezwaar wordt niet als onredelijk beschouwd, zal Teamleader naar best vermogen (i) een wijziging in het Platform en/of de Diensten ter beschikking stellen aan de Klant of (ii) de Klant aanbevelen om een commerciële en redelijke wijziging door te voeren van haar configuratie of gebruik van het Platform en/of de Diensten zodoende er kan vermeden worden dat er Persoonsgegevens Verwerkt zullen worden door de Sub-verwerker waartegen zij zich heeft verzet, zonder dat dit evenwel onredelijke gevolgen met zich mee mag brengen voor de Klant.
Indien Teamleader niet in de mogelijkheid is om dergelijke wijziging ter beschikking te stellen aan de Klant binnen een redelijke termijn (dewelke niet langer zal bedragen dan dertig (30) kalenderdagen volgende op het bezwaar van de Klant), zal de Klant gerechtigd zijn om de overeenkomst met Teamleader te beëindigen op voorwaarde dat:
✓ Het Platform niet kan gebruikt worden door de Klant zonder dat er beroep wordt gedaan op Sub-verwerker waartegen de Klant zich heeft verzet; en/of
✓ De beëindiging louter betrekking heeft op de Diensten, xxxxxxx niet door Teamleader geleverd kunnen worden zonder beroep te doen op Sub-verwerker waartegen de Klant zich heeft verzet;
en dit door Teamleader binnen een redelijke termijn hiervan in kennis te stellen middels een aangetekend schrijven.
7 FUNCTIONARIS VOOR GEGEVENSBESCHERMING
7.1 Teamleader heeft een functionaris voor gegevensbescherming (‘DPO’) aangesteld.
7.2 Deze functionaris voor gegevensbescherming kan bereikt worden middels volgend emailadres xxx@xxxxxxxxxx.xx.
8 DOORGIFTE VAN PERSOONSGEGEVENS BUITEN EER
Elke overdracht van Persoonsgegevens buiten de Europese Economische Ruimte (EER) aan een bestemmeling die zijn woonplaats of zetel heeft in een land dat niet onder een adequaatheidsbesluit valt, uitgevaardigd door de Europese Commissie, zal worden beheerst door bepalingen van een data transfer agreement, dewelke (i) de standaard contractuele clausules zoals bepaald in de ‘Beslissing van de Europese Commissie van 5 februari 2010 (Decision 2010/87/EC)’, of (ii) enig ander mechanisme op grond van de Privacy Wetgeving en/of andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens Verwerken zal bevatten.
9 CONFIDENTIALITEIT
9.1 Teamleader houdt de Persoonsgegevens geheim. Teamleader zal de Persoonsgegevens aldus niet aan derden ter beschikking stellen noch overmaken zonder de voorafgaandelijke schriftelijke goedkeuring van de Klant, tenzij wanneer:
✓ Deze overeenkomst hiervan afwijkt;
✓ De openbaarmaking/bekendmaking wordt vereist door de wet of door een rechterlijke of andere overheidsbeslissing (van welke aard ook). In zulk geval, zal Teamleader voorafgaandelijk aan de
bekendmaking en/of mededeling de omvang en wijze daarvan bespreken met de Klant.
9.2 Teamleader verbindt er zich toe dat haar personeel, belast met de uitvoering van de Opdracht, kennis heeft van de confidentiële aard van de Persoonsgegevens, gepaste training heeft gekregen betreffende hun verantwoordelijkheden en gebonden is door een confidentialiteitsovereenkomst. Tevens verbindt Teamleader er zich toe dat dergelijke confidentialiteitsverplichtingen de beëindiging van de arbeidsovereenkomst overleven.
9.3 Teamleader garandeert dat de toegang tot Persoonsgegevens beperkt is tot het personeel dat belast is met de uitvoering van de Opdracht in overeenstemming met deze overeenkomst.
10 KENNISGEVING
10.1 Teamleader tracht naar best vermogen de Klant binnen een redelijke termijn te informeren wanneer zij:
✓ Een verzoek tot informatie, een dagvaarding of een verzoek tot inspectie of audit van een bevoegde overheidsinstantie ontvangt in verband met de Verwerking van de Persoonsgegevens;
✓ De intentie heeft om de Persoonsgegevens aan een bevoegde overheidsinstantie ter beschikking te stellen;
✓ Vaststelt of redelijkerwijs vermoedt dat een Datalek zich heeft voorgedaan betreffende de Persoonsgegevens.
10.2 In geval van een Datalek verbindt Teamleader er zich toe om:
✓ De Klant, zonder onnodige vertraging volgende op de vaststelling van een Datalek, hiervan in kennis te stellen, alsook binnen de mate van het mogelijke bijstand te verlenen aan de Klant in het kader van haar rapporteringsverplichting op grond van de Privacy Wetgeving;
✓ Zo snel als redelijkerwijze mogelijk, passende en corrigerende maatregelen te nemen om een einde te stellen aan het Datalek en een eventueel toekomstig Datalek te voorkomen en/of te beperken.
11 RECHTEN VAN DE BETROKKENE
11.1 Voor zover de Klant – in kader van het gebruik die zij maakt van het Platform en/of de Diensten – niet in de mogelijkheid is om de Persoonsgegevens te corrigeren, te wijzigen, te blokkeren of te verwijderen, zoals vereist door de Privacy Wetgeving, zal Teamleader
– voor zover ze daartoe wettelijk verplicht is – voldoen aan een commercieel redelijk verzoek van de Klant om dergelijke handelingen mogelijk te maken.
Voor zover wettelijk toegestaan, zal de Klant verantwoordelijk zijn voor alle kosten die Teamleader dient te dragen ingevolge dergelijke bijstand.
11.2 Teamleader zal, voor zover wettelijk toegestaan, de Klant onverwijld in kennis stellen wanneer het een verzoek ontvangt van een Betrokkene betreffende de toegang tot, correctie, wijziging of verwijdering van de Persoonsgegevens van de Betrokkene. Teamleader zal evenwel niet reageren op een dergelijk verzoek van een Betrokkene zonder voorafgaande schriftelijke toestemming van de Klant, behalve om te bevestigen dat het verzoek betrekking heeft op de Klant waarvoor de Klant aldus haar akkoord heeft gegeven.
Teamleader zal aan de Klant commerciële en redelijke medewerking en bijstand verlenen in kader van de behandeling van een verzoek van een Betrokkene betreffende de toegang tot, correctie, wijziging of verwijdering van de Persoonsgegevens van deze Betrokkene, voor zover dit wettelijk is toegestaan en voor zover de Klant zelf geen toegang heeft tot dergelijke Persoonsgegevens middels het gebruik dat zij maakt van het Platform en/of de Diensten.
Voor zover wettelijk toegestaan, zal de Klant verantwoordelijk zijn voor alle kosten die Teamleader dient te dragen ingevolge dergelijke bijstand.
11.3 Indien Teamleader – in kader van voornoemde bijstand – de Persoonsgegevens van een Betrokkene dient te wissen, erkent de Klant dat Teamleader niet verantwoordelijk kan worden gesteld wanneer zij na de verwijdering de Persoonsgegevens van deze Betrokkene opnieuw dient te Verwerken in kader van een overeenkomst die zij met een klant heeft afgesloten.
12 SCHRAPPEN OF TERUGBEZORGING VAN PERSOONSGEGEVENS
12.1 Na afloop van de Opdracht en/of bij beëindiging van de overeenkomst zal Teamleader de Klant in kennis stellen van het feit dat zij de mogelijkheid heeft om, gedurende de periode zoals meegedeeld in voornoemde kennisgeving, de Persoonsgegevens te exporteren uit het Platform middels de beschikbare export tools.
12.2 Eens voornoemde termijn tot exportering is verstreken, zal Teamleader de Persoonsgegevens eerst wissen via ‘soft deletion’ om vervolgens na een termijn van zes (6) maanden over te gaan tot het anonimiseren van de Persoonsgegevens.
13 CONTROLE
13.1 Teamleader tracht alle informatie ter beschikking te stellen, xxxxxxx nodig is om de Klant toe te laten om na te gaan of Teamleader de bepalingen van de overeenkomst naleeft.
13.2 In dit kader dient Teamleader de Klant (of een derde waarop laatstgenoemde een beroep doet) tevens toe te laten inspecties uit te voeren – zoals maar niet beperkt tot audits – en de nodige samenwerking daartoe te verlenen.
14 SLOTBEPALINGEN
14.1 Deze overeenkomst duurt zolang de Opdracht duurt. De bepalingen van deze overeenkomst blijven gelden voor zover nodig voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het einde van deze overeenkomst te overleven (zoals maar niet beperkt tot Artikel 9 en 15).
14.2 De eventuele nietigheid van één of meerdere bedingen uit deze overeenkomst of een gedeelte daarvan, doet geen afbreuk aan de geldigheid en toepasselijkheid van de andere clausules en/of de rest van de bepaling in kwestie. In geval van nietigheid van één of meerdere bedingen zullen Partijen onderhandelen om de nietige bepaling te vervangen door een equivalente bepaling die beantwoordt aan de geest van deze bepaling. Komen Partijen niet tot een akkoord, dan kan de bevoegde rechter de nietige bepaling matigen tot wat (wettelijk) is toegelaten.
14.3 Afwijkingen, wijzigingen en/of aanvullingen op de overeenkomst zijn slechts geldig en verbindend voor zover deze schriftelijk door beide Partijen zijn aanvaard.
14.4 Deze overeenkomst en de rechten en verplichtingen die eruit voortvloeien voor Partijen zijn niet overdraagbaar, rechtstreeks of onrechtstreeks, zonder het voorafgaand schriftelijk akkoord van de andere Partij.
14.5 Het eventueel of zelfs herhaaldelijk niet-toepassen door de Partijen van enig recht, kan slechts beschouwd worden als het dulden van een bepaalde toestand en leidt niet tot rechtsverwerking.
14.6 Deze overeenkomst prevaleert boven alle overige overeenkomsten tussen de Klant en Teamleader.
15 TOEPASSELIJK RECHT & JURISDICTIE
15.1 Deze overeenkomst en haar uitvoering zal uitsluitend beheerst worden door en geïnterpreteerd worden overeenkomstig het Belgische recht.
15.2 Alle mogelijke geschillen en moeilijkheden die zich betreffende de uitvoering en/of uitlegging van deze overeenkomst zouden voordoen, behoren tot de uitsluitende bevoegdheid van de rechtbanken van het arrondissement waar Teamleader haar maatschappelijke zetel heeft.
******
Bijlagen:
- Bijlage I – Overzicht van Persoonsgegevens
- Bijlage II – Beschrijving beveiligingsmaatregelen
Bijlage I – Overzicht van Persoonsgegevens1
I. De Persoonsgegevens die Partijen verwachten te Verwerken:
o Naam
o Voornaam
o Accountnaam
o Wachtwoord
o E-mailadres
o Telefoonnummer (vast/gsm)
o Woonadres
o Rekeningnummer
o Bankcode
o Andere Persoonsgegevens afhankelijk van de vrije velden die de Klant zelf heeft toegevoegd
II. De categorieën van Betrokkenen van wie Partijen verwachten Persoonsgegevens te Verwerken:
o Werknemers
o Prospecten
o Klanten
o Leveranciers
o Business partners
o Andere
III. Het gebruik (= wijze(n) van verwerking) van de Persoonsgegevens en de middelen voor en de doeleinden van Verwerking: Gebruik van de Persoonsgegevens:
o Opslag in het Platform en/of de App
o Verwerking
Middelen van Verwerking:
o Door Teamleader ontwikkelde software
o Integraties:
o De standaard integraties
o De integraties waarvoor de Klant zelf heeft geopteerd
Doel Verwerking:
o Standaard integraties
o Beheer van taken, meetings en calls
o Toevoegen van Persoonsgegevens aan de CRM-tool met het oog op het opvolgen van verzonden emails en het beheer van contacten en bedrijven
o Opvolgen van een verkoopsproject (incl. beheer van offertes)
o Projectplanning (incl. interne projecten)
o Facturatie
o Beheer van gebruikers / teams van gebruikers van het Platform
o Tijdsregistratie
o Aanmaak en beheer van support tickets (incl. statistieken daarvan)
o Aanmaak en beheer van doelen
o Voice-over-Ip
1 De Klant erkent dat bovenstaande opsomming een algemeen overzicht geeft van de Persoonsgegevens die Teamleader via haar Platform kan Verwerken. In het geval het Platform customized wordt op vraag van de Klant (via integraties beschikbaar op de marketplace) kan op uitdrukkelijke vraag van de Klant een customized/geüpdate overzicht overgemaakt worden resp. ter beschikking gesteld worden via het Platform.
o Beheer van (gerichte) mailings
o Aanmaak en beheer van verzendformulieren
o Aanmaak en beheer van bestellingen
o Aanmaak, planning en beheer van evenementen
o Opslaan en bijhouden van documenten
o Aanmaak van Teamleader accounts door de Klant
o Voorraadbeheer
o De integraties waarvoor de Klant zelf heeft geopteerd (de doeleinden van Verwerking van deze integraties zijn afhankelijk van de gekozen integraties)
IV. De gebruiks- en bewaartermijnen van de (verschillende soorten) Persoonsgegevens:
Teamleader zal de Persoonsgegevens bewaren zolang de Opdracht en/of de overeenkomst lopende is. Eens de Opdracht en/of overeenkomst beëindigd is en de periode tot exportering door de Klant is verstreken, zal Teamleader de Persoonsgegevens eerst wissen via ‘soft deletion’ en vervolgens na een termijn van zes (6) maanden anonimiseren.
In afwijking van deze algemene regel zal Teamleader, indien noodzakelijk, een kortere bewaartermijn toepassen op grond waarvan Teamleader de betreffende Persoonsgegevens reeds zal wissen via ‘soft deletion’. In elk geval zal deze ‘soft deletion’ steeds gevolgd worden door anonimisering bij afloop van de Opdracht en/of overeenkomst (conform hetgeen hierboven uiteengezet).
Teamleader opteert voor ‘soft deletion’ om onder meer vergissingen in hoofde van de Klant en her-activatie van de Teamleader account na beëindiging ervan op te vangen.
Tot slot, behoudt Teamleader zich het recht voor om na afloop van de Opdracht en/of Overeenkomst de geanonimiseerde Persoonsgegevens (of een gedeelte daarvan) te bewaren voor statistische en analytische redenen.
Bijlage II – Beschrijving beveiligingsmaatregelen
Dit document bevat de technische en organisatorische beveiligingsmaatregelen die door Teamleader genomen worden ter ondersteuning van zijn (Verwerkings)activiteiten, zoals vereist door de Privacy Wetgeving.
I. (Fysieke) toegangscontrole tot verwerkingsinfrastructuur
De webapplicatie-, communicatie- en databaseservers van Teamleader bevinden zich in veilige datacentra in Ierland, die beheerd worden door Amazon Web Services, Inc., met wie Teamleader het "AWS Data Processing Addendum" ondertekend heeft om te voldoen aan de normen en verplichtingen van de Privacy Wetgeving.
II. (Logische) toegangscontrole tot systemen voor de Verwerking van Persoonsgegevens
Teamleader heeft passende maatregelen genomen om te voorkomen dat niet-geautoriseerde personen gebruik maken van zijn systemen voor de Verwerking van Persoonsgegevens.
Dit wordt bereikt door:
o De identificatie van de terminal en/of de gebruiker van de terminal in de systemen van Teamleader;
o Automatische uitschakeling van de gebruikersterminal terwijl deze niet gebruikt wordt. Identificatie en paswoord nodig om opnieuw toegang te krijgen;
o Automatische blokkering van de gebruiker na het meermaals ingeven van een fout paswoord. Gebeurtenissen worden geregistreerd en regelmatig gecontroleerd;
o Toegangscontrole via firewall, router en VPN om de private netwerken en back-end-servers te beschermen;
o Ad-hoc controle van infrastructuurbeveiliging;
o Regelmatig onderzoek van veiligheidsrisico's door interne medewerkers en externe auditors;
o Het verstrekken en veilig bewaren van identificatiecodes;
o Toegangscontrole op basis van rollen volgens het beginsel dat alleen strikt noodzakelijke rechten worden toegekend;
o De toegang tot hostservers, applicaties, databases, routers, schakelaars, enz. wordt geregistreerd;
o Gebruik maken van commerciële en op maat gemaakte hulpmiddelen voor het verzamelen en controleren van door het Platform en het systeem geregistreerde gegevens.
III. Controle van de beschikbaarheid
Teamleader heeft passende maatregelen geïmplementeerd om ervoor te zorgen dat Persoonsgegevens beschermd zijn tegen onvrijwillige vernietiging of verlies. Dit wordt bereikt door:
o Redundante infrastructuur;
o Een constante evaluatie van datacentra en Internet Service Providers (ISP's) om de prestaties voor zijn klanten wat betreft bandbreedte, latentie en isolatie voor calamiteitenherstel te optimaliseren;
o Het onderbrengen van datacentra in veilige, carrierneutrale gedeelde locaties met fysieke beveiliging, redundante stroomvoorziening en redundante infrastructuur;
o Service Level Agreements met ISP's om een maximale beschikbaarheid te garanderen;
o Snelle overschakeling bij problemen.
IV. Controle van de transmissie
Teamleader heeft passende maatregelen geïmplementeerd om te voorkomen dat Persoonsgegevens gelezen, gekopieerd, gewijzigd of gewist worden door niet- geautoriseerde personen tijdens de transmissie van de gegevens of het transport van de gegevensdragers.
Dit wordt bereikt door:
o Gebruik van geschikte firewall- en versleutelingstechnologieën om de poorten en kanalen waarlangs de gegevens overgedragen worden te beschermen;
o Gevoelige Persoonsgegevens worden versleuteld tijdens de transmissie met behulp van actuele versies van TLS of andere beveiligingsprotocollen die gebruik maken van krachtige versleutelingsalgoritmes en sleutels;
o Bescherming van toegang via het internet tot interfaces voor accountbeheer door medewerkers via versleutelde TLS;
o End-to-end-versleuteling van gedeelde schermen voor toegang op afstand, ondersteuning of realtimecommunicatie.
V. Controle van de invoer
Teamleader heeft passende maatregelen geïmplementeerd om ervoor te zorgen dat het mogelijk is te bepalen of en door wie de Persoonsgegevens in de systemen voor de Verwerking van Persoonsgegevens ingevoerd of eruit verwijderd werden.
Dit wordt bereikt door:
o Authenticatie van de geautoriseerde medewerkers;
o Beschermingsmaatregelen voor de invoer van Persoonsgegevens in het geheugen en voor het lezen, wijzigen en wissen van opgeslagen Persoonsgegevens, onder andere door significante wijzigingen van accountgegevens of -instellingen te documenteren of te registreren;
o Scheiding en bescherming van alle opgeslagen Persoonsgegevens via databaseschema's, logische toegangscontroles en/of versleuteling;
o Gebruik van legitimatiebewijzen voor de identificatie van de gebruiker;
o Fysieke beveiliging van de locatie waar de gegevensverwerking plaatsvindt;
o Time-out van sessies.
VI. Controle / monitoring
Teamleader raakt niet aan de Persoonsgegevens van de Klant, behalve:
o Om de nodige Diensten te verlenen in het kader van de overeenkomst met de Klant;
o Om de gebruikerservaring te ondersteunen;
o Zoals vereist door de wet; of
o Op verzoek van de Klant.
Dit wordt bereikt door:
o Individuele toewijzing van systeembeheerders;
o Het nemen van passende maatregelen om de toegang van de systeembeheerders tot de infrastructuur te registreren.