KLANTNAAM BVBA
KLANTNAAM BVBA
180501-10
Pag. 1
Partijen:
KLANTNAAM BVBA, gevestigd te 3500 Hasselt, Straatnaam 01, hierna te noemen: “Verantwoordelijke”, “U” of “Uw”, ten deze rechtsgeldig vertegenwoordigd door DOE XXXX, in diens hoedanigheid van BESTUURDER;
en
ARANERE, gevestigd te Hasselt, Gouverneur Roppesingel 83, hierna te noemen: “Verwerker” , “Wij”, “Ons” of “Onze”, te dezen rechtsgeldig vertegenwoordigd door Xxxxxx Xxxxxx;
hierna gezamenlijk aangeduid als “Partijen”, “We” of “Wij Gezamenlijk”
Overwegingen:
A. Wij zijn met U op 21-01-2021 de opdracht met naam/kenmerk WEBSITE VAN EEN KLANT aangegaan vanwege het verrichten van de volgende diensten door Ons: Hosten van zelfgemaakte website/webshop (de “Onderliggende opdracht”). Wij Verwerken daarbij de Persoonsgegevens die vermeld staan in de Bijlage die bij deze Overeenkomst hoort.
B. Wij zijn - vanwege het uitvoeren van deze Onderliggende opdracht én met betrekking tot de Persoonsgegevens die Wij hierbij zullen Verwerken - aan te merken als “Verwerker” en U als “Verantwoordelijke”. In deze Overeenkomst leggen We onze wederzijdse rechten en verplichtingen vast.
Partijen komen het volgende overeen:
1. Definities
In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Sub-verwerker:: Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkings- activiteiten te verrichten.
Verwerkingsverantwoordeli jke / Verantwoordelijke:
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Pag. 2
Bijzondere Dit zijn gegevens waaruit ras of etnische afkomst, politieke
Persoonsgegevens: opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
Datalek / Inbreuk in verband persoonsgegevens:
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Derden: Anderen dan U en Wij en Onze Medewerkers
Meldplicht Datalekken: De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
Medewerkers: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Onderliggende opdracht: Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
Overeenkomst: Deze verwerkersovereenkomst.
Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Persoonsgegevens van gevoelige aard:
Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene, schade aan de gezondheid, financiële schade of tot
Pag. 3
(identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend: Bijzondere persoonsgegevens Gegevens over de financiële of economische situatie van de Betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene Gebruikersnamen, wachtwoorden en andere inloggegevens
Verwerken / Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vast leggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
AVG (of GDPR): Algemene Verordening Gegevensbescherming, inclusief de uitvoerings- wet van deze verordening. De AVG gaat in voege vanaf 25 mei 2018.
Pag. 4
2. Toepasselijkheid en looptijd
2.1 Deze Overeenkomst is van toepassing op iedere Verwerking die door Ons als Verwerker wordt gedaan op basis van de Onderliggende opdracht, gegeven door U als Verantwoordelijke.
2.2 Deze Overeenkomst treedt in werking op de datum waarop de Onderliggende opdracht van kracht wordt en eindigt op het moment dat wij geen Persoonsgegevens meer onder ons hebben die wij in het kader van de Onderliggende Opdracht voor u verwerken. Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen.
2.3 Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst (of de Onderliggende opdracht) is geëindigd.
3. Verwerking
3.1 Wij Verwerken de Persoonsgegevens uitsluitend op de manier die Wij met U hebben afgesproken in de Onderliggende opdracht. Dit Verwerken doen Wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Onderliggende opdracht. De Verwerking vindt plaats volgens Uw schriftelijke instructies, tenzij Wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)). Indien een instructie, naar onze mening, een inbreuk maakt op de AVG stellen wij U daarvan onmiddellijk in kennis.
3.2 De Verwerking vindt plaats onder Uw verantwoordelijkheid. Wij hebben geen zeggenschap over het doel en de middelen van de Verwerking en nemen geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor u verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. U moet er voor zorgen dat U het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij Ons. Als Wij een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften tot Verwerking van Persoonsgegevens, dan leven Wij deze verplichtingen na.
3.3 U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te
leven. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Wij zorgen ervoor dat Wij voldoen aan de op ons als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoons- gegevens en de afspraken die We hebben gemaakt in deze Overeenkomst.
3.4 Wij zorgen ervoor dat alleen Onze Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5. Wij beperken de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Wij zorgen er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
3.5 Wij kunnen andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze Sub- verwerkers over specialistische kennis of middelen beschikken waarover Wij niet beschikken. Als het inschakelen van Sub-Verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan zullen wij die Sub-Verwerkers (schriftelijk) de verplichtingen uit deze Overeenkomst opleggen. Met ondertekening van deze Overeenkomst geeft u toestemming voor het inschakelen van de Sub-Verwerkers die genoemd zijn in de Bijlage die bij deze Overeenkomst hoort. Voor het inschakelen van overige Sub-Verwerkers vragen Wij eerst om Uw toestemming. U kunt toestemming weigeren maar dit kan in sommige gevallen betekenen dat Wij de Onderliggende opdracht moeten beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitend beoordeling aan Ons.
3.6 Voor zover mogelijk verlenen Wij U bijstand bij het vervullen van Uw verplichtingen om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als Wij (rechtstreeks) verzoeken ontvangen van Xxxxxxxxxx(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zenden Wij deze verzoeken door naar U. U handelt deze verzoeken zelf af, waarbij Xxx U natuurlijk behulpzaam kunnen zijn als Wij in het kader van de Onderliggende opdracht toegang hebben tot deze Persoonsgegevens. Hiervoor kunnen wij kosten in rekening brengen.
3.7 Wij zullen de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij Wij hierover met U andere afspraken hebben gemaakt. Deze afspraken leggen Wij Gezamenlijk schriftelijk vast, of per e-mail.
3.8 Als Wij een verzoek krijgen om Persoonsgegevens ter beschikking te stellen dan doen Wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen Wij eerst of Wij van mening zijn dat het verzoek bindend is, of dat Wij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen Wij U op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor U mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als Wij U op de hoogte mogen stellen dan zullen Wij ook met U overleggen over de wijze waarop en welke gegevens Wij ter beschikking zullen stellen.
Pag. 5
4. Beveiligingsmaatregelen
4.1 Wij hebben de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze Overeenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
4.2 U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van
de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.
4.3 Wij informeren U als een van de beveiligingsmaatregelen substantieel wijzigt.
4.4 Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als U de wijze waarop Wij de beveiligingsmaatregelen naleven wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Ons doen. Wij zullen hierover Gezamenlijk met U afspraken maken. De kosten van een inspectie zijn voor Uw rekening. U stelt aan Xxx een kopie van het inspectierapport ter beschikking.
5. Datalekken
5.1 Als er sprake is van een Datalek dan stellen Wij U daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit Xxxxxxx hebben ontdekt, of zo snel mogelijk nadat wij daarover door Onze Sub-verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze Overeenkomst. Wij zullen U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze Sub-bewerker aan u door. Ook van de door Ons, of onze Sub-bewerker, naar aanleiding van het Datalek genomen maatregelen houden Wij U op de hoogte.
5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid.
5.3 Het (bij)houden van een register van Datalekken is altijd Uw eigen verantwoordelijkheid.
6. Geheimhoudingsplicht
6.1 Wij houden de van u verkregen Persoonsgegevens geheim en verplichten Onze Medewerker en eventuele Sub-verwerkers ook tot geheimhouding. Accountants nemen met betrekking tot de aan hen toevertrouwde Persoonsgegevens geheimhouding in acht zoals deze voor accountants geldt op basis de beroeps- en gedragsregels. Een overzicht van deze beroeps- en gedragsregels kunt U vinden op de website van de Nederlandse Beroepsorganisatie van Accountants (xxx.xxx.xx).
7. Geheimhoudingsplicht
7.1 U staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.2 U staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.3 De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van Onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.
8. Overdraagbaarheid Overeenkomst
8.1 Het is voor U en Ons, behalve als Wij Gezamenlijk schriftelijke anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.
Pag. 6
9. Beëindiging en teruggave / vernietiging Persoonsgegevens
9.1 Als de Onderliggende opdracht wordt beëindigd dan zullen Wij de door U aan Ons verstrekte Persoonsgegevens aan U terug overdragen of – als U Ons daarom verzoekt – vernietigen. Wij zullen uitsluitend een kopie van de Persoonsgegevens bewaren als Wij hiertoe op grond van wet- of (beroeps)regelgeving verplicht zijn.
9.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als U daarom vraagt dan geven Xxx U vooraf een kosteninschatting.
10. Aanvullingen en wijziging Overeenkomst
10.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
10.2 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de onderliggende opdracht, of wanneer Wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor Ons reden zijn om de Onderliggende opdracht te beëindigen.
11. Slotbepalingen
11.1 Op Uw verzoek stellen Wij U alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen. Wij maken audits mogelijk, waaronder inspecties, door U of een door U gemachtigde controleur en dragen er aan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij Onze Sub-bewerkers zijn voor Uw rekening.
11.2 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
11.3 Op deze Overeenkomst is het Belgisch recht van toepassing, de Belgische rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.
11.4 Deze Overeenkomst is hoger in rang dan andere door Ons met U gesloten overeenkomsten. Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
11.5 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
Pag. 7
Pag. 8
11.6 Mededelingen in het kader van deze Overeenkomst (inclusief mededelingen in het kader van artikel 5 – Datalekken) zullen door U en Ons worden gedaan aan onderstaande Medewerkers:
VERANTWOORDELIJKE BEDRIJFX
Tel.: 000000000
E-mail: xxxxxxxxxxxxxxxxx@xxxxxxx.xx
Als de gegevens behorend bij de bovengenoemde Medewerkers veranderen, of als zij worden vervangen door andere Medewerkers, dan lichten We elkaar daarover in.
Ondertekening
KLANTNAAM DOE XXXX ARANERE - Xxxxxx Xxxxxx
Bijlage
Persoonsgegevens
Onderwerp, duur, aard en doel van de verwerking:
DIT IS DE BESCHRIJVING VAN HET ONDERWERP VAN DE WEBSIT.
De volgende Persoonsgegevens zullen in het kader van de Onderliggende opdracht worden verwerkt:
NAAM VOORNAAM E-MAILADRES WORDEN VERWERKT NA HET INVULLEN VAN HET CONTACTFORMULIER
Verwerking
Wij Verwerken op de volgende wijzen Persoonsgegevens voor U:
Contactformulier: Het contactformulier wordt ingevuld op de website, en via de server verstuurd naar het opgegeven e-mailadres. Er worden GEEN persoonsgegevens in de database opgeslagen.
CHECKOUT WEBSITE: Via de check-out van de webshop worden persoonsgegevens verwerkt en opgeslagen in de database van de website.
INSCHRIJVING Nieuwsbrief: Een inschrijving op een nieuwsbrief gebeurt via de plugin (op de website) van het mailingplatform waarmee gewerkt wordt. Afhankelijk van het platform worden de persoonsgegevens wel of niet bewaard in de database van de site.
U bepaalt welke Persoonsgegevens worden verwerkt en op welke wijze, U bent Verantwoordelijke voor deze verwerking. Technische en organisatorische maatregelen
Derden
WIJ schakelen deze derden (Sub-verwerkers) in bij het uitvoeren van de Onderliggende opdracht:
Level27 - Hosting firma
U (verantwoordelijke) deelt persoonsgegevens met onderstaande derden partijen (Sub- verwerkers):
ACTIVE CAMPAIGN
Wij nemen de volgende technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige Verwerking:
Pag. 9
1. Fysieke toegangscontrole
1.1 Persoonsgegevens die behoren tot de klant zijn opgeslagen en/of verwerkt in de datacenters of server rooms van de leverancier.
1.2 De gebouwen zijn beveiligd door de volgende maatregelen: Kantoor via Sleutel, Datacenter via een Alarmsysteem en Videobewaking
1.3 Toegang tot het eigendom is beveiligd door de volgende maatregelen: Serverrooms en datacenter door Smart Card toegang, en het datacenter door 24/7 security
1.4 Bevoegde toegang wordt gedocumenteerd op basis van namen.
1.5 Toegangsregels voor derden/gasten/bezoekers: Toegang en verblijf enkel vergezeld door een toezichthoudende.
1.6 Er zijn regels voor het intrekken van geautoriseerde toegang tot gebouwen en toegangsrechten tot computersystemen, inclusief hun documentatie, voor werknemers aan het einde van hun tewerkstelling.
2. Systeem toegangscontrole
2.1 Het bedrijfsnetwerk is afgeschermd van de buitenwereld door een firewall: Type: pfsense + symantec
Update procedure en frequentie: maandelijks + in geval van nood
2.2 Het personeel moet voldoen aan de volgende vereisten voor een paswoord:
✓ Persoonlijk computer paswoord voor elke medewerker dat geheim gehouden moet worden
✓ Minimum lengte, indien van toepassing: Nummers of karakters: 7, minstens 1 kleine letter, 1 hoofdletter en 1 nummer
✓ Automatische schermvergrendeling na een bepaalde tijdsperiode: 5 minuten
2.3 Virusscanners zijn in gebruik op de e-mailaccounts van het bedrijfsnetwerk
2.4 Een virusscanner is in gebruik op alle servers: Update procedure = Dagelijks
2.5 Er is geen virusscanner aanwezig op individuele computer: MAC OS, heeft hier geen behoefte toe door regelmatige updates
2.6 Relevante security software updates worden regelmatig en automatisch geïnstalleerd voor bestaande software
2.7 Administrators, developers, technici en gebruikers hebben lokale administrator rechten op de individuele computers
2.8 Medewerkers zijn bevoegd om het internet te gebruiken.
3. Afscheidings controle
3.1 Onderhouds toegang/gegevenstoegang is beschikbaar voor medewerksers van op afstand via volgende toepassingen:
- Type authenticatie (vb., paswoord, of PIN en bewijs): paswoord
- Waar authenticatie met paswoord:
- Gebruikte protocollen of mechanismen (vb., SSH, VPN, RDP): SSH, SFTP, VPN, RDP, UNC.
3.2 Medewerkers zijn getraind met respect mobiel te werken.
4. Onthullings controle
4.1 Het type encryptie dat gebruikt wordt voor gegevensuitwisseling tussen de klant en leverancier als de gegevens elektronisch worden overgedragen is SFTP, HTTPS (vb web interface, cloud storage), SSL-VPN of Citrix (SSL, Let’s encrypt, S2S VPN).
4.2 Persoonlijke gegevens van de klant worden geëncrypteerd door de leverancier opgeslagen. Procedure AES-XTS (256 bit key).
4.3 Klantgegevens in backups worden geëncrypteerd beschermd.
4.4 Electronische klantgegevens worden via 'automated delete' verwijderd (40 dagen na contractbeëindiging) De gegevens verwijdering wordt gedocumenteerd via 'automatische lifecycle, log in database'.
Pag. 10
5. Beschikbaarheid controle
5.1 Back-up frequentie (interval): dagelijks - Aantal back-up generaties die bijgehouden worden: 1 maand
5.2 Herstart tijd na een volledige vernietiging van het datacenter is 1 dag
6. Job controle
6.1 Medewerkers van de leverancier die persoonlijke gegevens van de klant verwerken of daar toegang tot hebben zijn schriftelijk verplicht tot geheimhouding van de verwerking van persoonlijke gegevens
6.2 Medewerkers zijn schriftelijk verplicht om telefoongesprekken geheim te houden
6.3 De leverancier verzamelt van zijn werknemers de volgende schriftelijke verklaringen (in de context van gegevens privacy en gegevensbescherming en/of in het kader van mobiel werken): NDA + Level27 huisregels
6.4 Als er onderaannemers worden aangenomen die toegang hebben tot klantgegevens:
- Contracten over gegevensverwerking in de zin van artikel 4, nr. 8 en artikel 28 EU-GDPR en, indien van toepassing, over bedrijfszekerheid in de zin van artikel 4 van richtlijn 2002/58/EC in samenhang met richtlijn 2009/136/EC zijn aanwezig voor de onderaannemers die klantgegevens verwerken.
- Onderaannemers die toegang krijgen tot klantgegevens voldoen op dezelfde manier aan de technische en organisatorische maatregelen die in deze checklist zijn overeengekomen als de leverancier zelf, en zijn contractueel overeengekomen om aan deze voorwaarden te voldoen.
6.5 Medewerkers van de leverancier zijn getraind op het gebied van gegevensbescherming en deze trainingen zijn gedocumenteerd op basis van namen.
6.6 De volgende certificaten/gegevens privacy concepten zijn momenteel aanwezig voor de leverancier zijn bedrijf, deze zijn onderworpen in deze checklist: ISO27001 and ISO9001, 2018-09-07
7. Andere
7.1 De volgende procedure wordt bij de leverancier gebruikt om de doeltreffendheid van de technische en organisatorische maatregelen regelmatig te beoordelen en evalueren om ervoor te zorgen dat de verwerking veilig is in de zin van artikel 32(1) GDPR: ISO27001, ISO9001
7.2 Er zijn voorschriften opgesteld bij het bedrijf van de leverancier over het omgaan met beveiligingsincidenten:
- volgens ISO-standards
- Hier word ook gezorgd dat de klant meteen op de hoogte gesteld wordt volgens ISO- standards
Generated in 0.67 seconds Compiled in 0.67 seconds (total) Peak Memory usage 64.00 MB Number of fonts 5
Pag. 11