Verwerkersovereenkomst
Deze Verwerkersovereenkomst bevat de rechten en plichten van de Partijen met betrekking tot de verwerking van Persoonsgegevens op grond van de overeengekomen overeenkomst (hierna: “Overeenkomst”) tussen de Klant (hierna de "Verwerkingsverantwoordelijke") en WeGroup NV, een vennootschap die is opgericht en bestaat onder de Belgische wetgeving, met ondernemingsnummer 0680.957.816 (hierna de "Verwerker").
De Verwerkingsverantwoordelijke en de Verwerker worden gezamenlijk de "Partijen" of individueel de "Partij" genoemd.
1. Definities
1.1. In deze Verwerkersovereenkomst zijn de volgende definities van toepassing:
“Bijlage” betekent een Bijlage die aan deze Verwerkersovereenkomst is gehecht en hier een integraal onderdeel van uitmaakt.
"Verwerkersovereenkomst" betekent dit document, dat een integraal onderdeel van de Overeenkomst zal uitmaken.
"Derde Partij" betekent elke persoon of entiteit die geen partij is bij de Overeenkomst.
"Diensten" betekent de diensten, functies, verantwoordelijkheden en prestaties die door Verwerker onder de Overeenkomst moeten worden geleverd en worden vervuld.
"Onderaannemer" betekent een Derde Partij die door Verwerker als onderaannemer wordt ingeschakeld om de Diensten of een deel daarvan te leveren.
"Verwerkingsverantwoordelijke", "Verwerker", "Betrokkene", "Persoonsgegevens", "Inbreuk in verband met Persoonsgegevens” (hierna Datalek)", “Toezichthoudende Autoriteit” en "Verwerking" zullen dezelfde betekenissen hebben als in de Verordening (EU) 2016 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG/.
"Verwerkt" en "Verwerken" zullen worden geïnterpreteerd in overeenstemming met de definitie van "Verwerking".
"Wetgeving inzake gegevensbescherming": alle wetgeving die binnen de Europese Unie van kracht is inzake de bescherming van persoonsgegevens, inclusief Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens (ook wel bekend als de Algemene Verordening Gegevensbescherming).
2. Gegevensverwerking
2.1. De Verwerker zal onder de Overeenkomst en in uitvoering van de Diensten Persoonsgegevens Verwerken namens de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke bepaalt de doeleinden en middelen van de Verwerking en garandeert hij gerechtigd is om de Persoonsgegevens door de Verwerker te laten Verwerken en dat Verwerkingsverantwoordelijke één of meer juridische grondslagen heeft om deze Persoonsgegevens te Verwerken.
2.2. Wanneer Persoonsgegevens worden verwerkt door de Verwerker, haar agenten, Onderaannemers of werknemers onder of in verband met de Overeenkomst, zal Verwerker ervoor zorgen dat haar agenten, Onderaannemers en werknemers:
(a) alleen de Persoonsgegevens Verwerken, overdragen, wijzigen of de openbaarmaking van de Persoonsgegevens aan een Derde bekendmaken of toestaan:
(i) in overeenstemming met de instructies van Verwerkingsverantwoordelijke zoals vermeld in deze Verwerkersovereenkomst en de Bijlagen; of
(ii) indien vereist door EU- of nationale wetgeving waaraan de Verwerker is onderworpen, in welk geval de Verwerker de Verwerkingsverantwoordelijke informeert over die wettelijke verplichting alvorens Verwerking van die Persoonsgegevens, tenzij die wet verbiedt dat dergelijke informatie wordt verstrekt om redenen van openbaar belang;
(b) redelijke stappen ondernemen om ervoor te zorgen dat alle werknemers, agenten en Onderaannemers die toegang hebben tot de Persoonsgegevens:
(i) op de hoogte zijn van het vertrouwelijke karakter van de Persoonsgegevens; en
(ii) onderworpen zijn aan vertrouwelijkheidsverplichtingen of wettelijke verplichtingen van vertrouwelijkheid die van toepassing zijn met betrekking tot (de verwerking van) dergelijke Persoonsgegevens;
(c) tenzij wettelijke bepalingen aangeven dat een Datalek van de Persoonsgegevens niet vereist is om door een Verwerker aan een Verwerkingsverantwoordelijke te worden gemeld, de Verwerkingsverantwoordelijke onverwijld op de hoogte brengen van een Datalek, rekening houdend met de aard van Verwerking en de informatie die beschikbaar is voor de Verwerker, bij het nakomen van haar verplichtingen met betrekking tot de kennisgeving, het onderzoek, de beperking en het verhelpen van een Datalek krachtens de Wetgeving inzake gegevensbescherming, onverminderd het recht van de Verwerker om redelijke kosten aan de Verwerkingsverantwoordelijke in rekening te brengen voor dergelijke hulp;
(d) op redelijk verzoek van de Verwerkingsverantwoordelijke bijstand verlenen aan Verwerkingsverantwoordelijke om de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan enige uitoefening van rechten door een Betrokkene onder de Wetgeving inzake gegevensbescherming of om te voldoen aan enige beoordeling, onderzoek, kennisgeving op grond van de Wetgeving inzake gegevensbescherming, inclusief door een Toezichthoudende Autoriteit, onder voorbehoud van een redelijke voorafgaande kennisgeving en onverminderd het recht van de Verwerker om de redelijke kosten voor dergelijke hulp in rekening te brengen;
(e) het gebruik van Onderaannemers ("Subverwerker") toestaan om de Persoonsgegevens te Verwerken waarop de Verwerkingsverantwoordelijke geen bezwaar heeft, en waarbij:
(i) de Verwerkingsverantwoordelijke vooraf op de hoogte is gebracht van de identiteit van de voorgestelde Subverwerker (alsook van eventuele wijzigingen aan deze Subverwerkers). Indien de Verwerkingsverantwoordelijke niet akkoord is met de toevoeging van een nieuwe of de vervanging van een bestaande Subverwerker, zal hij de Verwerker hiervan op gemotiveerde en schriftelijke wijze van op de hoogte brengen binnen de 15 dagen. In dergelijk geval zullen deze bezwaren besproken worden. Indien de Partijen er niet in slagen om een akkoord te vinden, is de Verwerkingsverantwoordelijk gerechtigd om de Verwerkersovereenkomst en Overeenkomst zonder kosten te beëindigen; en
(ii) de bepalingen in overeenkomst tussen de Verwerker en de Subverwerker mutatis mutandis dezelfde zijn als die in artikel 28 (3) AVG; en
(iii) de Verwerker volledig aansprakelijk blijft jegens de Verwerkingsverantwoordelijke, binnen de grenzen van de aansprakelijkheid zoals overeengekomen in de Overeenkomst, voor elk falen van een Subverwerker om zijn verplichtingen in verband met de Verwerking van Persoonsgegevens na te komen;
(f) de Verwerker de Verwerking van de Persoonsgegevens stop zal zetten na de beëindiging of het verstrijken van de looptijd en, naar keuze van de Verwerkingsverantwoordelijke de Persoonsgegevens en eventuele kopieën hetzij (voor zover technisch mogelijk) terug te geven, hetzij te verwijderen, tenzij een wettelijk voorschrift de Verwerker verplicht om de Persoonsgegevens te bewaren.
2.3. De aard en het doel van de Verwerking, categorieën van Persoonsgegevens worden verder uiteengezet in Bijlage 1 aan deze Verwerkersovereenkomst.
2.4. De Verwerkingsverantwoordelijke gaat er hierbij mee akkoord dat de Verwerker uitsluitend de Subverwerkers zoals vermeld in Bijlage 2 zal inschakelen voor de Verwerking van Persoonsgegevens.
2.5. De Verwerker kan alleen aansprakelijk worden gesteld voor een aan haar toerekenbare inbreuk op deze Verwerkersovereenkomst, of de bepalingen die rechtstreeks op de Verwerker van toepassing zijn op grond van de toepasselijke Wetgeving inzake gegevensbescherming, in zoverre de Verwerkingsverantwoordelijke heeft voldaan aan zijn eigen verplichtingen zoals uiteengezet in deze Verwerkersovereenkomst en de toepasselijke Wetgeving inzake gegevensbescherming. De aansprakelijkheidsbeperking zoals uiteengezet in de Overeenkomst is van toepassing.
2.6. Op redelijk verzoek zal de Verwerker de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om aan te tonen dat hij voldoet aan zijn verplichtingen onder artikel 32 tot 36 van de Wetgeving inzake gegevensbescherming.
2.7. De Verwerkingsverantwoordelijke heeft het recht om de naleving door de Verwerker van deze Verwerkersovereenkomst te controleren of te laten controleren. Dergelijke audit mag niet meer dan één keer per contractjaar plaatsvinden. De Verwerkingsverantwoordelijke dient de Verwerker minstens dertig (30) dagen vóór de schriftelijke kennisgeving per aangetekend schrijven op de hoogte te stellen van zijn voornemen om een audit uit te voeren. De kennisgeving moet de naam van de auditor bevatten en een beschrijving van het doel en de reikwijdte van de audit. De audit zal plaatsvinden tijdens de normale kantooruren zoals van toepassing op de locatie van de Verwerker. De audit kan worden uitgevoerd door een interne auditor of een externe door de Verwerkingsverantwoordelijke gekozen auditor, op voorwaarde dat de externe partij niet beschouwd kan worden als een concurrent van de Verwerker of op voorwaarde dat er geen belangenconflict is. De Verwerker kan de toegang van de Verwerkingsverantwoordelijke tot de ruimten van de Verwerker beperken tot een ruimte die door de Verwerker wordt voorzien en de auditor mag geen documenten van de Verwerker kopiëren of verwijderen zonder de voorafgaande goedkeuring en instemming van de Verwerker. De Verwerkingsverantwoordelijke garandeert dat de audit zo wordt uitgevoerd dat het ongemak voor de Verwerker en zijn bedrijf tot een minimum beperkt blijft. Verwerkingsverantwoordelijke zal aan zijn auditors voldoende geheimhoudingsverplichtingen opleggen. Het is in alle gevallen essentieel om de vertrouwelijke informatie van de Verwerker te beschermen. De Verwerkingsverantwoordelijke moet, of zal zijn externe auditoren verzoeken, om een ontwerpversie van het auditverslag te versturen naar de Verwerker. De Verwerker heeft het recht om zijn opmerkingen in te dienen binnen een tijdsbestek zoals overeengekomen tussen Partijen. De auditor houdt rekening met de opmerkingen van de Verwerker en neemt deze opmerkingen op in zijn eindverslag dat aan de Verwerker wordt bezorgd. Alle kosten van de audit komen uitsluitend voor rekening van de Verwerkingsverantwoordelijke. De Verwerker zal de Verwerkingsverantwoordelijke factureren voor deze audit aan haar dan geldende uurtarieven.
2.8. Elke Partij zal passende technische en organisatorische maatregelen nemen (en garandeert dat zijn gebruikers, werknemers en Subverwerkers dergelijke maatregelen nemen) om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, waarbij
met name rekening wordt gehouden met het risico van onopzettelijke of onrechtmatige vernietiging, verlies, wijziging of ongeautoriseerde openbaarmaking van of toegang tot Persoonsgegevens. Hierbij zal rekening worden gehouden met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en doeleinden van de Verwerking, alsmede het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen. De Verwerker neemt minimaal de technische en organisatorische maatregelen uiteengezet in Bijlage 3.
2.9. Elke overdracht van Persoonsgegevens aan een derde land of een internationale organisatie mag alleen plaatsvinden in overeenstemming met de principes uiteengezet in deze Verwerkersovereenkomst en de Wetgeving inzake gegevensbescherming. De Verwerkingsverantwoordelijke verleent de Verwerker toestemming om Persoonsgegevens over te dragen aan een derde land of aan een internationale organisatie zoals uiteengezet in de Bijlage 2. Elke wijziging of toevoeging aan deze lijst zal worden meegedeeld aan de Verwerkingsverantwoordelijke alvorens deze overdracht plaatsvindt. De Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken tegen dergelijke overdracht binnen de vijf (5) kalenderdagen na kennisgeving van de wijziging. De Partijen komen samen overeen over het al dan niet doorgaan van de overdracht en de consequenties daarvan voor het leveren van de Diensten in termen van, onder andere, bereik, timing en budget. Elke overdracht aan een derde land of internationale organisatie kan op grond van:
(a) Uitgifte door de Commissie op basis van adequaatheidsbesluiten;
(b) Passende waarborgen, waaronder de beschikbaarheid van afdwingbare rechten van Betrokkenen en doeltreffende rechtsmiddelen. Passende waarborgen worden geacht te zijn voorzien in de volgende gevallen: (i) bindende bedrijfsregels, (ii) standaardbepalingen inzake gegevensbescherming die door de Europese Commissie of een Toezichthoudende Autoriteit zijn vastgesteld en door de Europese Commissie zijn goedgekeurd; of (iii) een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme.
2.10. Als er nieuwe richtlijnen of een wijziging in de Wetgeving inzake gegevensbescherming of jurisprudentie zijn die alle of een deel van de Diensten onrechtmatig maakt, kan de Verwerker de Overeenkomst beëindigen tenzij de Partijen overeenstemming bereiken over het wijzigen van de Diensten waardoor de Diensten niet langer onrechtmatig zijn.
BIJLAGE 1 : Beschrijving van de verwerking
De Verwerker verwerkt in opdracht van de Verwerkingsverantwoordelijke Persoonsgegevens, in het kader van de aanbieding van een verzekeringsplatform en aanverwante diensten, zoals verder omschreven in de Overeenkomst.
De Verwerking behelst de volgende categorieën van Persoonsgegevens:
Categorieën van betrokkenen | Ja/nee |
(potentiële)/(ex)klanten | Ja |
sollicitanten en (ex)werknemers, stagiaires | Ja |
(potentiële)/(ex)leveranciers | Nee |
(potentiële)/(ex)zakelijke partners | Ja |
agent of werknemers van de agent | Xxx |
kinderen onder de 16 jaar | Ja |
Deze Persoonsgegevens hebben betrekking op de volgende categorieën van Betrokkenen:
Categorieën van persoonlijke gegevens | Ja/nee |
Identificatiegegevens | Gegevens van (1) prospects en klanten die door, via of in het WeGroup systeem worden gecreëerd, aangezien dit noodzakelijke informatie is om een verzekeringsaanbod of - contract te kunnen opstellen en (2) van medewerkers en stagiaires. |
Contactgegevens | Gegevens van (1) prospects en klanten die door, via of in het WeGroup-systeem zijn gecreëerd, om hen de nodige juridische documenten en offertes te kunnen toesturen en (2) van (potentiële) klanten, als middel om contact met hen op te nemen voor productupdates, en omdat dit eisen zijn om het systeem te gebruiken (e-mail adres gekoppeld aan gebruikersaccount bijvoorbeeld). |
Locatiegegevens | Niet van toepassing. |
Nationaal identificatienummer | Voor prospects en klanten die door of via het WeGroup systeem zijn aangemaakt, als ze ervoor kiezen om deze informatie in te vullen (bijvoorbeeld voor zakelijke klanten het Kvk nummer) |
Inkomens- en vermogensgegevens | In het kader van de kenmerken van een huis, gegevens van prospects en klanten die door, via of in het WeGroup- systeem worden gecreëerd, aangezien dit noodzakelijke informatie is om een verzekeringsaanbod of -contract te kunnen opstellen. |
Kenmerken van financiële en verzekeringsproducten | Voor prospects en klanten die door, via of in het WeGroup systeem worden gecreëerd, aangezien dit noodzakelijke informatie is om een verzekeringsaanbod of -contract te kunnen opstellen. |
Financiële profielen | Niet van toepassing. |
Gegevens over de afwikkeling/oplossing | Voor verzekeringsclaims gecreëerd door, via of ingevoegd in het WeGroup-systeem. |
Levensstijl en gewoontes | Gegevens van prospects en klanten die door, via of in het WeGroup-systeem worden gecreëerd, omdat dit soms (bijvoorbeeld bij tabaksverbruik) noodzakelijke informatie is om een verzekeringsaanbod of -contract te kunnen opstellen. |
Vrije tijd en interesses | Gegevens van prospects en klanten die door of via het WeGroup-systeem zijn aangemaakt, omdat dit noodzakelijke informatie is om het klantprofiel te kunnen beoordelen, zodat het systeem de juiste verzekeringsproducten kan aanbevelen die voor die klant interessant zijn. |
Verbruiksgewoonten | Niet van toepassing. |
Relationele gegevens | Gegevens van (1) prospects en klanten die door, via of in het WeGroup-systeem worden gecreëerd, aangezien dit noodzakelijke informatie is om een verzekeringsaanbod of - contract te kunnen opstellen en (2) van medewerkers, bijvoorbeeld voor een eerste contact van een noodgeval. |
Gegevens over onderwijs en opleiding | Voor werknemers. |
Professionele gegevens | Voor werknemers. |
Beeldopnames | Voor zover dit materiaal wordt verstrekt tijdens de creatie van een verzekeringsclaim door, via of ingevoegd in het WeGroup-systeem. |
Geluidsopnames | Niet van toepassing. |
Gegevens betreffende gerechtelijke procedures | Voor zover van toepassing op onze eigen bedrijfscontinuïteit. |
De verwerkingsduur is gelijk aan de duur van de Overeenkomst behoudens in geval een langere verwerking nodig is om de voldoen aan de wettelijke bewaartermijnen of voor zover dit nodig is voor de verdediging van een potentiële claim.
BIJLAGE 2 : Subverwerkers
Naam | Locatie | Activiteit | Retentie |
Amazon Web Services | Frankfurt, Duitsland | Voor de opslag van bestanden wordt gebruik gemaakt van AWS S3. Hieronder valt onder andere backups van databanken. Om toegang te verkrijgen tot deze bestanden worden unieke credentials aangemaakt die steunen op het principe van de minste rechten. Hierdoor wordt het risico tot toegang van foute gegevens tot het minimum beperkt. | Onder eigen management. Backups tot één jaar. |
ClickUp | AWS Frankfurt, Duitsland | ClickUp is het projectmanagement dat de Verwerker gebruikt om taken intern te organiseren. Wanneer een gebruiker fouten ondervindt op het platform, kunnen deze via het WeGroup-systeem gemeld worden. Bij het melden van deze fouten wordt automatisch een taak toegevoegd in ClickUp, samen met info over welke gebruiker deze fout melde. Op deze manier kunnen deze fouten efficiënter opgelost worden. | Onder eigen management |
ConfigCat | AWS Frankfurt, Duitsland | ConfigCat voorziet het WeGroup- platform van zogenaamde “feature flags”. Deze flags bieden de mogelijkheid aan om bepaalde features van het platform aan uit of te zetten, voor enkele of alle gebruikers. De Verwerker voorziet hiervoor emailadressen van gebruikers aan ConfigCat, indien deze gebruikers speciale/nieuwe features nodig hebben die normaal niet beschikbaar zijn. | Tot beëindiging samenwerking |
St. Ghislain, België | Enkele databanken worden nog gehost via het Google Cloud Platform. Toegang tot de databanken gebeurt altijd via een beveiligde proxy, wat betekent dat deze niet publiekelijk toegankelijk zijn. Elke service of functionaliteit van de Verwerker respecteert het principe van de minste rechten, waardoor het risico van toegang tot gegevens tot het minimum wordt beperkt. | Onder eigen management | |
LogRocket | Google Cloud, EU | Om de gebruiksvriendelijkheid te optimaliseren en snel problemen te kunnen opsporen in historische sessies, | 3 maanden |
maar ook zeker in real-time, wordt LogRocket gebruikt. Het neemt als het ware een geanonimiseerde recording op van de applicatie, waardoor de Verwerker haar klanten snel kan bijstaan bij problemen. | |||
MagicBell | AWS Dublin, Ierland | Om onze gebruikers op de hoogte te kunnen brengen van bepaalde veranderingen in het WeGroup-systeem, wordt er gebruik gemaakt van notificaties. Deze notificaties worden aangedreven door MagicBell. | Tot 30 dagen na beëindiging samenwerking |
MailGun | AWS Frankfurt, Duitsland | Het verzenden van mails vanuit het WeGroup-systeem wordt gedaan door MailGun. | Berichtinhoud: 7 dagen Bericht metadata (sender, recipient(s), subject line, originating IP address and other routing data): 30 dagen |
ClickUp | Frankfurt, Duitsland | Project management tool kan gebruikersdata bevatten, omdat automatisch aangemaakte tickets screencaptures van WeGroup kan bevatten. | Tot beëindiging samenwerking |
Sentry | Iowa, USA | Om het beheer van het systeem te optimaliseren, worden foutmeldingen in de services gelogd in Sentry en overzichtelijk weergeven in een error management system. Het laat de Verwerker toe om fouten snel en efficiënt op te sporen en om het WeGroup-systeem zo optimaal mogelijk te laten functioneren. | 90 dagen |
Connective | Azure, Amsterdam and Dublin | Voor het elektronisch ondertekenen van documenten, wordt Connective gebruikt via een advanced signature. Belangrijk op te merken is dat deze oplossing buiten het WeGroup-systeem gaat om de handtekening te kunnen faciliteren. | |
Livestorm | Ierland | Geeft de mogelijkheid om live webinars te hosten waar gebruikers voor in moeten loggen. | Tot 3 jaar na beëindiging van de samenwerking |
Vercel | Brussel, België | Vercel wordt gebruikt als hosting platform voor de front-end applicatie van het WeGroup-systeem. | Tot 90 dagen na beëindiging van de samenwerking |
Zendesk | Frankfurt, Duitsland of Dublin, Ierland | Zendesk wordt gebruikt als servicedesk, om de eindgebruikers van het WeGroup- systeem beter te helpen. | Hangt af van het datatype |
BIJLAGE 3 : Technische en organisatorische maatregelen
De Verwerker implementeert minimaal de hierna volgende technische en organisatorische maatregelen:
Soorten technische en organisatorische beveiligingsmaatregelen | Effectieve maatregelen |
Toegangscontrole (fysiek) Maatregelen om ervoor te zorgen dat onbevoegden geen toegang hebben tot de datacenters, gegevensverwerkende apparatuur, ... | ● Toegangscontrolesysteem, kaartlezer en logboekregistratie, bewaking en opvolging van de toegang; ● Sleutel- en toegangsbeheer (d.w.z. toegang op basis van rollen) en procedures en de bijbehorende documentatie; ● Deurbeveiliging, veiligheidsdeuren en/of veiligheidsramen; ● Alarm installatie; ● Videobewaking. |
Toegangscontrole (digitaal) Maatregelen om te voorkomen dat de gegevensverwerkingssystemen door onbevoegden worden gebruikt. | ● Persoonlijke en individuele gebruikers kunnen inloggen/toegang krijgen; ● Wachtwoordbeleid (d.w.z. vereiste lengte, complexiteit en periodieke resets, herstel van verloren wachtwoord); ● Verplichte two-factor authenticatie voor intern gebruik ● Extra inloggen op het systeem voor bepaalde toepassingen; |
Toegangscontrole (eigen personeel en leveranviers) Maatregelen om ervoor te zorgen dat alleen personen die toegang nodig hebben toegang hebben en goed zijn opgeleid. | ● Toegangs- en/of autorisatierechten, met een minimaal rechten principe; ● Documentatie, evaluatie en registratie van toegangsrechten; ● Autorisatie routines; ● Opleiding van het personeel van de leverancier met betrekking tot de verplichtingen inzake vertrouwelijkheid en gegevensbescherming; ● Het waarborgen van de vertrouwelijkheid en de bescherming van de gegevens in het kader van de onderaannemingsovereenkomst is een verplichting tot vertrouwelijkheid en gegevensbescherming. |
Controle op de overdracht Maatregelen om ervoor te zorgen dat Persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder toestemming tijdens elektronische overdracht of transport. | ● Firewall en encryptietechnologieën; ● Anonimiseren van de gegevens bij logging; ● Alle digitale uitwisselingen worden encrypted via een TLS protocol. |
Invoercontrole Maatregelen om ervoor te zorgen dat het mogelijk is om te controleren wie toegang heeft gehad tot de Persoonsgegevens, deze heeft gewijzigd of verwijderd. | ● Toegangs- en autorisatierechten; ● Loggen van fysieke, logische en toegang tot het personeel van de leverancier; ● Loggen van de gemaakte wijzigingen op persoonsgegevens op basis van een timestamp, vastgelegd met integriteit. |
Controle van de opdracht Maatregelen om ervoor te zorgen dat persoonsgegevens alleen worden verwerkt namens de verantwoordelijke voor de verwerking en in overeenstemming met zijn instructies. | ● Minimale rechten voorzien voor medewerkers, waardoor toegang tot persoonsgegevens minimaal is; ● Regelmatige opleiding van het personeel; ● Vaststelling van de contactpersonen en verantwoordelijkheden. |
Controle op beschikbaarheid Maatregelen tegen onopzettelijk verlies of vernietiging van Persoonsgegevens. | ● Firewall en encryptietechnologieën; ● Dagelijkse back-up procedures; ● Continuïteit van datacenters door trusted third party die ISO certified is (bijv. airconditioning, brand- en waterbescherming, noodzakelijke stroomvoorziening); |
Scheidingscontrole Maatregelen om ervoor te zorgen dat Persoonsgegevens voor bepaalde doeleinden afzonderlijk worden verwerkt. | ● Gescheiden onderverdeling van de data in de systemen; |