Inhoudsopgave
1
Inhoudsopgave
3
1.3. Verwerkingsverantwoordelijke 3
1.8. Inbreuk in verband met Persoonsgegevens 3
1.9. Gegevensbeschermingseffectbeoordeling 3
1.10. Toezichthoudende autoriteit 3
2. Totstandkoming, duur en beëindiging van deze verwerkersvoorwaarden
4
4
4. Beveiligen persoonsgegevens
5
5. Exporteren persoonsgegevens
5
5
5
6
9. Teruggave persoonsgegeven en bewaartermijn
6
10. Toepasselijk recht en geschillenbeslechting
6
6
Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen 7
Bijlage 2: Maatregelen en het beleid omtrent de beveiliging van persoonsgegevens (zie 4.2) 8
Bijlage 3: Te volgen procedure bij een Datalek (zie 7.1) 9
Bijlage 4: Bedrijven waar uw digitale gegevens mee gedeeld (kunnen) worden 10
De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:
1.1. Persoonsgegevens
1.2. Verwerking
1.3. Verwerkingsverantwoordelijke
1.4. Verwerker
1.5. Betrokkene
1.6. Verwerkersvoorwaarden
Deze Overeenkomst inclusief de bijlagen (‘Verwerkersvoorwaarden’).
1.7. Overeenkomst
De hoofdovereenkomst waar deze Verwerkersvoorwaarden uit voortvloeien.
1.8. Inbreuk in verband met Persoonsgegevens
1.9. Gegevensbeschermingseffectbeoordeling
Het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van de verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens.
1.10. Toezichthoudende autoriteit
Een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens.
De Verwerkersvoorwaarden vormen een aanvulling op de Algemene Voorwaarden van Star Reklame (zie xxx.xxxxxxxxxxx.xx/xxxxxxxxxxx) en alle tussen Verwerker en de Verwerkingsverantwoordelijke tot stand gekomen overeenkomsten. De Verwerkersvoorwaarden zijn van toepassing indien Verwerker en de Verwerkersverantwoordelijke niet expliciet een separate verwerkersovereenkomst hebben gesloten en Verwerker bij het verlenen van Producten en Diensten ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt. De Verwerkersvoorwaarden zijn niet van toepassing indien Star Reklame aan te merken is als Verantwoordelijke.
2. Totstandkoming, duur en beëindiging van deze verwerkersvoorwaarden
2.1. Deze Verwerkersvoorwaarden treden in werking op de datum waarop Partijen de Overeenkomst ondertekenen.
2.2. Deze Verwerkersvoorwaarden zijn onderdeel van de Overeenkomst en zal gelden voor zolang de Overeenkomst duurt.
2.3. Indien de Overeenkomst eindigt, eindigen deze Verwerkersvoorwaarden automatisch; de Verwerkersvoorwaarden kunnen niet apart worden opgezegd.
2.4. Na beëindiging van deze Verwerkersvoorwaarden zullen de lopende verplichtingen voor Verwerker, zoals het melden van Datalekken waarbij Persoonsgegevens van Verwerkingsverantwoordelijke betrokken zijn en de plicht tot geheimhouding blijven voortduren.
3.1. Verwerker verwerkt alleen Persoonsgegevens in opdracht van Verwerkingsverantwoordelijke en Verwerker heeft geen zeggenschap over de Persoonsgegevens. Verwerker volgt instructies van Verwerkingsverantwoordelijke ten aanzien van de verwerking op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij Verwerkingsverantwoordelijke Verwerker daar van tevoren toestemming of opdracht voor geeft.
3.2. Verwerker zal in opdracht van Verantwoordelijke persoonsgegevens verwerken in het kader van de Overeenkomst en daaruit voortvloeiende doeleinden. In Bijlage 1 wordt opgenomen welke Persoonsgegevens Verwerker zou kunnen verwerken en voor welke verwerkingsdoeleinden.
3.3. Xxxxxxxxx houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.
3.4. Verwerker mag zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.
3.5. Wanneer Xxxxxxxxx met toestemming van Verwerkingsverantwoordelijke andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkersvoorwaarden.
3.6. Wanneer Verwerkingsverantwoordelijke een verzoek van een Betrokkene ontvangt ten aanzien van het uitoefenen van zijn of haar rechten, dan werkt Xxxxxxxxx daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de Persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.
3.7. Rekening houdend met de aard van de verwerking en de ter beschikking staande informatie, verstrekt de Verwerker de Verwerkingsverantwoordelijke de benodigde informatie in het kader van het kunnen uitvoeren van een Gegevensbeschermingseffectbeoordeling door de Verwerkingsverantwoordelijke.
4. Beveiligen persoonsgegevens
4.1. Verwerker zorgt ervoor dat de Persoonsgegevens voldoende worden beveiligd. Om verlies en onrechtmatige verwerkingen te voorkomen neemt Verwerker passende technische en organisatorische maatregelen.
4.2. Deze maatregelen zijn afgestemd op het risico van de Verwerking. Een overzicht van deze maatregelen en het beleid daaromtrent wordt opgenomen in Bijlage 2.
4.3. Verwerkingsverantwoordelijke mag een audit laten uitvoeren om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersvoorwaarden voldoet. Verwerker verleent hierbij zijn medewerking. Waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie.
4.4. De kosten voor de uitvoering van deze audit zullen voor rekening van Xxxxxxxxx komen wanneer blijkt dat Xxxxxxxxx zich niet aan de verplichtingen in deze Verwerkersvoorwaarden houdt.
4.5. De controle op de algehele verwerking van Persoonsgegevens door Verwerker kan, naast de audit- mogelijkheid, ook geschieden via zelfevaluatie door Verwerker. Verwerker zal hierbij aan Verwerkingsverantwoordelijke een rapport verstrekken waarin Verwerker aantoont dat hij voldoet aan de wet en de afspraken uit deze Verwerkersvoorwaarden. Deze rapportage dient te worden ondertekend door een directielid binnen de organisatie van Verwerker.
4.6. Wanneer Partijen vinden dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden Partijen in overleg over de wijziging daarvan. De kosten gemoeid met het wijzigen van de beveiligingsmaatregelen komen voor rekening van degene die de kosten maakt.
5. Exporteren persoonsgegevens
5.1. Verwerker mag geen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van Verwerkingsverantwoordelijke.
6. Geheimhouding
6.1. Verwerker zal de verstrekte Persoonsgegevens geheimhouden, tenzij dit op basis van een wettelijke verplichting niet kan.
6.2. Verwerker zorgt dat zijn/haar personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden. Hiervoor is een geheimhoudingsplicht in de (arbeids-) contracten opgenomen.
7.1. In geval van een ontdekking van een mogelijk Datalek zal Verwerker Verwerkingsverantwoordelijke hierover informeren binnen een termijn van 24 uur overeenkomstig het proces volgend uit Bijlage 3, zodat Verwerkingsverantwoordelijke indien nodig een melding van het Datalek bij de Toezichthouder kan doen.
7.2. Verwerker zal Verwerkingsverantwoordelijke op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek, ook zal Verwerker de getroffen maatregelen om het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen, overleggen aan Verwerkingsverantwoordelijke.
7.3. Verwerker mag geen melding van een Datalek aan de Toezichthouder doen, wanneer bij het Datalek Persoonsgegevens van Verwerkingsverantwoordelijke betrokken zijn. Ook mag Verwerker de Betrokkenen niet informeren over het Datalek. Deze verantwoordelijkheid ligt bij Verwerkingsverantwoordelijke.
7.4. Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.
8.1. Als Verwerker de verplichtingen uit deze Verwerkersvoorwaarden niet nakomt, kan Verwerkingsverantwoordelijke Verwerker daarvoor aansprakelijk stellen.
8.2. Verwerker is aansprakelijk voor alle schade die Verwerkingsverantwoordelijke lijdt door het niet nakomen van de wet en de bepalingen uit deze Verwerkersvoorwaarden, voor zover dit is ontstaan door de werkzaamheden van Verwerker.
9. Teruggave persoonsgegeven en bewaartermijn
9.1. Na het beëindigen van deze Verwerkersvoorwaarden geeft Verwerker de Persoonsgegevens terug aan Verwerkingsverantwoordelijke.
9.2. De overgebleven Persoonsgegevens zal Verwerker vernietigen na verstrijken van de wettelijke bewaartermijn en/of op verzoek van Verwerkingsverantwoordelijke. Hierbij valt bijvoorbeeld te denken aan Persoonsgegevens die om belastingtechnische redenen bewaard moeten blijven.
9.3. Verwerker zal na de teruggave en/of vernietiging van de Persoonsgegevens schriftelijk aan Verwerkingsverantwoordelijke verklaren niet langer in het bezit te zijn van de Persoonsgegevens.
10. Toepasselijk recht en geschillenbeslechting
10.1. De Verwerkersvoorwaarden en de uitvoering daarvan worden beheerst door het Nederlands recht.
10.2. Eventuele geschillen die tussen Partijen ontstaan, verband houdende met deze Verwerkersvoorwaarden, worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin de Verwerkingsverantwoordelijke gevestigd is.
11.1. Deze Verwerkersvoorwaarden zijn onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst zijn daarom ook van toepassing op de Verwerkersvoorwaarden.
11.2. Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersvoorwaarden en de Overeenkomst, gelden de bepalingen uit deze Verwerkersvoorwaarden ten aanzien van de verwerking van Persoonsgegevens.
11.3. Afwijkingen van deze Verwerkersvoorwaarden zijn slechts geldig wanneer Partijen dit samen schriftelijk afspreken.
Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen
Persoonsgegevens |
NAW-gegevens |
Geboortedata |
Geslacht |
Telefoonnummers |
E-mailadressen |
IP-adressen |
Domeinnamen |
Betalingsgegevens |
Factuuradressen |
Inloggegevens |
Andere informatie over server(s), computer(s) of overige apparatuur |
Dataverkeer en bezoekgedrag |
Unieke referentie(s) (bijvoorbeeld klantnummer) |
Gegevens met betrekking tot transacties/donaties/aankoopgeschiedenis/betalingen |
Permissies (opt-ins) |
Interacties (bijvoorbeeld open- en klikgedrag) |
Data verkregen uit sociale profielen |
Verwerkingsdoelen |
Hostingdiensten |
Klantencontact |
Softwareontwikkeling |
Beheer sociale media |
Websitebeheer |
Analyse websitebezoekers |
Mailing activiteiten |
Facturering |
Locatieverwerking
• Star Reklame, Xxxxxxxxxxxxxxxx 0x, Xxxxxxxx
• Locaties sub-verwerkers, zie bijlage 4
Bewaartermijn
Contractduur (+ 1 maand i.v.m. back-up) of wettelijke bewaartermijn (+ 1 maand i.v.m. back-up). Gegevens gebruikt t.b.v. conversies worden na akkoord Verantwoordelijke verwijderd.
Bijlage 2: Maatregelen en het beleid omtrent de beveiliging van persoonsgegevens (zie 4.2)
Om uw privacy te beschermen, neemt Xxxxxxxxx de volgende maatregelen:
◊ Toegang tot persoonsgegevens wordt afgeschermd met een gebruikersnaam, wachtwoord en GEO IP.
◊ De gegevens worden na ontvangst opgeslagen in een apart, afgeschermd systeem.
◊ Verwerker neemt maatregelen zoals:
◊ Sloten en kluizen voor toegangsbescherming van de systemen waarin persoonsgegevens opslagen zijn.
◊ Up-to-date virus- en malwarescanners
◊ Schijfencryptie toegangsmechanisme (lokale werkstations Verwerker)
◊ Clean desk policy
◊ Security-by-design
◊ Privacy-by-design
◊ Wij maken zoveel mogelijk gebruik van beveiligde verbindingen (SSL, TLS en/of andere encryptie methoden) waarmee alle informatie tussen u en onze website, e-mail, portal(s) en apps wordt afgeschermd wanneer uw persoonsgegevens invoert.
◊ Wij houden, waar mogelijk, logs bij van verwerkingen van persoonsgegevens.
Verwerker maakt back-ups (reservekopieën) van alle gegevens die zij voor haar eigen bedrijfsvoering gebruikt. Deze back-ups bevatten ook persoonsgegevens, waarop recht van verwijdering geldt. De back-up zijn opgeslagen in een apart, afgeschermd en beveiligd systeem. Verwerker bewaart haar back-ups gedurende een periode van maximaal 1 (één) maand. Deze termijn is nodig om bij grote catastrofes de bedrijfsgegevens volledig te herstellen.
De Verantwoordelijke blijft zelf verantwoordelijk voor beschikbaar houden van gegevens conform de wettelijke bewaartermijn; dit staat los van de back-ups die worden gemaakt.
Ten slotte kunnen er zich situaties voordoen waarbij de Verwerker wettelijk verplicht is, om gegevens langer vast te houden. In deze gevallen geldt dan de wettelijke bewaarplicht.
Voorbeeld
Als een Verantwoordelijke de Verwerker vraagt om persoonsgegevens te verwijderen, dan wordt dit direct op de productie omgeving doorgevoerd. Echter zullen dezelfde gegevens, die in de back-up opgenomen zijn, maximaal pas 1 maand na verwijdering definitief worden verwijderd uit de back-up data. Verwerker zal in geval van een herstel van een back-up wel direct, de door de Verantwoordelijke verzochte gegevens, wissen.
Bijlage 3: Te volgen procedure bij een Datalek (zie 7.1)
Wat is een beveiligingsincident en wanneer moet dit gemeld worden?
Een datalek is een beveiligingsincident waarbij Persoonsgegevens, die de Verwerker namens de Verwerkingsverantwoordelijke beheert, mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, log in gegevens, cookies, IP-adressen of identificerende gegevens van computers of telefoons.
Hieronder vindt u een aantal voorbeelden van beveiligingsincidenten die moeten worden gemeld bij de Autoriteit Persoonsgegevens.
◊ De website met logingegevens is gehackt of is toegankelijk voor derden.
◊ Verlies van een laptop of USB-stick met persoonsgegevens.
◊ Salarisstroken van medewerkers zijn per ongeluk naar verkeerde personen gestuurd.
◊ Brieven of e-mails worden naar een verkeerd adres gestuurd.
◊ Een aanval van een hacker op het ICT-systeem.
◊ Een verloren of gestolen telefoon waar persoonsgegevens op aanwezig zijn.
Wat te doen als Verantwoordelijke bij constatering van een mogelijk incident?
Als u op basis van bovenstaande niet zeker weet of er sprake is van een beveiligingsincident, stelt u uzelf dan in ieder geval alvast de volgende vragen als hulpmiddel:
◊ Gaat het probleem over de beveiliging van Persoonsgegevens? Ook IP-adressen, telefoonnummers of identificerende gegevens, bijvoorbeeld van hardware, kunnen hieronder vallen.
◊ Gaat het om gevoelige gegevens zoals ras, gezondheidsgegevens, informatie over iemands financiële situatie, zoals salaris of gegevens waar (identiteits)fraude mee kan worden gepleegd, zoals een Burgerservicenummer?
◊ Zijn er grote hoeveelheden persoonsgegevens onbedoeld toegankelijk geworden voor derden?
◊ Gaat het om gegevens van kwetsbare groepen zoals kinderen?
◊ Worden de persoonsgegevens beheerd door een leverancier?
Bij twijfel, neem dan contact op met de Verwerker.
Waar meld je het beveiligingsincident?
Als je een beveiligingsincident hebt ontdekt, neem je direct contact op met Star Reklame, Xxxx xx Xxxxxxx:
Telefoon: 0172 – 619 357 E-mail: xxxx@xxxxxxxxxxx.xx
Geef in je e-mail beantwoording op de onderstaande vragen
Wij willen graag dat je de onderstaande vragen voor ons beantwoordt. Deze vragen zijn gelijk aan de informatie die aan de Autoriteit Persoonsgegevens moet worden verstrekt. Gaarne de vragen zo volledig mogelijk en schriftelijk beantwoorden.
1. Geef een samenvatting van het beveiligingslek/beveiligingsincident/datalek: wat is er gebeurd? Xxxxxxx hier ook de naam van het betrokken systeem.
2. Welke typen Persoonsgegevens zijn betrokken bij het beveiligingsincident? Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, Burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.
3. Van hoeveel personen zijn de Persoonsgegevens betrokken bij het beveiligingsincident? Geef a.u.b. een minimum en maximumaantal personen.
4. Omschrijving groep personen om wiens gegevens het gaat. Geef aan of het gaat om medewerkersgegevens, gegevens van internetgebruikers. Bijzondere aandacht verdienen gegevens van een kwetsbare groepen personen, zoals kinderen.
5. Zijn de contactgegevens van de betrokken personen bekend? Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen we deze personen in dat geval bereiken?
6. Wat is de oorzaak (root cause) van het beveiligingsincident? Heeft u een idee hoe het beveiligingsincident heeft kunnen ontstaan?
7. Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden? Geef dit a.u.b. zo specifiek mogelijk aan.
Bijlage 4: Bedrijven waar uw digitale gegevens mee gedeeld (kunnen) worden
Verwerker neemt bij een aantal bedrijven (een) dienst(en) af om onze diensten aan te kunnen bieden of te verbeteren. Om goed van deze diensten gebruik te kunnen maken, kunnen wij persoonsgegevens delen met deze bedrijven. Wij streven ernaar om de hoeveelheid gegevens die gedeeld worden tot een minimum te beperken. Hieronder vindt u een overzicht van welke gegevens met welk bedrijf gedeeld (kunnen) worden.
Interbox Internet, bedrijfsidentificatienummer: 24188264
Verwerker maakt gebruik van de hostingdiensten en servers van Interbox Internet te Capelle aan den IJssel; deze vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. Interbox Internet is SOC2, ISO 9001, ISO 14001 en ISO 27001 gecertificeerd.
Interbox Internet verzorgt voor de Verwerker ook aanvragen/registraties van domeinnamen. Bij een aanvraag (registratie), wijziging of de verhuizing van een domeinnaam worden in overleg met Verantwoordelijke persoonsgegevens verstuurd naar Interbox. Verwerker heeft een Verwerkersovereenkomst met Interbox gesloten. Daarin staan strikte afspraken over toegang tot de servers en wat zij mogen bijhouden.
Gegevens: IP-adres, dataverkeer, taal, NAW-gegevens, e-mailadres, telefoonnummer(s), domeinnaam. Google Netherlands Ltd., bedrijfsidentificatienummer: 34198589
Verwerker gebruikt Google Analytics om bij te houden hoe bezoekers onze online dienst gebruiken. Verwerker
heeft een Verwerkersovereenkomst met Google gesloten. De Verwerker gebruikt IP-adres gegevens (niet- geanonimiseerd) en bezoekgedrag uitsluitend voor eigen marketingdoeleinden. De Verwerker heeft Google niet toegestaan de verkregen Analytics informatie te gebruiken voor andere Googlediensten. Voor meer informatie: xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxxxxxxx/xxxxxxx-xxxxx?xxxxx.
Gegevens: bezoekgedrag, IP-adres, overige informatie over uw computer en/of apparaat. Gripp, bedrijfsidentificatienummer: 54167736
Verwerker maakt gebruik van Gripp voor het verwerken van de projectadministratie en het maken van facturen.
Gegevens: contactgegevens, omzet en financiële gegevens projecten. Rabobank N.V., bedrijfsidentificatienummer: 30046259
Verwerker maakt gebruik van Rabobank, zij gebruiken betalingsgegevens voor het verwerken van haar
administratie m.b.t. betalingen via bankoverschrijving aan ons. V.w.b. de gegevensbescherming door de Rabobank verwijst de Verwerker naar de privacyverklaring van deze bank.
Gegevens: betalingsgegevens. Semrush
Verwerker maakt gebruik van Semrush, gevestigd in USA, voor o.a. zoekwoordonderzoek en sociale media
Gegevens: dataverkeer en bezoekgedrag, IP-adressen en overige informatie over uw computer en/of apparaat en die van uw volgers op social media, domeinnamen, inloggegevens, interacties, data verkregen uit sociale profielen.
Elementor
Verwerker maakt gebruik van Elementor, gevestigd in Israël, voor o.a. websiteontwikkeling en -beheer. Voor wat betreft de gegevensbescherming door Elementor verwijst de Verwerker naar de privacyverklaring van deze dienstverlener: xxxxx://xxxxxxxxx.xxx/xxxxx/xxxxxxx/