HOOFDSTUK I
Bijlage 2 - Gegevensverwerkingsovereenkomst Standaardbepalingen
HOOFDSTUK I
Artikel 1
Doel en werkingssfeer
a) Deze modelcontractbepalingen (“bepalingen”) zijn bedoeld om de naleving van artikel 28 lid 3 en 4 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (de Algemene Verordening Gegevensbescherming) te waarborgen.
b) De in bijlage I genoemde verantwoordelijken en verwerkers hebben ingestemd met deze bepalingen om de naleving van artikel 28 lid 3 en 4 van Verordening (EU) 2016/679 en/of artikel 29 lid 3 en 4 van Verordening (EU) 2018/1725 te waarborgen.
c) Deze bepalingen zijn van toepassing op de verwerking van persoonsgegevens overeenkomstig bijlage II.
d) De aanhangsels I tot en met IV maken een integraal onderdeel van deze bepalingen uit.
e) Deze bepalingen doen geen afbreuk aan de verplichtingen waaraan de verantwoordelijke krachtens Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 onderworpen is.
f) Deze bepalingen waarborgen op zichzelf niet de naleving van de verplichtingen met betrekking tot internationale gegevensoverdrachten op grond van hoofdstuk V van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725.
Artikel 2
Onwijzigbaarheid van de bepalingen
a) De partijen verbinden zich ertoe om de bepalingen niet te wijzigen, behalve ter aanvulling of bijwerking van de in de bijlagen verstrekte informatie.
b) Dit belet de partijen niet om de in deze bepalingen opgenomen modelcontractbepalingen in een meeromvattende overeenkomst op te nemen en om daar andere bepalingen of aanvullende garanties aan toe te voegen, mits deze niet direct of indirect in strijd zijn met de bepalingen en geen afbreuk doen aan de grondrechten of fundamentele vrijheden van de betrokkenen.
Artikel 3
Interpretatie
a) Wanneer in deze bepalingen begrippen worden gebruikt die in Verordening (EU) 2016/679 of Verordening (EU) 2018/1725 zijn omschreven dan hebben deze begrippen dezelfde betekenis als in die Verordening.
b) Deze bepalingen moeten worden geïnterpreteerd in het licht van de bepalingen van, respectievelijk, Verordening (EU) 2016/679 en Verordening (EU) 2018/1725.
c) Deze bepalingen mogen niet worden geïnterpreteerd op een manier die in strijd is met de rechten en plichten waarin Verordening (EU) 2016/679 of Verordening (EU) 2018/1725 voorziet, of die de grondrechten of fundamentele vrijheden van betrokkenen aantast.
Artikel 4
Prioriteit
In geval van enige tegenstrijdigheid tussen deze bepalingen en de bedingen van enige daarmee verband houdende overeenkomsten die tussen de partijen bestaan of nadien tot stand komen of worden gesloten dan hebben deze bepalingen voorrang.
Artikel 5
Koppelbeding
a) Een entiteit die geen partij is bij deze bepalingen kan, met instemming van alle partijen, te allen tijde als verantwoordelijke of als verwerker tot deze bepalingen toetreden door de aanhangsels in te vullen en bijlage I te ondertekenen.
b) Na invulling en ondertekening van de onder a) bedoelde bijlagen wordt de toetredende entiteit geacht partij bij deze bepalingen te zijn en heeft zij de rechten en plichten van een verantwoordelijke of een verwerker, zoals in bijlage I nader omschreven.
c) Uit deze bepalingen voortvloeiende rechten en plichten gelden niet voor de toetredende entiteit voor de periode voorafgaand aan haar toetreding als partij.
HOOFDSTUK II VERPLICHTINGEN VAN PARTIJEN
Artikel 6
Beschrijving van de verwerking
De details van de verwerkingen, met name de categorieën van persoonsgegevens en de doeleinden waarvoor de persoonsgegevens namens de verantwoordelijke worden verwerkt, zijn in bijlage II opgenomen.
Artikel 7
Verplichtingen van partijen
7.1. Instructies
a) De verwerker verwerkt persoonsgegevens uitsluitend volgens de gedocumenteerde instructies van de verantwoordelijke, tenzij hij tot verwerking verplicht is krachtens het Unierecht of de wetgeving van een lidstaat waaronder hij ressorteert. In dat geval stelt de verwerker de verantwoordelijke voorafgaand aan de verwerking in kennis van deze wettelijke vereisten, tenzij de betrokken wetgeving dit om redenen van zwaarwegend algemeen belang verbiedt. De verantwoordelijke kan tijdens de verwerking van persoonsgegevens nadere instructies geven. Deze instructies moeten altijd worden gedocumenteerd.
b) De verwerker stelt de verantwoordelijke onverwijld in kennis als hij van mening is dat instructies van de verantwoordelijke inbreuk op Verordening ((EU) 2016/679, Verordening (EU) 2018/1725 of toepasselijke gegevensbeschermingswetgeving van de Unie of de lidstaat maken.
7.2. Doelbinding
De verwerker verwerkt de persoonsgegevens uitsluitend voor de in bijlage II vermelde specifieke doeleinden, tenzij hij van de verantwoordelijke nadere instructies ontvangt.
7.3. Duur van de verwerking van persoonsgegevens
De gegevens worden uitsluitend door de verwerker gedurende de in bijlage II genoemde periode verwerkt.
7.4. Veiligheid van de verwerking
a) De verwerker neemt ten minste de in bijlage III opgesomde technische en organisatorische maatregelen om de beveiliging van de persoonsgegevens te waarborgen. Dit omvat de bescherming van gegevens tegen een inbreuk op de beveiliging die resulteert in een incidentele of onwettige vernietiging, verlies, wijziging of ongeoorloofde bekendmaking van of toegang tot de gegevens (hierna “inbreuk in verband met persoonsgegevens” genoemd). Bij de beoordeling van het passende beschermingsniveau houden de partijen rekening met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de omstandigheden en doeleinden van de verwerking en de risico's voor de betrokkenen.
b) De verwerker zal zijn personeel uitsluitend toegang tot de persoonsgegevens die het voorwerp van de verwerking uitmaken, verlenen voor zover dat strikt noodzakelijk is voor de uitvoering en het beheer van en het toezicht op de overeenkomst. De verwerker ziet erop toe dat de personen die gemachtigd zijn om de ontvangen persoonsgegevens te verwerken, zich tot geheimhouding hebben verbonden of aan een passende wettelijke geheimhoudingsplicht zijn onderworpen.
7.5. Gevoelige gegevens
Wanneer de verwerking betrekking heeft op persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, of die genetische of biometrische gegevens bevatten aan de hand waarvan een natuurlijke persoon eenduidig kan worden geïdentificeerd, of die de gezondheid, het seksleven of de seksuele geaardheid van een persoon betreffen, dan wel gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (hierna “gevoelige gegevens” genoemd) dan past de verwerker specifieke beperkingen en/of aanvullende waarborgen toe.
7.6. Documentatie en naleving van de bepalingen
a) De partijen moeten kunnen aantonen dat deze bepalingen in acht worden genomen.
b) De verwerker zal verzoeken van de verantwoordelijke met betrekking tot de gegevensverwerking in het kader van deze bepalingen onverwijld en in redelijkheid behandelen.
c) De verwerker verstrekt de verantwoordelijke alle informatie die nodig is om de naleving
van de verplichtingen die in deze bepalingen zijn opgenomen en die rechtstreeks voortvloeien uit Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725, aan te tonen. Op verzoek van de verantwoordelijke staat de verwerker ook toe dat, met redelijke tussenpozen of wanneer er aanwijzingen zijn dat de bepalingen niet worden nageleefd, een controle van de onder deze bepalingen vallende verwerkingsactiviteiten wordt uitgevoerd en hij verleent zijn medewerking daaraan. Bij de beslissing over een toetsing of controle kan de verantwoordelijke rekening houden met relevante certificeringen van de verwerker.
d) De verantwoordelijke kan de controle zelf uitvoeren of een onafhankelijke controleur inschakelen. De controles kunnen inspecties van de gebouwen of fysieke voorzieningen van de verwerker omvatten en worden, indien noodzakelijk, met inachtneming van een redelijke aankondigingstermijn verricht.
e) De partijen stellen de in deze bepaling bedoelde informatie, inclusief de resultaten van controles, op verzoek ter beschikking van de relevante toezichthoudende autoriteit(en).
7.7. Gebruik van subverwerkers
a) De verwerker heeft de algemene machtiging van de verantwoordelijke om subverwerkers, die zijn opgenomen in een overeengekomen lijst, in te schakelen. De verwerker stelt de verantwoordelijke ten minste vier weken van tevoren uitdrukkelijk schriftelijk in kennis van voorgenomen wijzigingen in deze lijst door toevoeging of vervanging van subverwerkers, zodat de verantwoordelijke voldoende tijd heeft om bezwaar tegen dergelijke wijzigingen te maken alvorens de betrokken subverwerker(s) in te schakelen. De verwerker verstrekt de verantwoordelijke de informatie die nodig is om hem in staat te stellen zijn recht van bezwaar uit te oefenen.
b) Wanneer de verwerker een subverwerker inschakelt om (namens de verantwoordelijke) bepaalde verwerkingsactiviteiten uit te voeren dan geschiedt deze inschakeling door middel van een overeenkomst die aan de subverwerker in hoofdzaak dezelfde verplichtingen inzake gegevensbescherming oplegt als die welke krachtens deze bepalingen voor de verwerker gelden. De verwerker zorgt ervoor dat de subverwerker aan de verplichtingen voldoet waaraan de verwerker overeenkomstig deze bepalingen en krachtens Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 onderworpen is.
c) De verwerker zal de verantwoordelijke op verzoek van de verantwoordelijke een kopie van een dergelijke onderaannemingsovereenkomst en van eventuele latere wijzigingen verstrekken. Voor zover dat noodzakelijk is om bedrijfsgeheimen of anderszins vertrouwelijke informatie, met inbegrip van persoonsgegevens, te beschermen, kan de verwerker de bewoordingen van de overeenkomst onleesbaar maken alvorens daarvan een kopie te verstrekken.
d) De verwerker is jegens de verantwoordelijke volledig aansprakelijk voor de naleving door de subverwerker van zijn verplichtingen uit hoofde van de met de verwerker gesloten overeenkomst. De verwerker stelt de verantwoordelijke in kennis indien de subverwerker zijn contractuele verplichtingen niet nakomt.
e) De verwerker komt met de subverwerker een derden-begunstigingsclausule overeen, op grond waarvan de verantwoordelijke - indien de verwerker feitelijk of juridisch ophoudt te bestaan of insolvent is - het recht heeft om de onderaannemingsovereenkomst te beëindigen en de subverwerker op te dragen de persoonsgegevens te wissen of te retourneren.
7.8. Internationale doorgifte van gegevens
a) Iedere doorgifte van gegevens door de verwerker aan een derde land of een internationale organisatie vindt uitsluitend plaats op basis van gedocumenteerde instructies van de verantwoordelijke of om te voldoen aan een specifieke bepaling krachtens het Unierecht of het recht van een lidstaat waaraan de verwerker is onderworpen, en voldoet aan hoofdstuk V van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725.
b) De verantwoordelijke stemt ermee in dat in gevallen waarin de verwerker overeenkomstig artikel 7. 7 voor het verrichten van bepaalde verwerkingsactiviteiten (namens de verantwoordelijke) gebruik maakt van een subverwerker en deze verwerkingsactiviteiten een doorgifte van persoonsgegevens in de zin van hoofdstuk V van Verordening (EU) 2016/679 met zich brengen, de verwerker en de subverwerker de naleving van hoofdstuk V van Verordening (EU) 2016/679 kunnen waarborgen door gebruik te maken van standaardcontractbepalingen die overeenkomstig artikel 46 lid 2 van Verordening (EU) 2016/679 door de Commissie zijn vastgesteld, mits aan de voorwaarden voor de toepassing van die standaardcontractbepalingen is voldaan.
Artikel 8
Ondersteuning van de verantwoordelijke
a) De verwerker stelt de verantwoordelijke onverwijld in kennis van elk verzoek dat hij van een betrokkene ontvangt. Hij antwoordt niet zelf op het verzoek, tenzij hij daartoe door de verantwoordelijke is gemachtigd.
b) Rekening houdend met de aard van de verwerking, staat de verwerker de verantwoordelijke bij in het voldoen aan de verplichting van de verantwoordelijke om te reageren op verzoeken van betrokkenen ter uitoefening van hun rechten. Bij het nakomen van zijn verplichtingen uit hoofde van lid a) en b) volgt de verwerker de instructies van de verantwoordelijke.
c) Naast de verplichting van de verwerker om de verantwoordelijke krachtens artikel 8 lid b) bij te staan, moet de verwerker, rekening houdend met de aard van de gegevensverwerking en de informatie waarover hij beschikt, de verantwoordelijke ook bijstaan in de nakoming van de volgende verplichtingen:
(1) Verplichting om een beoordeling uit te voeren van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens (hierna “gegevensbeschermingseffectbeoordeling” genoemd) wanneer een vorm van verwerking waarschijnlijk tot een hoog risico voor de rechten en vrijheden van natuurlijke personen zal leiden;
(2) Verplichting om de bevoegde toezichthoudende autoriteit(en) vóór de verwerking te raadplegen wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een groot risico inhoudt, tenzij de verantwoordelijke maatregelen neemt om het risico te beperken;
(3) Verplichting om ervoor te zorgen dat persoonsgegevens nauwkeurig en bijgewerkt zijn, doordat de verwerker de verantwoordelijke onverwijld in kennis stelt wanneer hij ontdekt dat de door hem verwerkte persoonsgegevens onjuist of verouderd zijn;
(4) Verplichtingen uit hoofde van artikel 32 van Verordening (EU) 2016/679.
d) De partijen stellen in bijlage III de passende technische en organisatorische maatregelen vast voor de ondersteuning van de verwerker aan de verantwoordelijke bij de toepassing van dit artikel, alsmede de reikwijdte en de omvang van de vereiste ondersteuning.
Artikel 9
Kennisgeving van inbreuken op persoonsgegevens
In het geval van een inbreuk in verband met persoonsgegevens werkt de verwerker samen met en verleent hij passende ondersteuning aan de verantwoordelijke om deze in staat te stellen te voldoen aan zijn verplichtingen uit hoofde van artikel 33 en 34 van Verordening (EU) 2016/679 of, in voorkomend geval, artikel 34 en 35 van Verordening (EU) 2018/1725 , rekening houdend met de aard van de verwerking en de informatie waarover de verwerker beschikt.
9.1 Schending van de bescherming van de door de verantwoordelijke verwerkte gegevens
In geval van een inbreuk in verband met persoonsgegevens die door de verantwoordelijke worden verwerkt, verleent de verwerker de verantwoordelijke de volgende ondersteuning:
a) bij het zonder onnodige vertraging melden van de inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit(en) nadat de verantwoordelijke kennis heeft gekregen van de inbreuk, indien van toepassing (tenzij de inbreuk in verband met persoonsgegevens waarschijnlijk niet zal leiden tot een risico voor de persoonlijke rechten en vrijheden van natuurlijke personen);
b) bij het verkrijgen van de volgende informatie die door de verantwoordelijke in de kennisgeving moet worden opgenomen overeenkomstig artikel 33 lid 3 van Verordening (EU) 2016/679, welke informatie ten minste het volgende moet omvatten:
(1) de aard van de persoonsgegevens, zo mogelijk met vermelding van de categorieën en het geraamde aantal betrokkenen en de categorieën en het geraamde aantal betrokken persoonsgegevensverzamelingen;
(2) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
(3) de maatregelen die de verantwoordelijke heeft genomen of voorgesteld om de inbreuk in verband met persoonsgegevens aan te pakken en, in voorkomend geval, maatregelen om de mogelijke negatieve gevolgen ervan te beperken.
Indien en voorzover deze informatie niet terzelfder tijd kan worden verstrekt, bevat de eerste kennisgeving de informatie die op dat moment beschikbaar is en wordt daarna zonder onredelijke vertraging nadere informatie naarmate die beschikbaar komt, verstrekt.
c) bij het voldoen aan de verplichting op grond van artikel 34 van Verordening (EU) 2016/679 om de betrokkene zonder onnodige vertraging in kennis te stellen van de inbreuk in verband met persoonsgegevens, wanneer die inbreuk waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van natuurlijke personen.
9.2 Schending van de bescherming van de door de verwerker verwerkte gegevens
In geval van een inbreuk in verband met persoonsgegevens die door de verwerker worden verwerkt, stelt de verwerker de verantwoordelijke daarvan onverwijld in kennis, nadat de verwerker van de inbreuk kennis heeft gekregen. Deze melding moet ten minste de volgende informatie bevatten:
a) een beschrijving van de aard van de inbreuk (zo mogelijk met vermelding van de categorieën en het geraamde aantal betrokkenen en het geraamde aantal betrokken gegevensbestanden);
b) contactgegevens van een contactpunt waar meer informatie over de inbreuk in verband met persoonsgegevens kan worden verkregen;
c) de te verwachten gevolgen en de maatregelen die zijn genomen of voorgesteld om de inbreuk in verband met persoonsgegevens te verhelpen, met inbegrip van maatregelen om de eventuele negatieve gevolgen ervan te beperken.
Indien en voorzover deze informatie niet terzelfder tijd kan worden verstrekt, bevat de eerste kennisgeving de informatie die op dat moment beschikbaar is en wordt daarna zonder onredelijke vertraging nadere informatie naarmate die beschikbaar komt, verstrekt.
De partijen stellen in bijlage III alle overige informatie vast die de verwerker moet verstrekken om de verantwoordelijke te ondersteunen bij het nakomen van zijn verplichtingen uit hoofde van artikel 33 en 34 van Verordening (EU) 2016/679.
HOOFDSTUK III SLOTBEPALINGEN
Artikel 10
Schending van de bepalingen en beëindiging van de overeenkomst
a) Indien de verwerker zijn verplichtingen uit hoofde van deze bepalingen niet nakomt dan kan de verantwoordelijke, onverminderd de bepalingen van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 , de verwerker gelasten om de verwerking van persoonsgegevens op te schorten totdat hij zich aan deze bepalingen houdt of de overeenkomst wordt beëindigd. De verwerker stelt de verantwoordelijke onverwijld in kennis indien hij, om welke reden dan ook, niet in staat is om deze bepalingen na te leven.
b) De verantwoordelijke is gerechtigd om de overeenkomst, voor zover deze betrekking heeft op de verwerking van persoonsgegevens op grond van deze bepalingen, te beëindigen indien:
(1) de verantwoordelijke de verwerking van persoonsgegevens door de verwerker heeft opgeschort op grond van lid a) en de naleving van die bepalingen niet binnen een redelijke termijn, en in ieder geval binnen een maand na de opschorting, is hersteld;
(2) de verwerker wezenlijk of aanhoudend inbreuk maakt op deze bepalingen of zijn verplichtingen uit hoofde van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 niet nakomt;
(3) de Verwerker een bindende beslissing van een bevoegde rechtbank of de bevoegde toezichthoudende autoriteit(en) betreffende zijn verplichtingen op grond van deze bepalingen, Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725, niet naleeft.
c) De verwerker is gerechtigd om de overeenkomst, voor zover deze betrekking heeft op de verwerking van persoonsgegevens overeenkomstig deze bepalingen, te beëindigen indien de verantwoordelijke aandringt op de uitvoering van zijn instructies, na door de verwerker ervan in kennis te zijn gesteld dat zijn instructies in strijd met de toepasselijke wettelijke voorschriften overeenkomstig artikel 7.1 lid b) zijn.
d) Bij beëindiging van de overeenkomst wist de verwerker, naar keuze van de verantwoordelijke, alle ten behoeve van de verantwoordelijke verwerkte persoonsgegevens en verstrekt hij de verantwoordelijke een verklaring dat dit is gebeurd, of retourneert hij alle persoonsgegevens aan de verantwoordelijke en wist hij bestaande kopieën, tenzij er op grond van het Unierecht of de wetgeving van de lidstaat een
verplichting bestaat om de persoonsgegevens te bewaren. Zolang de gegevens niet zijn gewist of geretourneerd, blijft de verwerker toezien op de naleving van deze bepalingen.
AANHANGSEL I
Lijst van partijen
Verantwoordelijke(n): [Naam en contactgegevens van de verantwoordelijke(n) en, indien van toepassing, van de functionaris voor gegevensbescherming van de verantwoordelijke]
Naam: | |
Adres: | |
Naam, functie en contactgegevens van de contactpersoon: | |
Naam, functie en contactgegevens van de functionaris voor gegevensbeschermi ng: | |
Handtekening en datum van toetreding: |
Verwerkers: [Naam en contactgegevens van de verwerker(s) en, in voorkomend geval, van de functionaris voor gegevensbescherming van de verwerker]
Naam: | SimplyDelivery GmbH |
Adres: | Xxxxxxx-Xxxxx-Str. 70, Gebouw 34.3 10829 Berlijn |
Naam, functie en contactgegevens van de contactpersoon: | Algemeen directeur: Xxxxx Xxxxxxxxx Xxxxx Xxxxxxx Xxxxx Xxxxxx |
Tel.: x00 (0) 0000.0000000000 |
Naam, functie en contactgegevens van de functionaris voor gegevensbeschermi ng: | DataSolution LUD GmbH Xxx Xxxxxx Tel.: x00 (0) 0000.000000 |
Handtekening en datum van toetreding: |
AANHANGSEL II
Beschrijving van de verwerking
Gelieve aan te kruisen wat van toepassing is!
Categorieën van betrokkenen wier persoonsgegevens worden verwerkt
☐ Klanten van de opdrachtgever
☐ Opdrachtgever (contactpersonen, werknemers)
☐ Xxxxxxxxxxxxx, leveranciers (contactpersonen)
☐ Belanghebbenden
Categorieën verwerkte persoonsgegevens
☐ Bestelgegevens: Dag, tijdstip, soort bestelling, betaalmethoden, producten,
plaats, toestel of kanaal waarmee de bestelling werd geplaatst, gegevens over de bestelgeschiedenis, speciale verzoeken, klantgebonden vouchergegevens, persoonlijke bonusgegevens (bonuspunten).
☐ Persoonsgegevens (klanten): Voornaam, achternaam, leveringsadressen,
telefoonnummer, klantnummer, gegevens over de bestelgeschiedenis, e-mailadres indien van toepassing, geboortedatum indien van toepassing.
☐ Personeelsbeheer: Voornaam, achternaam, adres, personeelsnummer,
werktijden, aanwezigheids- en afwezigheidsuren, vakantiegegevens, administratieve gegevens, functie, beroep, kwalificatie, loon- en salarisgegevens, belastinggegevens, socialezekerheidsgegevens, religieuze gegevens, gezondheidsgegevens, bank- en creditcardgegevens, gegevens over werkuitrusting en werkkleding, gegevens over systeemtoegang, gegevens
over eindapparatuur, locatiegegevens, geofence- gegevens
☐ Voorraadbeheer: Xxxxxxx, adres, contactgegevens, contactpersonen, klantnummer,
factuurgegevens, ordergegevens, contractgegevens
☐ Websites / app: Metagegevens, serverlogbestandgegevens, gebruikersgegevens, logingegevens
Verwerkte gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die ten volle rekening houden met de aard van de gegevens en de daaraan verbonden risico's, zoals strikte doelbinding, toegangsbeperkingen (waaronder toegang uitsluitend voor personeel dat een specifieke opleiding heeft gevolgd), registratie van de toegang tot de gegevens, beperkingen op de openbaarmaking of extra veiligheidsmaatregelen.
☐ Gegevens uit de personeelsadministratie en het documentenarchief
Soort verwerking
☐ SimplyCrew - Personeelsbeheer (digitaal personeelsdossier)
☐ SimplyCall - Callcenter (Ontvangst van bestellingen van klanten en verdere verwerking)
☐ SimplyDrive - DriverApp (automatische routeplanning voor chauffeurs en filialen)
☐ SimplyGoods - Goederenbeheer (boeking van het totale goederenverbruik in real time)
☐ SimplyKiosk - Self-service terminal (bestel- en betaalmogelijkheid op locatie)
☐ SimplyKitchen - Keukenmanager (planning, registratie en evaluatie van de werkprocessen in de keuken)
☐ SimplyManager - Store Management (centrale toegang en beheer van restaurants en leveringsdiensten)
☐ SimplyPOS - Kassasysteem (boekhoudsysteem met interfaces naar de Belastingdienst)
☐ SimplyShop - Webshop & App (verkoopplatform voor klantenbestellingen)
☐ SimplyLoyalty - Bonusprogramma (klantenbindingsprogramma)
Doel(en) waarvoor de persoonsgegevens namens de verantwoordelijke worden verwerkt
Het onderwerp van deze overeenkomst is de dienstverlening volgens de hoofdovereenkomst die tussen de opdrachtgever en de opdrachtnemer is gesloten. Het gaat met name om de registratie en verwerking van leveringsopdrachten en de daarmee verband houdende persoonsgegevens.
Duur van de verwerking
De duur van de overeenkomst is gebaseerd op de in de hoofdovereenkomst overeengekomen termijn en eindigt bij het verstrijken van de hoofdovereenkomst. Voor zover wettelijke bewaartermijnen verdergaande gegevensverwerking vereisen, eindigt deze pas bij het verstrijken van deze bewaartermijnen.
In het geval van verwerking door (sub)verwerkers moeten ook het onderwerp, de aard en de duur van de verwerking worden aangegeven. Zie aanhangsel IV.
AANHANGSEL III
Technische en organisatorische maatregelen, onder meer om de gegevensbeveiliging te waarborgen
Standaard | voldaan | |
Vertrouwelijkheid (artikel 32 lid 1 onder b AVG) 1. Toegangscontrole (kantoorgebouwen, kantoren, ...) | ||
1.1. Bedrijfsterreinen / kantoorgebouwen | ||
1.1.1. | Beveiligingspersoneel | GD |
1.1.2. | Bewegingsdetector | X |
1.1.3. | Alarmsysteem | - |
1.1.4. | Videosurveillance | - |
1.2. Bewaking binnen het gebouwen | ||
1.2.1. | Beveiligingspersoneel | - |
1.2.2. | Bewegingsdetector | - |
1.2.3. | Alarmsysteem | - |
1.2.4. | Videosurveillance | - |
1.3. Toegangsbeveiliging | ||
1.3.1. | Beveiligde afsluitbare deuren, deursloten | X |
1.3.2. | Veiligheidssloten | X |
1.3.3. | Algemeen sleutelsysteem | X |
1.3.4. | Nooduitgang (alleen van binnenuit te openen) | X |
1.3.5. | Zeer beperkte toegangsrechten serverruimte | NR |
1.3.6. | Serverruimtes omheind (verboden gebied) | NR |
1.3.7. | Servers in afsluitbare serverkasten | NR |
1.4. Schriftelijke specificaties voor toegangsautorisatie | ||
1.4.1. | Regels voor identiteitskaarten | X |
1.4.2. | Regels voor bezoekers | - |
1.4.3. | Scheiding van verwerkingszones en openbare zones | X |
1.4.4. | Sleutelregels | X |
1.4.5. | Vastlegging van sleuteluitgifte | X |
2. Toegangscontrole (netwerkaanmelding) | ||
2.1. Wachtwoordprocedure | ||
2.1.1. | Authenticatie met gebruikers + paswoorden | x |
2.1.2. | Biometrische authentificatie | - |
2.1.3. | Authenticatie met twee factoren | - |
2.1.4. | Eis van een combinatie van tekens (hoofdletters en kleine letters, cijfers, speciale tekens) | x |
2.1.5. | Minimale lengte 8 tekens | x |
2.1.6. | Initiële aanmeldingsprocedure (gedwongen wijziging van het startwachtwoord) | x |
2.1.7. | Beeldschermbeveiliging tijdens pauzes met wachtwoordactivering | x |
2.1.8. | Toegang blokkeren na een ingesteld aantal mislukte pogingen | - |
2.1.9. | Wachtwoordgeneratie min. 5 | - |
2.1.10. | Gebruikersbevoegdheden aanmaken en beheren | x |
2.1.11. | Geen “groepswachtwoorden” | x |
2.2. Registratie van toegang (inloggen / uitloggen) | x | |
2.3. Encryptie van netwerken / bestandsmappen | x | |
3. Toegangscontrole (toepassingen) | |
3.1. Bevoegdheidsconcept en toegangsrechten | |
3.1.1. Authenticatie met gebruikers + paswoorden | x |
3.1.2. Biometrische authentificatie | - |
3.1.3. Authenticatie met twee factoren | x |
3.1.4. Eis van een combinatie van tekens (hoofdletters en kleine letters, cijfers, speciale tekens) | x |
3.1.5. Minimale lengte 12 tekens | x |
3.1.6. Xxxxxxxxxx bij herhaalde onjuiste invoer | - |
3.1.7. Bevoegdheidsconcept | x |
3.1.8. Rolomschrijving | x |
3.1.9. Gedifferentieerde bevoegdheden (gegevens, toepassingen) | x |
3.1.10. Beheer van gebruikersrechten door systeembeheerders | x |
3.1.11. Het aantal beheerders beperken tot het “strikt noodzakelijke” | x |
3.2. Vaststelling van de verantwoordelijkheden voor de bescherming van informatie | x |
3.3. Inventaris van alle componenten | x |
4. Scheidingscontrole | |
4.1. Vaststelling van gegevensbankrechten | x |
4.2. Gescheiden gegevensbanken | x |
4.3. Logische client-scheiding (aan de software kant) | x |
4.4. Scheiding naar behoefte in netwerken | x |
4.5. Scheiding van klantengegevens (toegangsrechten) | x |
5. Pseudonimisering (artikel 32 lid 1 onder a AVG) | |
Voor zover mogelijk en passend worden persoonsgegevens op zodanige wijze verwerkt dat de gegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende informatie wordt ingewonnen; dit is niet van toepassing wanneer de toestemming van de specifieke betrokkene is verkregen. Deze aanvullende informatie wordt apart bewaard en is onderworpen aan passende technische en organisatorische maatregelen. | |
Integriteit (artikel 32 lid 1 onder b AVG) 6. Doorgiftecontrole | |
6.1. Gegevenslijn via https (online diensten) | x |
6.2. Toegang van buiten VPN | GD |
6.3. E-mail encryptie (S/MIME, REDDCRYPT, ...) | x |
6.4. SSL-encryptie voor webtoegang | x |
6.5. Encryptie van gegevensdragers / notebooks | GD |
7. Ingangscontrole | |
7.1.1. Toekenning van rechten op basis van het bevoegdheidsconcept | x |
7.1.2. Registratie van het invoeren, wijzigen en wissen van gegevens | x |
7.1.3. Registratie van inloggen en uitloggen | x |
7.1.4. Traceerbaarheid van invoer, wijziging en wissen van gegevens via individuele gebruikersnamen (geen gebruikersgroepen) | x |
Beschikbaarheid en bestendigheid (artikel 32 lid 1 onder b AVG) 8. Beschikbaarheidscontrole | ||
8.1. Brandbeveiligingsapparatuur | ||
8.1.1. | Brandblusser in de serverruimte | NR |
8.1.2. | Rook- of brandmelder | NR |
8.1.3. | Rookverbod in server- en PC-werkruimtes | x |
8.2. Stroomvoorziening | ||
8.2.1. | Ononderbroken stroomvoorziening (OSV) | NR |
8.2.2. | Overspanningsbeveiligingsinrichtingen | |
8.3. Klimaatregeling serverruimte | NR | |
8.4. Back-up- en herstelprocedures | ||
8.4.1. | voor server incl. regulering en uitvoering | x |
8.4.2. | voor informatie in netwerken / diensten | |
8.4.3. | Mogelijkheid om de beschikbaarheid van en toegang tot gegevens snel te herstellen (artikel 32 lid 1 onder c) AVG) | x |
8.4.4. | Harde schijven van servers spiegelen (bijv. RAID) | x |
8.5. Virusbescherming | ||
8.5.1. | Antivirusprogramma in gebruik | - |
8.5.2. | Antivirusprogramma('s) detecteert (detecteren) bekende malware | x |
8.5.3. | Antivirusprogramma('s) detecteert (detecteren) onbekende malware (heuristiek) | x |
8.5.4. | Update van de antivirusprogramma's | - |
8.6. Firewall | x | |
8.7. Beveiligde bewaarplaats voor noodwachtwoorden | GD | |
8.8. Opslagmodaliteiten voor back-ups (veilig, afgescheiden brandcompartiment) | x | |
8.9. Geschikte archiveringsopties | x | |
Procedures voor regelmatige toetsing, beoordeling en evaluatie (artikel 32 lid 1 onder d AVG, artikel 25 lid 1 AVG) 9. Opdrachtcontrole | |
9.1. Zorgvuldige selectie van opdrachtnemers en regelmatig toezicht | |
9.1.1. Zorgvuldige selectie van de opdrachtnemer (vooral met het oog op de gegevensbeveiliging) | x |
9.1.2. Opdrachtnemer benoemt functionaris voor gegevensbescherming of verantwoordelijke / controle op basis van certificaat) | x |
9.1.3. Controle van de maatregelen voor gegevensbeveiliging (technisch en org. maatregelen, certificaten / kwaliteitszegels, gegevensbeveiligingsconcept) | x |
9.2. Schriftelijke totstandkoming van de nodige overeenkomsten | |
9.2.1. Duidelijke contractopzet met partners | x |
9.2.2. Duidelijke contractopzet met onderaannemers | x |
9.2.3. Afspraak over effectieve controlerechten ten aanzien van opdrachtnemers | x |
9.2.4. Schriftelijke instructies aan de opdrachtnemer (bijv. in de overeenkomst van opdracht voor de gegevensverwerking) | x |
9.2.5. Verplichting van de werknemers van de opdrachtnemer tot geheimhouding | x |
9.2.6. Vaststelling van de controlemogelijkheden bij de opdrachtnemer | x |
9.2.7. Geformaliseerde plaatsing van opdrachten (bevoegdheid van de opdrachtgever om instructies te geven) | x |
9.3. Xxxxxxx treedt zelf als opdrachtnemer op | - |
10. Gegevensbeschermingsbeheer | |
10.1. Gegevensbeschermingsvriendelijke standaardinstelling (artikel 25 lid 2 AVG) | |
10.1.1. Er worden niet meer persoonsgegevens verzameld dan noodzakelijk voor het beoogde doel | x |
10.1.2. Eenvoudige uitoefening van het recht van bezwaar van de betrokkene door middel van technische maatregelen (wissen, afschermen) | x |
10.2. Incident response management | |
10.2.1. Gedocumenteerde procedure voor het opsporen en melden van beveiligingsincidenten / datalekken | x |
10.2.2. Gedocumenteerde procedure voor de behandeling van veiligheidsincidenten | x |
10.2.3. Betrokkenheid van functionarissen voor gegevensbescherming bij veiligheidsincidenten en datalekken | x |
10.2.4. Documentatie van beveiligingsincidenten en datalekken | x |
10.2.5. Formeel vastgelegde procedures en verantwoordelijkheden voor de follow-up van beveiligingsincidenten en datalekken | x |
10.2.6. Scholing en onderricht van werknemers inzake gegevensbeveiliging en gedrag in geval van beveiligingsincidenten en datalekken | x |
10.3. Organisatiecontrole | |
10.3.1. Benoeming van een functionaris voor gegevensbescherming | x |
10.3.2. Benoeming van IT-beveiligingsfunctionaris | x |
10.3.3. Schriftelijke verbintenis van werknemers tot geheimhouding | x |
10.3.4. Regelmatige opleiding van werknemers in gegevensbescherming en informatiebeveiliging | x |
10.3.5. Nakoming van de informatieverplichtingen uit hoofde van artikel 13, 14 AVG | |
x | |
10.3.6. Geformaliseerd proces voor de behandeling van verzoeken om informatie | x |
10.3.7. Geformaliseerd proces voor de behandeling van verzoeken om wissing | x |
10.3.8. Wisconcept | x |
10.3.9. Geformaliseerd proces voor de behandeling van bezwaren / intrekkingen | x |
10.3.10. Bijhouden van een register van verwerkingsactiviteiten | x |
10.3.11. Risico- en beschermingsbehoeftenbeoordeling voor de verwerkingsactiviteit | x |
10.3.12. Uitvoering van gegevensbeschermingseffectbeoordelingen op verzoek | x |
10.3.13. Het in opdracht bijhouden van een adressenbestand voor de verwerking van gegevens | x |
10.3.14. Huidige en goedgekeurde richtlijnen voor gegevensbescherming en IT-beveiliging | x |
10.3.15. Uitvoering van controles op gegevensbescherming | x |
Legenda
x | voldaan |
- | niet voldaan |
GD | gedeeltelijk |
NR | Niet relevant |
AANHANGSEL IV
Lijst met subverwerkers
De verantwoordelijke heeft toestemming gegeven voor het gebruik van de volgende subverwerkers:
1. | Naam: | Amazon Web Service (AWS) |
Adres: | Amazon Web Services EMEA SARL 00 Xxxxxx Xxxx X. Xxxxxxx, L-1855 Luxemburg Maatschappelijke zetel van de vennootschap: L-1855 Luxemburg ingeschreven in het handelsregister van Luxemburg onder R.C.S. B186284 Amazon Web Services EMEA SARL, Vestiging Duitsland Xxxxxx-Xxxxxx-Str. 12, 80807 München, Duitsland Maatschappelijke zetel van de vennootschap: München ingeschreven in het handelsregister van het kantongerecht van München onder HRB 242240, btw-ID: DE317013094 Amazon Web Services, Inc. 000 Xxxxx Xxxxxx Xxxxx Xxxxxxx XX 00000 Xxxxxxxxx Xxxxxx Amazon Web Services, Inc. is een vennootschap, opgericht en geregistreerd volgens de wetgeving van de staat Delaware. Registratienummer: 4152954, Staatssecretaris, Staat Delaware. Belastingnr.: 204938068 | |
Naam, functie en contactgegevens van de contactpersoon: | Geen directe contactpersonen, allemaal anonieme webdiensten. | |
Informatica, gegevensverwerking en gegevensopslag op de AWS-locatie in Frankfurt am Main, Duitsland, en voor alle gegevens die in Duitsland en Europa worden gegenereerd, met name ten behoeve van klanten. Informatica, gegevensverwerking en gegevensopslag op de locatie Toronto, Canada, voor alle gegevens die in Canada worden gegenereerd, met name ten behoeve van de klanten. | ||
2. | Naam: | YOPESO GmbH |
Adres: | Xxxxxxxxxxx 00 | |
00000 Xxxxxxxxx | ||
Naam, functie en contactgegevens van de contactpersoon: | Xxxxx Xxxxxxxxx CEO Berlijn, DE | Cluj-Napoca, RO | Chisinau, MD | Kota Kinabalu, MY | |
Xxxxxx Xxxxxxx Engineering Manager 44 Clinicilor street, 400006 Cluj-Napoca, Roemenië | ||
YOPESO levert programmeringsdiensten voor SimplyDelivery. De werknemers van YOPESO hebben geen toegang tot live gegevens van klanten, partners of opdrachtgevers en verwerken geen gegevens van klanten. Aan YOPES wordt alleen toegang verleend tot de delen van de code die nodig zijn voor de dienstverlening. | ||
3. | Naam: | Zoho Corporation Pvt. Ltd. |
Adres: | Xxxxxxxx XX Xxxx, Xxxx Xx. 000 & 000, XXX Xxxx | |
000 000 Xxxxxxxxxxxx Xxxxx, Xxxxxxxxxxx Xxxxxxxx | ||
Xxxx, functie en contactgegevens van de contactpersoon: | Xxxxxxx Xxxx Algemeen directeur Damaschkestr. 1 | |
95615 Marktredwitz | ||
Verwerking van personeelsgegevens betreffende personeelszaken (stamgegevens, vakantie & ziekte, loongegevens), interne en externe communicatie (mails, instant messages) en interne gegevens voor projectbeheer. Ook alle boekhoudkundige gegevens (facturering) en klantgegevens (CRM / verkoop & marketing). | ||
4. | Naam: | kreuzwerk GmbH |
Adres: | ||
Tel.: x00 00 000 0000 0 | ||
Fax: x00 00 000 0000 00 | ||
Xxxxxxxxxxxx 00-00 | ||
Xxx 0, Xxxxx 0, 0xx xxxxxxxxxx | ||
00000 Xxxxxxx | ||
Xxxx, functie en | Xxxxxx Xxxxx | |
contactgegevens van de contactpersoon: | Algemeen directeur Tel: x00 00 000 0000 0 | |
Ondersteuning voor de optimalisatie van de AWS-infrastructuur | ||