Contract

ComplyNow, AuditNow, CybersecureNow, en Now: Integrity Partners bieden u deze verwerkersovereenkomst aan. De verwerkersovereenkomst is uitsluitend van toepassing als u gebruik maakt van onze digitale diensten zoals MyComplyNow en WwftCheck.

1. U, als acceptant van deze overeenkomst

en

2. Wij, als aanbieder, Now: Integrity Partners / ComplyNow B.V. aanbieder van digitale compliance en audit diensten, waaronder MyComplyNow en XxxxXxxxx.xx gevestigd en kantoorhoudende te Waddinxveen, aan de Coenecoop 17, verder te noemen: “Verwerker”,

hierna afzonderlijk te noemen: “Partij” en gezamenlijk “Partijen”,

IN AANMERKING NEMENDE DAT:

A. Verwerkingsverantwoordelijke met Verwerker een overeenkomst (in de vorm van een account of anders) heeft gesloten met betrekking tot dienstverlening en/of bemiddeling op het gebied van digitale compliance en audit diensten op Xxxxxxxxx.xx/XxXxxxxxXxx.

B. In het kader van de uitvoering van de Hoofdovereenkomst Persoonsgegevens worden verwerkt door de Verwerker in opdracht van de Verwerkingsverantwoordelijke;

C. Partijen in deze Verwerkersovereenkomst hun afspraken over het verwerken van de Persoonsgegevens door de Verwerker wensen vast te leggen;

D. De bepalingen uit deze Verwerkersovereenkomst vóór gaan op alle andere afspraken die tussen Partijen gelden en betrekking hebben op de verwerking van Persoonsgegevens door Verwerker voor Verwerkingsverantwoordelijke;

ZIJN ALS VOLGT OVEREENGEKOMEN:

Artikel 1: Definities

1.1 In deze Verwerkersovereenkomst worden de hiernavolgende begrippen en definities gehanteerd:

AP: Autoriteit Persoonsgegevens, de Nederlandse toezichthouder voor de AVG;

AVG: Algemene Verordening Gegevensbescherming;

Bijlage: iedere bijlage bij deze Verwerkersovereenkomst, welke een onlosmakelijk deel daarvan uitmaakt;

Betrokkene: de natuurlijke persoon waarop de Persoonsgegevens die Verwerker verwerkt voor Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst betrekking hebben;

Beveiligingsincident: een inbreuk op de beveiliging die per ongeluk of op

onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;

Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verantwoordelijke of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken;

EER Economische Europese Ruimte (reikwijdte AVG);

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare

natuurlijke persoon die Verwerker ontvangt van of verwerkt voor Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst;

Sub-verwerker: een partij die door Verwerker wordt ingeschakeld voor de

uitvoering van de Hoofdovereenkomst en de daarbij horende verwerking van Persoonsgegevens;

Verwerken: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval

het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens;

Verwerkersovereenkomst: de onderhavige overeenkomst inclusief alle overwegingen en bijbehorende Bijlagen.

Artikel 2: Algemeen

2.1 Verwerkingsverantwoordelijke en Verwerker verstrekken elkaar over en weer tijdig alle informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

2.2 Verwerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving verwerken.

2.3 Verwerking zal uitsluitend plaatsvinden in het kader van de Hoofdovereenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen. De categorieën van Betrokkenen, het soort Persoonsgegevens, de aard en het doel waarvoor de Persoonsgegevens worden verwerkt zijn opgenomen in Bijlage 1.

2.4 Verwerker volgt alle instructies van Verwerkingsverantwoordelijke dienaangaande op, behoudens afwijkende wettelijke verplichtingen.

2.5 Verwerker heeft geen zeggenschap over de Persoonsgegevens verstrekt onder deze Verwerkersovereenkomst en neemt geen beslissingen over het gebruik van de gegevens, en verstrekt deze alleen in overleg met de Verwerkingsverantwoordelijke aan derden, en bepaald de bewaartermijn in overleg met de Verwerkingsverantwoordelijke. De verwerker verstrekt de persoonsgegevens wel aan derden in het kader van het uitvoeren van de hoofdovereenkomst, zoals aannemers, installateurs en andere relevante partijen

2.6 Het is Verwerker niet toegestaan Persoonsgegevens aan anderen dan Verwerkingsverantwoordelijke te verstrekken, tenzij op schriftelijk verzoek van Verwerkingsverantwoordelijke, of met diens schriftelijke toestemming, tenzij het doorgeven van de gegevens onderdeel is van de uitvoering van de hoofdovereenkomst.

2.7 Indien Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, verifieert Verwerkingsverantwoordelijke de grondslag van het verzoek en de identiteit van de verzoeker en informeert hij onmiddellijk, voorafgaand aan de verstrekking, Verwerkingsverantwoordelijke terzake, tenzij wettelijke bepalingen hieraan in de weg staan.

2.8 Verwerker verleent Verwerkingsverantwoordelijke volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG of andere wet- en regelgeving op het gebied van privacy, meer in het bijzonder de rechten van Betrokkenen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering, afscherming van Persoonsgegevens, het recht van dataportabiliteit en het uitvoeren van een gehonoreerd aangetekend bezwaar. Tevens verleent Xxxxxxxxx volledige medewerking aan het adequaat informeren van de betrokkenen in het kader van de meldplicht datalekken.

2.9 Indien Verwerker (pogingen tot) onrechtmatige of anderszins ongeautoriseerde verwerkingen of inbreuken op de beveiligingsmaatregelen van de persoonsgegevens signaleert, zal hij Verwerkingsverantwoordelijke hierover onmiddellijk (in ieder geval binnen 24 uur) inlichten en op eigen kosten alle redelijkerwijs benodigde maatregelen treffen om (verdere) schending van de AVG of andere regelgeving betreffende de verwerking van de Persoonsgegevens, te voorkomen of te beperken een en ander onverminderd de verplichting van Verwerker om de eventueel door Verwerkingsverantwoordelijke daardoor geleden schade te vergoeden.

2.10 De melding bij Verwerkingsverantwoordelijke over een geconstateerd Beveiligingsincident zoals bedoeld in het vorige lid, wordt gedaan aan de hand van de Procedure Meldplicht Datalekken zoals in Bijlage 3 opgenomen.

Artikel 3: Gegevensbescherming

3.1 Maatregelen

Verwerker zorgt voor passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen vernietiging, verlies of tegen wijziging van of toegang tot, en iedere andere vorm van onrechtmatige verwerking van de Persoonsgegevens. De maatregelen zijn er mede op gericht onnodige verzameling, verspreiding en verdere verwerking van de Persoonsgegevens te voorkomen. Deze door Verwerker genomen maatregelen moeten een passend en doeltreffend beveiligingsniveau verzekeren, rekening houdend met de stand van de techniek en de kosten voor het toepassen van de maatregelen.

3.2 Beveiliging gegevens

Verwerker voorziet minimaal in de beveiligingsmaatregelen zoals genoemd in Bijlage 2 en garandeert dat de vermelde beveiligingsmaatregelen een beveiligingsniveau bieden dat voldoet aan het bepaalde in artikel 32 AVG. Verwerker zal uit eigen beweging, en op eigen kosten, de in

de vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Verwerkersovereenkomst een passend beschermingsniveau blijven bieden.

3.3 Buiten de EER

Verwerker verwerkt in het kader van monitoring en/of iDIN op Xxxxxxxxx.xx/XxXxxxxxXxx geen Persoonsgegevens buiten een land van de Europese Economische Ruimte (EER). Bij gebruik van MyComplyNow wordt gebruik gemaakt van Amazon Web Services. De opslag van Amazon Web Services wordt in Frankfurt, Duitsland uitgevoerd. Gegevens zullen hierdoor niet buiten de EER verwerkt worden. Voor een optimale DDOS protectie hebben we gekozen voor bescherming via CloudFlare. Deze partij is gevestigd buiten de EER (VS). Onze specialisten hebben na uitvoerig onderzoek vastgesteld dat CloudFlare in de basis AVG compliant is.

Artikel 4: Geheimhouding

4.1 Verwerker is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die zij als uitvloeisel van deze Verwerkersovereenkomst verwerkt, behoudens in zoverre die gegevens of informatie klaarblijkelijk geen geheim of vertrouwelijk karakter hebben, of algemeen bekend zijn.

4.2 Verwerker verklaart alle voorzorgen te treffen en stappen te ondernemen teneinde te voorkomen dat derden en niet bevoegde personen, al dan niet onder zijn gezag, kennis zullen nemen van de Persoonsgegevens. Verwerker verzekert bovendien dat de toegang tot en de verwerking van de Persoonsgegevens beperkt blijft tot de gegevens die de personen onder zijn gezag nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor het doel van de samenwerking. Enkel de personen die rechtstreeks betrokken zijn in de uitoefening van de toevertrouwde opdracht kunnen toegang hebben tot de gegevens.

4.3 Indien Verwerkingsverantwoordelijke daarom uitdrukkelijk schriftelijk verzoekt, zal Verwerker ten aanzien van aangeduide gegevens of informatie bijzondere maatregelen treffen met het oog op de geheimhouding daarvan, welke maatregelen onder meer kunnen inhouden de vernietiging van betrokken gegevens of informatie zodra de noodzaak voor Verwerker om daarvan nog langer kennis te nemen, is komen te vervallen.

4.4 Verwerker verplicht zich om alle personen die door haar worden ingezet bij de uitvoering van deze Verwerkersovereenkomst dezelfde verplichting op te leggen als in het eerste lid van dit artikel is opgenomen. Verwerker staat in voor de naleving van de wettelijke bepalingen omtrent privacy alsmede de bepalingen van deze Verwerkersovereenkomst door de Verwerker ingeschakelde derden tegenover Verwerkingsverantwoordelijke.

4.5 Na afloop van de Hoofdovereenkomst en deze Verwerkersovereenkomst blijft dit artikel en de hierin besproken geheimhouding van kracht.

Artikel 5. Controle

5.1 Verwerkingsverantwoordelijke kan de bewerkingen en de naleving van de overeengekomen technische en organisatorische beveiligingsmaatregelen van Verwerker, de wettelijke bepalingen, of die van eventueel door Verwerker ingeschakelde derden, op elk door haar gewenst moment (laten) controleren.

5.2 Verwerker zal alle benodigde medewerking verlenen aan de controle en informatie verstrekken en ervoor zorg dragen ook de door hem ingeschakelde derden hiertoe de benodigde medewerking zullen verlenen.

5.3 Verwerkingsverantwoordelijke zal de controle slechts (laten) uitvoeren na voorafgaande schriftelijke melding aan Verwerker.

5.4 Het uitvoeren van een controle zal niet tot een vertraging van de door Verwerker in het kader van de Hoofdovereenkomst en deze Verwerkersovereenkomst te verrichten werkzaamheden mogen leiden. Indien dat onverhoopt toch het geval is, zullen partijen in overleg treden teneinde daarvoor zo snel mogelijk een oplossing te vinden.

5.5 Verwerker voert de door Verwerkingsverantwoordelijke, of door Verwerkingsverantwoordelijke ingeschakelde derde, aangegeven aanbevelingen ter verbetering uit binnen de daartoe door Verwerkingsverantwoordelijke te bepalen termijn.

5.6 Verwerker rapporteert op verzoek van de Verwerkingsverantwoordelijke over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze Verwerkersovereenkomst.

De met de controle gemoeide kosten zijn voor rekening van Verwerkingsverantwoordelijke tenzij uit de controle blijkt dat Xxxxxxxxx is tekortgeschoten in de nakoming van zijn verplichting(en) uit deze Verwerkersovereenkomst en/of de Hoofdovereenkomst.

Artikel 6. Inschakelen derden

5.1 Verwerker schakelt geen subverwerkers in zonder toestemming van Verwerkingsverantwoordelijke. Deze toestemming zal via acceptatie op het online platform of op een andere wijze worden vastgelegd. Benoeming in deze overeenkomst wordt ook als schriftelijke toestemming gezien.

5.2 Verwerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.

5.3 Verwerker garandeert dat deze derden schriftelijk tenminste dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen en zal Verwerkingsverantwoordelijke, op diens verzoek, inzage verlenen in de overeenkomsten met deze derden waarin deze plichten zijn opgenomen.

5.4 Verwerker houdt in Bijlage 1 een register bij van de door hem ingeschakelde derden en onderaannemers waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de derden of onderaannemers zijn opgenomen. Dit overzicht zal zal door Verwerker actueel worden gehouden en op verzoek aan de Verwerkingsverantwoordelijke verstrekt.

Artikel 7. Aansprakelijkheid

6.1 De aansprakelijkheid van verwerker voor schade is beperkt tot het totale bedrag dat in het kader van de overeenkomst wordt gefactureerd. De aansprakelijkheid is voorts verder beperkt tot het bedrag dat door haar aansprakelijkheidsverzekering maximaal per aanspraak per jaar wordt uitgekeerd. Aansprakelijkheid voor schade door een gebeurtenis waarop al dan niet een aansprakelijkheidsverzekering van toepassing is, is hoe dan ook beperkt tot € 2500,-.

6.2 Elke vordering tot schadevergoeding verjaart zes maanden na de dag waarop de Wederpartij bekend is geworden met de schade(s) en met verwerkers’ aansprakelijkheid daarvoor.

6.3 Indien Verwerkingsverantwoordelijke aansprakelijk wordt gehouden, kan zij op Verwerker regres nemen als Verwerker tekortgeschoten is in de naleving van de in de bij of krachtens de AVG gegeven voorschriften en de Verwerkersovereenkomst. Verwerker vrijwaart Verwerkingsverantwoordelijke tegen aanspraken van derden wanneer zij ter zake tekortschiet.

6.4 Verwerker kan geen aansprakelijkheid aanvaarden voor het gebruik en de inhoud van de door verwerkingsverantwoordelijke verwerkte gegevens bij verwerker.

Artikel 8. Duur, wijziging en beëindiging overeenkomst

7.1 Deze Verwerkersovereenkomst treedt in werking na ondertekening door beide partijen en eindigt tegelijkertijd met de Hoofdovereenkomst van partijen. Eindigt de Hoofdovereenkomst van rechtswege dan eindigt eveneens deze Verwerkersovereenkomst. Wordt de Hoofdovereenkomst tussen partijen verlengd dan

geldt deze verlenging eveneens voor deze Verwerkersovereenkomst. Geen van beide partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.

7.2 Deze Verwerkersovereenkomst kan slechts met instemming van partijen worden gewijzigd en heeft pas werking wanneer het schriftelijk is overeengekomen.

7.3 Verwerkingsverantwoordelijke zal na het eindigen van deze Verwerkersovereenkomst, naar keuze van Verwerkingsverantwoordelijke, de in het kader van de Hoofdovereenkomst ter beschikking gestelde Persoonsgegevens, terugbezorgen aan Verwerkingsverantwoordelijke, vernietigen dan wel uit haar bedrijfssystemen verwijderen binnen een nader overeen te komen redelijke termijn. Verwerker zal, bij een schriftelijke verklaring door haar directie, op eerste verzoek bij het eindigen van deze Verwerkersovereenkomst verklaren dat de Persoonsgegevens uit haar bedrijfssystemen zijn verwijderd.

7.4 Verwerkingsverantwoordelijke en Verwerker treden met elkaar in overleg over wijzigingen in deze Verwerkersovereenkomst als een wijziging in regelgeving of een wijziging in de uitleg van regelgeving daartoe aanleiding geven.

Artikel 9. Slotbepalingen

8.1 Deze Verwerkersovereenkomst vormt een aanvulling op de gebruikers en algemene voorwaarden. Bij de tegenspraak tussen bepalingen uit deze Verwerkersovereenkomst en de overige voorwaarden prevaleren de bepalingen uit de verwerkersovereenkomst.

8.2 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen naar aanleiding van deze Verwerkersovereenkomst worden beslecht door een bevoegde rechter.

BIJLAGE 1

A. Categorieën Betrokkenen

De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval:

- Cliënten, partijen of betrokkenen

B. Soort Persoonsgegevens

De Persoonsgegevens die door Verwerker worden verwerkt zijn:

− Monitoring: Voornamen, achternaam, bedrijfsnaam en geboortejaar

− iDIN: Voornamen, achternaam, e-mailadres, geboortedatum, woonland, geslacht

− MyComplyNow, alle door de gegevensverantwoordelijke gebruikte persoonsgegevens, data vanuit externe providers, cliënt onderzoeken en risicobeoordelingen. Resultaten leerlijn gebruikers.

C. Aard en doel van de verwerking

− Monitoring cliënten

Xxxxxxxxx.xx/XxXxxxxxXxx bied een optie om personen te toetsen op sanctielijsten, de PEP definitie en negatieve media. Deze toetsing kan worden uitgebreid met een monitoringsfunctie. Hierbij worden de gegevens van de persoon die getoetst wordt (tijdelijk) opgeslagen bij ComplyNow om aan de monitoringsfunctie te kunnen voldoen. Zo lang de persoon in “monitoring” staat wordt dagelijks getoetst of de persoon is toegevoegd aan sanctielijsten, mogelijk binnen de PEP definitie valt en of er bekende negatieve media gevonden wordt. Zo lang dit traject geactiveerd is door de verwerkingsverantwoordelijke, verwerkt ComplyNow de gegevens (naam, geboortejaar) van deze persoon. Als de verwerkingsverantwoordelijke de monitoring uitschakelt worden de persoonsgegevens direct verwijderd uit de systemen van Xxxxxxxxx.xx/XxXxxxxxXxx

Doel: monitoren van personen in het kader van een wettelijke verplichting (Wwft, WTT, WFT)

- iDIN

Xxxxxxxxx.xx/XxXxxxxxXxx bied de mogelijkheid aan de gebruiker (verwerkingsverantwoordelijke) haar cliënten een iDIN verzoek te doen. Deze cliënten kunnen hun identiteit dan via iDIN op afstand verifiëren. De persoonsgegevens die hierin worden gebruikt (naam, email) en de persoonsgegevens die na verificatie terugkomen en in Wwftcheck voor de gebruiker zichtbaar worden (naam, geboortedatum, woonland, geslacht) worden deze gegevens door Xxxxxxxxx.xx/XxXxxxxxXxx verwerkt. Als de verwerkingsverantwoordelijke de iDIN verwijderd (na eigen opslag bijvoorbeeld) worden de persoonsgegevens direct verwijderd uit de systemen van Xxxxxxxxx.xx/XxXxxxxxXxx

Doel: verificatie identiteit natuurlijke personen op afstand

- MyComplyNow

Op ons platform MyComplyNow (MCN) kunnen de gebruikers hun relaties kunnen onderzoeken en beheren in het kader van de verplichtingen vanuit Wwft. De klanten worden in dit systeem bewaard zolang de relatie tussen de gebruikers en diens klant actief is, en na het beëindigen van de relatie gearchiveerd. Het doel en middelen worden door de gebruiker (als

verwerkingsverantwoordelijke) bepaald. ComplyNow neemt alle beveiligingsmaatregelen die nodig zijn om de verwerkte gegevens bij deze activiteiten te beschermen.

Doel: risicoanalyses op cliënten uitvoeren a.d.h.v. wettelijke verplichting (Wwft, WTT)

D. Verwerking buiten de EER

De Persoonsgegevens worden in de volgende landen buiten de EER verwerkt:

- Er vinden geen verwerkingen en opslag buiten de EER plaats van de verwerkingen van de verwerkingsverantwoordelijke in de systemen. Echter het IP adres van de gebruiker van het platform kan door CloudFlare als onderdeel van de beveiliging van onze website worden verwerkt. CloudFlare is gevestigd in de Verenigde Staten van Amerika.

E. Gegevens Sub-verwerkers

Verwerker maakt voor de Diensten gebruik van de volgende Sub-verwerkers:

− Hostnet, gevestigd te Amsterdam, Nederland

− ComplyAdvantage, gevestigd te Londen, Verenigd Koninkrijk

− Stiply, gevestigd in Nederland

− Web-IQ, gevestigd in Nederland

− Graydon Nederland, gevestigd in Nederland

− Rabobank Identity Services, gevestigd in Nederland

− AWS, gevestigd in Seattle, USA (cloud en serverdiensten, opslag uitsluitend in EER (Frankfurt, Duitsland))

- xxxxx://xxx.xxxxxx.xxx/xxxxxxx/

− CloudFlare, gevestigd in San Francisco, VS (DDOS protectie)

- xxxxx://xxx.xxxxxxxxxx.xxx/xxxx/xxxxxxxxxxxx/?xxx_xxxxxxxxxxxxxx://xxx.xxxxx x.xxx/. Uitsluitend (waar mogelijk geblurde) IP adressen van gebruikers. Geen inhoud.

BIJLAGE 2: Beveiliging

Zoals opgenomen in art. 3.2 worden hieronder de afspraken tussen partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen. De getroffen maatregelen zijn opgenomen in deze Bijlage en worden aangevuld of gewijzigd indien dat nodig is.

Verwerkingsverantwoordelijke acht genoemde maatregelen passend voor de Verwerking van de Persoonsgegevens.

A. Maatregelen om de Persoonsgegevens te beschermen tegen verlies of wijziging en tegen onbevoegde of onrechtmatige verwerking, toegang of openbaarmaking:

ComplyNow B.V./ AuditNow B.V. / Now: Integrity Group werkt constant aan het integer en vertrouwelijk omgaan met persoonsgegevens. Op dit moment zijn minimaal de volgende maatregelen genomen die de verwerkte persoonsgegevens beschermen:

− De gebruikte subverwerkers voor deze activiteiten garanderen een sterk anti virus en firewall beleid, evenals een sterke anti DDOS protectie.

− De gebruikte subverwerkers en het systeem waar de opslag van gegevens wordt geregeld zorgen voor een state of the art beveiliging.

− De personen in monitoring / gegevens van actieve en passieve klantrelaties kunnen alleen worden geraadpleegd door een beperkt aantal verantwoordelijke medewerkers van ComplyNow.

− De (betrokken) medewerkers van ComplyNow zijn op de hoogte van de regels die de AVG met zich meebrengt op het gebied van bescherming van gegevens, omgaan met datalekken, e.d. Deze kennis houden we actief op peil door het aanbieden van trainingen en het testen van onze beveiliging.

− ComplyNow beperkt de verwerking tot het hoogst noodzakelijke om het doel (monitoring en klantbeheer) te kunnen faciliteren. Ook zal de verwerking direct stoppen zodra de verwerkingsverantwoordelijke de gegevens verwijderd.

− ComplyNow heeft diverse protocollen vastgesteld op het gebied van gegevensbescherming, zoals welke stappen we nemen bij datalekken en het opstellen en onderhouden van diverse verwerkingsregisters.

− ComplyNow heeft zelf de controle welke IP adressen toegang hebben tot de servers.

− Alle (interne) communicatie is beveiligd met SSL certificatie / keypairs.

B. Maatregelen voor opsporen van zwakke plekken en incidentenbeheer:

ComplyNow B.V. heeft een protocol en register datalekken geïmplementeerd en ingericht om beveiligingsincidenten die mogelijk leiden tot een datalek te registreren en op een uniforme en correcte wijze af te kunnen handelen. We evalueren dit register periodiek om de bescherming van gegevens te verbeteren.

BIJLAGE 3: Procedure Meldplicht Datalekken

Tussen Partijen zijn met betrekking tot de meldplicht datalekken de volgende afspraken gemaakt:

1) Verwerker registreert alle Beveiligingsincidenten;

2) In geval van een Beveiligingsincident informeert Verwerker Verwerkingsverantwoordelijke onverwijld (in elk geval binnen 24 uur) en zal de relevante informatie over het incident melden aan de hand van de door de AP opgestelde vragen bij een melding;

3) Verwerkingsverantwoordelijke zal beoordelen of een melding verricht dient te worden bij de AP. Verwerkingsverantwoordelijke zal daarbij in overleg treden met Verwerker;

4) Voordat Verwerkingsverantwoordelijke de melding bij de AP verricht zal Verwerkingsverantwoordelijke de inhoud van de melding met Verwerker bespreken;

5) Indien Verwerkingsverantwoordelijke oordeelt dat tevens betrokkenen geïnformeerd dienen te worden, zal Verwerkingsverantwoordelijke de inhoud van die informatie met Verwerker bespreken.