Contract
C O N C E P T: Bewerkersovereenkomst
Loxis Track and Trace B.V. en de klant verplichten zich over en weer om de Wet bescherming persoonsgegevens (Wbp) na te leven. Voor de definities van begrippen wordt er aangesloten bij artikel 1 Wbp. Loxis Track and Trace B.V. zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst. Loxis Track and Trace B.V. heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal Loxis Track and Trace B.V. de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de Wbp genoemde grondslag.
Loxis Track and Trace B.V. neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de Wbp. De klant is gerechtigd om in overleg met Loxis Track and Trace B.V. tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen.
De Autoriteit Persoonsgegevens zal eerst aan de verantwoordelijke een bindende aanwijzing geven voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. De verantwoordelijke zal Loxis Track and Trace B.V. direct op de hoogte stellen van deze bindende aanwijzing. Loxis Track and Trace B.V. zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als Loxis Track and Trace B.V. niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Loxis Track and Trace B.V., dan geldt de toepasselijke aansprakelijkheidsbeperking als hiervoor genoemd in het
hoofdstuk Aansprakelijkheid niet.
Subbewerker
Loxis Track and Trace B.V. is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subbewerker waarbij de aansprakelijkheidsbeperking uit het
hoofdstuk Aansprakelijkheid geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subbewerker sprake is van grove nalatigheid of opzettelijk wangedrag. Loxis Track and Trace
B.V. is niet aansprakelijk in geval van overmacht (zoals gedefinieerd in het hoofdstuk Aansprakelijkheid) aan de kant van de subbewerker.
Loxis Track and Trace B.V. zal geen nieuwe subbewerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan, indien hij dat nodig acht, beroep aantekenen bij Loxis Track and Trace B.V. en in het uiterste geval heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
Privacy en geheimhouding
Loxis Track and Trace B.V. is zich bewust dat de informatie die de klant met Loxis Track and Trace
B.V. deelt en opslaat binnen Loxis Track and Trace B.V. een geheim en bedrijfsgevoelig karakter heeft. Alle Loxis Track and Trace B.V. medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde
wijze met de informatie van de klant omgaan.
Medewerkers met toegang tot klantgegevens
Systeembeheerders van Loxis Track and Trace B.V. hebben volledige toegang tot de klantgegevens voor:
• het plaatsen van een nieuwe versie, build of update;
• het doorvoeren van patches en hotfixes;
• het maken van een back-up;
• het verplaatsen van een omgeving.
Consultants, Supportmedewerkers en andere Loxis Track and Trace B.V. medewerkers hebben toegang tot de klantgegevens waar zij toestemming voor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant.
Gegevens
Loxis Track and Trace B.V. verzamelt geanonimiseerde gegevens over het gebruik van haar producten. Deze gegevens ondersteunen Loxis Track and Trace B.V. om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. Hiermee kan Loxis Track and Trace
B.V. haar producten en dienstverlening verbeteren en zal de geanonimiseerde gegevens ook uitsluitend hiervoor gebruiken.
Datacenters
De datacenters waar de servers van Loxis Track and Trace B.V. gehuisvest zijn, bevinden zich uitsluitend in Nederland (Previder Hengelo, xxx.xxxxxxxx.xx). De datacenters vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn ISO 27001 gecertificeerd. Persoonsgegevens worden door Loxis Track and Trace B.V. en subbewerker uitsluitend verwerkt binnen de Europese Economische ruimte.
Meldplicht datalekken
De Wbp vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verantwoordelijke van de data. Loxis Track and Trace B.V. zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Loxis Track and Trace B.V. als bewerker de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Bepaling datalek
Voor het bepalen van een datalek, gebruikt Loxis Track and Trace B.V. de Wbp en de Beleidsregels meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld
gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e- mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden, een malwarebesmetting of een calamiteit zoals brand in een datacenter.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Loxis Track and Trace B.V., terwijl zonder meer voor de klant duidelijk is dat bij Loxis Track and Trace B.V. geen sprake is van een datalek als bedoeld in artikel 34a van de Wbp, dan is de klant aansprakelijk voor alle door Loxis Track and Trace B.V. in dat kader geleden schade en kosten, waaronder begrepen de reputatieschade, welke Loxis Track and Trace
B.V. daardoor leidt. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Melding aan de klant
Indien blijkt dat bij Loxis Track and Trace B.V. sprake is van een datalek, als bedoeld in artikel 34a van de Wbp, dat door de klant gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal Loxis Track and Trace B.V. de klant daarover zo spoedig mogelijk informeren nadat Loxis Track and Trace B.V. bekend is geworden met het datalek. Om dit te realiseren zorgt Loxis Track and Trace B.V. ervoor dat al onze medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Loxis Track and Trace B.V. van haar opdrachtnemers dat zij ons in staat stellen om aan dit termijn te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Loxis Track and Trace B.V., dan meldt Loxis Track and Trace B.V. dit uiteraard ook. Loxis Track and Trace B.V. is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met onze leveranciers.
Informeren klant (contactpersoon instellen)
In eerste instantie zal Loxis Track and Trace B.V. de contactpersoon van het abonnement informeren over een datalek. Mocht deze contactpersoon niet (meer) de juiste zijn, dan kan dat door worden gegeven aan de Helpdesk Loxis (088-2276540)
Informatie verstrekken
Loxis Track and Trace B.V. probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door Loxis Track and Trace B.V. wordt onderzocht, dan zal Loxis Track and Trace B.V. de klant de informatie verstrekken die de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te kunnen verrichten. Hierbij volgt Loxis Track and Trace
B.V. de informatielijst uit de eerdergenoemde beleidsregels. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.
Termijn van informeren
De Wbp geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Loxis Track and Trace B.V. informeert de klant daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de klant tijdig de melding kan doen bij de Autoriteit Persoonsgegevens.
Voortgang en maatregelen
Loxis Track and Trace B.V. zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Loxis Track and Trace B.V. maakt hierover afspraken met de primaire
contactpersoon bij de initiële melding. In ieder geval houdt Loxis Track and Trace B.V. de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
Juist, tijdig en volledig
Loxis Track and Trace B.V. registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af. De registratie en afhandeling van security incidenten wordt getoetst met een audit in het kader van de ISO27001 certificering.