Overeenkomst inzake de verwerking van gegevens (hierna te noemen: Verwerkersovereenkomst) voor VDO-Fleet Services
Overeenkomst inzake de verwerking van gegevens (hierna te noemen: Verwerkersovereenkomst) voor VDO-Fleet Services
Deze Verwerkersovereenkomst regelt de wettelijke verplichtingen van de Partijen inzake de bescherming van persoonsgegevens bij de verwerking daarvan in het kader van het VDO FLEET Services Contract (hierna ’Hoofdcontract’ genoemd). De Verwerkersovereenkomst is van toepassing op alle activiteiten die verband houden met het Hoofdcontract waarbij medewerkers van de Opdrachtnemer en/of door Opdrachtnemer ingeschakelde derden toegang hebben tot door de Klant verstrekte persoonsgegevens.
1. VOORWERP EN DUUR VAN DE OVEREENGEKOMEN VERWERKING
Opdrachtnemer verzamelt, verwerkt of gebruikt persoonsgegevens uitsluitend namens en in overeenstemming met de instructies van Klant. Opdrachtnemer is verantwoordelijk voor het naleven van de wettelijke bepalingen inzake de bescherming van persoonsgegevens.
1.1 Doeleinden van de overeengekomen gegevensverwerking:
De doeleinden ten behoeve waarvan gegevens worden verwerking vloeien voort uit het door Partijen afgesloten Hoofdcontract en, indien beschikbaar, de toepasselijke service contracten (service descriptions). Dit houdt met name in dat de Opdrachtnemer de volgende taken zal uitvoeren:
De omvang van de verwerking wordt gedetailleerd beschreven in de service contracten (Service descriptions) van Continental Automotive Trading Nederland B.V. voor de VDO FLEET Services en de functionele productoverzichten.
1.2 Duur van de verwerking:
De duur van de overeengekomen verwerking is gelijk aan de duur van het Hoofdcontract en/of eventuele individuele contracten of orders op basis van een raamovereenkomst.
1.3 Beëindiging zonder kennisgeving:
Klant kan deze Verwerkersovereenkomst, alsmede de Hoofd-overeenkomst, zonder opzegtermijn met onmiddellijke ingang beëindigen, indien de Opdrachtnemer verwijtbaar inbreuk maakt op wettelijke bepalingen inzake de bescherming van gegevens en/of de verplichtingen uit hoofde van de Verwerkersovereenkomst.
2. Inhoud van de te verwerken data:
Opdrachtnemer zal alleen persoons-gegevens verzamelen, verwerken of gebruiken in het kader van de door Partijen overeengekomen verwerking en volgens de instructies van Klant (zie ook art. 8 ).
2.1 Omvang, aard en doel van de overeengekomen gegevensverwerking:
De omvang, aard en het doel van het verzamelen, verwerken en/of gebruiken van persoonsgegevens wordt in detail ontleend aan het Hoofdcontract. Dit houdt met name in dat de volgende procedures voor gegevensverwerking worden gevolgd:
Continental Automotive Trading Nederland B.V is uitsluitend gerechtigd persoonsgegevens te verzamelen, te verwerken en te gebruiken in overeenstemming met de VDO FLEET Services en de instructies van de Klant (zie ook art 8).
Meer informatie over de omvang, de aard en het doel van het verzamelen, verwerken en/of gebruiken van persoonsgegevens is te vinden in de Algemene Voorwaarden behorend bij het Hoofdcontract en de functionele productoverzichten.
2.2 Soort gegevens
X Persoonsgegevens;
X Communicatiegegevens (zoals telefoon, e-mail)
X Contractgegevens (contractuele relatie, product of contractuele belangen)
X Voorgeschiedenis van de Klant
X Facturatie en betalingsgegevens
X Bankgegevens (rekeningnummer,bankcode of IBAN)
□ Planning- en controlegegevens
X Gegevens verkregen van derden, zoals van kredietinstellingen of uit openbare registers
□ Speciale categorieën gegevens
X Overige:...
▪ toegangsgegevens van de Klant en zijn uivoerders / gebruikers
▪ bestuurdersgegevens
▪ voertuiggegevens en voertuigprofielen
▪ communicatiegegevens (bijv. telefoon, e-mail)
▪ verplaatsingsgegevens, GPS-gegevens
▪ activiteiten van bestuurders en inzetprofiel, met inbegrip van rij- en rusttijden overeenkomstig aanhangsel 1B van Verordening EU 561/2006
▪ gegevens voor het gebruik van de dienst door gebruikers
▪ downloadgegevens voor de bestuurderskaart en tachograaf
2.3 Betrokkenen:
▪ Van onder meer de volgende categorieën personen worden persoonsgegevens verwerkt:
▪ ▪ ▪ ▪ | X □ □ X | Klanten Medewerkers Leveranciers Contactpersonen |
X | Overige: ... ▪ Klanten | |
▪ Personen in dienst van de Klant, zijnde bestuurders en gebruikers van VDO FLEET Services. |
2.4 Technische / organisatorische maatregelen:
Voor zover niet anders is bepaald in de Service contracten of het Hoofdcontract, worden de door Opdrachtnemer getroffen technische en organisatorische maatregelen beschreven in bijlage 1 bij deze Verwerkersovereenkomst. De technische en organisatorische maatregelen zijn onderhevig aan technologische proces- en verdere ontwikkelingen. Opdrachtnemer is daarom gerechtigd om adequate alternatieve maatregelen te implementeren. Het beveiligingsniveau van de toegepaste maatregelen mag in elk geval niet in het gedrang komen. Belangrijke wijzigingen moeten door Opdrachtnemer worden gedocumenteerd
3. Rechten van de betrokkenen – rectificatie, recht op beperking van verwerking en het recht op vergetelheid
3.1 Klant dient betrokken te zijn bij de waarborging van de rechten van de betrokkene en moet zorgen voor de naleving van de overeenkomstige wettelijke verplichtingen van Klant, in het bijzonder met betrekking tot meldingen aan betrokkene(n), het verstrekken van informatie aan betrokkene(n) en het recht op rectificatie, wissen en/of beperking van de verwerking van persoonsgegevens.
3.2 Opdrachtnemer mag de persoons-gegevens alleen rectificeren, wissen of de verwerking ervan beperken overeenkomstig de instructies van Klant. In geval een betrokkene rechtstreeks contact opneemt met de Opdrachtnemer om zijn gegevens te laten rectificeren of wissen, moet de Opdrachtnemer dit verzoek onmiddellijk doorsturen naar Klant.
3.3 Indien Klant wettelijk verplicht is om informatie met betrekking tot het verzamelen, verwerken of gebruiken van persoonsgegevens aan natuurlijke personen (betrokkenen) te ver-strekken, moet de Opdrachtnemer de Klant ondersteunen bij het verstrekken van deze informatie indien
a) Klant de Opdrachtnemers verzoekt om dit schriftelijk te doen.
b) Klant de kosten die de Opdrachtnemer voor deze ondersteunende diensten maakt.
4. Inspecties en overige verantwoordelijkheden van Opdrachtnemer:
4.1 Opdrachtnemer is verder verantwoordelijk voor het naleven van de volgende verplichtingen:
Bescherming van de geheimhouding: Alle personen die toegang hebben tot persoonlijke informatie van de Klant in het kader van hun contractuele plichten moeten tot geheimhouding worden verplicht.
4. Inspecties en overige verantwoordelijkheden van Opdrachtnemer:
4.1 Opdrachtnemer is verder verantwoordelijk voor het naleven van de volgende verplichtingen:
Bescherming van de geheimhouding: Alle personen die toegang hebben tot persoonlijke informatie van de Klant in het kader van hun contractuele plichten moeten tot geheimhouding worden verplicht.
4.3 De mogelijk om op verzoek van de Klant de genomen technische en organisatorische maatregelen te verifiëren. Opdrachtnemer kan actuele verklaringen, verslagen of uittreksels uit verslagen van onafhankelijke instanties (zoals auditors, inspecteurs, functionarissen voor de gegevens-bescherming, IT-beveiligingsafdeling-en, gegevensbeschermingsauditors en kwaliteitsauditors) of een passende certificering van een IT-beveiligings- of gegevensbeschermingsaudit voor-leggen (bijv. conform de BSI Basic Protection).
4.4 Controles door middel van regelmatige beoordelingen uitgevoerd door de Opdrachtnemer, inzake de uitvoering of nakoming van de overeengekomen gegevensverwerking, in het bijzonder de naleving van en eventuele noodzakelijke wijzigingen aan voor-schriften en maatregelen inzake de overeengekomen gegevensverwerking. Melding aan de Klant van tekortkomingen en/of onregelmatig-heden die bij de beoordeling werden ontdekt.
4.5 Schriftelijke aanstelling - indien wettelijk vereist - van een functionaris voor gegevensbescherming (DPO). De Klant krijgt de beschikking over contactgegevens om rechtstreeks contact te kunnen opnemen met de DPO.
4.6 Verstrekking van de volledige schriftelijke documentatie inzake het verzamelen, verwerken of gebruiken van persoonsgegevens, op basis waarvan de Klant te allen tijde de rechtmatigheid van de gegevensverwerking kan aantonen.
4.7 Verstrekking van informatie en gegevens die nodig zijn voor de Klant om verwerkingsactiviteiten te kunnen registreren; dergelijke informatie mag alleen worden verstrekt op verzoek van Xxxxx en alleen met betrekking tot de gegevens die door Opdrachtnemer in het kader van deze Verwerkersovereenkomst zijn verwerkt.
. Onderaannemers
5.1 Indien onderaannemers zijn betrokken bij de verwerking of het gebruik van persoonsgegevens van de Klant, moet er worden voldaan aan de volgende voorwaarden:
• Opdrachtnemer moet de onderaannemer zorgvuldig selecteren en voor het sluiten van de overeenkomst controleren of deze in staat is om te voldoen aan overeenkomsten gesloten tussen Partijen.
• Het inhuren van onderaannemers is in het principe alleen toegestaan na schriftelijke toestemming van de Klant.
• Opdrachtnemer moet de overeenkomsten met de onderaannemer(s) zodanig opstellen dat er wordt voldaan aan de bepalingen inzake gegevensbescherming die van toepassing zijn op de contractuele relatie tussen Partijen.
5.2 Indien de Klant reeds toestemming heeft verleend voor het gebruik van onderaannemers, staan deze vermeld in bijlage 1 bij deze Verwerkersovereenkomst. Elke latere betrokkenheid van onderaannemers met toestemming van de Klant dient te worden gedocumenteerd.
5. Onderaannemers
5.1 Indien onderaannemers zijn betrokken bij de verwerking of het gebruik van persoonsgegevens van de Klant, moet er orden voldaan aan de volgende voorwaarden:
• Opdrachtnemer moet de onderaannemer zorgvuldig selecteren en voor het sluiten van de overeenkomst controleren of deze in staat is om te voldoen aan overeenkomsten gesloten tussen Partijen.
• Het inhuren van onderaannemers is in het principe alleen toegestaan na schriftelijke toestemming van de Klant.
• Opdrachtnemer moet de overeenkomsten met de onderaannemer(s) zodanig opstellen dat er wordt voldaan aan de bepalingen inzake gegevensbescherming die van toepassing zijn op de contractuele relatie tussen Partijen.
5.2 Indien de Klant reeds toestemming heeft verleend voor het gebruik van onderaannemers, staan deze vermeld in bijlage 1 bij deze Verwerkersovereenkomst. Elke latere betrokkenheid van onderaannemers met toestemming van de Klant dient te worden gedocumenteerd.
5.3 Diensten die de Opdrachtnemer als bijkomende diensten uitvoert om de Opdrachtnemer te ondersteunen bij de uitvoering van de overeengekomen verwerking van gegevens, mogen niet worden beschouwd als onderaannemingsrelaties in de zin van deze overeenkomst. Deze diensten omvatten bijv. telecommunicatiediensten, onderhouds- en gebruikersdiensten, schoonmaakdiensten, audits of verwijdering van media voor gegevensopslag. Opdrachtnemer is echter wel verplicht om passende en rechtsgeldige overeenkomsten te sluiten en om controlemaatregelen te treffen om de bescherming en beveiliging van gegevens van de Klant te waarborgen, mede met betrekking bijkomende diensten die zijn ingekocht bij derden.
6. Zeggenschapsrechten van de Klant
6.1 Opdrachtnemer gaat ermee akkoord dat de Klant te allen tijde het recht heeft om -na schriftelijke kennisgeving- de naleving van de voorschriften inzake de bescherming van gegevens en de bepalingen van deze Verwerkersovereenkomst door Opdrachtnemer te controleren, in het bijzonder door informatie in te winnen en opgeslagen gegevens en verwerkingsprogramma’s te inspecteren. Klant heeft het recht de naleving van de Verwerkers-overeenkomst door Opdrachtnemer steekproefsgewijs te controleren.
6.2 Opdrachtnemer is verplicht om de Klant op zijn verzoek alle informatie te verschaffen die nodig is ter naleving van zijn verplichtingen met betrekking tot overeengekomen verwerking en om de relevante attesten ter beschikking te stellen.
6.3 Ten behoeve van de inspecties door de Klant voor en tijdens de overeengekomen verwerking, zorgt de Opdrachtnemer ervoor dat hij de Klant voldoende bewijs van de naleving van de overeengekomen technische en organisatorische maatregelen kan overleggen. In dat verband voorziet Opdrachtnemer de Klant van het bewijs dat de technische en organisatorische maatregelen die dit tot doel hebben zijn geïmplementeerd (zie artikel 0). Het bewijs kan ook verstrekt worden door het overleggen van actuele verklaringen, verslagen of uittreksels van verslagen afkomstig van onafhankelijke instanties (zoals auditors, inspecteurs, functionarissen voor de bescherming van persoonsgegevens, IT-beveiligings- afdelingen, gegevensbeschermings- auditors en kwaliteitsauditors) of via relevante certificering van een IT-beveiliging- of gegevensbeschermingsaudit (bijv. conform de BSI Basic Protection).
7. Kennisgeving van een data inbreuk
7.1 Opdrachtnemer stelt Klant op de hoogte van elk geval van en inbreuk in verband met persoonsgegevens waarvoor de Opdrachtnemer, zijn medewerkers of onderaannemers verantwoordelijk zijn.
7. Kennisgeving van een data inbreuk
7.1 Opdrachtnemer stelt Klant op de hoogte van elk geval van en inbreuk in verband met persoonsgegevens waarvoor de Opdrachtnemer, zijn medewerkers of onderaannemers verantwoordelijk zijn.
7.2 Indien het verlies, de onrechtmatige overdracht of de openbaarmaking van persoonsgegevens mogelijk een risico’s met zich meebrengen voor de rechten en vrijheden van natuurlijke personen (betrokkenen), kunnen er meldverplichtingen jegens regulerende instantie of de betrokkene zelf gelden. Daarom moet Klant onmiddellijk op de hoogte worden gebracht van dergelijke gevallen, ongeacht de oorzaak daarvan. Dit geldt ook in geval van ernstige verstoringen van het bedrijfsproces, de verdenking van overtreding van de wetgeving inzake de bescherming van persoonsgegevens of andere onregelmatigheden bij de verwerking van persoonsgegevens van Klant.
7.3 Opdrachtnemer neemt in overleg met de Klant passende maatregelen om gegevens te beveiligen en eventuele negatieve gevolgen voor de betrokkenen te beperken. Indien er voor de Klant in geval van inbreuk in verband met persoonsgegevens een meldingsplicht bestaat bij toezichthouders, dient de Opdrachtnemer de Klant daarbij te ondersteunen.
8. Bevoegdheid van de Klant om richtlijnen uit te vaardigen
8.1 Persoonsgegevens mogen uitsluitend verwerkt worden in het kader van de gesloten overeenkomsten en in overeenstemming met de instructies van Klant. Klant behoudt zich het recht voor om richtlijnen uit te vaardigen met betrekking tot de aard, de omvang en het proces van de verwerking, en om – d.m.v. individuele instructies- verdere concrete details te verstrekken. Wijzigingen in de doeleinden van de verwerking en procedures moeten in onderling overleg worden overeengekomen en gedocumenteerd. De Opdrachtnemer mag alleen informatie verstrekken aan derde partijen of betrokkenen met de voorafgaande schriftelijke toestemming van de Klant.
8.2 Mondelinge instructies moeten onmiddellijk schriftelijk door de Klant worden gemeld (bijv. e-mail). Opdrachtnemer gebruikt de gegevens voor geen enkel ander doel. Zonder medeweten van de opdrachtgever worden geen kopieën of duplicaten gemaakt. Dit geldt niet voor reservekopieën die nodig zijn ter waarborging van correcte gegevensverwerking en voor gegevens die nodig zijn om te voldoen aan de wettelijke archiveringsplichten.
8.3 Opdrachtnemer informeert de Klant onmiddellijk als hij vermoed dat instructies van de Klant een inbreuk zijn op de voorschriften voor de bescherming van gegevens. Opdrachtnemer heeft het recht om de uitvoering van de betreffende instructie op te schorten totdat deze bevestigd of gewijzigd is door een door de Klant aangewezen verantwoordelijke persoon.
9. Openbaarmaking, wissen van gegevens / teruggeven van media voor gegevensopslag
9.1 Opdrachtnemer is verplicht om op verzoek van de Klant of bij beëindiging van de overeengekomen gegevensverwerking, doch niet later dan aan het einde van de contractuele relatie met Xxxxx, alle documenten die hij heeft gekregen, alle verkregen dataopslag- media, alle voorbereide verwerkings- en gebruiksresultaten en alle gearchiveerde gegevens die verband houden met de contractuele relatie of die het resultaat zijn van de overeengekomen gegevensverwerking aan de Klant of aan een door Klant aangewezen derde partij terug te geven. Deze verplichting geldt ook voor kopieën en/of reproducties van media voor gegevensopslag en/of gearchiveerde gegevens. Opdrachtnemer heeft geen retentierecht inzake deze gegevens.
9.2 Na het teruggeven van de gegevens overeenkomstig de bepaling van artikel 9.1, of indien de Klant afziet van teruggave, moeten gegevens die zich nog op de gegevensdragers van de Opdrachtnemer bevinden –na toestemming van de Klant- worden vernietigd of gewist conform de wetgeving ter bescherming van persoonsgegevens. Opdrachtnemer moet op verzoek van de Klant aan de hand van passende documentatie en/of relevante waarborgen bewijzen dat het wissen is voltooid.
De Klant mag niet eisen dat de bewaarde gegevens door de Opdrachtnemer worden gewist, indien de Opdrachtnemer wettelijk verplicht is om deze data te archiveren; deze gegevens mogen voorts alleen worden verwerkt door de Opdrachtnemer. Dergelijke gegevens mogen alleen worden verwerkt in plaats van gewist, indien dit wettelijk is toegestaan (bijv. op grond van lokale of nationale uitvoeringsvoorschriften inzake gegevensbescherming), in het bijzonder wanneer wissen niet mogelijk is door het specifieke type archivering of indien het met onredelijk veel werk gepaard zou gaan.
9.3 Documentatie die dient om te bewijzen dat de gegevensverwerking verloopt conform deze verplichtingen uit hoofde van de Verwerkersovereenkomt en de relevante wetgeving, moet door de Opdrachtnemer worden gearchiveerd voor het einde van de Verwerkersovereenkomst; conform de toepasselijke archiverings-voorwaarden.
Aan het einde van deze Verwerkers-overeenkomst kan de betreffende documentatie aan de Klant worden overgedragen zodat zij ook in de gelegenheid is om deze taak te vervullen.
9.4 De voorschriften van de artikelen 9.1 en 9.2 zijn overeenkomstig van toepassing op test- en restmateriaal.
10. Verplichtingen van de Klant
10.1 Klant is verantwoordelijk voor de naleving van de wettelijke bepalingen ter bescherming van gegevens, in het bijzonder voor de rechtmatigheid van de overdracht van gegevens aan de Opdrachtnemer.
10.2 Klant verstrekt de Opdrachtnemer onmiddellijk de volledige informatie wanneer zij bij de beoordeling van verwerkingsresultaten tekortkomingen of onregelmatigheden ontdekt met betrekking tot de bepalingen van de wetgeving inzake de bescherming van gegevens.
10.3 Klant houdt een administratie bij van de verwerkingsactiviteiten.
10.4 Klant moet ervoor zorgen dat er schriftelijke toestemming wordt verkregen van zijn medewerkers voor het verzamelen en verwerken van hun persoonsgegevens met het oog op het gebruik van de VDO Fleet Services, doch voor zover deze toestemming wettelijk verplicht is gesteld.
11. Aansprakelijkheid
11.1 De in deze Verwerkersovereenkomst vermelde verplichtingen ter bescherming van gegevens betreffen belangrijke contractuele verplichtingen voor de Opdrachtnemer (fundamentele verplichtingen) van het Hoofdcontract gesloten met Klant. In dat opzicht moet deze Verwerkersovereenkomst worden beschouwd als een aanvulling op het Hoofdcontract.
11.2 Opdrachtnemer is jegens Klant aansprakelijk voor schade die Klant lijdt als gevolg van een verwijtbare schending van regels inzake gegevensbeschermings en/of de verplichtingen uit de Verwerkersovereenkomst door Opdrachtnemer; met inachtneming van aansprakelijkheidsregels zoals vermeld in het Hoofdcontract.
12. Hoofdcontract
12.1 Verhouding tot het Hoofdcontract, overige verplichtingen en bepalingen.
Voor zover in de Verwerkersovereenkomst niet anders is bepaald, hebben de bepalingen van deze Verwerkersovereenkomst inclusief bijlagen voorrang op het Hoofdcontract en dienen deze als aanvulling daarop.
12.2 Indien de door Opdrachtnemer opgeslagen gegevens van de Klant in gevaar worden gebracht door beslaglegging, inbeslagneming, faillissement- of schikkings-procedure of door andere gebeurtenissen of maatregelen die door derden zijn geïnitieerd, dient de Opdrachtnemer de Klant daarvan onmiddellijk op de hoogte te brengen. De Opdrachtnemer brengt alle verantwoordelijke partijen ter zake onmiddellijk van op de hoogte dat de Klant het exclusieve eigendom heeft van de gegevens, overgedragen media voor gegevensopslag, documenten, etc.
12.3 Voor wijzigingen en/of aanpassingen van deze Verwerkersovereenkomst is een schriftelijke akte vereist. Dit geldt ook voor zover er afstand wordt gedaan van het schriftelijke vormvereiste.
12.4 Met betrekking tot het toepasselijke recht en de forumkeuze zijn de toepasselijke bepalingen van het Hoofdcontract van toepassing.
Technische en organisatorische maatregelen voor de overeengekomen gegevensverwerking
De maatregelen zijn vastgelegd in de goedgekeurde ’Binding Corporate Rules of the Continental Corporation’ en worden toegepast op basis van de bestaande IT-veiligheidsrichtlijnen.
Specifieke maatregelen met betrekking tot deze Verwerkersovereenkomst vindt u in de onderstaande punten.
Met de respectieve onderaannemers zijn de adequate maatregelen voor gegevensverwerking in een afzonderlijk contract vastgelegd.
Fysieke toegangscontrole
Waarborging van de toelating/toegang tot verwerkingssystemen waarmee de verwerking wordt uitgevoerd tegen onbevoegde personen (bijv. door middel van fysieke eigendomsbescherming: omheining, portier, slagboom voor personeel, draaihek, deur met kaartlezer, camerabewaking, organisatorische eigendomsbescherming, reglement betreffende toegangsrechten, toegangsregistratie)
De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Alarmsysteem | |
Automatisch toegangscontrolesysteem | |
Vergrendelingssysteem met codevergrendeling | |
Biometrische toegangsslagbomen | |
Lichtbarrières/bewegingssensoren | |
Handmatig vergrendelingssysteem inclusief sleutelregulatie (sleutelboek, sleuteluitgifte) | |
Registratie van bezoekers | |
Zorgvuldige selectie van beveiligingsmedewerkers | |
Chipkaarten/transpondervergrendelingssystemen | |
Videobewaking van toegangsdeuren | |
Veiligheidssloten | |
Screening van personeel door portier/receptie | |
Zorgvuldige selectie van schoonmaakpersoneel | |
Verplichting tot het dragen van werknemer/gast ID-kaarten | |
Diversen: |
Gegevenstoegangs-/gebruikerscontrole
Voorkomen dat derden gebruikmaken van automatische verwerkingssystemen met apparatuur voor gegevensoverdracht (authenticatie met gebruikersnaam en wachtwoord).
De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Authenticatie met gebruikersnaam/wachtwoord (wachtwoorden toegekend op basis van de geldige wachtwoordvoorschriften) | |
Gebruik van inbraakdetectiesystemen | |
Gebruik van antivirussoftware | |
Gebruik van een software-firewall | |
Aanmaken van gebruikersprofielen | |
Toewijzing van gebruikersprofielen aan IT-systemen | |
Gebruik van VPN-technologie | |
Codering van mobiele media voor gegevensopslag | |
Codering van media voor gegevensopslag op laptops | |
Gebruik van centrale software voor het beheer van smartphones (bijv. voor het extern wissen van gegevens) | |
Diversen: |
Controle van het gegevensgebruik/controle van de gegevensopslagmedia/geheugen- controle
Voorkomen van onbevoegd lezen, kopiëren, wijzigen of wissen van media voor gegevensopslag (controle van media voor gegevensopslag), voorkomen van onbevoegde invoer van persoonlijke informatie en onbevoegde toegang daartoe, wijzigen en verwijderen van opgeslagen persoonlijke informatie (geheugencontrole). Ervoor zorgen dat de partijen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, alleen toegang hebben tot de persoonlijke informatie die past bij hun toegangsbevoegdheid (bijv. door middel van bevoegdheidsconcepten, wachtwoorden, voorschriften voor het verlaten van het bedrijf en voor het verhuizen van medewerkers naar andere afdelingen.) (controle op het gebruik van gegevens).
De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Rollen en bevoegdheden gebaseerd op een ‘need-to-know’-principe | |
Aantal beheerders beperkt tot alleen de “essentiële” | |
Registratie van toegang tot applicaties, in het bijzonder het invoeren, wijzigen of wissen van gegevens | |
Xxxxxx wissen van gegevensdragers voor hergebruik | |
Gebruik van papierversnipperaars of dienstverleners | |
Xxxxxx van rechten door aangewezen systeembeheerders | |
Richtlijnen voor wachtwoorden, incl. wachtwoordlengte en het wijzigen van wachtwoorden | |
Veilige opslag van media voor gegevensopslag | |
Correcte vernietiging van media voor gegevensopslag (DIN 32757) | |
Registratie van vernietiging | |
Diversen: |
Overdrachtscontrole/transportcontrole
Ervoor zorgen dat de vertrouwelijkheid en integriteit van gegevens worden beschermd tijdens de overdracht van persoonlijke informatie en het vervoer van media voor gegevensopslag (bijv. door krachtige codering van gegevensoverdrachten, gesloten enveloppen die in mailings worden gebruikt, gecodeerde opslag op media voor gegevensopslag).
De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Aanleg van speciale lijnen of VPN-tunnels | |
Gecodeerde gegevensoverdracht via internet (zoals HTTPS, SFTP, enz.) | |
E-mail-codering | |
Documentatie van de ontvangers van gegevens en tijdschema’s voor de geplande overdracht of overeengekomen deadlines voor het wissen van gegevens | |
In geval van fysiek transport: zorgvuldige selectie van transportpersoneel en voertuigen | |
Overdracht van gegevens in geanonimiseerde of gepseudonimiseerde vorm | |
In geval van fysiek transport: veilige containers/verpakking | |
Diversen: |
Toegangscontrole/overdrachtscontrole
Ervoor zorgen dat achteraf kan worden nagegaan en vastgesteld welke persoonsgegevens op welk moment en door wie ingevoerd of gewijzigd werden in geautomatiseerde verwerkingssystemen bijvoorbeeld via registratie (toegangscontrole). Ervoor zorgen dat, afhankelijk van het systeem, kan worden nagegaan en vastgesteld aan welke kantoren/locaties persoonlijke informatie is verzonden of verstrekt met behulp van apparatuur voor gegevensoverdracht, of naar welke kantoren/locaties deze zouden kunnen worden verzonden (controle op de overdracht).
De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Registratie van invoer, wijzigen en wissen van gegevens | |
Traceerbaarheid van het invoeren, wijzigen en wissen van gegevens via unieke gebruikersnamen (geen gebruikersgroepen) | |
Toewijzing van rechten voor het invoeren, wijzigen en wissen van gegevens op basis van een bevoegdheidsconcept | |
Maken van een overzicht van welke gegevens met welke applicaties kunnen worden ingevoerd, gewijzigd en verwijderd | |
Bewaren van formulieren waaruit gegevens worden overgenomen voor geautomatiseerde verwerking | |
Diversen: |
Beschikbaarheidscontrole herstel- betrouwbaarheid/integriteit van gegevens
Ervoor zorgen dat gebruikte systemen kunnen worden hersteld in geval van een storing (herstelbaarheid). Ervoor zorgen dat alle systeemfuncties beschikbaar zijn en dat eventuele storingen worden gemeld (betrouwbaarheid). Ervoor zorgen dat opgeslagen persoonlijke informatie niet kan worden beschadigd door systeemstoringen (gegevensintegriteit). Ervoor zorgen dat persoonsgegevens zijn beschermd tegen abusievelijke vernietiging of verlies (beschikbaarheidscontrole), bijv. door de toepassing van passende back-up- en noodherstelconcepten.
De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Onderbrekingsvrije voeding (UPS) | |
Apparaten voor temperatuur- en vochtbewaking in serverruimten | |
Brand- en rookdetectiesystemen | |
Alarmen voor onbevoegde toegang tot serverruimten | |
Tests voor herstelbaarheid van gegevens | |
Het opslaan van back-ups van gegevens op een aparte en veilige locatie | |
In overstromingsgebieden: serverruimten boven het hoge waterniveau | |
Airconditioning in serverruimten | |
Beschermde verdeelstekkers in serverruimten | |
Brandblusapparaten in serverruimten | |
Opstellen van een back-up- en herstelconcept | |
Opstellen van een noodplan | |
Diversen: |
Scheidingscontrole/scheidbaarheid
Ervoor zorgen dat gegevens die werden verzameld voor verschillende doelen afzonderlijk kunnen worden verwerkt (bijvoorbeeld door logische scheiding van klantgegevens, gespecialiseerde toegangscontroles (bevoegdheidsconcept), scheiding van test- en productiegegevens).
De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Fysiek gescheiden opslag op afzonderlijke systemen of media voor gegevensopslag | |
Opnemen van doeleigenschappen/gegevensvelden in gegevensverzamelingen | |
Invoeren van databankrechten | |
Logische klantscheiding (softwarematig) | |
Voor gepseudonimiseerde gegevens: scheiding van mapping-bestand en opslag op een afzonderlijk, beveiligd IT- systeem | |
Scheiding van productie- en testsystemen | |
Diversen: |
ONDERAANNEMERS / SUBVERWERKERS / INTERNATIONALE DATAVERKEER
CONTINENTAL zorgt voor de juiste technische en organisatorische beveiligingsmaatregelen bij de betrokken Subverwerkers om persoonsgegevens te verwerken binnen een passend en veilig kader (adequaatheid van de Subverwerker).
Als Subverwerkers betrokken zijn bij de verwerking van persoonsgegevens (bijv. hosting, levering van datacenterruimte, clouddiensten, besturingssoftware enz.), wordt de implementatie van technische en organisatorische maatregelen door de respectievelijke Subverwerker verzekerd door overeenkomstige afspraken over gegevensverwerking. Subverwerkers moeten - met voldoende garantie - zorgen voor ten minste dezelfde technische en organisatorische maatregelen als overeengekomen tussen de Klant en CONTINENTAL
Om ongeoorloofde toegang en/of pogingen tot toegang tot de IT-systemen en opslagfaciliteiten van CONTINENTAL te voorkomen en/of te vermijden, met inbegrip van gegevens die daar zijn opgeslagen - hetzij van externe of interne of door Subverwerkers - heeft CONTINENTAL permanente controle- en bewakingsmaatregelen voor haar IT- systemen geïmplementeerd, waaronder toegangscontrole/ toegangsbewaking (24 uur per dag, 7 dagen per week, 365 dagen per jaar), door state-of-the-art inbraakdetectiesystemen/firewalls/toegangscontrole/etc. te implementeren. Als ongeautoriseerde toegang of een ongeautoriseerde poging tot toegang wordt gedetecteerd, wordt deze automatisch en onmiddellijk beëindigd. Het serviceteam van Continental Automotive Technologies GmbH in Europa heeft de exclusieve controle over deze beveiligingssystemen; toegang tot deze systemen door Processors of anderen is uitgesloten.
De volgende onderaannemers zijn betrokken door CONTINENTAL bij de VDO FLEET DIENSTEN:
Subverwerkers van toepassing voor alle landen/klanten: | |
Eviden Germany GmbH, Xxxx-Xxxx Xxxx 0, 00000 Xxxxxxx (Ondersteuning en onderhoud) | |
Clearblade Inc., 0000 Xxxxxxxxx XXXX XXX 000, Xxxxxx, XX 00000, XXX (Oplossing voor het beheren van telematica-apparaatverbindingen,Ondersteuning/onderhoud) Let op: Continental heeft ervoor gezorgd dat de diensten en gegevens die afkomstig zijn uit de EER alleen worden verwerkt op servers binnen de EER. Aanvullend, en als uitwijkmogelijkheid, zijn de modelcontractbepalingen van de Europese Commissie (zie Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 04.06.2021) overeengekomen met Clearblade, aangezien ook het nieuwe adequaatheidsbesluit van de Europese Commissie voor gegevensverwerking in de VS van 10.07.2023 van toepassing is. Daarnaast heeft Continental specifieke technische beveiligingsmaatregelen geïmplementeerd zoals hierboven beschreven om ongeoorloofde toegang tot gegevens te voorkomen, met name van buiten de EER. | |
Com-a-tec GmbH, Xx Xxxxxxxxxxx 00, 00000 Xxxxxxxxx-Xxxxxxxxxxxx, Xxxxxxx (Serviceniveau 2) | |
Continental Automotive Technologies GmbH and affiliated group companies, Xxxxxxxxxxxx Xxxxxx 0, 00000 Xxxxxxxx, Xxxxxxx (Ontwikkeling en ondersteuning) | |
DataDog Inc., New York Times Bldg, 000 0xx Xxx 00xx Xxxxx, Xxx Xxxx, XX, XXX (Ondersteunings- & beschilbaarheidsservices) Let op: Data Dog verwerkt alleen gepseudonimiseerde, geaggregeerde gegevens; aanvullend, en als uitwijkmogelijkheid, zijn de Standaard-Contractuele-Clausules van de EU-Commissie van kracht (zoals bepaald in het Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 04.06.2021) en is ook het nieuwe adequaatheidsbesluit van de Europese Commissie voor gegevensverwerking in de VS van 10.07.2023 van toepassing. Daarnaast heeft Continental specifieke technische beveiligingsmaatregelen geïmplementeerd zoals hierboven beschreven om ongeoorloofde toegang tot gegevens te voorkomen, met name van buiten de EER. | |
Google Ireland Limited, Xxxxxx Xxxxx, Xxxxxx Xxxxxx, Xxxxxx 0, Xxxxxxx (Leverancier van cloudservices, bijv. Google Cloud Platform) Let op: Google zal worden gebruikt als "Subverwerker" voor de levering van clouddiensten. In dit verband heeft CONTINENTAL ervoor gezorgd dat de gegevens afkomstig uit de Europese Economische Ruimte (EER) alleen binnen de EER worden verwerkt, vrijgesteld als anders overeengekomen met de KLANT. Aanvullend, en als uitwijkmogelijkheid, zijn de Standaard Contractuele Clausules van de EU-Commissie van kracht (zoals bepaald in het Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 04.06.2021) en is ook het nieuwe adequaatheidsbesluit van de Europese Commissie voor gegevensverwerking in de VS van 10.07.2023 van toepassing. Daarnaast heeft Continental specifieke technische beveiligingsmaatregelen geïmplementeerd zoals hierboven beschreven om ongeoorloofde toegang tot gegevens te voorkomen, met name van buiten de EER. | |
kernel concepts GmbH, Xxxxxxxxxxx 00, 00000 Xxxxxx (Leverancier van kerneldiensten, verbetering, onderhoud enz., data wordt alleen binnen de EER verwerkt) | |
MongoDB Limited, Ireland, 0 Xxxxxxxxxx Xxxxxxxxx, Xxxxxxxxxxx, Xxxxxx 0, Xxxxxxx (Leverancier van clouddiensten; de clouddiensten zijn beperkt tot de EER) | |
OKTA Inc., 000 Xxxxx Xxxxxx, 0xx Xxxxx, Xxx Xxxxxxxxx, XX 00000, XXX (Service Provider voor Customer Identity & Access Management (CIAM)) |
Let op: Continental heeft ervoor gezorgd dat de diensten en gegevens die afkomstig zijn uit de EER alleen worden verwerkt op servers binnen de EER. Aanvullend, en als uitwijkmogelijkheid, zijn de modelcontractbepalingen van de Europese Commissie (zie Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 04.06.2021) overeengekomen met Okta, aangezien ook het nieuwe adequaatheidsbesluit van de Europese Commissie voor gegevensverwerking in de VS van 10.07.2023 van toepassing is. Daarnaast heeft Continental specifieke technische beveiligingsmaatregelen geïmplementeerd zoals hierboven beschreven om ongeoorloofde toegang tot gegevens te voorkomen, met name van buiten de EER. | |
xxxxx.xx Inc., 000 Xxxxxxxxxxxx Xx., Xxxxxxx, XX 00000, XXX; European Representative (Art. 27 GDPR): DP-Dock GmbH, Ballindamm 39, 20095 Hamburg (Ondersteunings- en ontwikkelingsservices) Let op: xxxxx.xx verwerkt alleen gepseudonimiseerde, geaggregeerde gegevens. De gegevens worden alleen binnen de EER verwerkt en opgeslagen. Aanvullend, en als uitwijkmogelijkheid, zijn de Standaard Contractuele Clausules van de EU-Commissie van kracht (zoals bepaald in het Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 04.06.2021) en is ook het nieuwe adequaatheidsbesluit van de Europese Commissie voor gegevensverwerking in de VS van 10.07.2023 van toepassing. Daarnaast heeft Continental specifieke technische beveiligingsmaatregelen geïmplementeerd zoals hierboven beschreven om ongeoorloofde toegang tot gegevens te voorkomen, met name van buiten de EER. | |
SYZYGY Deutschland GmbH, Xx Xxxxxxxxx 0, 00000 Xxx Xxxxxxx, Xxxxxxx (Hosting-services) | |
Thales, 00 Xxxxx xxx Xxxxxxxx, XX 00000 – 00000 Xxxxx Xx Xxxxxxx, Xxxxxx (Leverancier van van encryptiesleutels voor hosting in een key management systeem – KMS) | |
Alleen van toepassing voor Frankrijk / Franse eindgebruikers IMA TECHNOLOGIES, 00 Xxxxx xx Xxxxxx 00000 Xxxxxx, Xxxxxx (Support Hotline) | |
XXX.XX, Xxxxxxxxxxx 00, 0000 XX Xxxxxxxx, Xxx Xxxxxxxxxxx. Het verzorgen van de automatische incasso | |
XXXXXXXXXXXX.XX Prinsessenhof Xxxxxx, Xxxxxxx 000X, 0000 XX Xxxxxxx. Het digitaal ondertekenen van het contract volgens europese richtlijnen | |
Algemene informatie: Uw rechten als onderdeel van de Europese Algemene Verordening Gegevensbescherming blijven ongewijzigd. CONTINENTAL bevestigt bovendien dat uw gegevens worden opgeslagen in datacenters in de Europese Unie. CONTINENTAL hanteert de hoogste beveiligingsnormen (bijv. ISO/DIN/https/encryptie) en beschermt persoonsgegevens tijdens verzending en opslag |