Verwerkersovereenkomst IT Provider
Verwerkersovereenkomst IT Provider
B. Identiteit en contactgegevens IT Provider 1
C. De rol van IT Provider bij de verwerking van uw Gegevens 1
D. Verwerking van Xxxxxxxx in het kader van de uitvoering van de Diensten 1
E. Bijstand aan de Opdrachtgever 3
F. Beveiliging van de verwerking 4
G. Doorgifte van persoonsgegevens 4
H. Duur en einde van de Diensten 4
I. Klachten en aansprakelijkheid 5
A. Algemeen
1.1 ‘Diensten’ betekent de dienstverlening door IT Provider die aanleiding geeft tot de verwerkingen van Gegevens waarop huidige Privacyverklaring IT Provider (Verwerk- ersovereenkomst) van toepassing is.
1.2 ‘Derde’ betekent de natuurlijke persoon of rechtspersoon, de overheidsin- stantie, dienst of elk ander orgaan, niet zijnde de betrokkene, noch IT Provider, noch de persoon die onder rechtstreeks gezag van IT Provider gemachtigd is om de per- soonsgegevens te verwerken.
1.3 'Gebruiker' betekent elke natuurlijke persoon die namens de Opdrachtgever toegang heeft tot de Diensten en/of er gebruik van maakt.
1.4 ‘Gegevens’ betekent alle gegevens van derden die IT Provider in het kader van de Klantrelatie verwerkt, in het bijzonder doch niet beperkt tot persoonsgegevens, documenten, foto’s, bestanden, enz…
1.5 'Opdrachtgever' betekent de natuurlijke persoon of rechtspersoon die de Diensten heeft aangekocht en ten behoeve van wie de verwerkingen zoals bepaald onder art. 7 gebeuren.
1.6 'Klantrelatie' betekent de contractuele relatie tussen de Opdrachtgever en IT Provider waarbij de verlening van de Diensten is overeengekomen.
1.7 'Partijen' betekent de Dienstverlener en de Klant.
1.8 ‘Privacyverordening’ betekent de “Verordening (EU) 2016/679 van het Euro- pees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natu- urlijke personen in verband met de verwerking van persoonsgegevens […]”,diens uitvoeringswetten en -besluiten en eventuele toekomstige wijzigingen.
1.9 ‘Subverwerkers’ betekent Verwerkers aangeduid door IT Provider om, op diens instructies, in onderaanneming goederen en/of diensten te leveren waarvoor een ver- werking van Gegevens noodzakelijk is. Deze omvatten bijvoorbeeld be- taaldienstaanbieders, hostingbedrijven, transportfirma’s, incassobedrijven, mail- ingproviders, enz..
1.10 'Verwerkingsverantwoordelijke' betekent de natuurlijke persoon of rechtsper- soon verantwoordelijk voor de verwerking van persoonsgegevens overeenkomstig artikel artikel 4 (7) Privacyverordening.
1.11 'Verwerker' betekent de natuurlijke persoon of rechtspersoon, een overheidsin- stantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverant- woordelijke persoonsgegevens verwerkt overeenkomstig artikel 4 (8) Privacyverorden- ing.
Toepassingsgebied en onderwerp
2.1 Deze Privacyverklaring IT Provider (Verwerkersovereenkomst) wordt U verstrekt overeenkomstig artikel 28 Privacyverordening.
2.2 Deze Privacyverklaring IT Provider (Verwerkersovereenkomst) is van toepassing
Verwerkersovereenkomst IT Provider
op de verwerkingen van Gegevens die IT Provider uitvoert als Verwerker in het kader van de Diensten die zij levert aan Opdrachtgever.
2.4 Deze Privacyverklaring IT Provider (Verwerkersovereenkomst) kan worden gewijzigd voor toekomstige verwerkingen of wijzigingen aan bestaande verwerkingen. Indien evenwel deze wijzigingen ook een invloed zouden hebben op de Diensten die U als Opdrachtgever afneemt van Deze Privacyverklaring IT Provider (Verwerkerso- vereenkomst), zal u hiervan voorafgaand op de hoogte worden gebracht.
2.5 Deze Privacyverklaring IT Provider (Verwerkersovereenkomst) is niet van toe- passing op de verwerkingen die IT Provider uitvoert als Verwerkingsverantwoordelijke (bijv. HR-beleid, sales & marketing, financiële verrichtingen en contractmanagement, enz. van IT Provider zelf). Indien u daaromtrent meer informatie wenst, kan u steeds contact opnemen.
3.1 IT Provider verbindt er zich uitdrukkelijk toe om te voldoen aan de bepalingen van de relevante toepasselijke wetgeving inzake gegevensbescherming, in het bi- jzonder doch niet beperkt tot de Privacyverordening, en zal binnen haar rol (zie hierna, art. 7) niets doen of nalaten waardoor de Opdrachtgever een inbreuk zou plegen op de relevante en toepasselijke wetgeving inzake gegevensbescherming.
4.1 Deze Privacyverklaring IT Provider (Verwerkersovereenkomst) vervangt alle eerdere overeenkomsten en/of specifieke afspraken tussen IT Provider en de Op- drachtgever inzake privacy en gegevens. Deze verklaring vervangt echter niet andere overeenkomsten met een ander voorwerp die eertijds tussen IT Provider en de Op- drachtgever werden gesloten, in het bijzonder doch niet beperkt tot de onderliggende contracten voor de Diensten.
B. Identiteit en contactgegevens IT Provider
5.1 De identiteit- en adresgegevens van IT Provider zijn:
• IT Provider Group BVBA
• Met maatschappelijke zetel te Xxxx-Xxxxxxxxx 00 0000 Xxxxx,
• Ingeschreven in het K.B.O. onder nummer BE 0000.000.000
6.1 U kunt IT Provider bereiken via
• Tel.: 051/40.98.63;
• Email: xxxxxxx@xxxxxxxxxx.xx;
C. De rol van IT Provider bij de verwerking van uw Gegevens
7.1 Ten aanzien van de verwerkingen opgelijst onder art. 9.1 treedt IT Provider louter op als Verwerker en verwerkt hij de Gegevens uitsluitend op basis van schrift- elijke instructies van de Opdrachtgever – zoals o.m. omschreven in huidige verklaring, in contract(en), offerte(s) of correspondentie met IT Provider, inclusief met betrekking tot de overdracht van Gegevens aan een derde land of een internationale organisatie (zie ook art. 25), tenzij dit vereist wordt door Uniewetgeving of wetgeving van een lidstaat waaraan IT Provider onderworpen is.
7.2 Indien er Unierechtelijke of lidstaatrechtelijke bepalingen zouden zijn die IT Provider in zijn hoedanigheid van Verwerker tot een bepaalde verwerking verplichten zonder daar daartoe een schriftelijke instructie van de Opdrachtgever is vereist, zal IT Provider de Opdrachtgever informeren over die wettelijke vereiste vóór aanvang van de verwerking, tenzij deze wet dergelijke informatieverlening op grond van gewichtige redenen van algemeen belang verbiedt.
7.3 Aangezien IT Provider de rol heeft van Verwerker is het uitsluitend aan de Op- drachtgever (en desgevallend zijn eigen opdrachtgevers) om de verplichtingen na te leven die de Privacyverordening oplegt aan Verwerkingsverantwoordelijken, in het bi- jzonder doch niet beperkt tot het hebben van de nodige verwerkingsgronden (art. 5 Privacyverordening), het naleven van de principes inzake gegevensverwerking (art. 6 Privacyverordening) en het garanderen van de rechten van betrokkenen (art. 12 e.v. Privacyverordening).
IT Provider als Verwerkingsverantwoordelijke
D. Verwerking van Xxxxxxxx in het kader van de uit- voering van de Diensten
Aard en doel van de verwerking
9.1 IT Provider verwerkt de Xxxxxxxx, in de mate waarin u als Opdrachtgever deze Diensten afneemt (zie art. 2.3), teneinde volgende Diensten te leveren:
Verwerkersovereenkomst IT Provider
Verwerkingen | Xxxx en doel | Categorieën van betrokkenen 1 | ||||||||
Ongedef. betrokkene | Gedefinieerde betrokke- nen | |||||||||
Gebruikers Dienst klant | ||||||||||
1. Cloud Backup Site to Datacenter | Backup van data naar een extern datacenter in West-Europa of België | X | X | |||||||
2. Cloud Mail (Office 365) | Beheer van Office 365 licenties, mailboxen en data platformen | X | ||||||||
3. Cloud VOIP | Vaste telefonie dienst | X | X | |||||||
4. Xxxxx Xxxx | Xxxxxx van wifi netwerken | X | ||||||||
5. IT Provider Internet | Leveren van een professionele internet verbinding | X | X | |||||||
6. Basic Cloud | Pakket van publieke cloud diensten met support en ondersteuning | X | ||||||||
7. Custom Cloud | Pakket van private virtuele servers met support en ondersteuning | X | X | |||||||
8. On Prem onderhoudsovereenkomst | Onderhoudsovereenkomst voor servers en netwerkomgeving binnen een onderne- ming. Beschikbare versies: Bronze, Silver, Gold | X | ||||||||
9. SPLA licensing | Beheer op maandbasis van Microsoft licenties gebruikt in een intern of extern da- tacenter | |||||||||
10. Cloud Backup | Backup van data naar een extern datacenter in West-Europa of België | X | X | |||||||
11. Cloud Fax | Voorzien van een digitaal fax nummer met het oog op versturen en ontvangen van digitale faxen via email | X | X | |||||||
12. Cloud Security | Beheer van een endpoint antivirus en antimalware product | X | ||||||||
13. Dropbox Plus | Beheer van een Dropbox oplossing | X | X | |||||||
14. Firewall Checkpoint | Beheer van een firewall oplossing en zijn update overeenkomst, merk: Checkpoint | X | ||||||||
15. Firewall Juniper | Beheer van een firewall oplossing en zijn update overeenkomst, merk: Juniper | X | ||||||||
16. Firewall Watchguard | Xxxxxx van een firewall oplossing en zijn update overeenkomst, merk: Watch- guard | X | ||||||||
17. Webhosting Software | Beheer van software abonnementen voor oa (maar niet gelimiteerd) : Autodesk, Adobe, etc.. | X | ||||||||
18. Webhosting - Xxxxxxxxxx | Xxxxxx van domeinnamen | |||||||||
19. Webhosting – SSL Certificaat | Beheer van SSL certificaten | |||||||||
20. Webhosting – website | Beheer van website hosting. Beschikbare versies: Small, Medium, Large, Extralarge | X | X | |||||||
21. Webhosting – SMTP relay server | Xxxxxx van een managed SMTP relay oplossing | X | X |
Tabel 1. Overzicht van de verschillende Diensten en verwerkingen
Soort Gegevens dat wordt verwerkt
10.1 Afhankelijk van de Diensten die u afneemt, zullen door IT Provider als Verwerker de Gegevens worden verwerkt zoals aangegeven in Tabel 2. Overzicht van soort Gegevens die worden verwerkt door IT Provider als Verwerker.
Niet vooraf gedefinieerde Gegevens
11.1 Voor sommige diensten kan de Opdrachtgever zelf bepalen welke soort in- formatie hij verwerkt d.m.v. de Diensten, en is hij niet gebonden door voorgedefini- eerde velden en/of formulieren. Bijvoorbeeld zijn de mogelijkheid tot het uploaden van documenten, algemene ‘opmerkingsvelden’, mogelijkheid voor de Gebruiker om custom velden toe te voegen, enz.. In dat scenario heeft IT Provider geen zicht op de soort Gegevens die worden verwerkt. Deze mogelijkheid om niet vooraf gedefinieerde data wordt in onderstaande overzicht aangeduid met de kolom ‘Ongedefinieerde Gegevens’.
11.2 Indien de Opdrachtgever gebruik maakt van de Diensten om dergelijke Ongede- finieerde Gegevens te verwerken, is dit op eigen risico en dient de Opdrachtgever volkomen autonoom te beslissen of de eigenschappen van de Diensten, in het bijzonder
doch niet beperkt tot de toepasbare veiligheidsmaatregelen, afdoende zijn voor de verwerking van die gegevens.
Bijzondere categorieën van Gegevens
12.1 Onverminderd art. 11.1 boven staan alle bijzondere categorieën van per- soonsgegevens overeenkomstig artikel 9 van de Privacyverordening die IT Provider ver- werkt ter uitvoering van de Diensten vermeld in Tabel 2. Overzicht van soort Gegevens die worden verwerkt door IT Provider als Verwerker, kolom ‘4. Bijzondere Persoons- gegevens’.
Profilering en geautomatiseerde besluitvorming
13.1 Indien de Diensten die u afneemt met zich meebrengen dat t.a.v. de be- trokkenen wiens Gegevens worden verwerkt aan profilering en/of geautomatiseerde besluitvorming wordt gedaan in de zin van art. 22 Privacyverordening, wordt dit zo aangegeven in de Tabel 2. Overzicht van soort Gegevens die worden verwerkt door IT Provider als Verwerker.
1 Indien niets aangevinkt worden er geen persoonsgegevens op systematische basis verwerkt
Verwerkersovereenkomst IT Provider
Verwerkingen | ||||||||||||||||||||||||||||||||
Ongedef. Gege- vens | 1. Eenvoudige per- soonsgegevens | 2. Gedragsgegevens, interesses en voorkeur | 3. Financiële gegevens | 4. Gevoelige gegevens | ||||||||||||||||||||||||||||
Communicatiegegevens | Persoonlijke kenmerken | Gezins- en familiale gegevens | Opleiding en vorming | Beroep en betrekking | Leefgewoonten en historiek | Woningkenmerken | Sociale kenmerken | Werkgedrag en prestaties | Vrijetijdsbesteding en interesses | Betaalgegevens | Inkomens- en welvaart gegevens | Steun of vervangingsinkomen | Verzekeringsgegevens | Filosofische of religieuze overtuiging | Politieke opvattingen | Gegevens over het seksuele leven | Gerechtelijke gegevens | Biometrische gegevens | Psychische gegevens | Andere | Profilering | Automatische besluitvorming | ||||||||||
1. Cloud Backup Site to Datacenter | X | X | X | |||||||||||||||||||||||||||||
2. Cloud Mail (Office 365) | X | X | X | |||||||||||||||||||||||||||||
3. Cloud VOIP | X | X | X | |||||||||||||||||||||||||||||
4. Cloud Wifi | X | X | X | |||||||||||||||||||||||||||||
5. IT Provider Internet | X | X | X | |||||||||||||||||||||||||||||
6. Basic Cloud | X | X | X | |||||||||||||||||||||||||||||
7. Custom Cloud | X | X | X | |||||||||||||||||||||||||||||
8. On Prem onderhoudsovereenkomst | X | X | X | |||||||||||||||||||||||||||||
9. SPLA licensing | ||||||||||||||||||||||||||||||||
10. Cloud Backup | X | X | X | |||||||||||||||||||||||||||||
11. Cloud Fax | X | X | X | |||||||||||||||||||||||||||||
12. Cloud Security | X | X | X | |||||||||||||||||||||||||||||
13. Dropbox Plus | X | X | X | |||||||||||||||||||||||||||||
14. Firewall Checkpoint | X | X | X | X | ||||||||||||||||||||||||||||
15. Firewall Juniper | X | X | X | |||||||||||||||||||||||||||||
16. Firewall Watchguard | X | X | X | X | ||||||||||||||||||||||||||||
17. Webhosting - Software | X | X | X | |||||||||||||||||||||||||||||
18. Webhosting - Xxxxxxxxxx | ||||||||||||||||||||||||||||||||
00. Webhosting – SSL Certificaat | ||||||||||||||||||||||||||||||||
20. Webhosting – website | X | X | X | |||||||||||||||||||||||||||||
21. Webhosting – SMTP relay server | X | X | X | X |
Tabel 2. Overzicht van soort Gegevens die worden verwerkt door IT Provider als Verwerker
Categorieën van betrokkenen
14.1 Afhankelijk van de Diensten die u afneemt, zullen door IT Provider als Verwerker de categorieën van persoonsgegevens worden verwerkt zoals aangegeven in Tabel 1. Overzicht van de verschillende Diensten en verwerkingen.
14.2 Voor sommige diensten kan de Opdrachtgever zelf bepalen welke categorie van betrokkenen hij verwerkt d.m.v. de Diensten. In dat scenario heeft IT Provider geen zicht op de categorieën van betrokkenen die worden verwerkt. Deze mogelijkheid om niet vooraf gedefinieerde categorieën van datasubjecten te verwerken wordt in onder- staande overzicht aangeduid met de kolom ‘Ongedefinieerde Betrokkenen’.
14.3 Indien de Opdrachtgever gebruik maakt van de Diensten om dergelijke Ongede- finieerde Betrokkenen te verwerken, is dit op eigen risico en dient de Opdrachtgever volkomen autonoom te beslissen of de eigenschappen van de Diensten, in het bijzonder doch niet beperkt tot de toepasbare veiligheidsmaatregelen, afdoende zijn voor de verwerking van die categorieën van betrokkenen.
Ontvangers en categorieën van ontvangers van de persoons- gegevens
15.1 Afhankelijk van de Diensten die u als Opdrachtgever afneemt, kunnen de Gegevens kenbaar worden gemaakt aan de volgende ontvangers:
(Categorie van) Ontvangers | Voorwaarde/doel | Identiteit van de Ontvanger(s) | Xxxxxxx Xxxxxxxx |
Combell NV | Leverancier van webhosting diensten | Combell NV | België |
Clearmedia NV | Leverancier van Cloud oplossingen, software licenties en hardware | Clearmedia NV | België |
Trust Team | Leverancier van telefonie diensten | Trust Team | België |
Destiny NV | Leverancier van internet en telecom diensten | Destiny NV | België |
Microsoft | Leverancier van Cloud oplossingen en software licenties | Microsoft | EU |
Dropbox | Leverancier van Cloud opslag platform | Dropbox | USA |
Tabel 3. Categorieën van ontvanger
Subverwerkers
16.1 De Opdrachtgever geeft aan IT Provider de voorafgaande, algemene toestem- ming om, conform zijn professionele inzichten en met het oog op de goede uitvoering van de Diensten, Subverwerkers te vervangen of toe te voegen.
16.2 IT Provider zal in geval van een toevoeging of verandering zoals omschreven in art. 16.1 de Opdrachtgever informeren over de toevoeging of vervanging van Xxxxxx- werkers en daarrond toelichting te geven aan de Opdrachtgever. Desgevallend heeft de Opdrachtgever de mogelijkheid om tegen deze toevoeging of verandering ge- motiveerd bezwaar te maken.
16.3 IT Provider garandeert dat zijn Subverwerkers gebonden zijn aan dezelfde ver- plichtingen met betrekking tot Persoonsgegevens als de verplichtingen waaraan IT Pro- vider zelf door deze Overeenkomst is gebonden. Wanneer een Subverwerker zijn ver- plichtingen inzake gegevensbescherming niet nakomt, blijft IT Provider ten aanzien van de Opdrachtgever volledig aansprakelijk voor het nakomen van de verplichtingen van die andere Subverwerker.
E. Bijstand aan de Opdrachtgever
16.4 IT Provider zal de door Opdrachtgever vastgestelde doelen en instructies ogen- blikkelijk en op een accurate manier aan de Subverwerker(s) mededelen, daar waar deze doeleinden en instructies betrekking hebben op het deel van de verwerking waarin de Subverwerker(s) betrokken is (zijn).
Naleving privacywetgeving
17.1 IT Provider zal de Opdrachtgever assisteren bij het waarborgen van de naleving van zijn verplichtingen ingevolge de relevante wetgeving inzake gegevensbescherming, in het bijzonder de Privacyverordening, binnen het kader van de verplichtingen die op
IT Provider rusten ingevolge de levering van de Diensten, rekening houdend met de aard van de verwerking en de beschikbare informatie.
Xxxxxxxxxx van de rechten van betrokkenen
18.2 Evenwel zal IT Provider binnen redelijke termijn, rekening houdend met de aard van de verwerking, de Opdrachtgever, voor zover mogelijk, bijstand verleent bij het vervullen van de plicht van de Verwerkingsverantwoordelijke om verzoeken om uitoef- ening van de rechten van de betrokkene te beantwoorden.
Beveiliging, datalekken en DPIA
19.1 Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, zal IT Provider de Opdrachtgever bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32, 35 en 36 Privacyveror- dening (o.m. verplichtingen inzake persoonsgegevensbeveiliging en de verplichting tot het opstellen van een gegevensbeschermingseffectbeoordeling of Data Protection Im- pact Assessment).
19.2 Ingeval van inbreuken i.v.m. persoonsgegevens die verband houden met de aan de Opdrachtgever geleverde Diensten, zal IT Provider na kennisname van deze inbreuk, de Opdrachtgever zonder onredelijke vertraging informeren en assisteren. Deze ken- nisgeving bevat minstens de volgende informatie:
• de aard van de inbreuk;
• de categorieën van persoonsgegevens die getroffen zijn;
• de categorieën en het geschatte aantal betrokkenen die getroffen zijn;
• de categorieën en het geschatte aantal datasets die persoonsgegevens bevatten;
• de vermoedelijke gevolgen van de inbreuk;
F. Beveiliging van de verwerking
Verwerkersovereenkomst IT Provider
• de genomen of voorgenomen maatregelen om de inbreuk aan te pakken, waaron- der desgevallend scahdebeperkende maatregelen.
19.3 IT Provider beslist eenzijdig en naar eigen goeddunken, in overeenstemming met de relevante en toepasselijke wetgeving inzake gegevensbescherming, of de be- trokkenen wiens persoonsgegevens zijn getroffen door een inbreuk, hiervan op de hoogte worden gesteld of niet. Het is de verantwoordelijkheid van de Opdrachtgever (of desgevallend diens opdrachtgever) om de bevoegde gegevensbeschermingsauto- riteit op de hoogte te stellen van inbreuken i.v.m. persoonsgegevens.
19.4 De Opdrachtgever en IT Provider zullen te goeder trouw samen werken om eventuele nadelige gevolgen van een inbreuk i.v.m. persoonsgegevens te beperken.
20.2 Wanneer naar mening van IT Provider de Opdrachtgever een instructie geeft die mogelijks een inbreuk oplevert op Unierechtelijke of lidstaatrechtelijke wetgeving in- zake gegevensbescherming, zal IT Provider de Opdrachtgever daarvan onmiddellijk in kennis stellen.
21.1 Afhankelijk van de omvang van de geleverde bijstand kan IT Provider voor zijn geleverde tussenkomsten conform art. 18.2, 19.1 en 20.1. een vergoeding in rekening brengen. Voor omvangrijke tussenkomsten zal IT Provider desgevallend voorafgaand een offerte opstellen en aan de Opdrachtgever overmaken.
22.1 Alle aangestelden waarop IT Provider een beroep doet voor het verwerken van Xxxxxxxx, zijn hetzij wettelijk, hetzij contractueel verplicht vertrouwelijkheid in acht te nemen.
Technische en organisatorische veiligheidsmaatregelen
23.1 Bij de levering van de Diensten zal IT Provider passende technische en organi- satorische maatregelen nemen en handhaven zodanig dat de verwerkingen voldoen aan de vereisten van de relevante regelgeving inzake gegevensbescherming, de bescherming van de Gegevens worden gewaarborgd en er een op de eventuele risico’s afgestemd beveiligingsniveau kan worden gewaarborgd.
23.2 IT Provider zal onder andere gepaste technische en organisatorische maatregelen nemen tegen vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot Gegevens, hetzij per ongeluk hetzij onrechtmatig, en zal op regelmatige basis de geschiktheid van deze veiligheidsmaatregelen evalueren en waar nodig aanpassen.
23.3 Bij de beoordeling van het passende beveiligingsniveau wordt specifiek rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorge- zonden, opgeslagen of anderszins verwerkte Gegevens, hetzij per ongeluk, hetzij on- rechtmatig.
23.4 De Opdrachtgever behoudt zich het recht voor om een overeenkomst met
23.5 IT Provider op te schorten en/of te beëindigen, wanneer deze niet langer kan voorzien in de gepaste technische en organisatorische maatregelen voor het verwerk- ingsrisico.
23.6 De veiligheidsdomeinen waarbinnen er technische en organisatorische beveilig- ingsmaatregelen werden genomen ter beveiliging van de Diensten staan opgelijst in Tabel 4. Overzicht van technische en organisatorische beveiligingsmaatregelen inzake beveiliging van Gegevens. Het overzicht in die tabel betreft een sterk vereenvoudigde samenvatting van de genomen maatregelen. Op eerste verzoek zal IT Provider u meer gedetailleerde informatie verschaffen omtrent het veiligheidsbeleid van IT Provider en zijn Subverwerkers.
Verwerkingen | ISO27000 Certificatie? | Veiligheidsdomeinen waarbinnen één of meer- dere maatregelen werden genomen | Opmerkingen | |||||||||||||
Is IT Provider dan wel één of meerdere Subverwer- kers waar hij mee samenwerkt ISO27000 (of vari- ant) gecertifieerd? | Beveiligingsbeleid (5.) | Organisatie van informatiebeveiliging (6.) | Beveiliging personeel (7.) | Beheer Bedrijfsmiddelen (8.) | Toeganscontrole (9.) | Cryptografie (10.) | Fysieke en omgevingsbeveiliging (11.) | Beveiliging operatie (12.) | Beveiliging van verbindingen (13.) | Verwerving, ontwikkeling en onderhoud van infor- maticasystemen ((14) | Relaties leveranciers (15.) | Beheer van informatiebeveiligingsincidenten (16.) | Informatiebeveiligingsaspecten van bedrijfsconti- nuïteit (17.)- | Naleving (18) | ||
1. Cloud Backup Site to Datacenter | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
2. Cloud Mail (Office 365) | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
3. Cloud VOIP | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
4. Cloud Wifi | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
5. IT Provider Internet | X | X | X | X | X | X | X | X | X | X | X | X | X | |||
6. Basic Cloud | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
7. Custom Cloud | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
8. On Prem onderhoudsovereenkomst | X | X | X | X | X | X | X | X | X | X | X | |||||
9. SPLA licensing | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
10. Cloud Backup | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
11. Cloud Fax | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
12. Cloud Security | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
13. Dropbox Plus | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
14. Firewall Checkpoint | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
15. Firewall Juniper | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
16. Firewall Watchguard | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
17. Webhosting - Software | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
18. Webhosting - Domeinnaam | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
19. Webhosting – SSL Certificaat | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
20. Webhosting – website | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |
21. Webhosting – SMTP relay server | X | X | X | X | X | X | X | X | X | X | X | X | X | X |
Tabel 4. Overzicht van technische en organisatorische beveiligingsmaatregelen inzake beveiliging van Gegevens
G. Doorgifte van persoonsgegevens
gegevensoverdrachten aan derde landen of internationale organisaties nemen. De door IT Provider daarvoor genomen waarborgen kunnen op eerste verzoek worden verkregen bij IT Provider (zie art. 6 voor contactgegevens).
Locatie van de verwerking
24.1 Behoudens afwijkingen hierna, voert IT Provider alle verwerkingen uit binnen de Europese Unie.
Doorgifte naar derde landen of internationale organisaties
25.1 Indien Gegevens worden doorgegeven aan derde landen of internationale or- ganisaties, blijkt dit uit Tabel 3. Categorieën van ontvanger.
Passende of geschikte waarborgen voor gegevensdoorgifte
26.1 Indien conform art. 25 gegevens worden doorgegeven aan derde landen of in- ternationale organisaties, zal IT Provider de passende of geschikte waarborgen voor
26.2 Specifiek voor de dienst Dropbox Plus heeft IT Provider de nodige garanties dat de verwerking conform is met de Privacyverordening (via EU-US Privacy Shield én EU modelcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen).
H. Duur en einde van de Diensten
27.1 Tenzij anders overeengekomen, zal IT Provider de Diensten – en bijgevolg de onder art. 9 opgelijste verwerkingen – uitvoeren voor onbepaalde tijd, één en ander onverminderd de eventuele mogelijkheden om de overeenkomst tussen partijen voor
Verwerkersovereenkomst IT Provider
bepaalde redenen vervroegd stop te zetten.
27.2 De in acht te nemen opzeggingstermijn is deze bepaald in het contract tussen partijen (overeenkomst, offerte, factuurvoorwaarden, etc.). Bij gebreke aan een vooraf bepaalde termijn zullen partijen in onderling overleg een redelijke opzeggingstermijn afspreken.
27.4 Uiterlijk na 30 dagen na afloop van de Diensten, eventueel verlengd met de termijn nodig om uitvoering te geven aan art. 27.3, zal IT Provider alle kopieën van Gegevens van de Opdrachtgever definitief verwijderen.
I. Klachten en aansprakelijkheid
27.5 In afwijking op art. 27.4 is het mogelijk dat IT Provider omwille van con- tinuïteitsredenen (‘backups’) de Gegevens van de Opdrachtgever ook na afloop van de Diensten verder verwerkt, doch uitsluitend voor continuïteitsdoeleinden en op voor- waarde dat er geen mogelijkheid bestaat om de individuele kopieën van per- soonsgegevens van de Opdrachtgever te wissen. In dat geval zullen deze gegevens gewist worden op het ogenblik waarop IT Provider de relevante back-up wist.
Klachten behandeld door IT Provider
28.2 Indien IT Provider geen gevolg geeft aan uw verzoek, zal IT Provider U hierover zonder verwijl en ten laatste binnen één maand na ontvangst van het verzoek in- formeren omtrent de redenen voor het niet nemen van enige actie.
Klachten behandeld door de toezichthoudende autoriteit
29.1 Indien u van mening bent dat de Diensten een inbreuk maken op de wetgeving inzake gegevensbescherming en onverminderd andere mogelijkheden van admin- istratief of buitengerechtelijk beroep, heeft de Gebruiker het recht om een voorziening in rechte in te stellen tegen IT Provider bij de toezichthoudende autoriteit, in het bi- jzonder in de lidstaat van uw gebruikelijke woonplaats, werkplaats of plaats van de beweerde inbreuk.
29.2 De Toezichthoudende autoriteit van uw gebruikelijk woonplaats kan worden ge- vonden via deze link: xxxxx://xxxxxx.xxxx.xxxxxx.xx/XXXXXXX/ .
18.1 IT Provider is enkel verantwoordelijk voor de schade veroorzaakt tijdens de ver- werking van de Persoonsgegevens indien hij niet voldeed aan de specifieke verplichtin- gen opgelegd voor verwerkers zoals bepaald in de Privacyverordening, of wanneer IT Provider buiten of in strijd met de rechtmatige instructies van de Opdrachtgever heeft gehandeld.
18.2 Indien administratieve boetes worden opgelegd als gevolg van een inbreuk door IT Provider op de bepalingen van de Privacy verordening die specifiek van toepassing zijn op IT Provider, dan zal de aansprakelijkheid van IT Provider beperkt zijn tot een maxi- maal bedrag van €10.000. IT Provider zal in geen geval aansprakelijk zijn indien hij kan bewijzen dat hij niet verantwoordelijk is voor de gebeurtenis die aanleiding heeft ge- geven tot het schadegeval.