BIJLAGE BIJ DE ALGEMENE VOORWAARDEN
BIJLAGE BIJ DE ALGEMENE VOORWAARDEN
Voorwaarden voor Gegevensverwerking
De voorwaarden voor gegevensverwerking, hierna “VGV” genoemd, maken integraal deel uit van de Algemene Voorwaarden van Fuzer SA die van toepassing zijn binnen het contract, hierna het "Contract" genoemd, dat werd ondertekend tussen de Klant en Fuzer. Ze vervangen alle voorgaande bepalingen met betrekking tot gegevensbescherming in de Algemene Voorwaarden. In de VGV wordt de klant aangeduid als de "Klant", en Fuzer NV met ondernemingsnummer 0564.795.762 wordt aangeduid als "Fuzer".
1. Definities:
Alle woorden en uitdrukkingen met een hoofdletter die worden gebruikt maar niet zijn gedefinieerd in de VGV hebben de volgende betekenissen:
"Wetgeving Inzake Gegevensbescherming" betekent alle toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens en privacy, waaronder de EU- Gegevensbeschermingsrichtlijn 95/46/EG en de Algemene Gegevensbeschermingsverordening van de Europese Unie (AVG);
"Verplichtingen Inzake Gegevensbescherming" betekent de verplichtingen uiteengezet in de VGV en de Wetgeving Inzake Gegevensbescherming.
"Betrokkene" betekent zoals uiteengezet in de Wetgeving Inzake Gegevensbescherming en verwijst in de VGV naar de geïdentificeerde of identificeerbare personen vermeld in Bijlage 1.1, van wie de Persoonsgegevens onder controle van de Verwerkingsverantwoordelijke staan en het onderwerp zijn van de verwerking door de Gegevensverwerker in het kader van de Diensten;
“Persoonsgegevens" betekent zoals uiteengezet in de Wetgeving Inzake Gegevensbescherming en verwijst in de VGV naar alle informatie met betrekking tot de Betrokkene die is onderworpen aan de Verwerking in het kader van de Diensten, zoals vermeld in Bijlage 1.2.
“Verwerking" heeft de betekenis die in de Wetgeving Inzake Gegevensbescherming aan die term wordt gegeven en "verwerken" en "verwerkt" hebben een overeenkomstige betekenis;
“Doeleinden" betekent de beperkte, specifieke en legitieme doeleinden van de Verwerking, zoals beschreven in Bijlage 1.3;
“Regelgevers" betekent die overheidsdepartementen en regelgevende, wettelijke en andere organen, entiteiten en comités die, hetzij krachtens statuut, regel, reglementering, praktijkcode of anderszins, het recht hebben om de privacykwesties die in overeenkomsten en/of door de bij de overeenkomsten betrokken partijen worden behandeld (naargelang het geval), te regelen, te onderzoeken of te beïnvloeden;
“Subverwerker" betekent de onderaannemers vermeld in Bijlage 1.4, door de Gegevensverwerker aangeworven om Persoonsgegevens te Verwerken namens de Verwerkingsverantwoordelijke en in overeenstemming met zijn instructies, de bepalingen
van de VGV en de bepalingen van het geschreven subcontract dat met de Subverwerker moet worden gesloten; en
“Derde Land" betekent een land buiten de Europese Economische Ruimte waarvan de Europese Commissie niet van mening is dat het een passend beschermingsniveau biedt overeenkomstig Artikel 25 van de Richtlijn 95/46/EG.
2. Kenmerking van de Partijen
Als onderdeel van de verlening van de Diensten schakelt de Klant Fuzer in om namens hem Persoonsgegevens te verzamelen, te verwerken en/of te gebruiken en/of Fuzer kan mogelijk toegang hebben tot Persoonsgegevens. De Partijen komen overeen dat de Klant de Verwerkingsverantwoordelijke is en Fuzer de Gegevensverwerker.
3. Gegevensbescherming
3.1 De Gegevensverwerker en de Verwerkingsverantwoordelijke moeten voldoen aan de Wetgeving Inzake Gegevensbescherming met betrekking tot Persoonsgegevens die worden verwerkt in het kader van het Contract. De Verwerkingsverantwoordelijke dient alle benodigde toestemmingen van de Betrokkene te verkrijgen en ervoor te zorgen dat alle toepasselijke informatieverplichtingen ten opzicht van Xxxxxxxxxxx worden nagekomen.
3.2 Zonder beperking van paragraaf 3.1 garandeert, verklaart en belooft de Gegevensverwerker aan de Verwerkingsverantwoordelijke dat:
(A) hij alleen de Persoonsgegevens zal verwerken:
(1) in naam van de Verwerkingsverantwoordelijke en in overeenstemming met de VGV, voor de Doeleinden en de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, of indien redelijkerwijs noodzakelijk om de Diensten te verlenen in overeenstemming met het Contract; of
(2) zoals vereist door toepasselijke dwingende wetten en altijd in overeenstemming met de Wetgeving Inzake Gegevensbescherming;
(B) hij de Persoonsgegevens niet anderszins zal wijzigen, amenderen en/of veranderen of gebruiken voor zijn eigen doeleinden, altijd onder voorbehoud van Artikel 3.2 (A) (2);
(C) hij geen Persoonsgegevens aan derden zal overdragen of onthullen zonder de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, behalve dat de Gegevensverwerker het recht heeft om een derde (inclusief elke andere gegevensverwerker, zoals dienstverleners voor cloud computing, (onder)aannemers of andere subverwerkers) in te schakelen voor de Verwerking van Persoonsgegevens in de mate dat dit nodig is om aan zijn contractuele verplichtingen binnen het Contract te voldoen. Bovendien:
(1) dient de Gegevensverwerker, voorafgaand aan een dergelijke overdracht, onthulling of betrokkenheid, met elke dergelijke goedgekeurde derde een schriftelijke overeenkomst aan te gaan die verplichtingen met betrekking tot Persoonsgegevens bevat; en
(2) blijft de Gegevensverwerker verantwoordelijk tegenover de Verwerkingsverantwoordelijke voor elke schending van de Gegevensbeschermingsverplichtingen door een derde onderaannemer of subverwerker die hij benoemt of aan wie hij Persoonsgegevens onthult of overdraagt.
(D) hij de Persoonsgegevens uitsluitend verwerkt in de Europese Economische Ruimte en/of in een derde land met een passend Beschermingsniveau (in overeenstemming met Artikel 25 van Richtlijn 95/46/EG) en de Persoonsgegevens dus niet (geheel of gedeeltelijk) in een Derde Land zal verwerken zonder de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, behalve als er passende waarborgen overeenkomstig de AVG bestaan (zoals bijvoorbeeld de ondertekening van de standaard contractbepalingen van de Europese Commissie voor de overdracht van persoonsgegevens aan verwerkers gevestigd in derde landen (2010/87/EU) of goedgekeurde bindende bedrijfsregels of de naleving van een goedgekeurde gedragscode). Met uitzondering van de laatste omstandigheden:
(1) wanneer de Gegevensverwerker Persoonsgegevens van de Verwerkingsverantwoordelijke in een Derde Land verwerkt, verbinden de Partijen zich ertoe een overeenkomst inzake gegevensoverdracht aan te gaan voor die verwerkingsactiviteiten in het Derde Land in een vorm die is gebaseerd op de standaard contractbepalingen die zijn opgelegd krachtens het Besluit van de Europese Commissie 2010/87/EU van 5 februari 2010 betreffende standaard contractbepalingen voor de overdracht van persoonsgegevens aan verwerkers die in derde landen zijn gevestigd overeenkomstig Richtlijn 95/46/EG (de "Modelcontractbepalingen"); en
(2) wanneer de Subverwerker Persoonsgegevens verwerkt in een Derde Land ("Derde Land Subverwerker"), verbindt de Gegevensverwerker zich ertoe een overeenkomst voor gegevensoverdracht aan te gaan met de Subverwerker die gebaseerd is op de Modelcontractbepalingen (en deze ook bevat).
(E) hij het gegevensgeheim handhaaft in overeenstemming met de toepasselijke Wetgeving Inzake Gegevensbescherming en alle redelijke stappen onderneemt om ervoor te zorgen dat:
(1) alleen die werknemers van de Gegevensverwerkers die toegang moeten hebben tot Persoonsgegevens toegang krijgen en alleen voor zover nodig om de Diensten te verlenen; en
(2) de werknemers van de Gegevensverwerker die zijn belast met de verwerking van of die toegang kunnen hebben tot Persoonsgegevens betrouwbaar zijn, bekend zijn met de vereisten voor gegevensbescherming en onderworpen zijn aan passende verplichtingen inzake vertrouwelijkheid en gegevensgeheim in overeenstemming met de toepasselijke Wetgeving Inzake Gegevensbescherming en te allen tijde handelen in overeenstemming met de Verplichtingen Inzake Gegevensbescherming;
(F) hij alle passende technische en organisatorische maatregelen heeft ingevoerd (en zal naleven) (zoals beschreven in Bijlage 1.5) om de veiligheid van de Persoonsgegevens te waarborgen, om ervoor te zorgen dat de verwerking van de Persoonsgegevens wordt uitgevoerd in overeenstemming met de toepasselijke Wetgeving Inzake
Gegevensbescherming en om de Persoonsgegevens te beschermen tegen toevallige of onbevoegde toegang, wijziging, vernietiging, schade, corruptie of verlies, alsmede tegen enige andere ongeoorloofde of onwettige verwerking of onthulling ("Gegevensinbreuk"). Dergelijke maatregelen moeten zorgen voor de beste praktijken, moeten te allen tijde in overeenstemming zijn met de Wetgeving Inzake Gegevensbescherming en moeten voldoen aan het toepasselijke IT- beveiligingsbeleid van de Verwerkingsverantwoordelijke;
(G) de Gegevensverwerker de Verwerkingsverantwoordelijke de bijstand en medewerking moet verlenen die de Verwerkingsverantwoordelijke redelijkerwijs kan vragen om de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan alle verplichtingen die door de Wetgeving Inzake Gegevensbescherming worden opgelegd met betrekking tot door de Gegevensverwerker verwerkte Persoonsgegevens; waaronder, maar niet beperkt tot:
(1) op verzoek van de Verwerkingsverantwoordelijke schriftelijke informatie verstrekken over de technische en organisatorische maatregelen die de Gegevensverwerker heeft ingevoerd om Persoonsgegevens te beschermen;
(2) relevante details onthullen met betrekking tot gelijk welke en alle overheids-, wetshandhavings- of andere toegangsprotocollen of controles die hij heeft ingevoerd;
(3) de Verwerkingsverantwoordelijke zo snel mogelijk op de hoogte brengen, voor zover dit wettelijk is toegestaan, van elke toegangsverzoek tot onthulling van gegevens dat betrekking heeft op Persoonsgegevens (of een deel daarvan) door een Regelgevende instantie of door een rechtbank of andere autoriteit van een bevoegd rechtsgebied. Om twijfel te voorkomen en voor zover dat wettelijk is toegestaan, zal de Gegevensverwerker geen Persoonsgegevens onthullen of vrijgeven in antwoord op een dergelijk verzoek aan de Gegevensverwerker zonder eerst advies te vragen aan de Verwerkingsverantwoordelijke en zijn schriftelijke toestemming te verkrijgen;
(4) de Verwerkingsverantwoordelijke zo snel mogelijk op de hoogte brengen van wettelijke of feitelijke omstandigheden die de Gegevensverwerker verhinderen om enige instructies van de Verwerkingsverantwoordelijke uit te voeren; en
(5) de Verwerkingsverantwoordelijke zo snel mogelijk op de hoogte stellen van elk verzoek dat rechtstreeks van een Betrokkene met betrekking tot de Verwerking van Persoonsgegevens is ontvangen, zonder op een dergelijk verzoek in te gaan (tenzij dit door de Verwerkingsverantwoordelijke schriftelijk is toegestaan).
3.3 De Gegevensverwerker informeert de Verwerkingsverantwoordelijke onmiddellijk over elke vraag, klacht, kennisgeving of andere communicatie in verband met de Diensten of de naleving door de Verwerkingsverantwoordelijke van de Wetgeving Inzake Gegevensbescherming van een regelgevende instantie of een persoon, die de Gegevensverwerker of een door hem aangewezen derde ontvangt. De Gegevensverwerker verleent alle redelijke hulp aan de Verwerkingsverantwoordelijke om de Verwerkingsverantwoordelijke in staat te stellen te reageren op dergelijke vragen, klachten, kennisgevingen of andere communicatie en om te voldoen aan de Wetgeving Inzake
Gegevensbescherming. Om twijfel te voorkomen zal de Gegevensverwerker niet antwoorden op dergelijke vragen, klachten, kennisgevingen of andere communicatie zonder de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.
3.4 De Gegevensverwerker zal de Verwerkingsverantwoordelijke onmiddellijk schriftelijk op de hoogte stellen als hij kennis krijgt van een Gegevensinbreuk en de Verwerkingsverantwoordelijke zo snel mogelijk volledige informatie verstrekken met betrekking tot een Gegevensinbreuk, waaronder, maar niet beperkt tot, de aard van de Gegevensinbreuk en de betrokken Persoonsgegevens, de categorieën in kwestie en het aantal Betrokkenen, het aantal Persoonsgegevensregistraties in kwestie, genomen maatregelen om de Gegevensinbreuk aan te pakken, de mogelijke gevolgen en nadelige gevolgen van de Gegevensinbreuk en alle andere informatie die de Verwerkingsverantwoordelijke moet rapporteren aan de relevante Regelgevende Instantie of Betrokkene. De Gegevensverwerker zal een logboek van Gegevensinbreuken bijhouden, inclusief feiten, gevolgen en genomen corrigerende maatregelen. De Gegevensverwerker zal, op eigen kosten, alle redelijke stappen ondernemen om Persoonsgegevens die verloren, beschadigd, vernietigd, gewijzigd of gecorrumpeerd zijn als gevolg van een Gegevensinbreuk te herstellen, opnieuw samen te stellen en/of te reconstrueren, binnen een redelijk tijdsbestek, en alsof ze de eigen gegevens van de Gegevensverwerker zijn. Hij verleent de Verwerkingsverantwoordelijke alle redelijke hulp met betrekking tot dergelijke Gegevensinbreuk. De Gegevensverwerker verleent ook alle redelijke hulp aan de Verwerkingsverantwoordelijke met betrekking tot diens naleving van de Wetgeving Inzake Gegevensbescherming.
3.5 Wanneer de Verwerkingsverantwoordelijke wettelijk verplicht is om informatie over de Persoonsgegevens en de verwerking daarvan aan een Betrokkene of een derde te verstrekken, zal de Gegevensverwerker de Verwerkingsverantwoordelijke redelijke ondersteuning bieden bij het verstrekken van dergelijke informatie.
3.6 De Gegevensverwerker moet passende technische en organisatorische maatregelen nemen om de Verwerkingsverantwoordelijke medewerking en hulp te verlenen bij de naleving van alle rechten van Betrokkenen krachtens de Wetgeving Inzake Gegevensbescherming (inclusief toegangsverzoeken, recht om te worden vergeten en gegevensportabiliteit), ontvangen door of namens of in verband met de Verwerkingsverantwoordelijke of in het Contract.
3.7 De Gegevensverwerker zal de Verwerkingsverantwoordelijke ondersteunen en helpen bij het voldoen aan zijn wettelijke vereisten met betrekking tot het maken en bijwerken van een verwerkingsregister en het uitvoeren van vereiste risicobeoordelingen voor de Verwerkte Persoonsgegevens, met name, maar niet beperkt tot, wijzigingen in de technische en organisatorische maatregelen. De Gegevensverwerker houdt een schriftelijk register bij van alle verwerkingsactiviteitencategorieën die namens de Verwerkingsverantwoordelijke worden uitgevoerd. Dit register zal ook de informatie bevatten die vereist is krachtens de Wetgeving Inzake Gegevensbescherming en alle andere informatie die de Verwerkingsverantwoordelijke redelijkerwijs nodig heeft. De Gegevensverwerker zal op verzoek dergelijk register tijdig ter beschikking stellen van de Verwerkingsverantwoordelijke, indien de Verwerkingsverantwoordelijke dit redelijkerwijs vereist om aan te tonen dat de Verwerkingsverantwoordelijke voldoet aan zijn verplichtingen krachtens de Wetgeving Inzake Gegevensbescherming. De Verwerkingsverantwoordelijke kan dit register onthullen aan gelijk welke relevante Regelgever.
3.8 De Gegevensverwerker zal instemmen met en meewerken aan redelijke verzoeken voor
audits die, op kosten van de Verwerkingsverantwoordelijke, worden uitgevoerd door een door de Verwerkingsverantwoordelijke gemachtigde onafhankelijke auditeur : gegevensprivacy- en veiligheidsaudits, beoordelingen en inspecties met betrekking tot de gegevensbeveiliging- en privacyprocedures van de Verwerkingsverantwoordelijke voor de verwerking van Persoonsgegevens en zijn naleving van de Verplichtingen Inzake Gegevensbescherming. De Gegevensverwerker en Verwerkingsverantwoordelijke komen overeen om de audits tot een strikt minimum te beperken en met een maximum van eenmaal per kalenderjaar, tenzij er serieuze redenen voor een eerdere audit bestaan of als een gegevensbeschermingsautoriteit dit zou vereisen. Certificeringen en bestaande auditrapporten worden gebruikt om audits te voorkomen.
3.9 Bij beëindiging van het Contract zal de Gegevensverwerker onverwijld alle gebruik van Persoonsgegevens staken en alle Persoonsgegevens en kopieën daarvan in zijn bezit verwijderen of anonimiseren, tenzij de wet verdere opslag van dergelijke Persoonsgegevens vereist.
4. Aansprakelijkheid
Volgens de Algemene Voorwaarden.
5. Duur
De VGV zijn geldig vanaf 25 mei 2018 en zullen het verstrijken of beëindigen van het Contract overleven zolang de Gegevensverwerker nog steeds toegang heeft tot Persoonsgegevens waarop het Contract van toepassing is.
6. Volledige overeenkomst
De VGV vervangen alle andere schriftelijke of mondelinge onderhandelingen, overeenkomsten, afspraken of verklaringen tussen de Partijen met betrekking tot de privacy en de bescherming van de Persoonsgegevens die zijn Verwerkt in het kader van het Contract.
7. Wijzigingen
De VGV kunnen enkel worden aangevuld, geamendeerd of gewijzigd door Fuzer als een dergelijke aanvulling, amendement of wijziging nodig is om aan de Wetgeving Inzake Gegevensbescherming te voldoen.
8. Toepasselijk recht - rechtsgebied
Het toepasselijk recht en rechtsgebied zoals overeengekomen in het Contract.
Bijlage 1
1.1 Betrokkenen
De onder de VGV vallende te Verwerken Persoonsgegevens behoren tot de volgende categorieën Betrokkenen:
- Eindgebruikers die voor de Verwerkingsverantwoordelijke werken en die van de Verwerkingsverantwoordelijke Diensten krijgen die geleverd worden door de Gegevensverwerker. Het zijn voornamelijk werknemers en/of vertegenwoordigers van de Verwerkingsverantwoordelijken, maar niet uitsluitend.
1.2 Persoonsgegevens
De categorieën van Persoonsgegevens die binnen het Contract kunnen worden verwerkt, kunnen de volgende zijn:
- Identificerende gegevens (d.i. gegevens die de persoon rechtstreeks kunnen identificeren), indien de Gegevensverwerker deze gegevens van de Verwerkingsverantwoordelijke ontvangt omdat ze nodig zijn om diensten zoals gerechtelijk onderzoek uit te voeren
o Contactgegevens (d.i. e-mail, telefoon, adressen)
o Algemene gegevens (d.i. naam, geboortedatum, identiteitskaartnummer, geslacht, Belgische identiteit (j/n), geboorteplaats)
o Kopie van de identiteitskaart (d.i. fysieke en gescande kopie van de identiteitskaart)
o Rijksregisternummer (d.i. RRN)
o Nationaliteit
- Contractgegevens (d.i. gegevens met betrekking tot de uitvoering van het contract)
o Verificatiegegevens (d.i. gebruikersnaam, wachtwoord)
o Technische & accountinformatie voor het gebruik van de producten en diensten (d.i. DB/DC-model, mailbox alias, account-ID, gebruiker ID)
- Trafiek, locatie en gebruiksgegevens (d.i. gegevens die zijn afgeleid van het gebruik van producten/diensten)
o Geografische locatie (d.i. ID gsm, triangulatiecoördinaten)
o Trafiekinformatie (metadata) (d.i. imsi, imei, ip-adres, mac-adres, a-nummer, b- nummer, URL, gespreksdetailregistratie voor telefonie en internet)
- Contentgegevens (d.i. content gecreëerd door de gebruiker bij het gebruik van producten/diensten), voor zover toegestaan door de wet (zoals de wettelijke bepalingen met betrekking tot telecommunicatiegeheim)
o SMS-/MMS-diensten (d.i. inhoud van SMS/MMS)
o Telefoondiensten (d.i. inhoud van spraakoproepen)
o Voicemail-opnames
o Datadiensten (d.i. inhoud van e-mail)
- De verwerking van gegevens binnen het gebruik van producten/diensten kan uitzonderinglijk resulteren in de verwerking van speciale categorieën van persoonsgegevens, zoals persoonsgegevens betreffende het seksleven of de seksuele geaardheid van een natuurlijke persoon, gezondheidsgegevens, ras of etnische afkomst, vakbondslidmaatschap, politieke mening of religieuze of filosofische overtuiging.
1.3 Doeleinden
De Verwerkingsverantwoordelijke vertrouwt de Verwerking van Persoonsgegevens toe aan de Gegevensverwerker voor de volgende doeleinden:
1. Ondersteuning van Regelgevingsverzoeken, inclusief verzoeken van juridische autoriteiten (zoals juridisch onderzoek en verzoeken om juridische interceptie)
2. Geleverde Klantendiensten (incl. facturering)
3. Fraudebeheer
4. Algemeen product-, dienstverlenings- en netwerkbeheer
5. Xxxxxxxxxxxxxxx en geaggregeerde rapportage voor derden
6. Aanbieden van commerciële producten of diensten aan derden met of gebaseerd op geanonimiseerde en/of geaggregeerde locatie-, trafiek-, netwerk- en/of gebruiksgegevens.
1.4 Subverwerkers
De Verwerkingsverantwoordelijke stemt hierbij in met de volgende lijst van Subverwerkers, die mogelijk ingeschakeld kunnen worden door de Gegevensverwerker voor de Verwerking van Persoonsgegevens in het kader van het Contract:
Naam | Adres | Ondernemingsnummer |
COLT TECHNOLOGY SERVICES N.V. | Xxxxxxxxxxxxx, 0X, 0000 Xxxxxx, Xxxxxx | BE 0461.455.625 |
TELENET B.V.B.A. | Xxxxxxxxxxxxxx(XxXX) 0, 0000 Xxxxxxxx, Xxxxxx | BE 0473.416.418 |
ESCAUX S.A. | Xxxxxxxx xx Xxxxxxxxx 000, 0000 Xxxxx, Xxxxxx | BE 0452.498.367 |
INTERXION BELGIUM S.A. | Xxxxxxxxxxxxxxx 0 xxx 0, 0000 Xxxxxxxx, Xxxxxx | BE 0471.625.579 |
1.5 Veiligheidsmaatregelen
Beschrijving van de technische en organisatorische veiligheidsmaatregelen die worden ingevoerd door de Gegevensverwerker:
1. De Gegevensverwerker verplicht zich ertoe de Verwerkingsverantwoordelijke te helpen de Persoonsgegevens te beschermen. Hij heeft IT-beveiligingsbeleidsbepalingen en -praktijken die verplicht zijn voor al zijn werknemers en externe leveranciers en die hij zal ze handhaven en
toepassen. Hij evalueert deze beleidsbepalingen regelmatig en wijzigt ze indien nodig. Dientengevolge is de Gegevensverwerker in staat om de blijvende efficiëntie van passende technische en organisatorische maatregelen, zoals verder beschreven in het toepasselijke IT- beveiligingsbeleid, te implementeren, te handhaven en regelmatig na te gaan. Hij zal dit ook doen om een beveiligingsniveau te waarborgen dat geschikt is voor het risico verbonden aan de aard van de Persoonsgegevens en aan de verleende Diensten, inclusief, maar niet beperkt tot, passend:
● Het inschatten en minimaliseren van risico's verbonden aan het verlenen van de Diensten met behulp van de Persoonsgegevens, inclusief de risico's van ongeoorloofde verzameling, toegang, gebruik en onthulling en van accidentele of onwettige vernietiging, verlies of wijziging;
● Het gebruiken van pseudonimisatie en encryptie;
● Het zorgen voor de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten;
● Het testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de Persoonsgegevens en de Diensten te waarborgen.
2. De Gegevensverwerker heeft gepaste beleidsbepalingen vastgesteld en passende procedures ingevoerd om te voorkomen dat onbevoegde personen toegang hebben tot de gegevenssystemen, gebruikt voor het verwerken van de Persoonsgegevens, en dat alle personen, die gemachtigd worden om toegang te hebben tot de Persoonsgegevens, de vertrouwelijkheid en veiligheid van de Persoonsgegevens beschermen en handhaven.
3. De Gegevensverwerker heeft en handhaaft gepaste fysieke toegangscontroles, zoals toegangsbadge-systemen en alarmen, om zijn gebouwen, inclusief zijn datacenters, te beschermen tegen ongeoorloofde toegang. Waar nodig, heeft de Gegevensverwerker logboekregistratie- en audittrailingsmechanismen ingevoerd die hij zal handhaven.
4. De Gegevensverwerker zorgt ervoor dat al het personeel, dat betrokken is bij de verwerking van de Persoonsgegevens, bevoegd personeel is en dat toegang tot de gegevens nodig heeft, gebonden is door passende vertrouwelijkheidsverplichtingen en een passende opleiding heeft gevolgd inzake de bescherming en behandeling van de Persoonsgegevens.
5. De Gegevensverwerker mag geen Persoonsgegevens kopiëren of reproduceren, behalve als dit technisch noodzakelijk is om de Diensten te verlenen (bv. voor gegevensback-up met het oog op bedrijfscontinuïteit of noodhersteldoeleinden) of om te voldoen aan wettelijke regels voor het bewaren van gegevens, of zoals overeengekomen in de VGV.
6. De Gegevensverwerker zal een minimum aan fysieke en/of logische scheiding van de Persoonsgegevens van enige andere gegevens van de Gegevensverwerker of een derde handhaven of mogelijk maken.
7. De Gegevensverwerker garandeert dat hij zijn infrastructuur bewaakt en een reactiebeleid en procedures heeft ingevoerd die geschikt zijn voor de risico's die aan de Persoonsgegevens zijn verbonden.