Gegevensverwerkingsovereenkomst
Deze Gegevensverwerkingsovereenkomst, inclusief de bijlagen, (“DPA”) maakt deel uit van de Overeenkomst tussen ons en de Klant voor de aankoop van (online) communicatiediensten van ons om de overeenkomst tussen de Partijen met betrekking tot de verwerking van Persoonsgegevens van de Klant te weerspiegelen. In deze DPA verwijzen de termen “u”, “uw” of “Klant” naar u als onze Klant (onder voorbehoud van sectie 1.2 hieronder), en de termen “wij”, “ons” of “onze” verwijzen naar ons als de Leverancier (zoals hieronder gedefinieerd). Hoofdlettergebruikte termen die in deze DPA worden gebruikt maar niet hieronder worden gedefinieerd, worden gedefinieerd in onze Algemene Voorwaarden of andere Overeenkomst met ons die uw gebruik van de Diensten regelt.
1.1 Toepassing
Deze DPA regelt de verwerking van Klant Persoonsgegevens door ons als verwerker.
1.2 Klant Affiliates
De klant gaat deze DPA aan namens zichzelf en, voor zover vereist onder de Gegevensbeschermingswetten, in naam en namens zijn dochterondernemingen (zoals gedefinieerd in de Voorwaarden), indien en voor zover u dergelijke dochterondernemingen toegang geeft tot de Diensten en wij Persoonlijke Gegevens van de Klant verwerken waarvoor dergelijke dochterondernemingen kwalificeren als de verwerkingsverantwoordelijke (“Klantdochterondernemingen”). Voor de doeleinden van deze DPA alleen, en behalve waar anders aangegeven, zullen de termen “Klant” en “u” de Klant en Klantdochterondernemingen omvatten.
1.3 Voorwaarden
Deze DPA blijft van kracht zolang we Klantpersoonlijke Gegevens verwerken die onder deze DPA vallen, ongeacht de afloop of beëindiging van de Overeenkomst.
2. Definities
Accountgegevens
“Account Data” zijn alle Persoonsgegevens die door of voor jou aan ons worden verstrekt in verband met het aangaan en beheren van de Overeenkomst en van jouw account, inclusief maar niet beperkt tot contactinformatie, factuurgegevens en correspondentie over het aangaan en beheren van de Overeenkomst en de bijbehorende Diensten.
CCPA
"CCPA" betekent de California Consumer Privacy Act van 2018 en alle voorschriften die daaronder zijn uitgevaardigd, in elk geval, zoals van tijd tot tijd gewijzigd.
Klantgegevens
“Klantgegevens” betekent alle gegevens en andere informatie of inhoud die door u of voor u (of door een gebruiker van uw Klantenapplicatie) onder de Overeenkomst zijn ingediend en door de Diensten zijn verwerkt of opgeslagen.
Klanten Persoonlijke Gegevens
“Klant Persoonsgegevens” betekent Persoonsgegevens die zijn opgenomen in Klantgegevens die door ons als verwerker worden verwerkt, tenzij anders vermeld in deze DPA.
Gegevensbeschermingswetten
“Gegevensbeschermingswetten” betekent alle wetten en reguleringen van welke jurisdictie dan ook die van toepassing zijn op de vertrouwelijkheid, privacy, veiligheid of verwerking van Persoonsgegevens onder de Overeenkomst, inclusief, bijvoorbeeld en waar van toepassing, de GDPR of de CCPA.
EEA
“EEA” betekent, voor de doeleinden van deze DPA, de Europese Economische Ruimte en Zwitserland.
GDPR
“GDPR” betekent ofwel (i) de Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en de vrije beweging van dergelijke gegevens (Algemene Verordening Gegevensbescherming); ofwel (ii) uitsluitend met betrekking tot het Verenigd Koninkrijk, de Data Protection Act 2018.
Persoonlijke Gegevens
“Persoonlijke Gegevens” betekent alle informatie die betrekking heeft op een rechtstreeks of onrechtstreeks geïdentificeerde of identificeerbare natuurlijke persoon, hetzij op zichzelf, hetzij in combinatie met andere informatie.
Persoonlijke Gegevens Inbreuk
“Persoonlijke Gegevensinbreuk” betekent elke onopzettelijke, ongeautoriseerde of onrechtmatige vernietiging, verlies, wijziging, openbaarmaking van, of toegang tot Klant Persoonlijke Gegevens en elke andere vergelijkbare term onder toepasselijke gegevensbeschermingswetten, zoals “Beveiligingsinbreuk.”
Diensten
“Diensten” betekent alle producten en diensten die door ons of onze Affiliates worden geleverd die (a) door u zijn besteld onder een bestelling; of (b) door u worden gebruikt.
Provider
"Provider" betekent onze contracterende entiteit die een partij is bij deze DPA, zijnde de contracterende entiteit die in Sectie 15 van de Algemene Voorwaarden (Contracterende Entiteit) is vermeld, tenzij anders vermeld op uw Bestelformulier. U of de Provider kunnen ook afzonderlijk worden aangeduid als een "Partij" en samen als "Partijen" in deze DPA.
Standaardcontractbepalingen
Subverwerker
"Sub-processor" betekent een derde partij die Klant Persoonsgegevens verwerkt namens de Provider waar de Provider optreedt als een gegevensverwerker of sub-verwerker.
VK Standaard Contractuele Bepalingen
“UK Standard Contractual Clauses” betekent een of alle van de volgende: (i) internationale gegevensoverdrachtsovereenkomst die door de UK Information Commissioner is uitgegeven krachtens sectie 119A van de DPA 2018; (ii) de internationale gegevensoverdrachtsaanvulling op de standaardcontractuele clausules van de Europese Commissie voor internationale gegevensoverdrachten die door de UK Information Commissioner is uitgegeven krachtens sectie 119A van de DPA 2018; of (iii) dergelijke standaardcontractuele bepalingen die door de UK Information Commissioner of de Europese Commissie zijn uitgegeven en die deze van tijd tot tijd kunnen vervangen. Termen zoals “verwerking”, “gegevensbeheerder”, “gegevensverwerker”, “betrokkene”, enz. hebben de betekenis die aan hen is toegekend onder de GDPR. De definitie van “gegevensbeheerder” omvat “bedrijf”, “consument”, “beheerder” en “organisatie”; “gegevensverwerker” omvat “dienstverlener”, “verwerker” en “gegevensintermediair”; “betrokkene” omvat “consument” en “individu”; en “Persoonsgegevens” omvat “persoonlijke informatie”, in elk geval gedefinieerd onder de CCPA en andere toepasselijke wetten inzake gegevensbescherming. De termen “zakelijk doel”, “commercieel doel”, “verkopen” en “delen” hebben dezelfde betekenis als in de toepasselijke wetten inzake gegevensbescherming en in elk geval zullen hun verwante termen dienovereenkomstig worden onderzocht.
3. Verwerking van Klant Persoonlijke Gegevens
3.1 Doeleinden
We zullen Klant Persoonsgegevens alleen verwerken voor zover nodig (i) om de Diensten te leveren, inclusief het verzenden van communicatie, het waarborgen van de veiligheid van de diensten, het verstrekken van technische en leveringsrapporten, het bieden van ondersteuning en het ontwikkelen en implementeren van verbeteringen en updates in overeenstemming met uw gedocumenteerde instructies aan ons als verwerker zoals gespecificeerd in Sectie 3.2 van deze DPA, (ii) voor onze legitieme zakelijke doeleinden zoals gespecificeerd in Sectie 3.4 van deze DPA als gegevensbeheerder, en (iii) zoals anders vereist onder toepasselijke wetgeving.
3.2 Klantinstructies
De Overeenkomst en deze DPA vormen uw volledige instructies aan ons als gegevensverwerker op het moment van ondertekening van deze DPA. We zullen voldoen aan andere redelijk gedocumenteerde instructies, op voorwaarde dat die instructies consistent zijn met de voorwaarden van de Overeenkomst.
3.3 Details van Verwerking
Bijlage I, Deel B (Beschrijving van de overdracht) van Bijlage I bij deze DPA specificeert de aard en het doel van de verwerking door ons als verwerker of sub-verwerker, de verwerkingsactiviteiten, de duur van de verwerking, de typen Persoonsgegevens en de categorieën van betrokkenen.
3.4 Legitieme Bedrijfsdoeleinden
U erkent dat we Klant Persoonsgegevens verwerken als een onafhankelijke gegevensbeheerder voor zover dat noodzakelijk is voor de volgende legitieme zakelijke doeleinden: facturering, accountbeheer, financiële en interne rapportage, bestrijding en preventie van beveiligingsbedreigingen, cyberaanvallen en cybercriminaliteit die u, ons of onze diensten kunnen beïnvloeden, bedrijfsmodellering (bijv. prognoses, capaciteits- en inkomstenplanning, en productstrategie), fraude, spam en preventie en detectie van misbruik, verbetering van onze suite van producten en diensten, en om te voldoen aan onze wettelijke verplichtingen.
4. Klantverplichtingen
4.1 Rechtmatigheid
Waar u optreedt als een verwerkingsverantwoordelijke van Klant Persoonsgegevens, garandeert u dat alle verwerkingsactiviteiten rechtmatig zijn, een specifiek doel hebben, en dat alle vereiste kennisgevingen en toestemmingen of andere geschikte juridische grondslagen aanwezig zijn om een rechtmatige overdracht van de Klant Persoonsgegevens mogelijk te maken. Als u een gegevensverwerker bent (in welk geval wij als een Sub-verwerker zullen optreden), zult u ervoor zorgen dat de relevante verwerkingsverantwoordelijke garandeert dat de voorwaarden vermeld in deze Sectie 4.1 zijn nageleefd.
4.2 Naleving
U bent uitsluitend verantwoordelijk voor (a) ervoor te zorgen dat u voldoet aan de toepasselijke gegevensbeschermingswetten met betrekking tot uw gebruik van de Diensten en uw eigen verwerking van Klant Persoonsgegevens, (b) het onafhankelijk beoordelen of de technische en organisatorische maatregelen van de Diensten aan uw vereisten voldoen, en (c) het implementeren en onderhouden van privacy- en beveiligingsmaatregelen voor componenten die u aanbiedt of controleert (inclusief maar niet beperkt tot wachtwoorden, apparaten die met de Diensten worden gebruikt en Klantapplicaties).
5. Beveiliging
5.1 Beveiligingsmaatregelen
Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, reikwijdte, context en doeleinden van verwerking, evenals het risico van variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen we passende technische en organisatorische beveiligingsmaatregelen implementeren en handhaven om de persoonlijke gegevens van klanten te beschermen tegen inbreuken op persoonlijke gegevens en om de veiligheid, integriteit, beschikbaarheid, veerkracht en vertrouwelijkheid van de klantgegevens die onze systemen gebruiken voor de verwerking van persoonlijke gegevens van klanten te waarborgen. De beveiligingsmaatregelen die door ons worden toegepast, zijn beschreven in Bijlage II.
5.2 Updates naar Beveiligingsmaatregelen
U bent verantwoordelijk voor het beoordelen van de door ons beschikbaar gestelde informatie met betrekking tot de beveiliging van Klant-Persoonsgegevens en het maken van een onafhankelijke beoordeling of dergelijke informatie voldoet aan uw eisen en wettelijke verplichtingen onder de Gegevensbeschermingswetten. U erkent dat de beveiligingsmaatregelen onderhevig zijn aan technische vooruitgang en ontwikkeling, en dat we onze beveiligingsmaatregelen van tijd tot tijd kunnen bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen niet leiden tot een verslechtering van de algehele beveiliging van de Klant-Persoonsgegevens.
5.3 Toegangscontroles
Wij passen de principes van "need to know" en "least privilege" toe, waarbij de toegang tot Klant Persoonsgegevens is beperkt tot die Personeelsleden die nodig zijn voor de levering van de Diensten en in overeenstemming met de Overeenkomst, inclusief deze DPA.
5.4 Vertrouwelijkheid van Verwerking
Wij zullen ervoor zorgen dat elke persoon of partij die door ons is gemachtigd om Klant Persoonsgegevens te verwerken (inclusief ons personeel, agents en Sub-verwerkers) op de hoogte is van de vertrouwelijke aard van dergelijke Klant Persoonsgegevens en onder een passende verplichting van geheimhouding zal staan (of het nu een contractuele of wettelijke verplichting is) die de beëindiging van hun betrokkenheid overleeft.
5.5 Reactie op en melding van een inbreuk op persoonsgegevens
Bij het bewust worden van een inbreuk op persoonsgegevens, zullen we zonder onredelijke vertraging (i) u op de hoogte stellen, (ii) de inbreuk op persoonsgegevens onderzoeken, (iii) tijdige informatie verstrekken met betrekking tot de inbreuk op persoonsgegevens zodra deze bekend is of zoals redelijkerwijs door u is aangevraagd, en (iv) commercieel redelijke stappen ondernemen om de effecten te verlichten en herhaling van de inbreuk op persoonsgegevens te voorkomen.
6. Hulp
6.1 Hulp bij Gegevensbescherming
Wij zullen u redelijke gevraagde assistentie bieden om u in staat te stellen te voldoen aan uw verplichtingen onder de Wet bescherming persoonsgegevens, waaronder het melden van een inbreuk op persoonlijke gegevens, het beoordelen van het juiste beveiligingsniveau van verwerking en het helpen bij het uitvoeren van een relevante gegevensbeschermingseffectbeoordeling.
6.2 Assistentie bij de rechten van betrokkenen
Wij zullen u redelijke ondersteuning bieden om u in staat te stellen te voldoen aan uw verplichtingen ten aanzien van gegevenssubjecten die hun rechten onder de Gegevensbeschermingswetten uitoefenen, door technische en organisatorische maatregelen beschikbaar te stellen via uw account. Ter voorkoming van twijfel bent u als gegevensbeheerder verantwoordelijk voor de verwerking van verzoeken of klachten van gegevenssubjecten met betrekking tot de Klant Persoonsgegevens van een gegevenssubject.
7. Openbaarmaking en verzoeken om openbaarmaking
7.1 Beperkingen op openbaarmaking en toegang
We zullen geen toegang geven tot of Klant Persoonlijke Gegevens openbaar maken, behalve (i) zoals door u aangegeven, (ii) zoals uiteengezet in de Overeenkomst en deze DPA, of (iii) zoals vereist door de wet.
7.2 Openbaarmaking Verzoeken
We zullen u zo snel mogelijk op de hoogte stellen als we een verzoek van een overheids- of regelgevend orgaan ontvangen om Klantpersoonsgegevens openbaar te maken, tenzij een dergelijke kennisgeving bij wet is verboden. We zullen verzoeken om openbaarmaking afhandelen in overeenstemming met het beleid voor openbaarmaking verzoeken, dat hier op onze website beschikbaar is.
8. Sub-verwerkers
8.1 Lijst van Huidige Subverwerkers
8.2 Aanstelling van Sub-processors
Door middel van dit DPA biedt u ons een algemene schriftelijke autorisatie om Sub-verwerkers in te schakelen voor de verwerking van Klant Persoonsgegevens, onderworpen aan Sectie 8.3 van deze DPA en de volgende vereisten:
Wij zullen de toegang tot Klant Persoonsgegevens door Sub-verwerkers beperken tot wat strikt noodzakelijk is om de in de sub-verwerkerovereenkomst gespecificeerde diensten te leveren;
Wij zullen overeenkomen over gegevensbeschermingsverplichtingen met de Sub-verwerker die substantieel hetzelfde zijn als de verplichtingen onder deze DPA; en
Wij blijven aansprakelijk tegenover u onder deze DPA voor de uitvoering van de gegevensbeschermingsverplichtingen van de Sub-verwerker.
8.3 Kennisgeving van Wijzigingen in Subverwerkers en Recht om Bezwaar te Maken
Voordat we nieuwe Sub-processoren (“Sub-processor Wijziging”) vervangen of inschakelen, geven we je de optie om bezwaar te maken tegen de Sub-processor Wijziging. Je kunt bezwaar maken tegen een Sub-processor Wijziging op voorwaarde dat (i) het bezwaar schriftelijk wordt ingediend binnen tien (10) werkdagen na onze kennisgeving van de Sub-processor Wijziging en (ii) het bezwaar is gebaseerd op en duidelijk de redelijke gronden verklaart met betrekking tot de bescherming van Klant Persoonlijke Gegevens. Wanneer je bezwaar maakt tegen een voorgestelde Sub-processor Wijziging, zullen we in goed vertrouwen met je samenwerken om een commercieel redelijke wijziging in de dienstverlening aan te brengen die het gebruik van de relevante Sub-processor voorkomt. Als zo'n wijziging niet redelijk kan worden aangebracht binnen dertig (30) werkdagen na ontvangst van je bezwaarschrift, of als de wijziging commercieel onredelijk voor ons is, kan elke partij de relevante functionaliteiten van de Diensten beëindigen die niet kunnen worden geleverd zonder het gebruik van de relevante Sub-processor. Dit beëindigingsrecht is jouw enige en exclusieve rechtsmiddel als je bezwaar maakt tegen een Sub-processor Wijziging.
9. Grensoverschrijdende overdrachten van klant persoonlijke gegevens
9.1 Overdracht van Klant Persoonsgegevens
We kunnen Klant Persoonsgegevens overdragen op voorwaarde dat alle noodzakelijke waarborgen die door de Gegevensbeschermingswetten vereist zijn, aanwezig zijn. Dit kan een eerdere impactbeoordeling van de gegevensoverdracht omvatten, de toepassing, monitoring en evaluatie van aanvullende technische, organisatorische en juridische maatregelen, afdwingbare rechten van betrokkenen en dat effectieve juridische middelen voor betrokkenen beschikbaar zijn.
9.2 Standaardcontractsbepalingen voor subverwerkers
Tenzij een adequaatheidsbesluit of een ander overdrachtsmechanisme van toepassing is, zoals het EU-VS Data Privacy Framework, hebben wij Standard Contractual Clauses afgesloten en zullen wij deze handhaven met Sub-verwerkers (inclusief onze Affiliates) die zich buiten de EEA bevinden, met inachtneming van de voorwaarden uiteengezet in Sectie 9.1 van deze DPA.
9.3 Overdrachtsmechanismen voor overdrachten van klantpersoonsgegevens
Voor zover uw gebruik van de Diensten een grensoverschrijdend gegevensoverdrachtsmechanisme vereist om Klant Persoonsgegevens legaal te exporteren van een rechtsgebied (bijv. de EER, Californië, Singapore, Zwitserland of het Verenigd Koninkrijk) naar ons dat zich buiten dat rechtsgebied bevindt, is deze sectie van toepassing. Als, in de uitvoering van de Diensten, Klant Persoonsgegevens die onder de GDPR vallen of enige andere wet die betrekking heeft op de bescherming of privacy van individuen die van toepassing is op deze DPA, worden overgedragen aan een Provider-entiteit gelegen in landen die geen adequaat niveau van gegevensbescherming waarborgen in de zin van de Gegevensbeschermingswetten, zijn de hieronder opgesomde overdrachtsmechanismen van toepassing op dergelijke overdrachten en kunnen ze rechtstreeks worden afgedwongen door de partijen voor zover dergelijke overdrachten onder de Gegevensbeschermingswetten vallen.
9.3.1
De partijen komen overeen dat de Standaardcontractbepalingen van toepassing zijn op Klantpersoonlijke gegevens die via de Diensten vanuit de EEA of Zwitserland worden overgedragen, hetzij rechtstreeks, hetzij via doorverzending, aan een Provider-entiteit die zich in een land buiten de EEA of Zwitserland bevindt en dat niet door de Europese Commissie (of, in het geval van overdrachten vanuit Zwitserland, de bevoegde autoriteit voor Zwitserland) wordt erkend als het bieden van een adequaat niveau van bescherming voor persoonsgegevens.
9.3.1.1
Wanneer u optreedt als gegevensbeheerder en wij als gegevensverwerker fungeren, zijn de EU Controller-to-Processor (Module Twee) van de Standaardcontractbepalingen van toepassing op elke dergelijke overdracht van Klant Persoonsgegevens vanuit de EER. Wanneer u optreedt als gegevensverwerker en wij als subverwerker fungeren, zijn de Processor-to-Processor (Module Drie) van de Standaardcontractbepalingen van toepassing op elke dergelijke overdracht van Klant Persoonsgegevens vanuit de EER.
9.3.1.2
We zullen worden beschouwd als de gegevensimporteur en u zult worden beschouwd als de gegevensexporteur onder de Standaardcontractclausules. De ondertekening van deze DPA door elke partij zal worden behandeld als de ondertekening van de toepasselijke Standaardcontractclausules, die geacht worden in deze DPA te zijn opgenomen. Details die vereist zijn onder Bijlage 1 en Bijlage 2 van de Standaardcontractclausules zijn beschikbaar in Bijlage I en Bijlage II van deze DPA. In het geval van een conflict of inconsistentie tussen deze DPA en de Standaardcontractclausules, prevaleren de Standaardcontractclausules uitsluitend met betrekking tot een overdracht van Klant Persoonsgegevens vanuit de EEA.
9.3.1.3
Waar de Standaardcontractbepalingen de partijen vereisen om te kiezen tussen optionele clausules en om informatie in te voeren, hebben de partijen dat gedaan zoals hieronder uiteengezet:
i. De optionele clausule 7 “Dockingclausule” zal niet worden aangenomen.
ii. Voor clausule 9 “Gebruik van sub-verwerkers”, kiezen de partijen de volgende optie: “Optie 2 Algemene schriftelijke autorisatie: de gegevensimporteur heeft de algemene autorisatie van de verwerkingsverantwoordelijke voor de inschakeling van sub-verwerkers van een afgesproken lijst. De gegevensimporteur dient de verwerkingsverantwoordelijke specifiek schriftelijk in kennis te stellen van eventuele voorgenomen wijzigingen in die lijst door de toevoeging of vervanging van sub-verwerkers minstens 10 werkdagen van tevoren, zodat de verwerkingsverantwoordelijke voldoende tijd heeft om bezwaar te maken tegen dergelijke wijzigingen voordat de sub-verwerkers worden ingeschakeld. De gegevensimporteur moet de gegevensexporteur voorzien van de informatie die nodig is om de gegevensexporteur in staat te stellen zijn recht om bezwaar te maken uit te oefenen. De gegevensimporteur dient de gegevensexporteur op de hoogte te stellen van de inschakeling van de sub-verwerkers.”
iii. Voor clausule 11 (a) “Vergoeding”, nemen de partijen de optie niet aan.
iv. Voor clausule 17 “Toepasselijk recht”, kiezen de partijen de volgende optie: “Optie 1. Deze clausules zijn onderworpen aan het recht van een van de EU-lidstaten, mits dat recht rechten voor derden toestaat. De partijen komen overeen dat dit het recht van Nederland zal zijn.”
v. Voor clausule 18 (b) “Keuze van forum en rechtsgebied”: “De partijen komen overeen dat dit de rechtbanken van Nederland zullen zijn.”
9.3.2
De partijen komen overeen dat de UK Standard Contractual Clauses van toepassing zijn op Persoonsgegevens van de Klant die via de Diensten vanuit het Verenigd Koninkrijk worden overgedragen, hetzij rechtstreeks, hetzij via doorlevering, naar een Provider-entiteit die is gevestigd in een land buiten het Verenigd Koninkrijk dat niet wordt erkend door de bevoegde regelgevende autoriteit of overheidsinstantie van het Verenigd Koninkrijk als zijnde voorzien van een adequate bescherming voor persoonsgegevens.
9.3.2.1
Wij worden beschouwd als de gegevensimporteur en u wordt beschouwd als de gegevensexporteur onder de Britse Standaardcontractbepalingen. De ondertekening van deze DPA door elke partij zal worden beschouwd als ondertekening van de Britse Standaardcontractbepalingen, die als ingebracht zullen worden beschouwd in deze DPA. Details die vereist zijn onder de Britse Standaardcontractbepalingen zijn beschikbaar in Bijlage I en Bijlage II van deze DPA. In geval van enige conflicten of inconsistenties tussen deze DPA en de Britse Standaardcontractbepalingen, zullen de Britse Standaardcontractbepalingen uitsluitend met betrekking tot de overdracht van Klant Persoonsgegevens uit het Verenigd Koninkrijk prevaleren.
10. Audit
10.1 Auditrapport
Ons communicatieplatform zal regelmatig worden gecontroleerd op de ISO 27001-norm (of een gelijkwaardige). De audit kan, naar ons enige discretionaire oordeel, een interne audit zijn, of een audit uitgevoerd door een derde partij. Op schriftelijk verzoek zullen we u een samenvatting van het auditrapport (“Audit Rapport”) geven, zodat u onze naleving van de auditeisen en deze DPA kunt verifiëren. Dergelijke Audit Rapporten, evenals enige conclusies of bevindingen die daarin zijn gespecificeerd, zijn onze Vertrouwelijke Informatie.
10.2 Klantinformatieverzoeken
Wij zullen u alle informatie redelijkerwijs ter beschikking stellen die nodig is om aan te tonen dat wij voldoen aan de verplichtingen die zijn vastgesteld in deze DPA. Wij zullen schriftelijke antwoorden geven op redelijke verzoeken om informatie die door u zijn gedaan, inclusief antwoorden op vragenlijsten over informatiebeveiliging en audits die redelijk van omvang zijn en nodig zijn om naleving van deze DPA te bevestigen, op voorwaarde dat u (i) eerst een redelijke inspanning heeft geleverd om de aangevraagde informatie te verkrijgen uit de Documentatie, Auditrapporten en andere informatie die door ons is verstrekt of openbaar is gemaakt, en (ii) dit recht niet meer dan één keer per jaar uitoefent, tenzij er een Inbreuk op Persoonsgegevens of significante wijziging in onze verwerkingsactiviteiten in verband met de Diensten vereist dat er een aanvullende vragenlijst wordt uitgevoerd. Alle gegeven antwoorden zijn onze Vertrouwelijke Informatie.
10.3 Klantaudit
Als een Auditrapport dat door ons aan u is verstrekt u gegronde redenen geeft om te geloven dat wij inbreuk maken op onze verplichtingen onder deze DPA, met betrekking tot de door u verstrekte Klant Persoonsgegevens, zullen wij een onafhankelijke en gekwalificeerde derde partij auditor die door u is aangesteld en door ons is goedgekeurd, toestaan om de relevante toepasselijke verwerking van Persoonsgegevens te auditen, op voorwaarde dat, voor zover toegestaan onder de toepasselijke wetgeving, aan de volgende vereisten wordt voldaan:
U geeft ons minstens zestig (60) dagen redelijke voorafgaande kennisgeving voordat u het recht op auditing uitoefent;
De auditor stemt in met de standaard vertrouwelijkheidsverplichtingen bij ons;
U en de auditor nemen maatregelen om verstoring van onze bedrijfsvoering te minimaliseren;
De audit zal plaatsvinden tijdens reguliere werktijden;
Wij zijn niet verplicht om toegang te verlenen tot klantgegevens van andere klanten of systemen die niet betrokken zijn bij de levering van de Diensten; en
U betaalt voor alle kosten van de audit.
11. Verwijdering en Terugkeer van Klant Persoonlijke Gegevens
Bij beëindiging of afloop van de Overeenkomst zullen wij (indien u dat wenst) alle Klant Persoonsgegevens (inclusief kopieën) in ons bezit of onder onze controle verwijderen of aan u retourneren, tenzij deze vereiste niet van toepassing is voor zover wij wettelijk verplicht zijn om sommige of alle Klant Persoonsgegevens te behouden. Als u ons instrueert om Klant Persoonsgegevens te verwijderen, zullen Klant Persoonsgegevens die zijn gearchiveerd op onze back-upsystemen worden beschermd tegen verdere verwerking en verwijderd worden wanneer de benodigde bewaartermijn is verstreken.
12. Communicatie en Rechten van Klantenaffiliates
Het aangaan van deze DPA namens en voor rekening van een Klantafiliaal zoals uiteengezet in Sectie 1.2 vormt een aparte DPA tussen ons en dat Klantafiliaal, onderhevig aan het volgende:
12.1. Communicatie
De Klant die de contracterende partij is van de Overeenkomst blijft verantwoordelijk voor het coördineren van alle communicatie met ons onder deze DPA en is bevoegd om namens zijn Klant affiliates alle communicatie met betrekking tot deze DPA te maken en te ontvangen.
12.2 Rechten van Klant Affiliates
Waar een Klant Affiliate een partij wordt bij de DPA met ons, is het voor zover vereist onder de Gegevensbeschermingswetten gerechtigd om de rechten uit te oefenen en rechtsmiddelen onder deze DPA te zoeken, met inachtneming van het volgende:
(i) Tenzij de Gegevensbeschermingswetten van de Klant Affiliate vereisen dat deze zelf een recht uitoefent of een rechtsmiddel onder deze DPA tegen ons zoekt, komen de partijen overeen dat (i) alleen de Klant die de contracterende partij is bij de Overeenkomst, een dergelijk recht zal uitoefenen of een dergelijk rechtsmiddel zal zoeken ten behoeve van de Klant Affiliate, en (ii) de Klant die de contracterende partij is bij de Overeenkomst zal eventuele rechten onder deze DPA niet afzonderlijk voor elke Klant Affiliate individueel uitoefenen, maar op een gecombineerde manier namens zichzelf en al zijn Klant Affiliates samen.
(ii) De partijen komen overeen dat de Klant die de contracterende partij is bij de Overeenkomst, wanneer er een on-site audit van de procedures die relevant zijn voor de bescherming van Klant Persoonlijke Gegevens wordt uitgevoerd namens hem zoals uiteengezet in Sectie 10.3 van deze DPA, alle redelijke maatregelen zal nemen om enige impact op ons te beperken door, voor zover redelijkerwijs mogelijk, verschillende auditverzoeken die namens hemzelf en al zijn Klant Affiliates worden uitgevoerd in één enkele audit te combineren.
Ter verduidelijking, een Klant Affiliate wordt geen contracterende partij bij de Overeenkomst.
13. California Consumer Privacy Act
Voor zover van toepassing, doen wij de volgende aanvullende toezeggingen aan u met betrekking tot de verwerking van Klant Persoonsgegevens binnen het kader van de CCPA.
13.1 Onze Verplichtingen Onder de Amerikaanse Gegevensbeschermingswetten
De termen “zakelijk doel,” “commerciële doeleinden,” “consument,” “verkopen,” en “delen” zoals gebruikt in deze Sectie 13.1 hebben de betekenissen die aan hen zijn gegeven in de CCPA. Voor zover van toepassing, zullen we voldoen aan de CCPA en alle Klant Persoonlijke Gegevens die onder de CCPA en andere toepasselijke Amerikaanse Gegevensbeschermingswetten (“Amerikaanse Persoonlijke Gegevens”) vallen, behandelen in overeenstemming met de bepalingen van de CCPA en andere Amerikaanse Gegevensbeschermingswetten. Met betrekking tot Amerikaanse Persoonlijke Gegevens zijn wij een dienstverlener onder de CCPA en een gegevensverwerker onder andere Amerikaanse Gegevensbeschermingswetten. Wij zullen Amerikaanse Persoonlijke Gegevens niet verkopen. Wij zullen geen Amerikaanse Persoonlijke Gegevens behouden, gebruiken of openbaar maken (i) voor enig doel anders dan de zakelijke doeleinden die in de Overeenkomst zijn gespecificeerd (inclusief het behouden, gebruiken of openbaar maken van Amerikaanse Persoonlijke Gegevens voor een commercieel doel anders dan het zakelijke doel dat in de Overeenkomst is gespecificeerd of zoals anders toegestaan door de CCPA of toepasselijke wetten); of (ii) buiten de directe zakelijke relatie tussen jou en ons.
13.2 Klantverplichtingen
Je vertegenwoordigt en garandeert dat je de Eindgebruiker op de hoogte hebt gesteld dat de Persoonsgegevens worden gebruikt of gedeeld in overeenstemming met de toepasselijke gegevensbeschermingswetten. Je bent verantwoordelijk voor de naleving van de vereisten van de gegevensbeschermingswetten voor zover deze op jou van toepassing zijn als gegevensbeheerder.
14. Toepasselijk Recht en Geschillenbeslechting
Elke geschil, vordering of controverse (“Geschillen”) die voortvloeit uit of verband houdt met deze DPA, zal worden beheerst door en geïnterpreteerd in overeenstemming met de wetten van Nederland. Elke Partij stemt ermee in dat de bevoegde rechtbanken van Amsterdam exclusieve jurisdictie hebben om eventuele Geschillen die voortvloeien uit of verband houden met deze DPA te beslechten.
13.1 Onze Verplichtingen Onder de Amerikaanse Gegevensbeschermingswetten
De termen “zakelijk doel,” “commerciële doeleinden,” “consument,” “verkopen,” en “delen” zoals gebruikt in deze Sectie 13.1 hebben de betekenissen die aan hen zijn gegeven in de CCPA. Voor zover van toepassing, zullen we voldoen aan de CCPA en alle Klant Persoonlijke Gegevens die onder de CCPA en andere toepasselijke Amerikaanse Gegevensbeschermingswetten (“Amerikaanse Persoonlijke Gegevens”) vallen, behandelen in overeenstemming met de bepalingen van de CCPA en andere Amerikaanse Gegevensbeschermingswetten. Met betrekking tot Amerikaanse Persoonlijke Gegevens zijn wij een dienstverlener onder de CCPA en een gegevensverwerker onder andere Amerikaanse Gegevensbeschermingswetten. Wij zullen Amerikaanse Persoonlijke Gegevens niet verkopen. Wij zullen geen Amerikaanse Persoonlijke Gegevens behouden, gebruiken of openbaar maken (i) voor enig doel anders dan de zakelijke doeleinden die in de Overeenkomst zijn gespecificeerd (inclusief het behouden, gebruiken of openbaar maken van Amerikaanse Persoonlijke Gegevens voor een commercieel doel anders dan het zakelijke doel dat in de Overeenkomst is gespecificeerd of zoals anders toegestaan door de CCPA of toepasselijke wetten); of (ii) buiten de directe zakelijke relatie tussen jou en ons.
BIJLAGE I - DETAILS VAN DE VERWERKING
Waar van toepassing zal deze Bijlage I dienen als Annex I voor de EEA Standaardcontractbepalingen.
Bijlage I, Deel A. Lijst van Partijen
De termen “zakelijk doel,” “commerciële doeleinden,” “consument,” “verkopen,” en “delen” zoals gebruikt in deze Sectie 13.1 hebben de betekenissen die aan hen zijn gegeven in de CCPA. Voor zover van toepassing, zullen we voldoen aan de CCPA en alle Klant Persoonlijke Gegevens die onder de CCPA en andere toepasselijke Amerikaanse Gegevensbeschermingswetten (“Amerikaanse Persoonlijke Gegevens”) vallen, behandelen in overeenstemming met de bepalingen van de CCPA en andere Amerikaanse Gegevensbeschermingswetten. Met betrekking tot Amerikaanse Persoonlijke Gegevens zijn wij een dienstverlener onder de CCPA en een gegevensverwerker onder andere Amerikaanse Gegevensbeschermingswetten. Wij zullen Amerikaanse Persoonlijke Gegevens niet verkopen. Wij zullen geen Amerikaanse Persoonlijke Gegevens behouden, gebruiken of openbaar maken (i) voor enig doel anders dan de zakelijke doeleinden die in de Overeenkomst zijn gespecificeerd (inclusief het behouden, gebruiken of openbaar maken van Amerikaanse Persoonlijke Gegevens voor een commercieel doel anders dan het zakelijke doel dat in de Overeenkomst is gespecificeerd of zoals anders toegestaan door de CCPA of toepasselijke wetten); of (ii) buiten de directe zakelijke relatie tussen jou en ons.
Gegevensexporteur
Klant
Contactgegevens van de data-exporteur
Het adres dat is vermeld in het account van de Klant, of het e-mailadres van de eigenaar van het account van de Klant, of naar het e-mailadres/de e-mailadressen waarvoor de Klant kiest om kennisgevingen te ontvangen onder de Overeenkomst.
Gegevensexporteur rol
De rol van de gegevensexporteur is uiteengezet in Sectie 4 van de DPA.
Handtekening en datum
Indien en wanneer van toepassing, wordt de gegevensexporteur geacht de Standaard Contractuele Clausules die hierin zijn opgenomen te hebben ondertekend vanaf de ingangsdatum van de DPA.
Gegevensimporteur
Provider
Contactgegevens van de gegevensimporteur
Functionaris voor Gegevensbescherming - privacy@bird.com
Gegevensimporteur rol
De gegevensimporteur fungeert als gegevensverwerker.
Handtekening en datum
Indien en wanneer van toepassing, wordt de gegevensimporteur geacht de Standaard Contractuele Clausules die hierin zijn opgenomen te hebben ondertekend vanaf de Ingangsdatum van de DPA.
Bijlage I, Deel B. Beschrijving van overdracht
1. Categorieën van gegevenssubjecten wiens Persoonsgegevens worden overgedragen.
Gebruikers. Contactpersonen (natuurlijke personen) of werknemers, aannemers of tijdelijke medewerkers (huidige, potentiële, voormalige) van de Klant die de Diensten gebruiken (“Gebruikers”);
Eindgebruikers. Elke persoon (i) wiens contactgegevens zijn opgenomen in de contactlijst(en) van de Klant; (ii) wiens informatie is opgeslagen of verzameld via de Diensten, of (ii) aan wie de Klant communicatie verzendt of op een andere manier betrokken raakt of communiceert via de Diensten (gezamenlijk, “Eindgebruikers”). U als de Klant bepaalt uitsluitend de categorieën van betrokkenen die zijn opgenomen in de communicatie die via ons communicatieplatform wordt verzonden.
2. Categorieën van Persoonlijke Gegevens die zijn overgedragen
Klant persoonlijke gegevens, communicatie-inhoud, verkeersgegevens, eindgebruikersgegevens en klantgebruikgegevens.
Communicatie-inhoud, die persoonlijke gegevens of andere gepersonaliseerde kenmerken kan bevatten, afhankelijk van de communicatie-inhoud zoals bepaald door u als de Klant.
Verkeersgegevens, die klant persoonlijke gegevens kunnen bevatten over de routing, duur of timing van een communicatie zoals een spraakoproep, SMS of e-mail, of het nu betrekking heeft op een individu of een bedrijf.
Eindgebruikersgegevens, zoals telefoonnummer, e-mailadres, voornaam, achternaam, profielnaam, land, kanaalidentifier.
Klantgebruikgegevens, kunnen gegevens bevatten die aan u als individu kunnen worden gekoppeld, opgenomen in statistische gegevens en informatie met betrekking tot uw account en service-activiteiten, service-gerelateerde inzichten en analytische rapporten met betrekking tot verzonden communicatie en klantenservice.
3. Gevoelige gegevens overgedragen
Gevoelige gegevens worden overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de daaraan verbonden risico's, zoals bijvoorbeeld strikte doelbeperkingen, toegangbeperkingen (inclusief toegang alleen voor personeel dat gespecialiseerde training heeft gevolgd), het bijhouden van een register van toegang tot de gegevens, beperkingen voor verdere overzendingen of extra beveiligingsmaatregelen.
Communicatie-inhoud. Gevoelige gegevens kunnen van tijd tot tijd worden verwerkt via de Diensten waar u of uw Eindgebruikers ervoor kiezen gevoelige gegevens op te nemen in de communicatie die wordt verzonden met behulp van de Diensten. U bent verantwoordelijk voor het verzekeren dat geschikte waarborgen zijn getroffen voordat u of uw Eindgebruikers gevoelige gegevens verzenden of verwerken via de Diensten, in overeenstemming met Sectie 3.2 van de Overeenkomst.
Verkeersgegevens, Eindgebruikersgegevens en klantgebruikgegevens. Geen gevoelige gegevens zijn opgenomen in verkeersgegevens, Eindgebruikersgegevens of klantgebruikgegevens.
4. De frequentie van de overdracht
De frequentie van de overdracht (bijv. of de gegevens eenmalig of continu worden overgedragen): Klantpersoonsgegevens worden gedurende de looptijd van de Overeenkomst continu overgedragen.
5. Aard van de verwerking
We zullen Klant Persoonsgegevens verwerken voor zover nodig om de Diensten onder de Overeenkomst te verlenen. We verkopen geen Persoonsgegevens, inclusief Klant Persoonsgegevens, en delen Persoonsgegevens niet met derden voor compensatie of voor de zakelijke belangen van die derden.
6. Doel(en) van de gegevensoverdracht en verdere verwerking
We zullen Klant Persoonsgegevens verwerken als een gegevensverwerker in overeenstemming met de instructies van de Klant zoals uiteengezet in deze DPA, tenzij verwerking noodzakelijk is voor de naleving van een wettelijke verplichting waaraan wij zijn onderworpen, in welk geval wij zullen kwalificeren als een gegevensbeheerder.
Communicatie-inhoud, verkeersgegevens, Eindgebruiker gegevens, en klantgebruik gegevens. Persoonsgegevens die zijn vervat in communicatie-inhoud, verkeersgegevens, Eindgebruiker gegevens, en klantgebruik gegevens zullen onderhevig zijn aan de volgende basisverwerkingsactiviteiten:
Communicatie-inhoud. De levering van programmeerbare communicatiediensten en -producten, aangeboden in de vorm van applicatieprogrammeerinterfaces (API's) of via het Dashboard, aan de Klant, inclusief verzending naar of van de softwaretoepassing van de Klant van of naar ons communicatieplatform, en andere communicatienetwerken.
Verkeersgegevens. Verkeersgegevens worden verwerkt voor het doel van het verzenden van communicatie op een elektronisch communicatienetwerk of voor de facturering in verband met die communicatie. Dit kan Klant Persoonsgegevens omvatten over de routering, duur of timing van een communicatie zoals spraakoproep, SMS of e-mail, ongeacht of het betrekking heeft op een individu of een bedrijf.
Eindgebruiker gegevens. Persoonsgegevens van Eindgebruikers zijn vereist om de Diensten uit te voeren en zullen alleen worden verwerkt voor de doeleinden van communicatieoverdracht, klantondersteuning en het waarborgen van de naleving van onze wettelijke verplichtingen.
Klantgebruik gegevens. Persoonsgegevens die zijn vervat in klantgebruik gegevens zullen onderhevig zijn aan de verwerkingsactiviteiten van het bieden van de Diensten onder de Overeenkomst, met als doel de Klant te voorzien van inzichten en analytische rapporten met betrekking tot de verzonden communicatie, klantondersteuning en voortdurende verbetering van de Diensten.
7. Bewaarperiode van Persoonsgegevens
De periode waarin de Persoonsgegevens worden bewaard, of, als dat niet mogelijk is, de criteria die gebruikt worden om die periode te bepalen: Communicatie-inhoud en verkeersgegevens. Voor de communicatie-inhoud en verkeersgegevens die zijn opgenomen in de SMS- en Voice Services geldt een bewaartermijn van zes maanden; Voor Video Services worden communicatie-inhoud en verkeersgegevens gedurende ten minste 30 dagen bewaard, tot de duur die met u is overeengekomen; Voor e-mailservices worden communicatie-inhoud en verkeersgegevens 72 uur bewaard; Voor alle andere services worden communicatie-inhoud en verkeersgegevens bewaard zolang als de Services duren, behalve als u communicatie-inhoud of verkeersgegevens verwijdert via de technische en organisatorische maatregelen die via de Services aan u zijn aangeboden. Eindgebruiker gegevens. Eindgebruiker gegevens worden verwerkt gedurende de periode die door de Klant is bepaald; wanneer Eindgebruiker gegevens zijn opgenomen in uw contactenprofielen is de standaard bewaartermijn gedurende de duur van de Services, onder voorbehoud van Sectie 6(c) van deze Bijlage I, Deel B. Klantgebruik gegevens. Bij beëindiging van de Overeenkomst kunnen we Klantgebruik gegevens bewaren, gebruiken en openbaarmaken voor de doeleinden omschreven in Sectie 6(d) van deze Bijlage I, Deel B, onder voorbehoud van de geheimhoudingsverplichtingen zoals beschreven in de Overeenkomst. We zullen klantgebruik gegevens anonimiseren of verwijderen wanneer we deze niet langer nodig hebben voor de doeleinden zoals omschreven in Sectie 6(d) van deze Bijlage I, Deel B.
7. Bewaring van Persoonsgegevens
De periode waarvoor de Persoonsgegevens worden bewaard, of, als dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen:
Communicatie-inhoud en verkeersgegevens;
Voor communicatied inhoud en verkeersgegevens die zijn opgenomen in de SMS- en Voice-diensten geldt een bewaartermijn van zes maanden;
Voor Video-diensten worden communicatied inhoud en verkeersgegevens minimaal 30 dagen bewaard, tot de duur die met u is overeengekomen;
Voor E-maildiensten worden communicatied inhoud en verkeersgegevens 72 uur bewaard;
Voor alle andere diensten worden communicatied inhoud en verkeersgegevens bewaard voor de duur van de Diensten, tenzij u communicatie-inhoud of verkeersgegevens verwijdert via de technische en organisatorische maatregelen die aan u zijn geleverd via de Diensten.
Gegevens van de Eindgebruiker worden verwerkt voor de duur die door de Klant is bepaald; wanneer Eindgebruiker gegevens zijn opgenomen in uw contactprofielen is de standaard bewaartermijn voor de duur van de Diensten, onder voorbehoud van Sectie 6(c) van deze Bijlage I, Deel B.
Klantgebruikgegevens: Bij beëindiging van de Overeenkomst mogen we Klantgebruikgegevens behouden, gebruiken en bekendmaken voor de doeleinden zoals uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B, onder voorbehoud van de vertrouwelijkheidsverplichtingen zoals uiteengezet in de Overeenkomst. We zullen klantgebruikgegevens anonimiseren of verwijderen wanneer we deze niet langer nodig hebben voor de doeleinden zoals uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B.
8. Voor overdrachten naar (Sub-)verwerkers
Voor overdrachten naar (Sub-)verwerkers, geef ook het onderwerp, de aard en de duur van de verwerking aan: Voor overdrachten naar Sub-verwerkers, zijn het onderwerp en de aard van de verwerking uiteengezet in ons overzicht van Sub-verwerkers en de duur is voor de duur van de Overeenkomst.
Bijlage I, Deel C. Bevoegde Toezichthoudende Autoriteit
De Nederlandse Autoriteit Persoonsgegevens zal de bevoegde toezichthoudende autoriteit zijn.
BIJLAGE II - Technische en Organisatorische Beveiligingsmaatregelen
Waar van toepassing zal deze Appendix II dienen als Bijlage II bij de Standaard Contractuele Clausules. Hieronder staat meer informatie over onze technische en organisatorische beveiligingsmaatregelen.
Technische en Organisatorische Beveiligingsmaatregelen
Maatregelen voor pseudonimisering en bescherming van Persoonsgegevens tijdens opslag en transport:
Alle persoonlijke gegevens worden versleuteld tijdens transport en in rust, en, voor zover relevant vanuit beveiligingsoogpunt, behandeld alsof ze als gevoelige gegevens zijn geclassificeerd. Informatie wordt altijd standaard verzonden via TLS met up-to-date versleutelingsmethoden.
Maatregelen voor het waarborgen van voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten:
We sluiten overeenkomsten met vertrouwelijkheidsbepalingen met onze werknemers, aannemers, leveranciers en Sub-proces partijen. Ons beleid voor bedrijfscontinuïteit is om onze bedrijfsprocessen en diensten voor te bereiden op het geval van langdurige onderbrekingen veroorzaakt door factoren buiten onze controle en om diensten zo snel mogelijk in de breedst mogelijke mate te herstellen. We begrijpen dat de diensten die we leveren van cruciaal belang zijn voor onze klanten en hebben daarom zeer weinig tolerantie voor onderbrekingen van de service. Onze hersteltermijnen zijn ontworpen om ervoor te zorgen dat we aan onze verplichtingen aan al onze klanten kunnen voldoen.
Processen voor regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen:
Het doel van informatiebeveiliging en ons Informatiebeveiligingsbeheer systeem (ISMS) is om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie voor de organisatie, medewerkers, partners, klanten en de (geautoriseerde) informatiesystemen te beschermen, en om het risico op schade te minimaliseren door beveiligingsincidenten te voorkomen en beveiligingsrisico's en kwetsbaarheden te beheersen. Ons juridische team, de functionaris voor gegevensbescherming en het beveiligingsteam zorgen ervoor dat toepasselijke regelgeving en normen zijn meegenomen in onze beveiligingskaders.
Maatregelen voor gebruikersidentificatie en autorisatie:
We volgen de principes van “need to know” en “least privilege”. We bevorderen het gebruik van rolgebaseerde toegangscontrole. Provisioning en deprovisioning worden toezicht gehouden door het beveiligingsteam, met Single-Sign-On en 2FA als standaard. Eigenaars zijn gedefinieerd voor elk informatiebezit die verantwoordelijk zijn voor het waarborgen dat de toegang tot hun systemen passend is en regelmatig wordt beoordeeld. Bij het omgaan met gevoelige informatie of het nemen van kritische acties, gebruiken we het vierogen-principe.
Maatregelen voor het waarborgen van de gebeurtenislogging:
Auditlogs worden centraal opgeslagen en regelmatig gemonitord voor beveiligingsevents en worden veilig gehouden om het risico op manipulatie te vermijden. Het Incidentmanagementbeleid handhaaft het incidentresponsplan en de bijbehorende procedures. Deze richtlijnen worden opgevolgd als er een type beveiligings- of technisch incident voorkomt.
Maatregelen voor het waarborgen van de systeemconfiguratie, inclusief de standaardconfiguratie:
We volgen een consistent wijzigingsbeheerproces voor alle wijzigingen in de productieomgeving van het Communicatieplatform als een dienst. Om verder te elaboreren, moeten alle verzoeken om wijzigingen (RFC) worden goedgekeurd door een aangewezen partij en worden uitgevoerd volgens het formele wijzigingsbeheersproces. Het beheersproces zorgt ervoor dat voorgestelde wijzigingen worden beoordeeld, goedgekeurd, getest, geïmplementeerd en op een gecontroleerde manier vrijgegeven; en dat de status van elke voorgestelde wijziging wordt bewaakt. Configuratie-baselines worden gevolgd om de systemen veilig te configureren volgens de beste praktijken. Ook wordt binnen de Engineering-afdeling een tech radar gebruikt om te definiëren welke technologieën (talen, platformtools, databases en gegevensbeheertools) tijdens de ontwikkeling kunnen worden aangenomen of moeten worden vermeden.
Maatregelen voor fysieke beveiliging
We bevorderen actief een "Work from Anywhere"-beleid, zodat onze medewerkers vrij zijn om vanuit elke plek te werken die ze willen. We hebben echter nog steeds onze kantoorpanden. We hebben geen beveiligde gebieden/datacenters op onze locatie, aangezien we een volledig cloud-gebaseerd bedrijf zijn. Onze kantoorverdiepingen zijn beschermd door fysieke toegangscontroles, CCTV en bemande beveiliging.
Maatregelen voor interne IT- en IT-beveiligingsgovernance en -management:
Wij onderhouden een risico-gebaseerd beveiligingsprogramma voor beoordeling, dat administratieve, organisatorische, technische en fysieke beveiligingen omvat die zijn ontworpen om de Diensten en de vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens te beschermen. Ons informatiebeveiligingsprogramma is op een systematische en goed georganiseerde manier opgezet. Bovendien zijn er juridische en regelgevende vereisten van toepassing om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie voor de organisatie, medewerkers, partners en klanten te waarborgen. Al deze aspecten zijn vertaald in ons informatiebeveiligingsbeleid, procedures en richtlijnen. We hebben een Beveiligingsstuurgroep die verantwoordelijk is voor het tactische niveau van informatiebeveiliging. Dit houdt de coördinatie van informatiebeveiligingsactiviteiten en de vertaling van strategische activiteiten naar operationele activiteiten voor onze beveiliging in, en onze voortdurende onderhoud van naleving van regelgeving. Alle medewerkers zijn verantwoordelijk voor het beschermen van de bedrijfsmiddelen. Al onze medewerkers worden gecontroleerd op expertise, ervaring en integriteit. Medewerkers worden geïnformeerd over beveiliging en gegevensbescherming tijdens de onboardingfase, evenals via regelmatige teamspecifieke trainingen en andere bedrijfsbrede presentaties over het belang van gegevensbescherming en naleving van beveiliging. Wij zijn ISO 27001-gecertificeerd, de wereldwijd erkende normen voor informatiebeveiliging voor Informatiebeveiligingsbeheersystemen (ISMS).
Al onze hostingproviders zijn ISO 27001-gecertificeerd.
Wij zijn ook geregistreerd bij de Nederlandse Autoriteit Consument en Markt. Dit betekent dat we altijd verantwoordelijk zijn en volledig transparant naar onze klanten.
Wij zijn een Geassocieerd Lid van de Groupe Speciale Mobile Association (GSMA). De GSMA vertegenwoordigt de belangen van mobiele exploitanten over de hele wereld.
Wij zijn altijd op de hoogte van alle toepasselijke wetten en regelgeving, inclusief de Algemene Verordening Gegevensbescherming en het EU-VS Gegevensbeschermingskader.
Maatregelen voor certificeringen/garanties van processen en producten:
We ondergaan rigoureuze surveillance evenals certificering audits als onderdeel van onze ISO/IEC 27001 compliantie en voeren regelmatig applicatiekwetsbaarheid en penetratietests uit.
Maatregelen voor het waarborgen van verantwoordingsplicht:
Wij implementeren informatiebeveiliging en gegevensbeschermingsbeleid in overeenstemming met de toepasselijke wetten en publiceren een overzicht van onze ISMS relevante informatie (link). We hebben een toegewijde Directeur Beveiliging, Informatiebeveiligingsfunctionaris, Compliance Officer en Functionaris Gegevensbescherming aangesteld en onderhouden documentatie van onze verwerkingsactiviteiten, waaronder het registreren en rapporteren van beveiligingsincidenten met betrekking tot Persoonsgegevens waar van toepassing.
Maatregelen voor het waarborgen van gegevenswissen:
Wij zorgen voor gegevenswissing via een geautomatiseerd verwijderingsproces binnen onze communicatie- en infrastructuuromgeving. Dit gegevensverwijderingsproces zorgt ervoor dat alle gegevens die niet langer nodig zijn om een specifiek doel te vervullen, uit onze systemen worden verwijderd na verwerking.