Gegevensverwerkingsovereenkomst
Laatst bijgewerkt: 21 november 2024
Deze Gegevensverwerkingsovereenkomst is van toepassing op u voor alle Diensten waarvoor u zich aanmeldt (inclusief via een van onze Affiliates):
Vanaf de dag dat u zich aanmeldt voor onze Diensten, indien op of na 21 november 2024.
Vanaf 22 december 2024, indien u zich heeft aangemeld voor onze Diensten vóór 21 november 2024.
Onze gearchiveerde Gegevensverwerkingsovereenkomst is beschikbaar hier.
Deze Gegevensverwerkingsovereenkomst, inclusief de appendices, (“DPA”) maakt deel uit van de Overeenkomst tussen ons en de Klant voor de aankoop van (online) communicatiediensten van ons om de overeenkomst van de Partijen met betrekking tot de verwerking van Klantpersoonsgegevens weer te geven. In deze DPA verwijzen de termen "u", "uw", of "Klant" naar u als onze Klant (onderhevig aan Sectie 1.2 hieronder), en de termen "wij", "ons" of "onze" verwijzen naar ons als de Aanbieder (zoals hieronder gedefinieerd). Begrippen met een hoofdletter die in deze DPA worden gebruikt maar niet hieronder zijn gedefinieerd, zijn gedefinieerd in onze Algemene Voorwaarden of andere Overeenkomst met ons die uw gebruik van de Diensten regelt.
De partijen komen overeen dat deze DPA elke bestaande gegevensbeschermingsbijlage of soortgelijke overeenkomst die de partijen mogelijk eerder zijn aangegaan in verband met de Diensten, zal vervangen.
1. Reikwijdte, Klant Affiliaties en Looptijd
1.1 Reikwijdte. Deze DPA regelt de verwerking van Klant Persoonsgegevens door ons als verwerker.
1.2 Klant Affiliates. Klant treedt deze DPA aan in eigen naam en, voor zover vereist onder de Wet bescherming persoonsgegevens, namens en voor de rekening van zijn Affiliates (zoals gedefinieerd in de Voorwaarden), indien en voor zover u dergelijke Affiliates toegang geeft tot de Diensten en wij Klant Persoonsgegevens verwerken waarvoor dergelijke Affiliates kwalificeren als de gegevensbeheerder (“Klant Affiliates”). Voor de doeleinden van deze DPA alleen, en behalve waar anders aangegeven, omvatten de termen “Klant” en “u” Klant en Klant Affiliates.
1.3 Term. Deze DPA blijft van kracht zolang wij Klant Persoonsgegevens verwerken die aan deze DPA onderworpen zijn, ongeacht het verstrijken of de beëindiging van de Overeenkomst.
2. Definities
“Account Data” is elke Persoonsgegevens die door of voor u aan ons zijn verstrekt in verband met het aangaan en beheren van de Overeenkomst en uw account, inclusief maar niet beperkt tot contactinformatie, factureringsgegevens en correspondentie over het aangaan en beheren van de Overeenkomst en de gerelateerde Diensten.
“CCPA” betekent de California Consumer Privacy Act van 2018 en alle daaronder uitgevaardigde regelgeving, in elk geval, zoals van tijd tot tijd gewijzigd.
“Customer Data” betekent alle gegevens en andere informatie of inhoud die door u of voor u (of door een gebruiker van uw Customer Application) onder de Overeenkomst zijn ingediend en door de Diensten worden verwerkt of opgeslagen.
“Customer Personal Data” betekent Persoonsgegevens opgenomen in Customer Data die door ons worden verwerkt als verwerker, tenzij anders vermeld in deze DPA.
“Data Protection Laws” betekent alle wetten en regelgevingen van enig rechtsgebied die van toepassing zijn op de vertrouwelijkheid, privacy, beveiliging of verwerking van Persoonsgegevens onder de Overeenkomst, inclusief bijvoorbeeld en indien van toepassing, de GDPR of de CCPA.
“EEA” betekent, voor de doeleinden van deze DPA, de Europese Economische Ruimte en Zwitserland.
“GDPR” betekent ofwel (i) de Verordening 2016/679 van het Europees Parlement en de Raad inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van Persoonsgegevens en het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming); of (ii) uitsluitend met betrekking tot het Verenigd Koninkrijk, de Data Protection Act 2018.
“Personal Data” betekent alle informatie met betrekking tot een direct of indirect geïdentificeerde of identificeerbare natuurlijke persoon, hetzij op zichzelf of in combinatie met andere informatie.
“Personal Data Breach” betekent elke onopzettelijke, ongeautoriseerde of onwettige vernietiging, verlies, wijziging, openbaarmaking van, of toegang tot Customer Personal Data en elke andere vergelijkbare term onder toepasselijke Data Protection Laws zoals “Security Breach”.
“Services” betekent alle producten en diensten die door ons of onze Affiliates worden geleverd die (a) door u worden besteld onder een Order Form; of (b) door u worden gebruikt.
“Provider” betekent onze contracterende entiteit die deel uitmaakt van deze DPA, zijnde de contracterende entiteit vermeld in Section 15 in de General Terms and Conditions (Contracting Entity), tenzij anders vermeld op uw Order Form. U of Provider kan individueel ook worden aangeduid als een “Party” en gezamenlijk als “Parties” in deze DPA.
“Standard Contractual Clauses” betekent Controller to Processor (Module Two) of Processor to Processor (Module Three), indien van toepassing, van de Standard Contractual Clauses voor de overdracht van Persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad goedgekeurd door Implementing Decision van de Europese Commissie (EU) 2021/914 van 4 juni 2021, zoals momenteel vermeld op https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
“Sub-processor” betekent een derde partij entiteit die Customer Personal Data verwerkt namens de Provider waar de Provider optreedt als een data processor of een sub-processor.
“UK Standard Contractual Clauses” betekent een of alle van de volgende: (i) internationale gegevensoverdrachtsovereenkomst uitgegeven door de UK Information Commissioner onder sectie 119A van de DPA 2018; (ii) de internationale gegevensoverdrachtsbijlage bij de standaard contractuele clausules van de Europese Commissie voor internationale gegevensoverdrachten uitgegeven door de UK Information Commissioner onder sectie 119A van de DPA 2018; of (iii) dergelijke standaard contractuele bepalingen uitgegeven door de UK Information Commissioner of Europese Commissie zoals deze van tijd tot tijd kunnen worden vervangen.
Termen zoals “processing”, “data controller”, “data processor”, “data subject”, enz. zullen de betekenis hebben die aan hen is toegewezen onder de GDPR. De definitie van “data controller” omvat “business”, “consumer”, “controller”, en “organisation”; "data processor" omvat “service provider”, “processor”, en “data intermediary”; “data subject” omvat “consumer”, en “individual”; en “Personal Data” omvat “personal information”, in elk geval zoals gedefinieerd onder de CCPA, en andere toepasselijke Data Protection Laws. De termen “business purpose”, “commercial purpose”, “sell”, en “share” zullen dezelfde betekenis hebben als in de toepasselijke Data Protection Laws en hun cognate termen zullen dienovereenkomstig worden uitgelegd.
3. Verwerking van Klantpersoonsgegevens
3.1 Doeleinden. We zullen Klant Persoonsgegevens alleen verwerken voor zover dat nodig is (i) om de Diensten te leveren, inclusief de overdracht van communicatie, het waarborgen van de beveiliging van de diensten, het verstrekken van technische en leveringsrapporten, het bieden van ondersteuning en het ontwikkelen en implementeren van verbeteringen en updates in overeenstemming met uw gedocumenteerde instructies aan ons als gegevensverwerker zoals gespecificeerd in Sectie 3.2 van deze DPA, (ii) voor onze legitieme zakelijke doeleinden zoals gespecificeerd in Sectie 3.4 van deze DPA als gegevensbeheerder, en (iii) zoals anderszins vereist onder de toepasselijke wet.
3.2 Klantinstructies. De Overeenkomst en deze DPA vormen uw volledige instructies aan ons als gegevensverwerker op het moment van ondertekening van deze DPA. We zullen ons houden aan andere redelijk gedocumenteerde instructies, op voorwaarde dat die instructies in overeenstemming zijn met de voorwaarden van de Overeenkomst.
3.3 Verwerkingsdetails. Bijlage I, Deel B (Beschrijving van de Overdracht) van Appendix I bij deze DPA specificeert de aard en het doel van de verwerking door ons als gegevensverwerker of Sub-verwerker, de verwerkingsactiviteiten, de duur van de verwerking, de soorten Persoonsgegevens en de categorieën van betrokkenen.
3.4 Legitieme Zakelijke Doeleinden. U erkent dat we Klant Persoonsgegevens verwerken als een onafhankelijke gegevensbeheerder voor zover nodig voor de volgende legitieme zakelijke doeleinden: facturering, accountbeheer, financiële en interne rapportage, bestrijden en voorkomen van beveiligingsbedreigingen, cyberaanvallen, en cybercriminaliteit die u, ons of onze diensten kunnen treffen, bedrijfsmodellering (bijv. voorspelling, capaciteit en inkomstenplanning, en productstrategie), fraude, spam en misbruikpreventie en -detectie, voortdurende verbetering van de producten en diensten die door u worden gebruikt, en om te voldoen aan onze wettelijke verplichtingen.
4. Verplichtingen van de Klant
4.1 Rechtmatigheid. Waar u optreedt als een gegevensbeheerder van Klantpersoonsgegevens, garandeert u dat alle verwerkingsactiviteiten rechtmatig zijn, een specifiek doel hebben, en dat alle vereiste kennisgevingen en toestemmingen of andere passende wettelijke grondslagen aanwezig zijn om rechtmatige overdracht van de Klantpersoonsgegevens mogelijk te maken. Als u een gegevensverwerker bent (in dat geval zullen wij optreden als een Sub-verwerker), zult u ervoor zorgen dat de relevante gegevensbeheerder garandeert dat de voorwaarden vermeld in deze Sectie 4.1 worden nageleefd.
4.2 Naleving. U bent uitsluitend verantwoordelijk voor (a) ervoor zorgen dat u voldoet aan de Gegevensbeschermingswetten die van toepassing zijn op uw gebruik van de Diensten en op uw eigen verwerking van Klantpersoonsgegevens, (b) het zelfstandig beoordelen of de technische en organisatorische maatregelen van de Diensten aan uw vereisten voldoen, en (c) implementeren en onderhouden van gegevensbescherming en beveiligingsmaatregelen voor onderdelen die u levert of beheert (inclusief maar niet beperkt tot wachtwoorden, apparaten die met de Diensten en Klanttoepassingen worden gebruikt).
5. Beveiliging
5.1 Security Measures. Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking, en ook het risico met wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen wij passende technische en organisatorische beveiligingsmaatregelen implementeren en handhaven om Klant Persoonsgegevens te beschermen tegen Persoonsgegevens Inbreuken en om de veiligheid, integriteit, beschikbaarheid, veerkracht en vertrouwelijkheid van de Klantgegevens die onze systemen gebruiken voor de verwerking van Klant Persoonsgegevens te behouden. De beveiligingsmaatregelen die door ons worden toegepast, zijn beschreven in Bijlage II.
5.2 Updates to Security Measures. U bent verantwoordelijk voor het beoordelen van de door ons verstrekte informatie met betrekking tot de beveiliging van Klant Persoonsgegevens en voor het maken van een onafhankelijke beoordeling of deze informatie aan uw eisen en wettelijke verplichtingen voldoet onder de Wet gegevensbescherming. U erkent dat de beveiligingsmaatregelen onderhevig zijn aan technische vooruitgang en ontwikkeling, en dat wij onze beveiligingsmaatregelen van tijd tot tijd kunnen bijwerken of aanpassen, mits dergelijke updates en aanpassingen niet resulteren in de verslechtering van de algehele beveiliging van de Klant Persoonsgegevens.
5.3 Access Controls. Wij passen de beginselen van 'need to know' en 'least privilege' toe, waardoor de toegang tot Klant Persoonsgegevens beperkt is tot het personeel dat nodig is voor het leveren van de Diensten en in overeenstemming met de overeenkomst, inclusief deze DPA.
5.4 Confidentiality of Processing. Wij zullen ervoor zorgen dat iedere persoon of partij die door ons gemachtigd is om Klant Persoonsgegevens te verwerken (inclusief ons personeel, agenten en Sub-verwerkers) op de hoogte is van de vertrouwelijke aard van dergelijke Klant Persoonsgegevens en onder een passende geheimhoudingsverplichting valt (hetzij een contractuele of wettelijke plicht) die voortduurt na beëindiging van hun dienstverband.
5.5 Personal Data Breach Response and Notification. Zodra wij op de hoogte zijn van een Persoonsgegevens Inbreuk, zullen wij zonder onnodige vertraging (i) u op de hoogte stellen, (ii) de Persoonsgegevens Inbreuk onderzoeken, (iii) tijdig informatie verstrekken met betrekking tot de Persoonsgegevens Inbreuk zodra deze bekend wordt of redelijkerwijs door u wordt opgevraagd, en (iv) commercieel redelijke stappen ondernemen om de effecten te mitigeren en herhaling van de Persoonsgegevens Inbreuk te voorkomen.
6. Hulp
6.1 Hulp bij gegevensbescherming. Wij zullen u de redelijk gevraagde hulp bieden om u in staat te stellen te voldoen aan uw verplichtingen onder de Gegevensbeschermingswetten, inclusief de melding van een Persoonsgegevensinbreuk, het beoordelen van het juiste beveiligingsniveau van de verwerking en het assisteren bij de uitvoering van een relevante gegevensbeschermingsimpactbeoordeling.
6.2 Hulp bij rechten van betrokkenen. Wij zullen u redelijke hulp bieden om u in staat te stellen te voldoen aan uw verplichtingen jegens betrokkenen die hun rechten uitoefenen onder de Gegevensbeschermingswetten door technische en organisatorische maatregelen via uw account beschikbaar te stellen. Voor de goede orde, u als de gegevensbeheerder bent verantwoordelijk voor het verwerken van elk verzoek of klacht van betrokkenen met betrekking tot de Klantpersoonsgegevens van een betrokkene.
7. Openbaarmaking en Verzoeken om Openbaarmaking
7.1 Beperkingen op openbaarmaking en toegang. Wij zullen geen toegang verschaffen tot of openbaarmaking doen van Klantpersoonsgegevens, behalve (i) zoals door u aangegeven, (ii) zoals uiteengezet in de Overeenkomst en deze DPA, of (iii) zoals wettelijk vereist.
7.2 Verzoeken om openbaarmaking. Wij zullen u zo snel als redelijkerwijs mogelijk informeren als we een verzoek ontvangen van een overheids- of regelgevende instantie om Klantpersoonsgegevens vrij te geven, tenzij dergelijke kennisgeving wettelijk verboden is. Wij zullen verzoeken om openbaarmaking afhandelen in overeenstemming met het beleid voor openbaarmakingsverzoeken, beschikbaar op onze website hier.
8. Sub-verwerkers
8.1 Lijst van Huidige Sub-verwerkers. U stemt in met de inschakeling van de Sub-verwerkers in verband met de Diensten, vermeld in ons overzicht van Sub-verwerkers, dat ook een procedure bevat om u te abonneren op meldingen van wijzigingen in ons gebruik van Sub-verwerkers. Als u zich abonneert op dergelijke meldingen, en rekening houdend met Sectie 8.3 van deze DPA, zullen we details van eventuele wijzigingen in Sub-verwerkers zo snel als redelijkerwijs mogelijk delen.
8.2 Aanstellen van Sub-verwerkers. Door middel van deze DPA geeft u ons een algemene schriftelijke autorisatie om Sub-verwerkers in te schakelen voor de verwerking van Klantpersoonsgegevens, onderworpen aan Sectie 8.3 van deze DPA en de volgende vereisten:
We zullen de toegang van Sub-verwerkers tot Klantpersoonsgegevens beperken tot wat strikt noodzakelijk is om de in de sub-verwerkersovereenkomst gespecificeerde diensten te verlenen;
We zullen met de Sub-verwerker overeenkomen over gegevensbeschermingsverplichtingen die in wezen dezelfde zijn als de verplichtingen onder deze DPA; en
Wij blijven aansprakelijk tegenover u krachtens deze DPA voor de uitvoering van de gegevensbeschermingsverplichtingen van de Sub-verwerker.
8.3 Melding van Wijzigingen in Sub-verwerkers en Recht van Bezwaar. Voordat we nieuwe Sub-verwerkers vervangen of inschakelen (“Sub-verwerker Wijziging”) geven we u de mogelijkheid bezwaar te maken tegen de Sub-verwerker Wijziging. U kunt bezwaar maken tegen een Sub-verwerker Wijziging mits (i) het bezwaar schriftelijk wordt gemaakt binnen tien (10) werkdagen na onze kennisgeving van de Sub-verwerker Wijziging en (ii) het bezwaar is gebaseerd op en duidelijk de redelijke gronden uitlegt betreffende de bescherming van Klantpersoonsgegevens. Wanneer u bezwaar maakt tegen een voorgestelde Sub-verwerker Wijziging, zullen we in goed vertrouwen met u samenwerken om een commercieel redelijke wijziging aan te brengen in de levering van de Diensten die het gebruik van de betreffende Sub-verwerker vermijdt. Als een dergelijke wijziging redelijkerwijs niet binnen dertig (30) dagen na ontvangst van uw bezwaarnotitie kan worden aangebracht, of als de wijziging commercieel onredelijk voor ons is, kan elk van beide partijen de toepasselijke functies van de Diensten beëindigen die niet kunnen worden geleverd zonder het gebruik van de betreffende Sub-verwerker. Dit opzeggingsrecht is uw enige en exclusieve remedie als u bezwaar maakt tegen een Sub-verwerker Wijziging.
9. Grensoverschrijdende Overdrachten van Persoonsgegevens van Klanten
9.1 Overdrachten van Klantpersoonsgegevens. We kunnen Klantpersoonsgegevens overdragen op voorwaarde dat alle passende waarborgen die vereist zijn door de Wetgeving Gegevensbescherming aanwezig zijn. Dit kan onder andere een voorafgaande evaluatie van de gevolgen van de gegevensoverdracht omvatten, het aannemen, monitoren en evalueren van aanvullende technische, organisatorische en juridische maatregelen, afdwingbare rechten van betrokkenen en dat effectieve rechtsmiddelen voor betrokkenen beschikbaar zijn.
9.2 Standaardcontractbepalingen voor Sub-verwerkers. Tenzij een adequaatheidsbesluit of alternatief overdrachtmechanisme van toepassing is, zoals het EU-VS Privacykader, hebben we Standaardcontractbepalingen afgesloten en zullen deze handhaven met Sub-verwerkers (inclusief onze Gelieerde Ondernemingen) buiten de EER, onderworpen aan de voorwaarden zoals uiteengezet in Sectie 9.1 van deze DPA.
9.3 Overdrachtsmechanismen voor Overdrachten van Klantpersoonsgegevens. Voor zover uw gebruik van de Diensten een grensoverschrijdend gegevensoverdrachtsmechanisme vereist om Klantpersoonsgegevens wettelijk te exporteren vanuit een rechtsgebied (bijv. de EER, Californië, Singapore, Zwitserland of het Verenigd Koninkrijk) naar ons buiten dat rechtsgebied, is deze sectie van toepassing. Indien bij de uitvoering van de Diensten, Klantpersoonsgegevens die onderworpen zijn aan de AVG of enige andere wet inzake de bescherming of privacy van individuen die van toepassing is op deze DPA wordt overgedragen aan een Provider-entiteit gevestigd in landen die geen passend beschermingsniveau bieden in de zin van de Wetgeving Gegevensbescherming, zijn de hieronder vermelde overdrachtsmechanismen van toepassing op dergelijke overdrachten en kunnen ze direct door de partijen worden afgedwongen voor zover dergelijke overdrachten onderworpen zijn aan de Wetgeving Gegevensbescherming.
9.3.1 De partijen komen overeen dat de Standaardcontractbepalingen van toepassing zullen zijn op Klantpersoonsgegevens die via de Diensten worden overgedragen vanuit de EER of Zwitserland, hetzij direct of via verdere overdracht, naar een Provider-entiteit gevestigd in een land buiten de EER of Zwitserland dat niet erkend is door de Europese Commissie (of, in het geval van overdrachten vanuit Zwitserland, de bevoegde autoriteit voor Zwitserland) als zijnde adequaat beschermd.
9.3.1.1 Wanneer u optreedt als gegevensbeheerder en wij gegevensverwerker zijn, is de EU Beheerder-naar-Verwerker (Module Twee) van de Standaardcontractbepalingen van toepassing op dergelijke overdracht van Klantpersoonsgegevens vanuit de EER. Wanneer u optreedt als gegevensverwerker en wij een sub-verwerker zijn, is de Verwerker-naar-Verwerker (Module Drie) van de Standaardcontractbepalingen van toepassing op dergelijke overdracht van Klantpersoonsgegevens vanuit de EER.
9.3.1.2 Wij worden geacht de gegevensimporteur te zijn en u wordt geacht de gegevensexporteur te zijn onder de Standaardcontractbepalingen. Bij de ondertekening van deze DPA door beide partijen wordt dit beschouwd als ondertekening van de toepasselijke Standaardcontractbepalingen, die geacht worden te zijn opgenomen in deze DPA. Details vereist onder Bijlage 1 en Bijlage 2 bij de Standaardcontractbepalingen zijn beschikbaar in Bijlage I en Bijlage II bij deze DPA. In geval van strijdigheid of inconsistentie tussen deze DPA en de Standaardcontractbepalingen, hebben de Standaardcontractbepalingen voorrang uitsluitend met betrekking tot een overdracht van Klantpersoonsgegevens vanuit de EER.
9.3.1.3 Waar de Standaardcontractbepalingen vereisen dat de partijen kiezen tussen optionele clausules en om informatie in te vullen, hebben de partijen dit gedaan zoals hieronder uiteengezet:
i. De optionele Clausule 7 “Docking-clausule” zal niet worden aangenomen.
ii. Voor Clausule 9 “Gebruik van sub-verwerkers”, kiezen de partijen de volgende optie: “Optie 2 Algemene schriftelijke toestemming: de gegevensimporteur heeft de algemene toestemming van de beheerder voor het betrekken van sub-verwerker(s) uit een overeengekomen lijst. De gegevensimporteur zal de beheerder schriftelijk specifiek informeren over mogelijke wijzigingen in die lijst door toevoeging of vervanging van sub-verwerkers ten minste 10 werkdagen op voorhand, zodat de beheerder voldoende tijd heeft om bezwaar te maken tegen dergelijke wijzigingen voor de betrokkenheid van de sub-verwerker(s). De gegevensimporteur zal de gegevensexporteur de informatie verschaffen die nodig is om de gegevensexporteur in staat te stellen zijn recht van bezwaar uit te oefenen. De gegevensimporteur zal de gegevensexporteur op de hoogte stellen van de betrokkenheid van de sub-verwerker(s).”
iii. Voor Clausule 11 (a) “Rechtsmiddelen”, nemen de partijen de optie niet aan.
iv. Voor Clausule 17 “Recht toepasselijk”, kiezen de partijen de volgende optie: “Optie 1. Deze Clausules vallen onder het recht van een van de EU-lidstaten, mits dit recht de rechten van derde-begunstigden toestaat. De partijen komen overeen dat dit het recht van Nederland is.”
v. Voor Clausule 18 (b) “Keuze van forum en jurisdictie”: “De partijen komen overeen dat dit de hoven van Nederland zullen zijn.”
9.3.2 De partijen komen overeen dat de VK Standaardcontractbepalingen van toepassing zullen zijn op Klantpersoonsgegevens die via de Diensten worden overgedragen vanuit het Verenigd Koninkrijk, hetzij direct of via verdere overdracht, naar een Provider-entiteit gevestigd in een land buiten het Verenigd Koninkrijk dat niet wordt erkend door de bevoegde Britse regelgevende autoriteit of overheidsinstantie voor het Verenigd Koninkrijk als zijnde adequaat beschermd.
9.3.2.1 Wij worden geacht de gegevensimporteur te zijn en u wordt geacht de gegevensexporteur te zijn onder de VK Standaardcontractbepalingen. Bij ondertekening van deze DPA door beide partijen wordt dit beschouwd als ondertekening van de VK Standaardcontractbepalingen, die geacht worden te zijn opgenomen in deze DPA. Details vereist onder de VK Standaardcontractbepalingen zijn beschikbaar in Bijlage I en Bijlage II bij deze DPA. In geval van strijdigheid of inconsistentie tussen deze DPA en de VK Standaardcontractbepalingen, hebben de VK Standaardcontractbepalingen voorrang uitsluitend met betrekking tot de overdracht van Klantpersoonsgegevens vanuit het Verenigd Koninkrijk.
10. Controle
10.1 Audit Report. Ons communicatieplatform wordt regelmatig geaudit tegen de ISO 27001-standaard (of gelijkwaardig). De audit kan, naar ons eigen goeddunken, een interne audit zijn of een audit uitgevoerd door een derde partij. Op schriftelijk verzoek zullen wij u een samenvatting van het auditrapport verstrekken (“Audit Report”), zodat u onze naleving van de auditnormen en deze DPA kunt verifiëren. Dergelijke Audit Reports, evenals alle conclusies of bevindingen die daarin zijn gespecificeerd, zijn onze Vertrouwelijke Informatie.
10.2 Klantinformatieverzoeken. Wij zullen u alle redelijkerwijs noodzakelijke informatie ter beschikking stellen om te voldoen aan de verplichtingen die in deze DPA zijn vastgelegd. Wij zullen schriftelijke antwoorden geven op redelijke informatieverzoeken van u, inclusief antwoorden op vragenlijsten over informatiebeveiliging en audits die redelijk qua omvang en nodig zijn om naleving van deze DPA te bevestigen, op voorwaarde dat u (i) eerst redelijke pogingen heeft gedaan om de gevraagde informatie uit de Documentatie, Audit Reports en andere door ons verstrekte of openbaar gemaakte informatie te verkrijgen, en (ii) dit recht niet meer dan eens per jaar uitoefent, tenzij een Inbreuk op Persoonsgegevens of significante wijziging in onze verwerkingsactiviteiten met betrekking tot de Diensten vereist dat een extra vragenlijst wordt uitgevoerd. Alle verstrekte antwoorden zijn onze Vertrouwelijke Informatie.
10.3 Klant Audit. Indien een door ons aan u verstrekt Audit Report u gegronde redenen geeft om te geloven dat wij inbreuk maken op onze verplichtingen onder deze DPA, gerelateerd aan de door u verstrekte Klant Persoonsgegevens, zullen wij een onafhankelijke en gekwalificeerde derde partij auditor die door u is aangesteld en door ons is goedgekeurd, toestaan de relevante toepasselijke Persoonsgegevensverwerkingsactiviteiten te auditen, mits in de ruimst mogelijke mate toegestaan volgens de toepasselijke wetgeving, aan de volgende vereisten wordt voldaan:
U dient ons ten minste zestig (60) dagen redelijk van tevoren kennis te geven voordat u het recht op audit uitoefent;
De auditor stemt in met marktnorm vertrouwelijkheidsverplichtingen met ons;
U en de auditor nemen maatregelen om verstoring van onze bedrijfsactiviteiten te minimaliseren;
De audit zal worden uitgevoerd tijdens normale kantooruren;
Wij zijn niet verplicht toegang te bieden tot klantgegevens van andere klanten of systemen die niet betrokken zijn bij het verlenen van de Diensten; en
U bent verantwoordelijk voor alle kosten van de audit.
11. Verwijdering en Terugkeer van Klantpersoonsgegevens
Bij beëindiging of afloop van de Overeenkomst zullen we (op uw verzoek) alle Klantpersoonsgegevens (inclusief kopieën) in ons bezit of onder onze controle verwijderen of aan u retourneren, met dien verstande dat deze eis niet van toepassing is voor zover wij wettelijk verplicht zijn om enkele of alle Klantpersoonsgegevens te bewaren. Als u ons instrueert om Klantpersoonsgegevens te verwijderen, zullen Klantpersoonsgegevens die gearchiveerd zijn op onze back-upsystemen worden beschermd tegen verdere verwerking en worden verwijderd zodra de vereiste bewaartermijn is verstreken.
12. Klant Affiliatie Communicatie en Rechten
Het aangaan van deze DPA in naam en namens een Klant Affiliate zoals uiteengezet in Sectie 1.2 vormt een afzonderlijke DPA tussen ons en die Klant Affiliate, onderworpen aan het volgende:
12.1. Communicatie. De Klant die de contracterende partij is bij de Overeenkomst blijft verantwoordelijk voor de coördinatie van alle communicatie met ons onder deze DPA en is gerechtigd om alle communicatie in verband met deze DPA namens zijn Klant Affiliates te voeren en te ontvangen.
12.2 Rechten van Klant Affiliates. Waar een Klant Affiliate een partij wordt bij de DPA met ons, zal het in de mate vereist onder de Wet bescherming persoonsgegevens gerechtigd zijn om de rechten uit te oefenen en rechtsmiddelen te zoeken onder deze DPA, onderworpen aan het volgende:
(i) Tenzij de Wet bescherming persoonsgegevens vereist dat de Klant Affiliate een recht uitoefent of een rechtsmiddel zoekt onder deze DPA tegen ons direct door zichzelf, komen de partijen overeen dat (i) uitsluitend de Klant die de contracterende partij is bij de Overeenkomst enig dergelijk recht zal uitoefenen of enig dergelijk rechtsmiddel zal zoeken namens de Klant Affiliate, en (ii) de Klant die de contracterende partij is bij de Overeenkomst zal enig dergelijk recht onder deze DPA niet afzonderlijk voor elke Klant Affiliate individueel uitoefenen, maar op een gecombineerde manier voor zichzelf en al zijn Klant Affiliates samen.
(ii) De partijen komen overeen dat de Klant die de contracterende partij is bij de Overeenkomst, wanneer een on-site audit van de procedures relevant voor de bescherming van de Klant Persoonsgegevens namens hem wordt uitgevoerd zoals bepaald in Sectie 10.3 van deze DPA, alle redelijke maatregelen zal nemen om elke impact op ons te beperken door, in de mate redelijkerwijs mogelijk, verscheidene auditverzoeken uitgevoerd namens zichzelf en al zijn Klant Affiliates te combineren in één enkele audit.
Voor de duidelijkheid, een Klant Affiliate wordt geen contracterende partij bij de Overeenkomst.
13. California Consumer Privacy Act.
Voor zover van toepassing, doen wij de volgende aanvullende toezeggingen aan u met betrekking tot de verwerking van Klant Persoonsgegevens binnen de reikwijdte van de CCPA.
13.1 Onze Verplichtingen Onder U.S. Gegevensbeschermingswetten. De termen "zakelijk doel", "commercieel doel", "consument", "verkopen" en "delen" zoals gebruikt in deze Sectie 13.1 hebben de betekenis die eraan wordt gegeven in de CCPA. Voor zover van toepassing, zullen wij voldoen aan de CCPA en alle Klant Persoonsgegevens onderworpen aan de CCPA en andere toepasselijke U.S. Gegevensbeschermingswetten ("U.S. Persoonsgegevens") behandelen in overeenstemming met de bepalingen van de CCPA en andere U.S. Gegevensbeschermingswetten. Met betrekking tot U.S. Persoonsgegevens zijn wij een dienstverlener onder de CCPA en een gegevensverwerker onder andere U.S. Gegevensbeschermingswetten. Wij zullen geen U.S. Persoonsgegevens verkopen. Wij zullen geen U.S. Persoonsgegevens bewaren, gebruiken of openbaar maken (i) voor enig ander doel dan de zakelijke doelen gespecificeerd in de Overeenkomst (inclusief het bewaren, gebruiken of openbaar maken van U.S. Persoonsgegevens voor een commercieel doel anders dan het zakelijke doel gespecificeerd in de Overeenkomst of zoals anderszins toegestaan door de CCPA of toepasselijke wetten); of (ii) buiten de directe zakelijke relatie met u en ons.
13.2 Verplichtingen van de Klant. U verklaart en garandeert dat u de Eindgebruiker op de hoogte heeft gesteld dat de Persoonsgegevens worden gebruikt of gedeeld in overeenstemming met toepasselijke Gegevensbeschermingswetten. U bent verantwoordelijk voor de naleving van de vereisten van de Gegevensbeschermingswetten, voor zover toepasselijk op u als gegevensbeheerder.
14. Toepasselijk Recht en Geschillenbeslechting
Elk geschil, vordering of controverse (“Dispute”) die voortvloeit uit of verband houdt met deze DPA, wordt beheerst door en geïnterpreteerd in overeenstemming met de wetten van Nederland. Elke partij stemt ermee in dat de bevoegde rechtbanken van Amsterdam, Nederland exclusieve jurisdictie zullen hebben om elk geschil dat voortvloeit uit of verband houdt met deze DPA te beslechten.
BIJLAGE I - DETAILS VAN DE VERWERKING
Waar van toepassing, zal deze Bijlage I dienen als Bijlage I bij de Standaard Contractuele Clausules.
Bijlage I, Deel A. Lijst van Partijen
Gegevensexporteur: Klant
Contactgegevens gegevensexporteur: Het adres vermeld in het account van de Klant, of het e-mailadres van de accounteigenaar van de Klant, of naar het e-mailadres(sen) waarvoor de Klant kiest om meldingen te ontvangen onder de Overeenkomst.
Rol gegevensexporteur: De rol van de gegevensexporteur is uiteengezet in Sectie 4 van de DPA.
Handtekening en datum: Indien en wanneer van toepassing, wordt de gegevensexporteur geacht de Standaard Contractuele Clausules te hebben ondertekend die hierin zijn opgenomen vanaf de Ingangsdatum van de DPA.
Gegevensimporteur: Provider
Contactgegevens gegevensimporteur: Data Protection Officer - privacy@bird.com
Rol gegevensimporteur: De gegevensimporteur fungeert als gegevensverwerker.
Handtekening en datum: Indien en wanneer van toepassing, wordt de gegevensimporteur geacht de Standaard Contractuele Clausules te hebben ondertekend die hierin zijn opgenomen vanaf de Ingangsdatum van de DPA.
Bijlage I, Deel B. Beschrijving van de Overdracht
1. Categorieën van betrokkenen van wie Persoonsgegevens worden overgedragen.
Gebruikers. Contactpersonen (natuurlijke personen) of werknemers, aannemers of tijdelijke werknemers (huidige, toekomstige, voormalige) van Klant die de Diensten gebruiken (“Gebruikers”).
Eindgebruikers. Elke persoon (i) wiens contactgegevens zijn opgenomen in de contactlijsten van de Klant; (ii) wiens informatie wordt opgeslagen op of verzameld via de Diensten, of (ii) naar wie de Klant communicatie stuurt of anderszins contact heeft of communiceert via de Diensten (gezamenlijk, “Eindgebruikers”). U als Klant bepaalt uitsluitend de categorieën van betrokkenen die zijn opgenomen in de communicatie die wordt verzonden via ons communicatieplatform.
2. Categorieën van Persoonsgegevens die worden overgedragen.
Persoonsgegevens van Klant die zijn opgenomen in, communicatie-inhoud, verkeersgegevens, Eindgebruikergegevens en gebruiksgegevens van de klant.
Communicatie-inhoud, die Persoonsgegevens of andere gepersonaliseerde kenmerken kan bevatten, afhankelijk van de communicatie-inhoud zoals bepaald door u als Klant.
Verkeersgegevens, die Persoonsgegevens van Klant kunnen bevatten over de routering, duur of timing van een communicatie zoals bijvoorbeeld spraakoproep, SMS of e-mail, of het nu betrekking heeft op een persoon of een bedrijf.
Eindgebruikergegevens, zoals telefoonnummer, e-mailadres, voornaam, achternaam, profielnaam, land, kanaalidentificatie.
Gebruiksgegevens van de klant, kunnen gegevens bevatten die aan u als persoon kunnen worden gekoppeld, opgenomen in statistische gegevens en informatie met betrekking tot uw account- en serviceactiviteiten, servicegerelateerde inzichten en analytische rapporten over communicatie verzonden en klantenondersteuning.
3. Gevoelige gegevens die worden overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de betrokken risico's, zoals bijvoorbeeld strikte doelenbeperking, toegangsbeperkingen (inclusief toegang alleen voor personeel dat gespecialiseerde training heeft gevolgd), het bijhouden van een register van toegang tot de gegevens, beperkingen voor verdere overdracht of aanvullende beveiligingsmaatregelen.
Communicatie-inhoud. Gevoelige gegevens kunnen van tijd tot tijd via de Diensten worden verwerkt waar u of uw Eindgebruikers ervoor kiezen om gevoelige gegevens op te nemen in de communicatie die wordt verzonden met behulp van de Diensten. U bent verantwoordelijk voor het waarborgen dat geschikte waarborgen zijn getroffen voordat u of uw Eindgebruikers gevoelige gegevens verzenden of verwerken via de Diensten, in overeenstemming met Sectie 3.2 van de Overeenkomst.
Verkeersgegevens, Eindgebruikergegevens en gebruiksgegevens van de klant. Geen gevoelige gegevens zijn opgenomen in verkeersgegevens, Eindgebruikergegevens of gebruiksgegevens van de klant.
4. De frequentie van de overdracht (bijv. of de gegevens eenmalig of continu worden overgedragen): Persoonsgegevens van de klant worden continu overgedragen gedurende de looptijd van de Overeenkomst.
5. De aard van de verwerking: Wij zullen Persoonsgegevens van de klant verwerken voor zover noodzakelijk om de Diensten op grond van de Overeenkomst te leveren. We verkopen geen Persoonsgegevens, inclusief Persoonsgegevens van de klant, en delen geen Persoonsgegevens met derden voor compensatie of voor de eigen zakelijke belangen van die derden.
6. Doel(en) van de gegevensoverdracht en verdere verwerking: Wij zullen Persoonsgegevens van de klant verwerken als gegevensverwerker in overeenstemming met de instructies van de Klant zoals uiteengezet in deze DPA, tenzij verwerking noodzakelijk is voor naleving van een wettelijke verplichting waaraan wij zijn onderworpen, in welk geval wij zullen optreden als gegevensbeheerder.
Communicatie-inhoud, verkeersgegevens, Eindgebruikergegevens en gebruiksgegevens van de klant. Persoonsgegevens in communicatie-inhoud, verkeersgegevens, Eindgebruikergegevens en gebruiksgegevens van de klant zullen worden onderworpen aan de volgende basisverwerkingsactiviteiten:
Communicatie-inhoud. Het leveren van programmeerbare communicatieproducten en -diensten, aangeboden in de vorm van application programming interfaces (API's) of via het Dashboard, aan de Klant, inclusief verzending naar of van de softwaretoepassing van de Klant van of naar ons communicatieplatform, en andere communicatienetwerken.
Verkeersgegevens. Verkeersgegevens worden verwerkt met het doel communicatie via een elektronisch communicatienetwerk over te dragen of voor het factureren met betrekking tot die communicatie. Dit kan Persoonsgegevens van de klant omvatten over de routering, duur of timing van een communicatie zoals spraakoproep, SMS of e-mail, of het nu betrekking heeft op een persoon of een bedrijf.
Eindgebruikergegevens. Persoonsgegevens van Eindgebruikers zijn vereist om de Diensten uit te voeren en zullen alleen worden verwerkt voor de doeleinden van communicatieoverdracht, klantenondersteuning en het waarborgen van naleving van onze wettelijke verplichtingen.
Gebruiksgegevens van de klant. Persoonsgegevens in gebruiksgegevens van de klant zullen worden onderworpen aan de verwerkingsactiviteiten die zijn vereist voor het leveren van de Diensten onder de Overeenkomst, met als doel de Klant van diensten gerelateerde inzichten en analytische rapporten te voorzien met betrekking tot de verzonden communicatie, klantenondersteuning en voortdurende verbetering van de Diensten.
7. De periode waarvoor de Persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen:
Communicatie-inhoud en verkeersgegevens.
Voor communicatie-inhoud en verkeersgegevens opgenomen in de SMS- en Voice-diensten geldt een bewaartermijn van zes maanden;
Voor Videodiensten worden communicatie-inhoud en verkeersgegevens bewaard voor minimaal 30 dagen tot de duur zoals met u is overeengekomen;
Voor e-maildiensten worden communicatie-inhoud en verkeersgegevens bewaard voor 72 uur;
Voor alle andere diensten, worden communicatie-inhoud en verkeersgegevens bewaard voor de duur van de Diensten, behalve als u communicatie-inhoud of verkeersgegevens verwijdert via de technische en organisatorische maatregelen die aan u zijn verstrekt via de Diensten.
Eindgebruikergegevens. Eindgebruikergegevens worden verwerkt voor de duur die door de Klant wordt bepaald, wanneer Eindgebruikergegevens zijn opgenomen in uw contactprofielen is de standaard bewaartermijn voor de duur van de Diensten, onderhevig aan Sectie 6(c) van deze Bijlage I, Deel B.
Gebruiksgegevens van de klant. Na beëindiging van de Overeenkomst kunnen wij gebruiksgegevens van de klant bewaren, gebruiken en openbaar maken voor de doeleinden uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B, onder voorbehoud van de vertrouwelijkheidsverplichtingen uiteengezet in de Overeenkomst. We zullen gebruiksgegevens van de klant anonimiseren of verwijderen wanneer we deze niet langer nodig hebben voor de doeleinden uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B.
8. Voor overdrachten naar (Sub-)verwerkers, ook specificeren onderwerp, aard en duur van de verwerking: Voor overdrachten naar Sub-verwerkers is het onderwerp en de aard van de verwerking uiteengezet in ons overzicht van Sub-verwerkers en de duur is voor de duur van de Overeenkomst.
Bijlage I, Deel C. Bevoegde Toezichthoudende Autoriteit
De Autoriteit Persoonsgegevens zal de bevoegde toezichthoudende autoriteit zijn.
BIJLAGE II - TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN
Indien van toepassing, zal deze Bijlage II dienen als Bijlage II bij de Standaard Contractuele Clausules. Het volgende geeft meer informatie over onze hieronder uiteengezette technische en organisatorische beveiligingsmaatregelen.
Technische en Organisatorische Beveiligingsmaatregelen:
Maatregelen voor pseudonimisering en bescherming van Persoonsgegevens in opslag en vervoer: alle Persoonsgegevens worden versleuteld tijdens transport en in rust, en, voor zover relevant vanuit een beveiligingsperspectief, behandeld alsof ze geclassificeerd zijn als gevoelige gegevens. Informatie wordt altijd via TLS met up-to-date versleutelingsmethoden verzonden als standaard.
Maatregelen voor het waarborgen van voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkende systemen en diensten: we sluiten overeenkomsten af die vertrouwelijkheidsbepalingen bevatten met onze werknemers, contractanten, leveranciers en Sub-verwerkers. Ons beleid voor bedrijfscontinuïteit is gericht op het voorbereiden van ons bedrijf en diensten op langdurige storingen veroorzaakt door factoren buiten onze controle en om de diensten zo veel mogelijk te herstellen binnen een minimale tijdspanne. We begrijpen dat de diensten die we leveren van cruciaal belang zijn voor onze klanten en hebben daarom weinig tolerantie voor onderbrekingen van de dienst. Onze hersteltijdslijnen zijn ontworpen om ervoor te zorgen dat we aan onze verplichtingen aan al onze klanten kunnen voldoen.
Processen voor regelmatige tests, beoordeling en evaluatie van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van verwerking te waarborgen: het doel van informatiebeveiliging en ons Information Security Management System (ISMS) is om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie voor de organisatie, werknemers, partners, klanten en de (geautoriseerde) informatiesystemen te beschermen, en om het risico op schade te minimaliseren door beveiligingsincidenten te voorkomen en beveiligingsbedreigingen en kwetsbaarheden te beheren. Ons juridische team, Data Protection Officer en Security Team zorgen ervoor dat toepasselijke regelgeving en normen worden meegenomen in onze beveiligingskaders.
Maatregelen voor gebruikersidentificatie en autorisatie: we volgen de principes van "need to know" en "least privilege". We promoten het gebruik van rolgebaseerde toegangscontrole. Voorziening en intrekking worden gecontroleerd door het beveiligingsteam, met Single-Sign-On en 2FA als standaard. Er zijn eigenaren gedefinieerd voor elk informatieasset die verantwoordelijk zijn voor het zorgen dat de toegang tot hun systemen passend is en regelmatig wordt beoordeeld. Bij het omgaan met gevoelige informatie of het nemen van kritieke acties hanteren we het vier-ogen-principe.
Maatregelen voor het waarborgen van het loggen van gebeurtenissen: auditlogs worden centraal opgeslagen en regelmatig gecontroleerd voor beveiligingsgebeurtenissen en worden veilig bewaard om het risico op manipulatie te vermijden. Het Incident Management Policy dwingt het incidentresponsplan en de bijbehorende procedures af. Deze richtlijnen worden gevolgd bij het optreden van beveiligings- of technische incidenten.
Maatregelen voor het waarborgen van de systeemconfiguratie, inclusief standaardconfiguratie: we volgen een consistent wijzigingsbeheerproces voor alle wijzigingen aan de productieomgeving van het Communicatie Platform as a Service. Om verder uit te werken: alle verzoeken om wijzigingen (RFC) moeten worden goedgekeurd door een aangewezen partij en worden uitgevoerd volgens het formele wijzigingscontroleproces. Het controleproces zorgt ervoor dat voorgestelde wijzigingen worden beoordeeld, geautoriseerd, getest, geïmplementeerd en uitgebracht op een gecontroleerde manier; en dat de status van elke voorgestelde wijziging wordt gecontroleerd. Configuratiebaselines worden gevolgd om de systemen veilig te configureren volgens best practices. Ook wordt binnen de Engineering-afdeling een tech radar gebruikt om te bepalen welke technologieën (talen, platformtools, databases en databeheerhulpmiddelen) tijdens de ontwikkeling kunnen worden geadopteerd of moeten worden vermeden.
Maatregelen voor fysieke beveiliging: Alle Bird-medewerkers werken op afstand. Als gevolg van Bird’s beleid voor werken op afstand, heeft Bird een telewerken-beleid geïmplementeerd en gehandhaafd, dat ervoor zorgt dat werknemers op een veilige manier op afstand werken. Het beleid legt minimummaatstaven voor fysieke beveiliging, toegangsbeveiliging en verbinding- en communicatieveiligheid op.
Maatregelen voor interne IT- en IT-beveiliging governance en management: we handhaven een risico-gebaseerd beoordelingsbeveiligingsprogramma, dat administratieve, organisatorische, technische en fysieke beschermingsmaatregelen omvat die zijn ontworpen om de Diensten en de vertrouwelijkheid, integriteit en beschikbaarheid van Klantengegevens te beschermen. Ons informatiebeveiligingsprogramma is systematisch en goed georganiseerd opgezet. Daarnaast gelden juridische en regelgevende vereisten om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie voor de organisatie, werknemers, partners en klanten te waarborgen. Dit alles is vertaald in onze informatiebeveiligingsbeleid, procedures en richtlijnen. We hebben een Security Steering Committee dat verantwoordelijk is voor het tactische niveau van informatiebeveiliging. Dit omvat de coördinatie van informatiebeveiligingsactiviteiten en de vertaling van strategische activiteiten naar operationele activiteiten voor onze beveiliging, en ons voortdurende onderhoud van regelgevende naleving. Alle werknemers zijn verantwoordelijk voor het beschermen van bedrijfsmiddelen. Alle onze werknemers worden gescreend op deskundigheid, ervaring en integriteit. Werknemers worden bij het inwerkproces, evenals door middel van regelmatige team-specifieke trainingen en andere bedrijf brede all-hands presentaties geïnformeerd over het belang van gegevensbescherming en naleving van beveiliging. We zijn ISO 27001 gecertificeerd, de wereldwijd erkende informatiebeveiligingsnormen voor Information Security Management Systems (ISMS).
Al onze hostingproviders zijn ISO 27001 gecertificeerd.
We zijn ook geregistreerd bij de Nederlandse Autoriteit Consument en Markt. Dit betekent dat we altijd aanspreekbaar en volledig transparant zijn naar onze klanten toe.
We zijn een Associate Member van de Groupe Speciale Mobile Association (GSMA). De GSMA vertegenwoordigt de belangen van mobiele operatoren wereldwijd.
We zijn altijd up-to-date met alle toepasselijke wetten en voorschriften, inclusief de Algemene verordening gegevensbescherming (AVG) en het EU-US Data Protection Framework.
Maatregelen voor certificeringen/assurance van processen en producten: we ondergaan strenge controle- evenals certificeringsaudits als onderdeel van onze ISO/IEC 27001 naleving, en voeren regelmatig kwetsbaarheidstests en penetratietests van toepassingen uit.
Maatregelen voor het waarborgen van verantwoording: we implementeren informatiebeveiligings- en gegevensbeschermingsbeleid in overeenstemming met de van toepassing zijnde wetten en publiceren een overzicht van onze ISMS-relevante informatie (link). We hebben een toegewijde Directeur van Beveiliging, Information Security Officer, Compliance Officer en Data Protection Officer aangesteld, en onderhouden documentatie van onze verwerkingsactiviteiten, inclusief het registreren en rapporteren van beveiligingsincidenten met betrekking tot Persoonsgegevens indien van toepassing.
Maatregelen voor het waarborgen van gegevenswissing: we zorgen voor gegevenswissing door middel van een geautomatiseerd verwijderingsproces binnen onze communicatie- en infrastructuuromgeving. Dit gegevensverwijderingsproces zorgt ervoor dat alle gegevens die niet langer nodig zijn voor een specifiek doel, uit onze systemen worden verwijderd na verwerking.