Gegevensverwerkingsovereenkomst
Deze Gegevensverwerkingsovereenkomst is van toepassing op u als u zich heeft aangemeld voor MessageBird's Services (inclusief via een van zijn filialen) op of na 28 februari 2022 en vóór 1 januari 2024. Effectief vanaf 15 april 2022, deze Gegevensverwerkingsovereenkomst zal ook van toepassing zijn op klanten die zich vóór 28 februari 2022 hebben aangemeld voor MessageBird's Services. Onze gearchiveerde Gegevensverwerkingsovereenkomst is beschikbaar hier.
Deze gegevensverwerkingsovereenkomst, inclusief de bijlagen (de "DPA"), maakt deel uit van de overeenkomst tussen Klant en de contractpartij vermeld in Sectie 15 (Contracterende Partij) van de Algemene Voorwaarden, tenzij anders vermeld in uw Bestelformulier. In deze DPA verwijzen de termen “u”, “uw”, of “Klant” naar u (onder voorbehoud van Sectie 1.2 hieronder), en de termen “wij”, “ons,” “onze” of “MessageBird” verwijzen naar ons.
1. Scope, Customer Affiliates and Term
1.1 Reikwijdte. Dit DPA regelt de verwerking van Klantpersoonsgegevens door MessageBird als verwerker.
1.2 Klantbedrijven. Klant gaat dit DPA aan namens zichzelf en, voor zover vereist onder de wetgeving inzake gegevensbescherming, in naam en namens zijn Gelieerde Ondernemingen (zoals gedefinieerd in de voorwaarden), indien en voor zover je dergelijke Gelieerde Ondernemingen toegang verleent tot de Diensten en wij Klantpersoonsgegevens verwerken waarvoor dergelijke Gelieerde Ondernemingen kwalificeren als de gegevensbeheerder (“Klantbedrijven”). Voor de doeleinden van dit DPA alleen, en tenzij anders aangegeven, omvatten de termen “Klant” en “je/jij” zowel Klant als Gelieerde Ondernemingen.
1.3 Looptijd. Dit DPA blijft van kracht zolang MessageBird Klantpersoonsgegevens verwerkt onderhevig aan dit DPA, ongeacht het verstrijken of beëindigen van de Overeenkomst.
2. Definities
Gedefinieerde termen die in deze DPA worden gebruikt maar niet zijn gedefinieerd, hebben de betekenis die daaraan in de Overeenkomst is gegeven. De volgende gedefinieerde termen worden in deze DPA gebruikt:
2.1 “CCPA” betekent de California Consumer Privacy Act van 2018 en alle daaronder uitgevaardigde regelgeving, in elk geval, zoals van tijd tot tijd gewijzigd.
2.2 “Klantgegevens” betekent alle gegevens en andere informatie of inhoud die door u of voor u (of door een gebruiker van uw Klantapplicatie) volgens de Overeenkomst worden ingediend en door de Diensten worden verwerkt of opgeslagen.
2.3 “Klantpersoonsgegevens” betekent Persoonsgegevens die zijn opgenomen in Klantgegevens. Accountgegevens zijn geen Klantpersoonsgegevens. Accountgegevens zijn alle gegevens die door of voor u aan MessageBird worden verstrekt met betrekking tot het aangaan en beheren van de Overeenkomst en van uw account, inclusief maar niet beperkt tot contactinformatie, factureringsgegevens van de klant en correspondentie over het aangaan en beheren van de Overeenkomst.
2.4 “Wetgeving inzake gegevensbescherming” betekent alle wetten en regelgeving van welke jurisdictie dan ook die van toepassing zijn op de vertrouwelijkheid, privacy, beveiliging of verwerking van Persoonsgegevens volgens de Overeenkomst, met inbegrip van, indien van toepassing, de AVG, de CCPA en alle andere wetten en regelgeving met betrekking tot privacy, directe marketing of gegevensbescherming.
2.5 “EEA” betekent, voor de doeleinden van deze DPA, de Europese Economische Ruimte en Zwitserland.
2.6 “EU Controller-to-Processor Standard Contractual Clauses” betekent de “Controller to Processor” (Module 2) modules van de Standaardcontractbepalingen voor de overdracht van Persoonsgegevens naar derde landen in overeenstemming met de AVG en het Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021 van de Europese Commissie.
2.7 “EU Processor-to-Subprocessor Standard Contractual Clauses” betekent de “Processor to Processor” (Module 3) modules van de Standaardcontractbepalingen voor de overdracht van Persoonsgegevens naar derde landen in overeenstemming met de AVG en het Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021 van de Europese Commissie.
2.8 “AVG” betekent ofwel (i) de Verordening 2016/679 van het Europees Parlement en de Raad inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van Persoonsgegevens en inzake het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming); of (ii) alleen met betrekking tot het Verenigd Koninkrijk, de Data Protection Act 2018.
2.9 “LGPD” betekent de Lei Geral de Proteção de Dados van 2018 en alle daaronder uitgevaardigde regelgeving, in elk geval, zoals van tijd tot tijd gewijzigd.
2.10 “Persoonsgegevens” betekent alle informatie met betrekking tot een direct of indirect geïdentificeerde of identificeerbare natuurlijke persoon.
2.11 “PDPA” betekent de Personal Data Protection Act van 2012 en alle daaronder uitgevaardigde regelgeving, in elk geval, zoals van tijd tot tijd gewijzigd.
2.12 “Privacyverklaring” betekent de op dat moment geldende Privacyverklaring voor de Diensten beschikbaar op https://bird.com/legal/privacy.
2.13 “Inbreuk op Persoonsgegevens” betekent elke onopzettelijke, ongeoorloofde of onwettige vernietiging, verlies, wijziging, openbaarmaking van, toegang tot Klantpersoonsgegevens.
2.14 “Diensten” betekent alle producten en diensten die door ons of onze Gelieerde Ondernemingen worden geleverd die (a) door u worden besteld onder een Bestelformulier; of (b) door u worden gebruikt.
2.15 “Standaardcontractbepalingen” betekent ofwel (i) de EU Controller-to-Processor Standard Contractual Clauses; of (ii) de EU Processor-to-Subprocessor Standard Contractual Clauses, individueel of gezamenlijk, indien van toepassing.
2.16 “Subprocessor” betekent de entiteit die Klantpersoonsgegevens verwerkt namens een entiteit die optreedt als gegevensverwerker of Subprocessor.
2.17 “UK Controller-to-Processor Standard Contractual Clauses” betekent de standaardcontractbepalingen voor de overdracht van Persoonsgegevens aan verwerkers gevestigd in derde landen in de vorm zoals uiteengezet door het Besluit 2010/87/EU van de Europese Commissie, zoals gewijzigd, aangepast of vervangen door de Europese Commissie.
Termen zoals “verwerking”, “gegevensbeheerder”, “gegevensverwerker”, “betrokkene”, etc. hebben de betekenis die eraan is toegekend onder de AVG. De definitie van “gegevensbeheerder” omvat “bedrijf”, “beheerder” en “organisatie”; "gegevensverwerker" omvat “dienstverlener”, “verwerker” en “gegevensbemiddelaar”; "betrokkene" omvat “consument” en “individu”; en “Persoonsgegevens” omvat “persoonlijke informatie”, in elk geval zoals gedefinieerd onder de CCPA, LGPD, of PDPA.
3. Verwerking van Persoonsgegevens van Klanten
3.1 Doeleinden. Wij zullen Klant Persoonsgegevens alleen verwerken voor zover nodig (i) om de Diensten te verlenen, inclusief transmissie van communicatie, het waarborgen van de beveiliging van de diensten, het verstrekken van technische en leveringsrapporten, het bieden van ondersteuning en het ontwikkelen en implementeren van verbeteringen en updates in overeenstemming met uw gedocumenteerde instructies aan ons als een gegevensverwerker zoals gespecificeerd in Sectie 3.2 van deze DPA, en (ii) voor onze legitieme zakelijke doeleinden zoals gespecificeerd in Sectie 3.4 van deze DPA als een gegevensbeheerder. Wij verkopen geen Persoonsgegevens, inclusief Klant Persoonsgegevens, en delen geen Persoonsgegevens met derde partijen voor compensatie of voor de zakelijke belangen van die derde partijen.
3.2 Instructies. De Overeenkomst en deze DPA vormen uw volledige instructies aan ons als een gegevensverwerker op het moment van ondertekening van deze DPA. We zullen voldoen aan andere redelijk gedocumenteerde instructies, mits deze instructies consistent zijn met de voorwaarden van de Overeenkomst.
3.3 Details van verwerking. Bijlage I, Deel B. (Beschrijving van overdracht) van deze DPA specificeert verder de aard en het doel van de verwerking, de verwerkingsactiviteiten, de duur van de verwerking, de soorten Persoonsgegevens en categorieën van betrokkenen door ons als gegevensverwerker of Subverwerker.
3.4 Legitieme zakelijke doeleinden. U erkent dat wij Klant Persoonsgegevens verwerken als een onafhankelijke gegevensbeheerder voor zover nodig voor de volgende legitieme zakelijke doeleinden: facturering, accountbeheer, financiële en interne rapportage, het bestrijden en voorkomen van veiligheidsbedreigingen, cyberaanvallen en cybercriminaliteit die ons of onze diensten kunnen aantasten, bedrijfsmodellering (bijv. prognoses, capaciteits- en omzetplanning, productstrategie), fraude, spam en misbruik preventie en detectie, productverbetering, en om aan onze wettelijke verplichtingen te voldoen.
4. Customer Obligations
4.1 Rechtmatigheid. Waar u optreedt als een verantwoordelijke voor de verwerking van Klantpersoonsgegevens, garandeert u dat alle verwerkingsactiviteiten rechtmatig zijn, een specifiek doel hebben en dat alle vereiste kennisgevingen en toestemmingen of andere passende juridische basis zijn geregeld om rechtmatige overdracht van de Klantpersoonsgegevens mogelijk te maken. Als u een gegevensverwerker bent (in dat geval treden wij op als Subverwerker), zorgt u ervoor dat de relevante verwerkingsverantwoordelijke garandeert dat aan de voorwaarden zoals vermeld in deze Sectie 4.1 wordt voldaan.
4.2 Naleving. U bent als enige verantwoordelijk voor (a) ervoor zorgen dat u voldoet aan de toepasselijke Wetgeving Persoonsgegevens met betrekking tot uw gebruik van de Diensten en uw eigen verwerking van Klantpersoonsgegevens, (b) een onafhankelijke beoordeling maken of de technische en organisatorische maatregelen van de Diensten aan uw vereisten voldoen, en (c) het implementeren en onderhouden van privacy- en beveiligingsmaatregelen voor componenten die u levert of controleert (inclusief maar niet beperkt tot wachtwoorden, apparaten die gebruikt worden met de Diensten en Klantapplicaties).
5. Beveiliging
5.1 Beveiligingsmaatregelen. Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van gegevensverwerking, evenals het risico van wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen wij passende technische en organisatorische beveiligingsmaatregelen implementeren en handhaven om Klantpersoonsgegevens te beschermen tegen persoonsgegevens inbreuken en om de veiligheid, integriteit, beschikbaarheid, veerkracht en vertrouwelijkheid van de Klantgegevens te behouden die onze systemen gebruiken voor de verwerking van Klantgegevens. De door ons toegepaste beveiligingsmaatregelen zijn beschreven in Bijlage II.
5.2 Updates van beveiligingsmaatregelen. U bent verantwoordelijk voor het beoordelen van de door ons beschikbaar gestelde informatie met betrekking tot de beveiliging van Klantpersoonsgegevens en het op onafhankelijke wijze bepalen of dergelijke informatie aan uw vereisten en wettelijke verplichtingen onder de gegevensbeschermingswetgeving voldoet. U erkent dat de beveiligingsmaatregelen onderhevig zijn aan technische vooruitgang en ontwikkeling, en dat wij onze beveiligingsmaatregelen van tijd tot tijd kunnen bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen niet resulteren in een vermindering van de algehele beveiliging van de Klantpersoonsgegevens.
5.3 Toegangscontroles. Wij passen de principes van "need to know " en minimaal privilege toe.
5.4 Vertrouwelijkheid van verwerking. We zullen ervoor zorgen dat elke persoon of partij die door ons is gemachtigd om Klantpersoonsgegevens te verwerken (inclusief ons personeel, agenten en Subprocessors) op de hoogte is van de vertrouwelijke aard van dergelijke Klantpersoonsgegevens en een passende geheimhoudingsplicht (zijnde een contractuele of wettelijke plicht) heeft die voortduurt na beëindiging van hun betrokkenheid.
5.5 Reactie en melding van persoonsgegevens inbreuk. Zodra wij op de hoogte zijn van een persoonsgegevensinbreuk, zullen wij zonder onnodige vertraging (i) u informeren, (ii) de persoonsgegevensinbreuk onderzoeken, (iii) tijdige informatie verstrekken met betrekking tot de persoonsgegevensinbreuk naarmate deze bekend wordt of redelijkerwijs door u wordt opgevraagd, en (iv) commercieel redelijke stappen ondernemen om de effecten te beperken en herhaling van de persoonsgegevensinbreuk te voorkomen.
6. Hulp
6.1 Assistentie bij gegevensbescherming. Wij zullen u redelijke hulp bieden om u in staat te stellen te voldoen aan uw verplichtingen onder de wetgeving inzake gegevensbescherming, inclusief de melding van een inbreuk op persoonsgegevens, het beoordelen van het juiste beveiligingsniveau van verwerking en het bijstaan met de uitvoering van een relevante gegevensbeschermingseffectbeoordeling.
6.2 Assistentie bij verzoeken van betrokkenen. Wij zullen u redelijke hulp bieden om u in staat te stellen te voldoen aan uw verplichtingen jegens betrokkenen die hun rechten onder de wetgeving inzake gegevensbescherming uitoefenen, door technische en organisatorische maatregelen via uw account beschikbaar te stellen. Voor de duidelijkheid, u als de gegevensbeheerder bent verantwoordelijk voor het verwerken van elk verzoek of klacht van betrokkenen met betrekking tot de Persoonsgegevens van de klant.
7. Openbaarmaking en Verzoeken om Openbaarmaking
7.1 Beperkingen op openbaarmaking en toegang. We zullen geen toegang geven tot of Customer Persoonsgegevens openbaar maken behalve (i) zoals door u aangegeven, (ii) zoals uiteengezet in de Overeenkomst en deze DPA, of (iii) zoals wettelijk vereist.
7.2 Openbaarmakingsverzoeken. We zullen u zo snel mogelijk op de hoogte stellen als we een verzoek ontvangen van een overheids- of regelgevende instantie om Customer Persoonsgegevens openbaar te maken, tenzij een dergelijke kennisgeving wettelijk verboden is. We zullen openbaarmakingsverzoeken behandelen volgens het beleid voor openbaarmakingsverzoeken dat beschikbaar is op https://bird.com/legal/disclosure-requests.
8. Subprocessors
8.1 Huidige Subverwerkers. U stemt in met de inzet van de Subverwerkers die zijn vermeld op https://www.bird.com/en/legal/privacy#processorList onder de kop “Eindgebruikers Persoonsgegevens”, die een procedure bevat waarmee u zich kunt abonneren op meldingen van wijzigingen in ons gebruik van Subverwerkers. Als u zich abonneert op dergelijke meldingen en rekening houdend met Sectie 8.3 van deze DPA, zullen we details van elke wijziging in Subverwerkers zo spoedig mogelijk delen.
8.2 Gebruik van Subverwerkers. Via deze DPA verleent u ons een algemene schriftelijke toestemming om Subverwerkers in te schakelen voor de verwerking van Klantenpersoonsgegevens, onder voorbehoud van Sectie 8.3 van deze DPA en de volgende vereisten:
a. We zullen de toegang tot Klantenpersoonsgegevens voor Subverwerkers beperken tot wat strikt noodzakelijk is om de in de subverwerkersovereenkomst gespecificeerde diensten te leveren;
b. We zullen gegevensbeschermingsverplichtingen met de Subverwerker overeenkomen die wezenlijk dezelfde zijn als de verplichtingen onder deze DPA; en
c. We blijven jegens u aansprakelijk onder deze DPA voor de uitvoering van de gegevensbeschermingsverplichtingen van de Subverwerker.
8.3 Melding van wijzigingen aan Subverwerkers en recht om bezwaar te maken. Voordat nieuwe Subverwerkers worden vervangen of ingeschakeld (“Subprocessorwijziging”), zullen we u de mogelijkheid geven om bezwaar te maken tegen de Subprocessorwijziging.
U kunt bezwaar maken tegen een Subprocessorwijziging, mits (i) het bezwaar schriftelijk wordt ingediend binnen tien (10) werkdagen na onze kennisgeving van de Subprocessorwijziging en (ii) het bezwaar gebaseerd is op en duidelijk de redelijke gronden uitleggen met betrekking tot de bescherming van Klantenpersoonsgegevens. Wanneer u bezwaar maakt tegen een voorgestelde Subprocessorwijziging, zullen we in goed vertrouwen met u samenwerken om een commercieel redelijke wijziging in de levering van de Diensten door te voeren die het gebruik van de betreffende Subverwerker vermijdt. Als een dergelijke wijziging niet redelijkerwijs binnen dertig (30) werkdagen na ontvangst van uw bezwaarschrift kan worden doorgevoerd, of als de wijziging commercieel onredelijk voor ons is, kan elk van beide partijen de toepasselijke functies van de Diensten beëindigen die niet kunnen worden geleverd zonder gebruik te maken van de betreffende Subverwerker. Dit beëindigingsrecht is uw enige en exclusieve rechtsmiddel indien u bezwaar maakt tegen een Subprocessorwijziging.
9. Grensoverschrijdende overdracht van persoonlijke klantgegevens
9.1 Overdrachten van Klantpersoonsgegevens. We kunnen Klantpersoonsgegevens overdragen op voorwaarde dat alle passende veiligheidsmaatregelen vereist door de gegevensbeschermingswetgeving aanwezig zijn. Dit kan een voorafgaande impactbeoordeling van de gegevensoverdracht inhouden, de adoptie, monitoring en evaluatie van aanvullende technische, organisatorische en juridische maatregelen, afdwingbare rechten van de betrokkene, en dat effectieve wettelijke remedies voor betrokkenen beschikbaar zijn.
9.2 Subverwerker Standaard Contractuele Clausules. Tenzij een adequaatheidsbesluit of alternatief overdrachtsmechanisme van toepassing is, hebben we Standaard Contractuele Clausules afgesloten en zullen we deze onderhouden met Subverwerkers (inclusief onze Gelieerden) buiten de EER, onderhevig aan de voorwaarden in Sectie 9.1 van deze DPA.
9.3 Overdrachtsmechanismen voor Overdrachten van Klantpersoonsgegevens. Voor zover uw gebruik van de Diensten een grensoverschrijdend overdrachtsmechanisme vereist om Klantpersoonsgegevens wettig te exporteren vanuit een jurisdictie (bijv. de EER, Californië, Singapore, Zwitserland of het Verenigd Koninkrijk) naar ons buiten die jurisdictie, is deze sectie van toepassing. Indien, bij de uitvoering van de Diensten, Klantpersoonsgegevens die onderworpen zijn aan de GDPR of enige andere wet met betrekking tot de bescherming of privacy van individuen die van toepassing is op deze DPA worden overgedragen aan MessageBird gelegen in landen die geen adequaat beschermingsniveau bieden volgens de betekenis van de Gegevensbeschermingswetgeving, zullen de onderstaande overdrachtsmechanismen van toepassing zijn op dergelijke overdrachten en kunnen rechtstreeks door de partijen worden afgedwongen voor zover dergelijke overdrachten onderworpen zijn aan de Gegevensbeschermingswetgeving:
9.3.1 De partijen komen overeen dat de Standaard Contractuele Clausules van toepassing zullen zijn op Klantpersoonsgegevens die via de Diensten worden overgedragen vanuit de EER of Zwitserland, hetzij rechtstreeks, hetzij via verdere overdracht, naar een MessageBird-entiteit buiten de EER of Zwitserland die niet wordt erkend door de Europese Commissie (of, in het geval van overdrachten vanuit Zwitserland, de bevoegde autoriteit voor Zwitserland) als zijnde een adequaat beschermingsniveau voor persoonsgegevens.
9.3.1.1 Wanneer u optreedt als een gegevensbeheerder en MessageBird een gegevensverwerker is, zullen de EU-beheerder-naar-verwerker Standaard Contractuele Clausules van toepassing zijn op elke dergelijke overdracht van Klantpersoonsgegevens vanuit de EER. Wanneer u optreedt als een gegevensverwerker en MessageBird een subverwerker is, zullen de Verwerker-naar-subverwerker Standaard Contractuele Clausules van toepassing zijn op elke dergelijke overdracht van Klantpersoonsgegevens vanuit de EER.
9.3.1.2 MessageBird zal worden beschouwd als de gegevensimporteur en u wordt beschouwd als de gegevensexporteur onder de Standaard Contractuele Clausules. Ondertekening door elke partij van deze DPA zal worden behandeld als de ondertekening van de toepasselijke Standaard Contractuele Clausules, die geacht worden te zijn opgenomen in deze DPA. Details vereist onder Bijlage 1 en Bijlage 2 bij de Standaard Contractuele Clausules zijn beschikbaar in Appendix I en Appendix II van deze DPA. In geval van enige conflict of inconsistentie tussen deze DPA en de Standaard Contractuele Clausules, zullen de Standaard Contractuele Clausules voorrang hebben enkel met betrekking tot een overdracht van Klantpersoonsgegevens vanuit de EER.
9.3.1.3 Waar de Standaard Contractuele Clausules de partijen vereisen te kiezen tussen optionele clausules en informatie in te voeren, hebben de partijen dit als volgt gedaan:
De Optionele Clausule 7 "Docking-clausule" zal niet worden aangenomen.
Voor Clausule 9 "Gebruik van sub-verwerkers", kiezen de partijen de volgende optie: "Optie 2 Algemene schriftelijke autorisatie: de gegevensimporteur heeft de algemene toestemming van de beheerder voor de betrokkenheid van sub-verwerker(s) vanaf een overeengekomen lijst. De gegevensimporteur zal de beheerder specifiek schriftelijk informeren over eventuele voorgenomen wijzigingen aan die lijst door de toevoeging of vervanging van sub-processors, ten minste 10 werkdagen van tevoren, waardoor de beheerder voldoende tijd heeft om bezwaar te maken tegen dergelijke wijzigingen voordat de sub-verwerker(s) worden ingeschakeld. De gegevensimporteur moet de gegevensexporteur voorzien van de informatie die nodig is om de gegevensexporteur in staat te stellen zijn recht om bezwaar te maken uit te oefenen. De gegevensimporteur zal de gegevensexporteur informeren over de betrokkenheid van de sub-verwerker(s)."
Voor Clausule 11 (a) "Verhaalsrecht", nemen de partijen de optie niet aan.
Voor Clausule 17 "Toepasselijk recht", kiezen de partijen de volgende optie: "Optie 1. Deze Clausules worden beheerst door het recht van een van de EU-lidstaten, mits die wet voorziet in rechten voor derde begunstigden. De Partijen komen overeen dat dit het recht van Nederland zal zijn."
Voor Clausule 18 (b) "Keuze van Forum en Jurisdictie": "De Partijen komen overeen dat dit de rechtbanken van Nederland zullen zijn."
9.3.2 De partijen komen overeen dat de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules van toepassing zullen zijn op Klantpersoonsgegevens die via de Diensten worden overgedragen vanuit het Verenigd Koninkrijk, hetzij rechtstreeks, hetzij via verdere overdracht, naar een MessageBird-entiteit buiten het Verenigd Koninkrijk die niet wordt erkend door de bevoegde regelgevende autoriteit of overheidsinstantie voor het Verenigd Koninkrijk als zijnde een adequaat beschermingsniveau voor persoonsgegevens.
9.3.2.1 MessageBird zal worden beschouwd als de gegevensimporteur en u wordt beschouwd als de gegevensexporteur onder de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules. Ondertekening door elke partij van deze DPA zal worden behandeld als de ondertekening van de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules, die geacht worden te zijn opgenomen in deze DPA. Details vereist onder Bijlage 1 en Bijlage 2 bij de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules zijn beschikbaar in Appendix I en Appendix II van deze DPA. In geval van enige conflict of inconsistentie tussen deze DPA en de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules, zullen de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules voorrang hebben enkel met betrekking tot overdracht van Klantpersoonsgegevens vanuit het Verenigd Koninkrijk.
10. Audit
10.1 Auditrapport. Ons communicatieplatform wordt regelmatig geaudit volgens de ISO 27001:2013 standaard (of gelijkwaardig). De audit kan, naar eigen goeddunken, een interne audit zijn of een audit uitgevoerd door een derde partij. Op schriftelijk verzoek zullen we u een samenvatting van het auditrapport ("Auditrapport") verstrekken, zodat u onze naleving van de auditstandaarden en deze DPA kunt verifiëren. Dergelijke auditrapporten, evenals eventuele conclusies of bevindingen die daarin zijn gespecificeerd, zijn onze Vertrouwelijke Informatie.
10.2 Klantinformatie-verzoeken. We zullen u alle informatie verschaffen die redelijkerwijs noodzakelijk is om naleving van de verplichtingen vastgelegd in deze DPA aan te tonen. We zullen schriftelijke antwoorden geven op redelijke informatieverzoeken die door u zijn gedaan, inclusief antwoorden op informatiebeveiliging en compliance vragenlijsten die redelijk in omvang zijn en nodig om naleving van deze DPA te bevestigen, mits u (i) eerst redelijke inspanningen heeft gedaan om de gevraagde informatie uit de documentatie, auditrapporten en andere door ons verstrekte of openbaar gemaakte informatie te verkrijgen, en (ii) dit recht niet vaker dan één keer per jaar zult uitoefenen, tenzij een datalek of significante verandering in onze verwerkingsactiviteiten met betrekking tot de diensten vereist dat een extra vragenlijst wordt uitgevoerd. Alle verstrekte antwoorden zijn onze Vertrouwelijke Informatie.
10.3 Klant Audit. Als een door ons aan u verstrekt auditrapport u gegronde redenen geeft om te geloven dat we in overtreding zijn van onze verplichtingen onder deze DPA, met betrekking tot de door u verstrekte klantpersoonsgegevens, zullen we een door u aangestelde en door ons goedgekeurde onafhankelijke en gekwalificeerde externe auditor toestaan om de relevante toepasselijke verwerkingsactiviteiten van Persoonsgegevens te auditeren, mits aan de volgende eisen is voldaan:
a. U dient ons minstens zestig (60) dagen van tevoren redelijke kennisgeving te geven voordat u het recht om te auditeren uitoefent;
b. De auditor gaat akkoord met marktstandaard vertrouwelijkheidsverplichtingen met ons;
c. U en de auditor treffen maatregelen om verstoring van onze bedrijfsactiviteiten tot een minimum te beperken;
d. De audit zal tijdens reguliere kantooruren worden uitgevoerd;
e. Wij zijn niet verplicht toegang te geven tot klantgegevens van andere klanten of systemen die niet betrokken zijn bij de levering van de diensten; en
f. U dient alle kosten van de audit te betalen.
11. Verwijdering en Terugkeer van Klantpersoonsgegevens
Bij beëindiging of afloop van de Overeenkomst zullen wij (naar uw keuze) alle Klant Persoonsgegevens (inclusief kopieën) in ons bezit of onder onze controle verwijderen of aan u retourneren, met dien verstande dat deze eis niet van toepassing zal zijn voor zover wij wettelijk verplicht zijn om sommige of alle Klant Persoonsgegevens te bewaren. Als u ons opdraagt Klant Persoonsgegevens te verwijderen, zullen deze Klant Persoonsgegevens die in ons back-upsysteem zijn gearchiveerd, worden beschermd tegen verdere verwerking en verwijderd worden wanneer de vereiste bewaarperiode is verstreken.
12. Klant Affiliatie Communicatie en Rechten
Het aangaan van deze AVV in naam en namens een Klant Affiliate zoals uiteengezet in Sectie 1.2 vormt een afzonderlijke AVV tussen ons en die Klant Affiliate, onderworpen aan het volgende:
12.1. Communicatie. De Klant die de contractpartij is bij de Overeenkomst blijft verantwoordelijk voor het coördineren van alle communicatie met ons onder deze AVV en is gerechtigd om alle communicatie met betrekking tot deze AVV namens zijn Klant Affiliates te maken en te ontvangen.
12.2 Rechten van Klant Affiliates. Wanneer een Klant Affiliate een partij wordt bij de AVV met ons, is deze, voor zover vereist onder de Wetgeving inzake Gegevensbescherming, gerechtigd om de rechten uit te oefenen en rechtsmiddelen te zoeken onder deze AVV, onderworpen aan het volgende:
(i) Tenzij de Wetgeving inzake Gegevensbescherming vereist dat de Klant Affiliate een recht uitoefent of een rechtsmiddel zoekt onder deze AVV direct tegen MessageBird, komen de partijen overeen dat (i) uitsluitend de Klant die de contractpartij bij de Overeenkomst is, enig dergelijk recht zal uitoefenen of dergelijk rechtsmiddel namens de Klant Affiliate zal zoeken, en (ii) de Klant die de contractpartij bij de Overeenkomst is, dergelijke rechten onder deze AVV niet afzonderlijk voor elke Klant Affiliate individueel zal uitoefenen, maar op een gecombineerde manier voor zichzelf en al zijn Klant Affiliates samen.
(ii) De partijen komen overeen dat de Klant die de contractpartij bij de Overeenkomst is, wanneer een audit ter plaatse van de procedures relevant voor de bescherming van Klant Persoonsgegevens namens hem wordt uitgevoerd zoals uiteengezet in Sectie 10.3 van deze AVV, alle redelijke maatregelen zal nemen om de impact op ons te beperken door, voor zover redelijkerwijs mogelijk, meerdere auditverzoeken namens zichzelf en al zijn Klant Affiliates in één enkele audit te combineren.
Voor de duidelijkheid, een Klant Affiliate wordt geen contractpartij bij de Overeenkomst.
13. California Consumer Privacy Act
Wij doen de volgende aanvullende toezeggingen aan u met betrekking tot de verwerking van Klantpersoonsgegevens binnen de reikwijdte van de CCPA.
13.1 Onze Verplichtingen. Wij zullen voldoen aan de CCPA en alle Klantpersoonsgegevens die onder de CCPA vallen (“CCPA Persoonsgegevens”) behandelen in overeenstemming met de bepalingen van de CCPA. Met betrekking tot CCPA Persoonsgegevens zijn wij een dienstverlener onder de CCPA. Wij zullen geen (a) CCPA Persoonsgegevens verkopen; (b) CCPA Persoonsgegevens bewaren, gebruiken of onthullen voor enig ander doel dan voor het specifieke doel van het leveren van de Diensten, inclusief bewaren, gebruiken of onthullen van CCPA Persoonsgegevens voor een commercieel doel dat niet het leveren van de Diensten betreft; of (c) CCPA Persoonsgegevens bewaren, gebruiken of onthullen buiten onze directe zakelijke relatie met u. De verwerking van CCPA Persoonsgegevens die door uw instructies in de Voorwaarden en deze DPA is toegestaan, is integraal aan onze levering van de Diensten. U erkent en stemt ermee in dat onze toegang tot Klantgegevens geen deel uitmaakt van de onder de Overeenkomst uitgewisselde tegenprestatie. Voor zover enig gebruiksgegevens CCPA Persoonsgegevens zijn, zijn wij het bedrijf met betrekking tot dergelijke gegevens en zullen wij die gegevens verwerken in overeenstemming met onze Privacyverklaring. De termen "bedrijf", "commercieel doel", "dienstverlener" en "verkopen" zoals gebruikt in deze Sectie 13.1 hebben de betekenissen die aan hen worden gegeven in de CCPA. Beide partijen certificeren dat zij begrijpen en zullen voldoen aan de verplichtingen en beperkingen uiteengezet in deze DPA en de Overeenkomst zoals vereist onder de CCPA.
13.2 Klantverplichtingen. U verklaart en garandeert dat u de Gebruiker op de hoogte heeft gesteld dat de Persoonsgegevens worden gebruikt of gedeeld in overeenstemming met de voorwaarden zoals voorzien in Sectie 1798.140(t)(2)(C)(i) van de CCPA. U bent verantwoordelijk voor de naleving van de vereisten van de CCPA die op u van toepassing zijn als gegevenscontroller.
14. Toepasselijk Recht en Geschillenbeslechting
Sectie 13 van de Voorwaarden is van toepassing op eventuele geschillen die voortvloeien uit of verband houden met deze DPA, tenzij anders vereist door de gegevensbeschermingswetgeving.
BIJLAGE I - DETAILS VAN DE VERWERKING
Waar van toepassing, dient deze Bijlage 1 als Bijlage I bij de EER-standaardcontractbepalingen.
Bijlage I, Deel A. Lijst van Partijen
Gegevensexporteur: Klant
Contactgegevens gegevensexporteur: Het adres vermeld in het account van de Klant, of het e-mailadres van de eigenaar van het account van de Klant, of naar het e-mailadres(sen) waarvoor de Klant kiest om kennisgevingen te ontvangen onder de Overeenkomst.
Rol van de gegevensexporteur: De rol van de gegevensexporteur is uiteengezet in Sectie 4 van de DPA.
Handtekening en datum: Indien en wanneer van toepassing, wordt de gegevensexporteur geacht de hierin opgenomen standaardcontractbepalingen te hebben ondertekend vanaf de ingangsdatum van de DPA.
Gegevensimporteur: MessageBird B.V.
Contactgegevens gegevensimporteur: Trompenburgstraat 2-C, 1079TX, Amsterdam, Nederland, Functionaris Gegevensbescherming - privacy@bird.com
Rol van de gegevensimporteur: De gegevensimporteur treedt op als gegevensverwerker.
Handtekening en datum: Indien en wanneer van toepassing, wordt de gegevensimporteur geacht de hierin opgenomen standaardcontractbepalingen te hebben ondertekend vanaf de ingangsdatum van de DPA.
Bijlage I, Deel B. Beschrijving van de Overdracht
1. Categorieën van betrokkenen wiens Persoonsgegevens worden overgedragen: Gebruikers. Contactpersonen van de Klant (natuurlijke personen) of werknemers, opdrachtnemers of tijdelijke werknemers (huidige, potentiële, voormalige) die de Diensten gebruiken via het account van de Klant (“Gebruikers”); Eindgebruikers. Elke persoon (i) wiens contactgegevens zijn opgenomen in de contactenlijst(en) van de Klant; (ii) wiens informatie wordt opgeslagen op of verzameld via de Diensten, of (ii) aan wie de Klant communicatie stuurt of anderszins betrekt of communiceert via de Diensten (gezamenlijk, “Eindgebruikers”). Jij als klant bepaalt alleen de categorieën van betrokkenen die zijn opgenomen in de communicatie verzonden via ons communicatieplatform.
2. Categorieën van Persoonsgegevens die worden overgedragen: Persoonsgegevens van de klant vervat in, communicatie-inhoud, verkeersgegevens, eindgebruikersgegevens en klantgebruikgegevens. Communicatie-inhoud, die Persoonsgegevens of andere gepersonaliseerde kenmerken kan bevatten, afhankelijk van de communicatie-inhoud zoals bepaald door u als Klant. Verkeersgegevens, die Persoonsgegevens van de klant kunnen bevatten over de routering, duur of timing van een communicatie zoals een spraakoproep, sms of e-mail, of het nu betrekking heeft op een individu of een bedrijf. Eindgebruikersgegevens, zoals telefoonnummer, e-mailadres, voornaam, achternaam, profielnaam, land, kanaalidentifier. Klantgebruikgegevens, kunnen gegevens bevatten die aan u als individu kunnen worden gekoppeld opgenomen in statistische gegevens en informatie met betrekking tot uw account en serviceactiviteiten, servicegerelateerde inzichten en analytische rapporten over verzonden communicatie en klantenondersteuning.
3. Gevoelige gegevens overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de betrokken risico's, zoals bijvoorbeeld strikte doellimiet, toegangsbeperkingen (waaronder toegang alleen voor medewerkers die een gespecialiseerde opleiding hebben gevolgd), het bijhouden van een toegangsregister tot de gegevens, beperkingen voor verdere overdrachten of aanvullende beveiligingsmaatregelen.
(a) Communicatie-inhoud. Gevoelige gegevens kunnen van tijd tot tijd worden verwerkt via de Diensten waar u of uw eindgebruikers ervoor kiezen om gevoelige gegevens op te nemen in de communicatie die via de Diensten wordt verzonden. U bent verantwoordelijk voor het waarborgen van passende waarborgen voordat u gevoelige gegevens verzendt of verwerkt, of voordat u uw eindgebruikers toestaat om gevoelige gegevens via de Diensten te verzenden of verwerken, in overeenstemming met Sectie 3.2 van de Overeenkomst.
(b) Verkeersgegevens, eindgebruikersgegevens en klantgebruikgegevens. Gevoelige gegevens zijn niet aanwezig in verkeersgegevens, eindgebruikersgegevens of klantgebruikgegevens.
4. De frequentie van de overdracht (bijvoorbeeld of de gegevens op een eenmalige of continue basis worden overgedragen): Persoonsgegevens van de klant worden op continue basis overgedragen voor de duur van de Overeenkomst.
5. De aard van de verwerking: Wij verwerken Persoonsgegevens van de klant voor zover nodig om de Diensten onder de Overeenkomst te verlenen. Wij verkopen geen enkele Persoonsgegevens, inclusief Persoonsgegevens van de klant, en delen geen Persoonsgegevens met derden voor compensatie of voor zakelijke belangen van deze derden.
6. Doel(en) van de gegevensoverdracht en verdere verwerking: Wij verwerken Persoonsgegevens van de klant als gegevensverwerker in overeenstemming met de instructies van de Klant zoals uiteengezet in deze DPA, tenzij verwerking nodig is voor naleving van een wettelijke verplichting waaraan wij onderworpen zijn, in welk geval wij als gegevensbeheerder handelen.
Communicatie-inhoud, verkeersgegevens,, Eindgebruikers gegevens en klantgebruikgegevens. Persoonsgegevens vervat in communicatie-inhoud, verkeersgegevens, eindgebruikersgegevens en klantgebruikgegevens zullen worden onderworpen aan de volgende basisverwerkingsactiviteiten:
(a) Communicatie-inhoud. De levering van programmeerbare communicatieproducten en -diensten, aangeboden in de vorm van applicatieprogrammatie-interfaces (API's) of via het Dashboard, aan de Klant, inclusief verzending naar of van het softwareapplicatie van de klant naar of van ons communicatieplatform, en andere communicatienetwerken.
(b) Verkeersgegevens. Verkeersgegevens worden verwerkt met als doel communicatie door te sturen via een elektronisch communicatienetwerk of voor de facturering in verband met die communicatie. Dit kan Persoonsgegevens van de klant omvatten over de routering, duur of timing van een communicatie zoals een spraakoproep, sms of e-mail, of het nu betrekking heeft op een individu of een bedrijf.
(c) Eindgebruikersgegevens. Persoonsgegevens van Eindgebruikers zijn vereist om de Diensten uit te voeren en worden alleen verwerkt met het oog op het verzenden van communicatie, klantenondersteuning en het waarborgen van de naleving van wettelijke verplichtingen van MessageBird.
(d) Klantgebruikgegevens. Persoonsgegevens vervat in klantgebruikgegevens worden onderworpen aan de verwerkingsactiviteiten van het verlenen van de Diensten onder de Overeenkomst, met als doel het verstrekken van inzichten en analytische rapporten aan de klant met betrekking tot de communicatie verzonden, klantenondersteuning, en voortdurende verbetering van de Diensten.
7. De periode waarvoor de Persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen:
(a) Communicatie-inhoud en verkeersgegevens. Voor klantinhoud en verkeersgegevens vervat in de SMS- en Spraakdiensten geldt een bewaartermijn van zes maanden;
Voor de Diensten van 24sessions worden klantinhoud en verkeersgegevens bewaard voor een minimum van 30 dagen tot de duur zoals overeengekomen met u;
Voor alle andere diensten worden klantinhoud en verkeersgegevens bewaard voor de duur van de Diensten, behalve als u klantinhoud of verkeersgegevens verwijdert via de technische en organisatorische maatregelen die u worden aangeboden via de Diensten.
(b) Eindgebruikersgegevens. Eindgebruikersgegevens worden verwerkt voor de door de Klant bepaalde duur, wanneer eindgebruikersgegevens zijn opgenomen in uw contactprofielen is de standaard bewaartermijn voor de duur van de Diensten, onderhevig aan Sectie 6(c) van deze Bijlage I, Deel B.
(c) Klantgebruikgegevens. Na beëindiging van de Overeenkomst kunnen wij klantgebruikgegevens bewaren, gebruiken en openbaar maken voor de doeleinden uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B, onder voorbehoud van de geheimhoudingsverplichtingen uiteengezet in de Overeenkomst. Wij zullen klantgebruikgegevens anonimiseren of verwijderen wanneer we deze niet langer nodig hebben voor de doeleinden uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B.
8. Voor overdrachten naar (sub)verwerkers, specificeer ook het onderwerp, de aard en de duur van de verwerking: Voor overdrachten naar Subprocessors is het onderwerp en de aard van de verwerking uiteengezet bij https://www.bird.com/legal/privacy#processorList en is de duur voor de periode van de Overeenkomst.
Bijlage I, Deel C. Bevoegde Toezichthoudende Autoriteit
De Autoriteit Persoonsgegevens zal de bevoegde toezichthoudende autoriteit zijn.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Waar van toepassing zal deze Bijlage II dienen als Bijlage II bij de Standaardcontractbepalingen. Het volgende geeft meer informatie over onze hieronder vermelde technische en organisatorische beveiligingsmaatregelen.
Technische en organisatorische beveiligingsmaatregelen:
Maatregelen voor pseudonimisering en bescherming van Persoonsgegevens tijdens opslag en overdracht: Alle Persoonsgegevens worden versleuteld tijdens overdracht en opslag, en, voor zover relevant vanuit een beveiligingsstandpunt, behandeld alsof ze als gevoelige gegevens zijn geclassificeerd. Informatie wordt altijd standaard verzonden via TLS met geactualiseerde versleutelingsmethodieken.
Maatregelen om voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkende systemen en diensten te waarborgen: we sluiten overeenkomsten met vertrouwelijkheidsbepalingen met onze werknemers, opdrachtnemers, leveranciers en Subverwerkers. Ons continuïteitsbeleid voor het bedrijfsleven is om ons bedrijf en diensten voor te bereiden op langdurige uitval veroorzaakt door factoren buiten onze controle en om diensten zo breed mogelijk te herstellen in een minimale tijdsperiode. We begrijpen dat de diensten die we leveren van cruciaal belang zijn voor onze klanten en hebben daarom zeer weinig tolerantie voor verstoringen van de dienstverlening. Onze hersteltermijnen zijn ontworpen om ervoor te zorgen dat we aan onze verplichtingen aan al onze klanten kunnen voldoen.
Processen voor regelmatige testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen: Het doel van informatiebeveiliging en ons Information Security Management System (ISMS) is om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie voor de organisatie, werknemers, partners, klanten en de (geautoriseerde) informatiesystemen te beschermen en om het risico op schade te minimaliseren door het voorkomen van beveiligingsincidenten en het beheren van beveiligingsbedreigingen en -kwetsbaarheden. Ons juridische team, Functionaris voor gegevensbescherming en, het Beveiligings- en Compliance Team zorgen ervoor dat toepasselijke regelgeving en normen worden verwerkt in onze beveiligingskaders.
Maatregelen voor gebruikersidentificatie en autorisatie: Wij volgen de principes van “need to know” en “least privilege”. Wij promoten het gebruik van op rol gebaseerde toegangssturing. De toewijzing en intrekking van toegang wordt gecontroleerd door het beveiligingsteam, met Single-Sign-On en 2FA standaard. Voor elk informatie-eigendom zijn Eigenaren gedefinieerd die verantwoordelijk zijn voor het waarborgen dat toegang tot hun systemen geschikt is en regelmatig wordt beoordeeld. Wanneer we omgaan met gevoelige informatie of kritieke acties ondernemen, gebruiken we het vier-ogenprincipe.
Maatregelen voor het loggen van gebeurtenissen: Auditlogs worden centraal opgeslagen en regelmatig gecontroleerd op beveiligingsgebeurtenissen en worden veilig bewaard om risico op knoeien te vermijden. Het Incident Management Beleid handhaaft het incident responsplan en zijn procedures. Deze richtlijnen worden gevolgd als er zich enige vorm van beveiligings- of technisch incident voordoet. Als er beveiligingsincidenten zijn, worden deze regelmatig beoordeeld door het Security Steering Committee, dat bestaat uit senior belanghebbenden van over het hele bedrijf.
Maatregelen voor de systeemconfiguratie, inclusief standaardconfiguratie: Wij volgen een consistent wijzigingsmanagementproces voor alle wijzigingen in de productieomgeving van het Communicatieplatform als een Dienst. Om verder uit te leggen, alle verzoeken tot wijzigingen (RFC) moeten worden goedgekeurd door een aangewezen partij en worden uitgevoerd volgens het formele wijzigingscontrolesysteem. Het controlesysteem zorgt ervoor dat voorgestelde wijzigingen worden beoordeeld, geautoriseerd, getest, geïmplementeerd en vrijgegeven op een gecontroleerde manier; en dat de status van elke voorgestelde verandering wordt gevolgd. Configuratie-baselines worden gevolgd om de systemen veilig te configureren door best-practices te volgen. Ook binnen de Engineering afdeling wordt een tech radar gebruikt om te bepalen welke technologieën (talen, platformtools, databases en gegevensbeheerhulpmiddelen) kunnen worden aangenomen of moeten worden vermeden tijdens de ontwikkeling.
Maatregel voor fysieke beveiliging: Wij promoten actief een “Werk vanaf eender waar” beleid, zodat onze werknemers vrij zijn om te werken vanaf elke plek die ze willen. Echter, we hebben nog steeds onze kantoorlokalen. We hebben geen beveiligde gebieden/datacenters op onze locatie omdat we een volledig cloud-gebaseerd bedrijf zijn. Onze kantoorvloeren worden beschermd door fysieke toegangscontroles, CCTV en bemande beveiliging.
Maatregelen voor interne IT en IT beveiligingsbeheer en -beheer: Wij handhaven een op risico gebaseerde veiligheidsbeoordelingsprogramma, wat administratieve, organisatorische, technische en fysieke beveiligingen omvat die zijn ontworpen om de Diensten en de vertrouwelijkheid, integriteit en beschikbaarheid van Klantengegevens te beschermen. Ons informatiebeveiligingsprogramma is op een systematische en goed georganiseerde manier opgezet. Bovendien gelden er wettelijke en regelgevende vereisten om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie voor de organisatie, werknemers, partners en klanten te waarborgen. Al deze worden vertaald in onze informatiebeveiligingsbeleid, procedures en richtlijnen. We hebben een Security Steering Committee dat verantwoordelijk is voor het tactische niveau van informatiebeveiliging. Dit houdt de coördinatie van informatiebeveiligingsactiviteiten en de vertaling van strategische activiteiten naar operationele activiteiten voor onze beveiliging, en ons continue onderhoud aan reglementaire naleving in. Alle medewerkers zijn verantwoordelijk voor het veiligstellen van bedrijfseigendommen. Al onze medewerkers worden gescreend op deskundigheid, ervaring en integriteit. Medewerkers worden geïnformeerd over beveiliging en gegevensbescherming tijdens de introductiefase, als ook door middel van reguliere teamspecifieke trainingen, en andere bedrijfstakbrede alle-handige presentaties over het belang van gegevensbescherming en naleving van beveiligingsmaatregelen. MessageBird is ISO/IEC 27001:2013 gecertificeerd, de wereldwijd erkende normen voor informatiebeveiligingsbeheer voor Informatiebeveiligingssystemen (ISMS).
Al onze hostingproviders zijn ISO/IEC 27001:2013 compliant.
We zijn ook geregistreerd bij de Autoriteit Consument & Markt. Dit betekent dat we altijd verantwoordelijkheid dragen en volledig transparant zijn naar onze klanten.
We zijn een geassocieerd lid van de Groupe Speciale Mobile Association (GSMA). De GSMA vertegenwoordigt de belangen van mobiele operators wereldwijd. We zijn altijd up-to-date met alle toepasselijke wetten en regelgeving, inclusief de Algemene Verordening Gegevensbescherming.
Maatregelen voor certificeringen/zekerheid van processen en producten: Wij ondergaan rigoureuze toezicht- evenals certificeringsaudits als onderdeel van onze ISO/IEC 27001:2013 compliance, en voeren regelmatig applicatiekwetsbaarheid- en penetratietesten uit. MessageBird hanteert een uniforme aanpak voor patch- en kwetsbaarheidsbeheer om ervoor te zorgen dat onze standaard SLA-tijdlijnen worden gehandhaafd, ongeacht of er kwetsbaarheden bestaan in onze onderliggende infrastructuur, operationele platforms of broncode.
Maatregelen voor applicatiebeveiliging: We zorgen voor de veiligheid van onze applicaties tijdens de ontwerp- en ontwikkelingsfase op basis van de MessageBird Secure Code Richtlijnen.
Geschikte correcties worden geïmplementeerd vóór release.
Codewijzigingen worden beoordeeld door bekwame individuen (die bekend zijn met code review en veilige ontwikkeling) anders dan de oorspronkelijke ontwikkelaars.
Applicaties worden onderworpen aan rigoureuze applicatiebeveiligingstests om jaarlijks (in overeenstemming met industriestandaarden en best practices) eventuele nieuwe bedreigingen en kwetsbaarheden te identificeren.
Alle codewijzigingen die worden toegepast op productieomgevingen worden beoordeeld met behulp van handmatige en/of geautomatiseerde processen.
Penetratietesten worden jaarlijks en geval per geval uitgevoerd op nieuwe producten/functies. Geautomatiseerde analysetools voor broncode worden gebruikt om beveiligingsfouten in de code vóór implementatie te detecteren, op basis van de taal.
Maatregelen voor onthullen van kwetsbaarheden: We waarderen beveiligingsonderzoekers die kwetsbaarheden op ons platform hebben gevonden om contact met ons op te nemen en hun bevindingen te sturen naar security@bird.com. We hebben een toegewijd beveiligingsteam dat opvolging geeft en uitnodigingen stuurt voor ons bug bounty-programma om te onderzoeken en waar nodig te remediëren.
Maatregelen om verantwoordelijkheid te garanderen: Wij implementeren informatiebeveiligings- en gegevensbeschermingsbeleid in overeenstemming met de toepasselijke wetten en publiceren een overzicht van onze ISMS-relevante informatie (link). We hebben een toegewijde VP, Compliance en Informatiebeveiliging aangesteld en een Functionaris voor gegevensbescherming, en onderhouden documentatie van onze verwerkingsactiviteiten, inclusief het registreren en rapporteren van beveiligingsincidenten waarbij Persoonsgegevens betrokken zijn, waar van toepassing.
Inhoud