Gegevensverwerkingsovereenkomst
Deze Data Processing Agreement is van toepassing op u als u zich heeft aangemeld voor de diensten van MessageBird (inclusief via een van zijn Affiliates) op of na 28 februari 2022 en voor 1 januari 2024. Van kracht vanaf 15 april 2022, zal deze Data Processing Agreement ook van toepassing zijn op klanten die zich voor 28 februari 2022 hebben aangemeld voor de diensten van MessageBird. Onze gearchiveerde Data Processing Agreement is beschikbaar hier.
Documents
Inhoud
Deze gegevensverwerkingsovereenkomst inclusief de bijlagen (de “DPA”) maakt deel uit van de Overeenkomst tussen Klant en de contractpartij vermeld in Sectie 15 (Contractpartij) van de Algemene Voorwaarden, tenzij anders vermeld op uw Bestelformulier. In deze DPA verwijzen de termen “u”, “uw”, of “Klant” naar u (onderhevig aan Sectie 1.2 hieronder), en de termen “wij”, “ons,” “onze” of “MessageBird” verwijzen naar ons.
1. Scope, Customer Affiliates and Term
1.1 Reikwijdte. Dit DPA regelt de verwerking van Klantpersoonsgegevens door MessageBird als verwerker.
1.2 Klantbedrijven. Klant gaat dit DPA aan namens zichzelf en, voor zover vereist onder de wetgeving inzake gegevensbescherming, in naam en namens zijn Gelieerde Ondernemingen (zoals gedefinieerd in de voorwaarden), indien en voor zover je dergelijke Gelieerde Ondernemingen toegang verleent tot de Diensten en wij Klantpersoonsgegevens verwerken waarvoor dergelijke Gelieerde Ondernemingen kwalificeren als de gegevensbeheerder (“Klantbedrijven”). Voor de doeleinden van dit DPA alleen, en tenzij anders aangegeven, omvatten de termen “Klant” en “je/jij” zowel Klant als Gelieerde Ondernemingen.
1.3 Looptijd. Dit DPA blijft van kracht zolang MessageBird Klantpersoonsgegevens verwerkt onderhevig aan dit DPA, ongeacht het verstrijken of beëindigen van de Overeenkomst.
2. Definities
Gecapitaleerde termen die in deze DPA worden gebruikt maar niet zijn gedefinieerd, hebben de betekenis die aan hen wordt gegeven in de Overeenkomst. De volgende gedefinieerde termen worden gebruikt in deze DPA:
2.1 “CCPA” betekent de California Consumer Privacy Act van 2018 en alle daaronder uitgevaardigde regelgeving, in elk geval, zoals van tijd tot tijd gewijzigd.
2.2 “Customer Data” betekent alle gegevens en andere informatie of inhoud die door u wordt ingediend of voor u (of door een gebruiker van uw Customer Application) onder de Overeenkomst en verwerkt of opgeslagen door de Diensten.
2.3 “Customer Personal Data” betekent Persoonsgegevens die zijn opgenomen in Customer Data. Accountgegevens zijn geen Customer Personal Data. Accountgegevens zijn alle gegevens die door of voor u aan MessageBird worden verstrekt in verband met het aangaan en beheren van de Overeenkomst en van uw account, inclusief maar niet beperkt tot contactinformatie, klantfactureringsgegevens en correspondentie over het aangaan en beheer van de Overeenkomst.
2.4 “Data Protection Legislation” betekent alle wetten en regelgevingen van enige jurisdictie die van toepassing zijn op de vertrouwelijkheid, privacy, beveiliging of verwerking van Persoonsgegevens onder de Overeenkomst, inclusief, waar van toepassing, de GDPR, de CCPA en alle andere wetten en regelgevingen met betrekking tot privacy, directe marketing of gegevensbescherming.
2.5 “EEA” betekent, voor de doeleinden van deze DPA, de Europese Economische Ruimte en Zwitserland.
2.6 “EU Controller-to-Processor Standard Contractual Clauses” betekent de “Controller to Processor” (Module 2) modules van de Standards Contractuele Clausules voor de overdracht van Persoonsgegevens naar derde landen volgens GDPR en het Europese Commissie Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021.
2.7 “EU Processor-to-Subprocessor Standard Contractual Clauses” betekent de “Processor to Processor” (Module 3) modules van de Standards Contractuele Clausules voor de overdracht van Persoonsgegevens naar derde landen volgens GDPR en het Europese Commissie Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021.
2.8 “GDPR” betekent ofwel (i) de Verordening 2016/679 van het Europees Parlement en de Raad inzake de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming); of (ii) uitsluitend met betrekking tot het Verenigd Koninkrijk, de Data Protection Act 2018.
2.9 “LGPD” betekent de Lei Geral de Proteção de Dados van 2018 en alle daaronder uitgevaardigde regelgeving, in elk geval, zoals van tijd tot tijd gewijzigd.
2.10 “Personal Data” betekent alle informatie die betrekking heeft op een direct of indirect geïdentificeerde of identificeerbare natuurlijke persoon.
2.11 “PDPA” betekent de Personal Data Protection Act van 2012 en alle daaronder uitgevaardigde regelgeving, in elk geval, zoals van tijd tot tijd gewijzigd.
2.12 “Privacy Statement” betekent de dan geldende Privacy Statement voor de Diensten beschikbaar op https://bird.com/legal/privacy.
2.13 “Personal Data Breach” betekent elke toevallige, ongeautoriseerde of onwettige vernietiging, verlies, wijziging, openbaarmaking van of toegang tot Customer Personal Data.
2.14 “Services” betekent alle producten en diensten die door ons of onze Gelieerde Ondernemingen worden geleverd die (a) door u worden besteld onder enige Orderformulier; of (b) door u worden gebruikt.
2.15 “Standard Contractual Clauses” betekent ofwel (i) de EU Controller-to-Processor Standard Contractual Clauses; of (ii) de EU Processor-to-Subprocessor Standard Contractual Clauses, individueel of gezamenlijk, zoals van toepassing.
2.16 “Subprocessor” betekent de entiteit die Customer Personal Data verwerkt namens een entiteit die optreedt als een gegevensverwerker of een Subprocessor.
2.17 “UK Controller-to-Processor Standard Contractual Clauses” betekent de standaard contractuele clausules voor de overdracht van Persoonsgegevens aan verwerkers gevestigd in derde landen in de vorm zoals uiteengezet door de Europese Commissie Besluit 2010/87/EU, zoals kan worden gewijzigd, aangepast of vervangen door de Europese Commissie.
Termen zoals “verwerking”, “gegevensbeheerder”, “gegevensverwerker”, “gegevenseigenaar”, enz. hebben de betekenis die aan hen is toegekend onder de GDPR. De definitie van “gegevensbeheerder” omvat “bedrijf”, “beheerder” en “organisatie”; "gegevensverwerker" omvat “dienstverlener”, “verwerker” en “gegevensintermediair”; “gegevenseigenaar” omvat “consument”, en “individu”; en “Persoonsgegevens” omvat “persoonlijke informatie”, in elk geval zoals gedefinieerd onder de CCPA, LGPD of PDPA.
3. Verwerking van Persoonsgegevens van Klanten
3.1 Doeleinden. Wij zullen Klant Persoonsgegevens alleen verwerken voor zover nodig (i) om de Diensten te verlenen, inclusief transmissie van communicatie, het waarborgen van de beveiliging van de diensten, het verstrekken van technische en leveringsrapporten, het bieden van ondersteuning en het ontwikkelen en implementeren van verbeteringen en updates in overeenstemming met uw gedocumenteerde instructies aan ons als een gegevensverwerker zoals gespecificeerd in Sectie 3.2 van deze DPA, en (ii) voor onze legitieme zakelijke doeleinden zoals gespecificeerd in Sectie 3.4 van deze DPA als een gegevensbeheerder. Wij verkopen geen Persoonsgegevens, inclusief Klant Persoonsgegevens, en delen geen Persoonsgegevens met derde partijen voor compensatie of voor de zakelijke belangen van die derde partijen.
3.2 Instructies. De Overeenkomst en deze DPA vormen uw volledige instructies aan ons als een gegevensverwerker op het moment van ondertekening van deze DPA. We zullen voldoen aan andere redelijk gedocumenteerde instructies, mits deze instructies consistent zijn met de voorwaarden van de Overeenkomst.
3.3 Details van verwerking. Bijlage I, Deel B. (Beschrijving van overdracht) van deze DPA specificeert verder de aard en het doel van de verwerking, de verwerkingsactiviteiten, de duur van de verwerking, de soorten Persoonsgegevens en categorieën van betrokkenen door ons als gegevensverwerker of Subverwerker.
3.4 Legitieme zakelijke doeleinden. U erkent dat wij Klant Persoonsgegevens verwerken als een onafhankelijke gegevensbeheerder voor zover nodig voor de volgende legitieme zakelijke doeleinden: facturering, accountbeheer, financiële en interne rapportage, het bestrijden en voorkomen van veiligheidsbedreigingen, cyberaanvallen en cybercriminaliteit die ons of onze diensten kunnen aantasten, bedrijfsmodellering (bijv. prognoses, capaciteits- en omzetplanning, productstrategie), fraude, spam en misbruik preventie en detectie, productverbetering, en om aan onze wettelijke verplichtingen te voldoen.
4. Customer Obligations
4.1 Rechtmatigheid. Waar u optreedt als een verantwoordelijke voor de verwerking van Klantpersoonsgegevens, garandeert u dat alle verwerkingsactiviteiten rechtmatig zijn, een specifiek doel hebben en dat alle vereiste kennisgevingen en toestemmingen of andere passende juridische basis zijn geregeld om rechtmatige overdracht van de Klantpersoonsgegevens mogelijk te maken. Als u een gegevensverwerker bent (in dat geval treden wij op als Subverwerker), zorgt u ervoor dat de relevante verwerkingsverantwoordelijke garandeert dat aan de voorwaarden zoals vermeld in deze Sectie 4.1 wordt voldaan.
4.2 Naleving. U bent als enige verantwoordelijk voor (a) ervoor zorgen dat u voldoet aan de toepasselijke Wetgeving Persoonsgegevens met betrekking tot uw gebruik van de Diensten en uw eigen verwerking van Klantpersoonsgegevens, (b) een onafhankelijke beoordeling maken of de technische en organisatorische maatregelen van de Diensten aan uw vereisten voldoen, en (c) het implementeren en onderhouden van privacy- en beveiligingsmaatregelen voor componenten die u levert of controleert (inclusief maar niet beperkt tot wachtwoorden, apparaten die gebruikt worden met de Diensten en Klantapplicaties).
5. Beveiliging
5.1 Beveiligingsmaatregelen. Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van gegevensverwerking, evenals het risico van wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen wij passende technische en organisatorische beveiligingsmaatregelen implementeren en handhaven om Klantpersoonsgegevens te beschermen tegen persoonsgegevens inbreuken en om de veiligheid, integriteit, beschikbaarheid, veerkracht en vertrouwelijkheid van de Klantgegevens te behouden die onze systemen gebruiken voor de verwerking van Klantgegevens. De door ons toegepaste beveiligingsmaatregelen zijn beschreven in Bijlage II.
5.2 Updates van beveiligingsmaatregelen. U bent verantwoordelijk voor het beoordelen van de door ons beschikbaar gestelde informatie met betrekking tot de beveiliging van Klantpersoonsgegevens en het op onafhankelijke wijze bepalen of dergelijke informatie aan uw vereisten en wettelijke verplichtingen onder de gegevensbeschermingswetgeving voldoet. U erkent dat de beveiligingsmaatregelen onderhevig zijn aan technische vooruitgang en ontwikkeling, en dat wij onze beveiligingsmaatregelen van tijd tot tijd kunnen bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen niet resulteren in een vermindering van de algehele beveiliging van de Klantpersoonsgegevens.
5.3 Toegangscontroles. Wij passen de principes van "need to know " en minimaal privilege toe.
5.4 Vertrouwelijkheid van verwerking. We zullen ervoor zorgen dat elke persoon of partij die door ons is gemachtigd om Klantpersoonsgegevens te verwerken (inclusief ons personeel, agenten en Subprocessors) op de hoogte is van de vertrouwelijke aard van dergelijke Klantpersoonsgegevens en een passende geheimhoudingsplicht (zijnde een contractuele of wettelijke plicht) heeft die voortduurt na beëindiging van hun betrokkenheid.
5.5 Reactie en melding van persoonsgegevens inbreuk. Zodra wij op de hoogte zijn van een persoonsgegevensinbreuk, zullen wij zonder onnodige vertraging (i) u informeren, (ii) de persoonsgegevensinbreuk onderzoeken, (iii) tijdige informatie verstrekken met betrekking tot de persoonsgegevensinbreuk naarmate deze bekend wordt of redelijkerwijs door u wordt opgevraagd, en (iv) commercieel redelijke stappen ondernemen om de effecten te beperken en herhaling van de persoonsgegevensinbreuk te voorkomen.
6. Hulp
6.1 Assistentie bij gegevensbescherming. Wij zullen u redelijke hulp bieden om u in staat te stellen te voldoen aan uw verplichtingen onder de wetgeving inzake gegevensbescherming, inclusief de melding van een inbreuk op persoonsgegevens, het beoordelen van het juiste beveiligingsniveau van verwerking en het bijstaan met de uitvoering van een relevante gegevensbeschermingseffectbeoordeling.
6.2 Assistentie bij verzoeken van betrokkenen. Wij zullen u redelijke hulp bieden om u in staat te stellen te voldoen aan uw verplichtingen jegens betrokkenen die hun rechten onder de wetgeving inzake gegevensbescherming uitoefenen, door technische en organisatorische maatregelen via uw account beschikbaar te stellen. Voor de duidelijkheid, u als de gegevensbeheerder bent verantwoordelijk voor het verwerken van elk verzoek of klacht van betrokkenen met betrekking tot de Persoonsgegevens van de klant.
7. Openbaarmaking en Verzoeken om Openbaarmaking
7.1 Beperkingen op openbaarmaking en toegang. We zullen geen toegang verlenen tot of openbaar maken van Klant Persoonsgegevens, behalve (i) zoals door u aangegeven, (ii) zoals uiteengezet in de Overeenkomst en deze DPA, of (iii) zoals wettelijk vereist.
7.2 Verzoeken om openbaarmaking. We zullen u zo snel als redelijkerwijs mogelijk is op de hoogte stellen als we een verzoek ontvangen van een overheids- of regelgevende instantie om Klant Persoonsgegevens openbaar te maken, tenzij een dergelijke kennisgeving door de wet is verboden. We zullen verzoeken om openbaarmaking afhandelen in overeenstemming met het beleid voor openbaarmakingverzoeken dat beschikbaar is op https://bird.com/legal/disclosure-requests.
8. Subprocessors
8.1 Huidige Subprocessors. U gaat akkoord met de betrokkenheid van de Subprocessors die vermeld staan op https://www.bird.com/en/legal/privacy#processorList onder de kop "End User Personal Data", die een procedure bevat voor u om u te abonneren op meldingen van wijzigingen in ons gebruik van Subprocessors. Als u zich abonneert op dergelijke meldingen, en rekening houdend met Sectie 8.3 van deze DPA, zullen wij de details van eventuele wijzigingen in Subprocessors zo snel als redelijkerwijs mogelijk delen.
8.2 Gebruik van Subprocessors. Via deze DPA geeft u ons een algemene schriftelijke toestemming om Subprocessors in te schakelen voor de verwerking van Klantpersoonsgegevens, onder voorbehoud van Sectie 8.3 van deze DPA en de volgende vereisten:
a. We zullen de toegang tot Klantpersoonsgegevens door Subprocessors beperken tot wat strikt noodzakelijk is om de in de subprocessorovereenkomst gespecificeerde diensten te leveren;
b. We zullen overeenkomen over gegevensbeschermingsverplichtingen met de Subprocessor die wezenlijk gelijk zijn aan de verplichtingen onder deze DPA; en
c. We blijven aansprakelijk tegenover u onder deze DPA voor de naleving van de gegevensbeschermingsverplichtingen van de Subprocessor.
8.3 Melding van wijzigingen in Subprocessors en recht om bezwaar te maken. Voordat nieuwe Subprocessors worden vervangen of ingeschakeld (“Subprocessorwijziging”), geven we u de mogelijkheid om bezwaar te maken tegen de Subprocessorwijziging.
U mag bezwaar maken tegen een Subprocessorwijziging op voorwaarde dat (i) het bezwaar schriftelijk wordt ingediend binnen tien (10) werkdagen na onze kennisgeving van de Subprocessorwijziging en (ii) het bezwaar is gebaseerd op en duidelijk de redelijke gronden uitlegt met betrekking tot de bescherming van Klantpersoonsgegevens. Wanneer u bezwaar maakt tegen een voorgestelde Subprocessorwijziging, zullen wij te goeder trouw met u samenwerken om een commercieel redelijke wijziging aan te brengen in de dienstverlening die het gebruik van de betreffende Subprocessor vermijdt. Als een dergelijke wijziging niet redelijkerwijs kan worden aangebracht binnen dertig (30) werkdagen na onze ontvangst van uw bezwaarbrief, of als de wijziging voor ons commercieel onredelijk is, mag elke partij de toepasselijke functies van de Diensten beëindigen die niet kunnen worden verleend zonder het gebruik van de betreffende Subprocessor. Dit beëindigingsrecht is uw enige en exclusieve remedie als u bezwaar maakt tegen een Subprocessorwijziging.
9. Grensoverschrijdende overdracht van persoonlijke klantgegevens
9.1 Overdrachten van Klantpersoonsgegevens. We kunnen Klantpersoonsgegevens overdragen op voorwaarde dat alle passende veiligheidsmaatregelen vereist door de gegevensbeschermingswetgeving aanwezig zijn. Dit kan een voorafgaande impactbeoordeling van de gegevensoverdracht inhouden, de adoptie, monitoring en evaluatie van aanvullende technische, organisatorische en juridische maatregelen, afdwingbare rechten van de betrokkene, en dat effectieve wettelijke remedies voor betrokkenen beschikbaar zijn.
9.2 Subverwerker Standaard Contractuele Clausules. Tenzij een adequaatheidsbesluit of alternatief overdrachtsmechanisme van toepassing is, hebben we Standaard Contractuele Clausules afgesloten en zullen we deze onderhouden met Subverwerkers (inclusief onze Gelieerden) buiten de EER, onderhevig aan de voorwaarden in Sectie 9.1 van deze DPA.
9.3 Overdrachtsmechanismen voor Overdrachten van Klantpersoonsgegevens. Voor zover uw gebruik van de Diensten een grensoverschrijdend overdrachtsmechanisme vereist om Klantpersoonsgegevens wettig te exporteren vanuit een jurisdictie (bijv. de EER, Californië, Singapore, Zwitserland of het Verenigd Koninkrijk) naar ons buiten die jurisdictie, is deze sectie van toepassing. Indien, bij de uitvoering van de Diensten, Klantpersoonsgegevens die onderworpen zijn aan de GDPR of enige andere wet met betrekking tot de bescherming of privacy van individuen die van toepassing is op deze DPA worden overgedragen aan MessageBird gelegen in landen die geen adequaat beschermingsniveau bieden volgens de betekenis van de Gegevensbeschermingswetgeving, zullen de onderstaande overdrachtsmechanismen van toepassing zijn op dergelijke overdrachten en kunnen rechtstreeks door de partijen worden afgedwongen voor zover dergelijke overdrachten onderworpen zijn aan de Gegevensbeschermingswetgeving:
9.3.1 De partijen komen overeen dat de Standaard Contractuele Clausules van toepassing zullen zijn op Klantpersoonsgegevens die via de Diensten worden overgedragen vanuit de EER of Zwitserland, hetzij rechtstreeks, hetzij via verdere overdracht, naar een MessageBird-entiteit buiten de EER of Zwitserland die niet wordt erkend door de Europese Commissie (of, in het geval van overdrachten vanuit Zwitserland, de bevoegde autoriteit voor Zwitserland) als zijnde een adequaat beschermingsniveau voor persoonsgegevens.
9.3.1.1 Wanneer u optreedt als een gegevensbeheerder en MessageBird een gegevensverwerker is, zullen de EU-beheerder-naar-verwerker Standaard Contractuele Clausules van toepassing zijn op elke dergelijke overdracht van Klantpersoonsgegevens vanuit de EER. Wanneer u optreedt als een gegevensverwerker en MessageBird een subverwerker is, zullen de Verwerker-naar-subverwerker Standaard Contractuele Clausules van toepassing zijn op elke dergelijke overdracht van Klantpersoonsgegevens vanuit de EER.
9.3.1.2 MessageBird zal worden beschouwd als de gegevensimporteur en u wordt beschouwd als de gegevensexporteur onder de Standaard Contractuele Clausules. Ondertekening door elke partij van deze DPA zal worden behandeld als de ondertekening van de toepasselijke Standaard Contractuele Clausules, die geacht worden te zijn opgenomen in deze DPA. Details vereist onder Bijlage 1 en Bijlage 2 bij de Standaard Contractuele Clausules zijn beschikbaar in Appendix I en Appendix II van deze DPA. In geval van enige conflict of inconsistentie tussen deze DPA en de Standaard Contractuele Clausules, zullen de Standaard Contractuele Clausules voorrang hebben enkel met betrekking tot een overdracht van Klantpersoonsgegevens vanuit de EER.
9.3.1.3 Waar de Standaard Contractuele Clausules de partijen vereisen te kiezen tussen optionele clausules en informatie in te voeren, hebben de partijen dit als volgt gedaan:
De Optionele Clausule 7 "Docking-clausule" zal niet worden aangenomen.
Voor Clausule 9 "Gebruik van sub-verwerkers", kiezen de partijen de volgende optie: "Optie 2 Algemene schriftelijke autorisatie: de gegevensimporteur heeft de algemene toestemming van de beheerder voor de betrokkenheid van sub-verwerker(s) vanaf een overeengekomen lijst. De gegevensimporteur zal de beheerder specifiek schriftelijk informeren over eventuele voorgenomen wijzigingen aan die lijst door de toevoeging of vervanging van sub-processors, ten minste 10 werkdagen van tevoren, waardoor de beheerder voldoende tijd heeft om bezwaar te maken tegen dergelijke wijzigingen voordat de sub-verwerker(s) worden ingeschakeld. De gegevensimporteur moet de gegevensexporteur voorzien van de informatie die nodig is om de gegevensexporteur in staat te stellen zijn recht om bezwaar te maken uit te oefenen. De gegevensimporteur zal de gegevensexporteur informeren over de betrokkenheid van de sub-verwerker(s)."
Voor Clausule 11 (a) "Verhaalsrecht", nemen de partijen de optie niet aan.
Voor Clausule 17 "Toepasselijk recht", kiezen de partijen de volgende optie: "Optie 1. Deze Clausules worden beheerst door het recht van een van de EU-lidstaten, mits die wet voorziet in rechten voor derde begunstigden. De Partijen komen overeen dat dit het recht van Nederland zal zijn."
Voor Clausule 18 (b) "Keuze van Forum en Jurisdictie": "De Partijen komen overeen dat dit de rechtbanken van Nederland zullen zijn."
9.3.2 De partijen komen overeen dat de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules van toepassing zullen zijn op Klantpersoonsgegevens die via de Diensten worden overgedragen vanuit het Verenigd Koninkrijk, hetzij rechtstreeks, hetzij via verdere overdracht, naar een MessageBird-entiteit buiten het Verenigd Koninkrijk die niet wordt erkend door de bevoegde regelgevende autoriteit of overheidsinstantie voor het Verenigd Koninkrijk als zijnde een adequaat beschermingsniveau voor persoonsgegevens.
9.3.2.1 MessageBird zal worden beschouwd als de gegevensimporteur en u wordt beschouwd als de gegevensexporteur onder de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules. Ondertekening door elke partij van deze DPA zal worden behandeld als de ondertekening van de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules, die geacht worden te zijn opgenomen in deze DPA. Details vereist onder Bijlage 1 en Bijlage 2 bij de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules zijn beschikbaar in Appendix I en Appendix II van deze DPA. In geval van enige conflict of inconsistentie tussen deze DPA en de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules, zullen de VK Beheerder-naar-Verwerker Standaard Contractuele Clausules voorrang hebben enkel met betrekking tot overdracht van Klantpersoonsgegevens vanuit het Verenigd Koninkrijk.
10. Audit
10.1 Auditrapport. Ons communicatieplatform wordt regelmatig geaudit volgens de ISO 27001:2013 standaard (of gelijkwaardig). De audit kan, naar eigen goeddunken, een interne audit zijn of een audit uitgevoerd door een derde partij. Op schriftelijk verzoek zullen we u een samenvatting van het auditrapport ("Auditrapport") verstrekken, zodat u onze naleving van de auditstandaarden en deze DPA kunt verifiëren. Dergelijke auditrapporten, evenals eventuele conclusies of bevindingen die daarin zijn gespecificeerd, zijn onze Vertrouwelijke Informatie.
10.2 Klantinformatie-verzoeken. We zullen u alle informatie verschaffen die redelijkerwijs noodzakelijk is om naleving van de verplichtingen vastgelegd in deze DPA aan te tonen. We zullen schriftelijke antwoorden geven op redelijke informatieverzoeken die door u zijn gedaan, inclusief antwoorden op informatiebeveiliging en compliance vragenlijsten die redelijk in omvang zijn en nodig om naleving van deze DPA te bevestigen, mits u (i) eerst redelijke inspanningen heeft gedaan om de gevraagde informatie uit de documentatie, auditrapporten en andere door ons verstrekte of openbaar gemaakte informatie te verkrijgen, en (ii) dit recht niet vaker dan één keer per jaar zult uitoefenen, tenzij een datalek of significante verandering in onze verwerkingsactiviteiten met betrekking tot de diensten vereist dat een extra vragenlijst wordt uitgevoerd. Alle verstrekte antwoorden zijn onze Vertrouwelijke Informatie.
10.3 Klant Audit. Als een door ons aan u verstrekt auditrapport u gegronde redenen geeft om te geloven dat we in overtreding zijn van onze verplichtingen onder deze DPA, met betrekking tot de door u verstrekte klantpersoonsgegevens, zullen we een door u aangestelde en door ons goedgekeurde onafhankelijke en gekwalificeerde externe auditor toestaan om de relevante toepasselijke verwerkingsactiviteiten van Persoonsgegevens te auditeren, mits aan de volgende eisen is voldaan:
a. U dient ons minstens zestig (60) dagen van tevoren redelijke kennisgeving te geven voordat u het recht om te auditeren uitoefent;
b. De auditor gaat akkoord met marktstandaard vertrouwelijkheidsverplichtingen met ons;
c. U en de auditor treffen maatregelen om verstoring van onze bedrijfsactiviteiten tot een minimum te beperken;
d. De audit zal tijdens reguliere kantooruren worden uitgevoerd;
e. Wij zijn niet verplicht toegang te geven tot klantgegevens van andere klanten of systemen die niet betrokken zijn bij de levering van de diensten; en
f. U dient alle kosten van de audit te betalen.
11. Verwijdering en Terugkeer van Klantpersoonsgegevens
Bij beëindiging of afloop van de Overeenkomst zullen wij (naar uw keuze) alle Klant Persoonsgegevens (inclusief kopieën) in ons bezit of onder onze controle verwijderen of aan u retourneren, met dien verstande dat deze eis niet van toepassing zal zijn voor zover wij wettelijk verplicht zijn om sommige of alle Klant Persoonsgegevens te bewaren. Als u ons opdraagt Klant Persoonsgegevens te verwijderen, zullen deze Klant Persoonsgegevens die in ons back-upsysteem zijn gearchiveerd, worden beschermd tegen verdere verwerking en verwijderd worden wanneer de vereiste bewaarperiode is verstreken.
12. Klant Affiliatie Communicatie en Rechten
Het aangaan van deze AVV in naam en namens een Klant Affiliate zoals uiteengezet in Sectie 1.2 vormt een afzonderlijke AVV tussen ons en die Klant Affiliate, onderworpen aan het volgende:
12.1. Communicatie. De Klant die de contractpartij is bij de Overeenkomst blijft verantwoordelijk voor het coördineren van alle communicatie met ons onder deze AVV en is gerechtigd om alle communicatie met betrekking tot deze AVV namens zijn Klant Affiliates te maken en te ontvangen.
12.2 Rechten van Klant Affiliates. Wanneer een Klant Affiliate een partij wordt bij de AVV met ons, is deze, voor zover vereist onder de Wetgeving inzake Gegevensbescherming, gerechtigd om de rechten uit te oefenen en rechtsmiddelen te zoeken onder deze AVV, onderworpen aan het volgende:
(i) Tenzij de Wetgeving inzake Gegevensbescherming vereist dat de Klant Affiliate een recht uitoefent of een rechtsmiddel zoekt onder deze AVV direct tegen MessageBird, komen de partijen overeen dat (i) uitsluitend de Klant die de contractpartij bij de Overeenkomst is, enig dergelijk recht zal uitoefenen of dergelijk rechtsmiddel namens de Klant Affiliate zal zoeken, en (ii) de Klant die de contractpartij bij de Overeenkomst is, dergelijke rechten onder deze AVV niet afzonderlijk voor elke Klant Affiliate individueel zal uitoefenen, maar op een gecombineerde manier voor zichzelf en al zijn Klant Affiliates samen.
(ii) De partijen komen overeen dat de Klant die de contractpartij bij de Overeenkomst is, wanneer een audit ter plaatse van de procedures relevant voor de bescherming van Klant Persoonsgegevens namens hem wordt uitgevoerd zoals uiteengezet in Sectie 10.3 van deze AVV, alle redelijke maatregelen zal nemen om de impact op ons te beperken door, voor zover redelijkerwijs mogelijk, meerdere auditverzoeken namens zichzelf en al zijn Klant Affiliates in één enkele audit te combineren.
Voor de duidelijkheid, een Klant Affiliate wordt geen contractpartij bij de Overeenkomst.
13. California Consumer Privacy Act
Wij doen de volgende aanvullende toezeggingen aan u met betrekking tot de verwerking van Klantpersoonsgegevens binnen de reikwijdte van de CCPA.
13.1 Onze Verplichtingen. Wij zullen voldoen aan de CCPA en alle Klantpersoonsgegevens die onder de CCPA vallen (“CCPA Persoonsgegevens”) behandelen in overeenstemming met de bepalingen van de CCPA. Met betrekking tot CCPA Persoonsgegevens zijn wij een dienstverlener onder de CCPA. Wij zullen niet (a) CCPA Persoonsgegevens verkopen; (b) CCPA Persoonsgegevens bewaren, gebruiken of openbaar maken voor enig ander doel dan het specifieke doel van het leveren van de Diensten, inclusief het bewaren, gebruiken of openbaar maken van CCPA Persoonsgegevens voor een commercieel doel anders dan het leveren van de Diensten; of (c) CCPA Persoonsgegevens bewaren, gebruiken of openbaar maken buiten onze directe zakelijke relatie met u. De Verwerking van CCPA Persoonsgegevens zoals toegestaan door uw instructies in de Voorwaarden en deze DPA is essentieel voor onze levering van de Diensten. U erkent en stemt ermee in dat onze toegang tot Klantgegevens geen deel uitmaakt van de tegenprestatie die is uitgewisseld onder de Overeenkomst. Voor zover enig gebruiksgegeven als CCPA Persoonsgegevens wordt beschouwd, zijn wij het bedrijf met betrekking tot dergelijke gegevens en zullen wij die gegevens verwerken overeenkomstig onze Privacyverklaring. De termen “bedrijf”, “commercieel doel”, “dienstverlener” en “verkopen” zoals gebruikt in deze Sectie 13.1 hebben de betekenissen die eraan zijn gegeven in de CCPA. Beide partijen verklaren dat zij begrijpen en zullen voldoen aan de verplichtingen en beperkingen uiteengezet in deze DPA en de Overeenkomst zoals vereist onder de CCPA.
13.2 Klantverplichtingen. U verklaart en garandeert dat u de Eindgebruiker heeft geïnformeerd dat de Persoonsgegevens worden gebruikt of gedeeld in overeenstemming met de bepalingen en voorwaarden zoals voorzien in Sectie 1798.140(t)(2)(C)(i) van de CCPA. U bent verantwoordelijk voor de naleving van de CCPA-eisen die op u van toepassing zijn als gegevensbeheerder.
14. Toepasselijk Recht en Geschillenbeslechting
Artikel 13 van de Voorwaarden is van toepassing op alle geschillen die voortvloeien uit of verband houden met deze DPA, tenzij anders vereist door de Wetgeving inzake Gegevensbescherming.
BIJLAGE I - DETAILS VAN DE VERWERKING
Indien van toepassing, zal dit Schema 1 dienen als Bijlage I bij de EER Standaard Contractuele Clausules.
Bijlage I, Deel A. Lijst van Partijen
Gegevensexporteur: Klant
Contactgegevens gegevensexporteur: Het adres dat in het account van de Klant is vermeld, of het e-mailadres van de eigenaar van het account van de Klant, of naar het e-mailadres(sen) waarvoor de Klant ervoor kiest om meldingen te ontvangen onder de Overeenkomst.
Rol van gegevensexporteur: De rol van de gegevensexporteur is beschreven in Sectie 4 van de DPA.
Handtekening en datum: Indien en waar van toepassing, wordt de gegevensexporteur geacht de hierin opgenomen Standaard Contractuele Clausules te hebben ondertekend vanaf de Ingangsdatum van de DPA.
Gegevensimporteur: MessageBird B.V.
Contactgegevens gegevensimporteur: Trompenburgstraat 2-C, 1079TX, Amsterdam, Nederland, Data Protection Officer - privacy@bird.com
Rol van gegevensimporteur: De gegevensimporteur fungeert als gegevensverwerker.
Handtekening en datum: Indien en waar van toepassing, wordt de gegevensimporteur geacht de hierin opgenomen Standaard Contractuele Clausules te hebben ondertekend vanaf de Ingangsdatum van de DPA.
Bijlage I, Deel B. Beschrijving van de Overdracht
1. Categorieën van betrokkenen wiens Persoonsgegevens worden overgedragen: Gebruikers. Contactpersonen van de Klant (natuurlijke personen) of werknemers, aannemers of tijdelijke medewerkers (huidig, toekomstig, voormalig) die de Diensten gebruiken via het account van de Klant (“Gebruikers”); Eindgebruikers. Elke persoon (i) wiens contactgegevens zijn opgenomen in de contactlijst(en) van de Klant; (ii) wiens informatie wordt opgeslagen of verzameld via de Diensten, of (ii) naar wie de Klant communicatie stuurt of anderszins engageert of communiceert via de Diensten (gezamenlijk, “Eindgebruikers”). U als Klant bepaalt alleen de categorieën van betrokkenen die zijn opgenomen in de communicatie die via ons communicatieplatform wordt verzonden.
2. Categorieën van Persoonsgegevens die worden overgedragen: Klantpersoonsgegevens die zijn opgenomen in, communicatie-inhoud, verkeersgegevens, Eindgebruikersgegevens en gebruiksgegevens van de klant. Communicatie-inhoud, die Persoonsgegevens of andere gepersonaliseerde kenmerken kan bevatten, afhankelijk van de communicatie-inhoud zoals door u als Klant bepaald. Verkeersgegevens, die Klantpersoonsgegevens kunnen bevatten over de routering, duur of timing van een communicatie zoals een gesproken oproep, SMS of e-mail, of het nu gaat om een individu of een bedrijf. Eindgebruikersgegevens, zoals telefoonnummer, e-mailadres, voornaam, achternaam, profielnaam, land, kanaalidentificatie. Gebruiksgegevens van de klant, kunnen gegevens bevatten die aan u kunnen worden gekoppeld als een individu opgenomen in statistische gegevens en informatie met betrekking tot uw account- en serviceactiviteiten, servicegerelateerde inzichten en analytische rapporten met betrekking tot de verzonden communicatie en klantenondersteuning.
3. Gevoelige gegevens overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de betrokken risico's, zoals bijvoorbeeld strikte doelbeperkingen, toegangsbeperkingen (inclusief toegang alleen voor personeel dat gespecialiseerde training heeft gevolgd), het bijhouden van een register van toegang tot de gegevens, beperkingen op verdere overdrachten of aanvullende beveiligingsmaatregelen.
(a) Communicatie-inhoud. Gevoelige gegevens kunnen van tijd tot tijd worden verwerkt via de Diensten waarbij u of uw Eindgebruikers ervoor kiezen om gevoelige gegevens op te nemen in de communicatie die via de Diensten wordt verzonden. U bent verantwoordelijk voor het waarborgen dat geschikte waarborgen aanwezig zijn voordat gevoelige gegevens worden verzonden of verwerkt, of voordat u uw Eindgebruikers toestaat gevoelige gegevens via de Diensten te verzenden of te verwerken, in overeenstemming met Sectie 3.2 van de Overeenkomst.
(b) Verkeersgegevens, Eindgebruikersgegevens en gebruiksgegevens van de klant. Geen gevoelige gegevens zijn opgenomen in verkeersgegevens, Eindgebruikersgegevens of gebruiksgegevens van de klant.
4. De frequentie van de overdracht (bijv. of de gegevens eenmalig of continu worden overgedragen): Klantpersoonsgegevens worden continu overgedragen voor de duur van de Overeenkomst.
5. Aard van de verwerking: We zullen Klantpersoonsgegevens verwerken voor zover nodig om de Diensten onder de Overeenkomst te bieden. We verkopen geen Persoonsgegevens, inclusief Klantpersoonsgegevens, en delen Persoonsgegevens niet met derden voor compensatie of voor de zakelijke belangen van die derden.
6. Doel(en) van de gegevensoverdracht en verdere verwerking: We zullen Klantpersoonsgegevens verwerken als gegevensverwerker in overeenstemming met de instructies van de Klant zoals uiteengezet in deze DPA, tenzij verwerking nodig is voor de naleving van een wettelijke verplichting waaraan wij onderworpen zijn, in welk geval wij als gegevensbeheerder worden geclassificeerd.
Communicatie-inhoud, verkeersgegevens, Eindgebruikersgegevens en gebruiksgegevens van de klant. Persoonsgegevens opgenomen in communicatie-inhoud, verkeersgegevens, Eindgebruikersgegevens en gebruiksgegevens van de klant zullen onderworpen zijn aan de volgende basisverwerkingsactiviteiten:
(a) Communicatie-inhoud. Het verstrekken van programmeerbare communicatieproducten en -diensten, aangeboden in de vorm van programmeerinterfaces (API's) of via het Dashboard, aan de Klant, inclusief verzenden naar of van de softwaretoepassing van de Klant vanaf of naar ons communicatieplatform en andere communicatienetwerken.
(b) Verkeersgegevens. Verkeersgegevens worden verwerkt voor het doel van het doorgeven van communicatie op een elektronisch communicatienetwerk of voor de facturering met betrekking tot die communicatie. Dit kan Klantpersoonsgegevens omvatten over de routering, duur of timing van een communicatie zoals een gesproken oproep, SMS of e-mail, of deze nu betrekking heeft op een individu of een bedrijf.
(c) Eindgebruikersgegevens. Persoonsgegevens van Eindgebruikers zijn vereist om de Diensten uit te voeren en worden alleen verwerkt voor de doeleinden van communicatietransmissie, klantenondersteuning en het waarborgen van de naleving van wettelijke verplichtingen van MessageBird.
(d) Gebruiksgegevens van de klant. Persoonsgegevens opgenomen in gebruiksgegevens van de klant zullen onderhevig zijn aan de verwerkingsactiviteiten van het leveren van de Diensten onder de Overeenkomst, met als doel het bieden van aan Service gerelateerde inzichten en analytische rapporten aan de Klant met betrekking tot de verzonden communicatie, klantenondersteuning en continue verbetering van de Diensten.
7. De periode waarvoor de Persoonsgegevens zullen worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen:
(a) Communicatie-inhoud en verkeersgegevens. Voor klantinhoud en verkeersgegevens opgenomen in de SMS- en Voice-diensten geldt een bewaartermijn van zes maanden;
Voor de Diensten van 24sessions worden klantinhoud en verkeersgegevens bewaard voor een minimum van 30 dagen tot de duur zoals overeengekomen met u;
Voor alle andere diensten worden klantinhoud en verkeersgegevens bewaard voor de duur van de Diensten, behalve als u klantinhoud of verkeersgegevens verwijdert via de technische en organisatorische maatregelen die u via de Diensten worden verstrekt.
(b) Eindgebruikersgegevens. Eindgebruikersgegevens worden verwerkt voor de duur die door de Klant wordt bepaald, wanneer Eindgebruikersgegevens in uw contactprofielen zijn opgenomen, is de standaard bewaartermijn voor de duur van de Diensten, onder voorbehoud van Sectie 6(c) van deze Bijlage I, Deel B.
(c) Gebruiksgegevens van de klant. Na beëindiging van de Overeenkomst kunnen we gebruiksgegevens van de klant bewaren, gebruiken en openbaar maken voor de doeleinden uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B, onderworpen aan de vertrouwelijkheidsverplichtingen uiteengezet in de Overeenkomst. We zullen gebruiksgegevens van de klant anonimiseren of verwijderen wanneer we deze niet langer nodig hebben voor de doeleinden uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B.
8. Voor overdrachten naar (sub)verwerkers, specificeer ook het onderwerp, de aard en de duur van de verwerking: Voor overdrachten naar Subverwerkers wordt het onderwerp en de aard van de verwerking uiteengezet op https://www.bird.com/legal/privacy#processorList en de duur is voor de duur van de Overeenkomst.
Bijlage I, Deel C. Bevoegde Toezichthoudende Autoriteit
De Autoriteit Persoonsgegevens zal de bevoegde toezichthoudende autoriteit zijn.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Indien van toepassing, zal deze Bijlage II dienen als Bijlage II bij de Standaardcontractbepalingen. Het volgende geeft meer informatie over onze technische en organisatorische beveiligingsmaatregelen die hieronder zijn uiteengezet.
Technische en Organisatorische Beveiligingsmaatregelen:
Maatregelen voor pseudonimisering en bescherming van Persoonsgegevens tijdens opslag en overdracht: Alle Persoonsgegevens worden versleuteld tijdens overdracht en in rust, en, voor zover relevant vanuit een beveiligingsperspectief, behandeld alsof ze als gevoelige gegevens zijn geclassificeerd. Informatie wordt altijd verzonden via TLS met up-to-date versleutelmethoden als standaard.
Maatregelen voor het waarborgen van continue vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten: we sluiten overeenkomsten met vertrouwelijkheidsbepalingen met onze werknemers, aannemers, leveranciers en Subverwerkers. Ons business continuity beleid is om onze bedrijfsactiviteiten en diensten voor te bereiden in het geval van langdurige uitval veroorzaakt door factoren buiten onze controle en om diensten te herstellen tot de grootst mogelijke mate binnen een minimumtijdsbestek. We begrijpen dat de diensten die we bieden van cruciaal belang zijn voor onze klanten en hebben daarom zeer weinig tolerantie voor dienstonderbrekingen. Onze tijdschema's voor herstel zijn ontworpen om ervoor te zorgen dat we onze verplichtingen aan al onze klanten kunnen nakomen.
Processen voor regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de beveiliging van verwerking te waarborgen: Het doel van informatiebeveiliging en ons Informatiebeveiligingsmanagementsysteem (ISMS) is om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie voor de organisatie, werknemers, partners, klanten en de (geautoriseerde) informatiesystemen te beschermen, en om het risico op schade te minimaliseren door beveiligingsincidenten te voorkomen en beveiligingsbedreigingen en kwetsbaarheden te beheersen. Ons Legal team, Data Protection Officer en, Security en Compliance Team zorgen ervoor dat toepasselijke regelgeving en normen zijn verwerkt in onze beveiligingskaders.
Maatregelen voor gebruikersidentificatie en autorisatie: We volgen de principes van "need to know" en "least privilege". We promoten het gebruik van rolgebaseerde toegangscontrole. Toewijzing en ontneming van toegang wordt overzien door het beveiligingsteam, met Single-Sign-On en 2FA als standaard. Eigenaren zijn gedefinieerd voor elk informatie-eigendom die verantwoordelijk zijn voor het waarborgen dat toegang tot hun systemen passend is en regelmatig wordt beoordeeld. Wanneer we omgaan met gevoelige informatie of kritieke acties ondernemen, hanteren we het vierogenprincipe.
Maatregelen voor het waarborgen van gebeurtenislogboeken: Auditlogboeken worden centraal opgeslagen en regelmatig gecontroleerd op beveiligingsgebeurtenissen en zijn beveiligd om risico op sabotage te vermijden. Het Incident Management Beleid handhaaft het incidentresponsplan en de procedures. Deze richtlijnen worden gevolgd als zich enige vorm van beveiligings- of technisch incident voordoet. In het geval dat er beveiligingsincidenten zijn, worden deze regelmatig beoordeeld door het Security Steering Committee dat bestaat uit senior stakeholders van het hele bedrijf.
Maatregelen voor systeemconfiguratie, inclusief standaardconfiguratie: We volgen een consistent wijzigingsbeheerproces voor alle wijzigingen aan de productieomgeving van het Communication Platform as a Service. Om verder uit te weiden, alle verzoeken om wijzigingen (RFC) moeten worden goedgekeurd door een aangewezen partij en uitgevoerd volgens het formele wijzigingsbeheerproces. Het controleproces zorgt ervoor dat voorgestelde wijzigingen worden beoordeeld, geautoriseerd, getest, geïmplementeerd en vrijgegeven op een gecontroleerde manier; en dat de status van elke voorgestelde wijziging wordt gecontroleerd. Configuratierichtlijnen worden gevolgd om de systemen veilig te configureren volgens best practices. Ook binnen de Engineering-afdeling wordt een tech radar gebruikt om te definiëren welke technologieën (talen, platformtools, databases en gegevensbeheerhulpmiddelen) kunnen worden aangenomen of moeten worden vermeden tijdens de ontwikkeling.
Maatregel voor fysieke beveiliging: We promoten actief een "Work from Anywhere"-beleid zodat onze werknemers vrij zijn om te werken vanuit elke gewenste plek. We hebben echter nog steeds onze kantoorruimtes. We hebben geen beveiligde gebieden/datacentrum op onze locaties aangezien we een volledig cloud-gebaseerd bedrijf zijn. Onze kantoorvloeren worden beschermd door fysieke toegangscontroles, CCTV en bewaakte beveiliging.
Maatregelen voor interne IT en IT-beveiligingsbestuur en -beheer: We onderhouden een risicogebaseerd beveiligingsprogramma, dat administratieve, organisatorische, technische en fysieke waarborgen omvat die zijn ontworpen om de Diensten en vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens te beschermen. Ons informatiebeveiligingsprogramma is systematisch en goed georganiseerd opgezet. Bovendien zijn wettelijke en regelgevende vereisten van toepassing om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie voor de organisatie, werknemers, partners en klanten te waarborgen. Al deze zijn vertaald in onze informatiebeveiligingsbeleid, procedures en richtlijnen. We hebben een Security Steering Committee dat verantwoordelijk is voor het tactische niveau van informatiebeveiliging. Dit houdt de coördinatie in van informatiebeveiligingsactiviteiten en de vertaling van strategische activiteiten naar operationele activiteiten voor onze beveiliging, en ons continu onderhoud van regelgevingsnaleving. Alle medewerkers zijn verantwoordelijk voor het beschermen van bedrijfsmiddelen. Alle medewerkers worden gescreend op expertise, ervaring en integriteit. Medewerkers worden tijdens de inwerkperiode geïnformeerd over beveiliging en gegevensbescherming, evenals via regelmatige teamgerichte trainingen en andere bedrijf brede presentaties over het belang van gegevensbescherming en naleving van beveiliging. Bird is ISO/IEC 27001:2013 gecertificeerd, de wereldwijd erkende normen voor informatiebeveiliging voor Informatiebeveiligingsmanagementsystemen (ISMS).
Al onze hostingproviders zijn ISO/IEC 27001:2013 compliant.
We zijn ook geregistreerd bij de Nederlandse Autoriteit voor Consumenten en Markten. Dit betekent dat we altijd verantwoordelijk en volledig transparant zijn naar onze klanten.
We zijn een Associate Member van de Groupe Speciale Mobile Association (GSMA). De GSMA vertegenwoordigt de belangen van mobiele operators over de hele wereld. We zijn altijd up-to-date met alle toepasselijke wetten en regelgeving, inclusief de Algemene Verordening Gegevensbescherming.
Maatregelen voor certificeringen/zekerheid van processen en producten: We ondergaan rigoureuze surveillances evenals certificeringsaudits als onderdeel van onze ISO/IEC 27001:2013 compliance, en voeren regelmatig applicatie kwetsbaarheid en penetratietesten uit. Bird neemt een verenigde aanpak voor patch en kwetsbaarheidsbeheer om ervoor te zorgen dat onze standaard SLA-tijdlijnen worden gehandhaafd, of er nu kwetsbaarheden bestaan in onze onderliggende infrastructuur, besturingssystemen of broncode.
Maatregelen voor applicatiebeveiliging: We zorgen voor de beveiliging van onze applicaties tijdens de ontwerp- en ontwikkelingsfase op basis van de Bird Secure Code Guidelines.
Passende correcties worden voor de release geïmplementeerd.
Codewijzigingen worden beoordeeld door bekwame personen (die bekend zijn met codebeoordeling en veilige ontwikkeling) anders dan de oorspronkelijke ontwikkelaars.
Applicaties zullen rigoureuze applicatiebeveiligingstesten ondergaan om nieuwe bedreigingen en kwetsbaarheden te identificeren, minstens jaarlijks (in overeenstemming met industrienormen en best practices).
Alle codewijzigingen voor applicaties die naar productieomgevingen worden doorgestuurd, worden beoordeeld met behulp van handmatige en/of geautomatiseerde processen.
Penetratietests worden jaarlijks en ad hoc uitgevoerd op nieuwe producten/functies. Geautomatiseerde broncodeanalysehulpmiddelen worden gebruikt om beveiligingsfouten in de code te detecteren voorafgaand aan implementatie, op basis van de taal.
Maatregelen voor kwetsbaarheidsmelding: We waarderen beveiligingsonderzoekers die kwetsbaarheden op ons platform hebben gevonden om contact met ons op te nemen en hun bevindingen te sturen naar security@bird.com. We hebben een toegewijd beveiligingsteam dat opvolgt en uitnodigingen stuurt naar ons bug bounty-programma om te onderzoeken en waar nodig te verhelpen.
Maatregelen voor het waarborgen van verantwoordelijkheid: We implementeren informatiebeveiligings- en gegevensbeschermingsbeleid in overeenstemming met toepasselijke wetgeving en publiceren een overzicht van onze ISMS relevante informatie (link). We hebben een toegewijde VP, Compliance en Informatiebeveiliging en een Data Protection Officer aangesteld, en onderhouden documentatie van onze verwerkingsactiviteiten, inclusief het vastleggen en rapporteren van beveiligingsincidenten met Persoonsgegevens indien van toepassing.
