Gegevensverwerkingsovereenkomst februari 2024
Deze Gegevensverwerkingsovereenkomst is van toepassing op u als u zich voor of na 1 februari 2024 om 13:00 CET hebt aangemeld voor onze Diensten (inclusief via een van onze Gelieerde Ondernemingen). Onze gearchiveerde Gegevensverwerkingsovereenkomst is beschikbaar hier.
Deze Data Processing Agreement, inclusief de bijlagen, (“DPA”) maakt deel uit van de Overeenkomst tussen ons en de Klant voor de aankoop van (online) communicatiediensten van ons om de overeenkomst van de Partijen met betrekking tot de verwerking van Persoonsgegevens van de Klant vast te leggen. In deze DPA verwijzen de termen "u", "uw" of "Klant" naar u als onze Klant (onder voorbehoud van Sectie 1.2 hieronder), en de termen "wij", "ons" of "onze" verwijzen naar ons als de Provider (zoals hieronder gedefinieerd). Begrippen met een hoofdletter die in deze DPA worden gebruikt maar niet hieronder zijn gedefinieerd, worden gedefinieerd in onze Algemene Voorwaarden of een andere Overeenkomst met ons die uw gebruik van de Diensten regelt.
1.1 Bereik
Deze DPA regelt de verwerking van Klantpersoonsgegevens door ons als een verwerker.
1.2 Klantfilialen
De klant treedt in deze DPA op voor zichzelf en, voor zover vereist onder de gegevensbeschermingswetten, namens en namens zijn Affiliates (zoals gedefinieerd in de Voorwaarden), indien en voor zover u dergelijke Affiliates toegang biedt tot de Services en wij verwerken Klantpersoonsgegevens waarvoor dergelijke Affiliates kwalificeren als de gegevensbeheerder (“Klant Affiliates”). Voor de doeleinden van deze DPA alleen, en behalve waar anders aangegeven, zullen de termen „Klant” en „u” de Klant en Klant Affiliates omvatten.
1.3 Voorwaarden
Deze DPA blijft van kracht zolang wij Klantpersoonsgegevens verwerken die onder deze DPA vallen, ondanks het verstrijken of beëindigen van de Overeenkomst.
2. Definitions
Accountgegevens
“Accountgegevens” zijn alle Persoonsgegevens die door of voor u aan ons worden verstrekt in verband met het aangaan en beheren van de Overeenkomst en uw account, inclusief maar niet beperkt tot contactinformatie, factureringsgegevens en correspondentie over het aangaan en beheren van de Overeenkomst en de gerelateerde Diensten.
CCPA
"CCPA" betekent de California Consumer Privacy Act van 2018 en alle daaronder uitgevaardigde regelgeving, in elk geval zoals van tijd tot tijd gewijzigd.
Klantgegevens
“Klantgegevens” betekent alle gegevens en andere informatie of inhoud die door of voor u (of door een gebruiker van uw Klantapplicatie) worden ingediend onder de Overeenkomst en worden verwerkt of opgeslagen door de Diensten.
Klant Persoonsgegevens
“Klant Persoonsgegevens” betekent Persoonsgegevens die zijn opgenomen in Klantgegevens en door ons worden verwerkt als verwerker, tenzij anders aangegeven in deze DPA.
Wetten inzake gegevensbescherming
“Wetten inzake gegevensbescherming” betekent alle wetten en regelgevingen van welke jurisdictie dan ook die van toepassing zijn op de vertrouwelijkheid, privacy, veiligheid of verwerking van Persoonsgegevens onder de Overeenkomst, inclusief bijvoorbeeld en waar van toepassing de GDPR of de CCPA.
EEA
“EEA” betekent, voor de doeleinden van deze DPA, de Europese Economische Ruimte en Zwitserland.
GDPR
“GDPR” betekent ofwel (i) de Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van dergelijke gegevens (Algemene Verordening Gegevensbescherming); of (ii) uitsluitend met betrekking tot het Verenigd Koninkrijk, de Data Protection Act 2018.
Persoonsgegevens
“Persoonsgegevens” betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon, hetzij op zichzelf of in combinatie met andere informatie.
Inbreuk op Persoonsgegevens
“Inbreuk op Persoonsgegevens” betekent elke onopzettelijke, ongeautoriseerde of onwettige vernietiging, verlies, wijziging, openbaarmaking van of toegang tot Klant Persoonsgegevens en elke andere soortgelijke term onder toepasselijke Wetten inzake gegevensbescherming, zoals “Veiligheidsinbreuk.”
Diensten
“Diensten” betekent alle producten en diensten die door ons of onze Gelieerde Ondernemingen worden geleverd en die (a) door u worden besteld onder enig Bestelformulier; of (b) door u worden gebruikt.
Leverancier
“Leverancier” betekent onze contracterende entiteit die partij is bij deze DPA, zijnde de contracterende entiteit vermeld in Artikel 15 van de Algemene Voorwaarden (Contracterende Entiteit), tenzij anders vermeld op uw Bestelformulier. U of Leverancier kunnen ook afzonderlijk worden aangeduid als een “Partij” en gezamenlijk als “Partijen” in deze DPA.
Standaardcontractbepalingen
“Standaardcontractbepalingen” betekent Verantwoordelijke naar Verwerker (Module Twee) of Verwerker naar Verwerker (Module Drie), zoals van toepassing, van de Standaardcontractbepalingen voor de overdracht van Persoonsgegevens naar derde landen volgens Verordening (EU) 2016/679 van het Europees Parlement en de Raad goedgekeurd door het Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021, zoals momenteel uiteengezet op https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
Subverwerker
“Subverwerker” betekent een derde partij entiteit die Klant Persoonsgegevens verwerkt namens de Leverancier waar de Leverancier optreedt als gegevensverwerker of een subverwerker.
VK Standaardcontractbepalingen
“VK Standaardcontractbepalingen” betekent een van of alle van de volgende: (i) inhoud van de gegevensovereenkomst uitgegeven door de Britse Information Commissioner onder sectie 119A van de DPA 2018; (ii) de internationale gegevensoverdrachtsaddendum bij de standaardcontractbepalingen van de Europese Commissie voor internationale gegevensoverdrachten uitgegeven door de Britse Information Commissioner onder sectie 119A van de DPA 2018; of (iii) dergelijke standaardcontractbepalingen uitgegeven door de Britse Information Commissioner of Europese Commissie als die van tijd tot tijd deze vervangen. Termen zoals "verwerking", "gegevensverantwoordelijke", "gegevensverwerker", "betrokkene", enz. zullen de betekenis hebben die eraan is gegeven onder de GDPR. De definitie van "gegevensverantwoordelijke" omvat "onderneming", "consument", "controller" en "organisatie"; "gegevensverwerker" omvat "dienstenleverancier", "verwerker" en "gegevensbemiddelaar"; "betrokkene" omvat "consument", en "individu"; en "Persoonsgegevens" omvat "persoonlijke informatie", in elk geval zoals gedefinieerd onder de CCPA, en andere toepasselijke Wetten inzake gegevensbescherming. Begrippen zoals “zakelijk doel”, “commercieel doel”, “verkopen” en “delen” zullen dezelfde betekenis hebben als in de toepasselijke Wetten inzake gegevensbescherming en, in elk geval, zullen hun verwante termen dienovereenkomstig worden geïnterpreteerd.
3. Processing of Customer Personal Data
3.1 Doeleinden
We zullen Klantpersoonsgegevens alleen verwerken voor zover nodig (i) om de Diensten te leveren, waaronder de overdracht van communicatie, het waarborgen van de beveiliging van de diensten, het verstrekken van technische en leveringsrapporten, het bieden van ondersteuning en het ontwikkelen en implementeren van verbeteringen en updates in overeenstemming met uw gedocumenteerde instructies aan ons als gegevensverwerker zoals gespecificeerd in Sectie 3.2 van deze DPA, (ii) voor onze legitieme zakelijke doeleinden zoals gespecificeerd in Sectie 3.4 van deze DPA als gegevensbeheerder, en (iii) zoals anderszins vereist volgens de toepasselijke wetgeving.
3.2 Klantinstructies
De Overeenkomst en deze DPA vormen uw volledige instructies aan ons als gegevensverwerker op het moment van ondertekening van deze DPA. We zullen andere redelijk gedocumenteerde instructies naleven, mits deze instructies consistent zijn met de voorwaarden van de Overeenkomst.
3.3 Details van Verwerking
Bijlage I, Deel B (Beschrijving van overdracht) van Appendix I bij deze DPA specificeert de aard en het doel van de verwerking door ons als gegevensverwerker of Sub-verwerker, de verwerkingsactiviteiten, de duur van de verwerking, de soorten Persoonsgegevens en de categorieën van gegevenssubjecten.
3.4 Legitieme Zakelijke Doeleinden
U erkent dat we Klantpersoonsgegevens verwerken als een onafhankelijke gegevensbeheerder voor zover nodig voor de volgende legitieme zakelijke doeleinden: facturering, accountbeheer, financiële en interne rapportage, het bestrijden en voorkomen van beveiligingsdreigingen, cyberaanvallen en cybercriminaliteit die betrekking kunnen hebben op u, ons of onze diensten, bedrijfsmodellering (bijv. prognoses, capaciteits- en inkomstenplanning, en productstrategie), fraude, spam en misbruikpreventie en -detectie, verbetering van onze reeks producten en diensten, en om te voldoen aan onze wettelijke verplichtingen.
4. Customer Obligations
4.1 Rechtmatigheid
Wanneer u optreedt als een gegevensbeheerder van Klantpersoonsgegevens, garandeert u dat alle verwerkingsactiviteiten rechtmatig zijn, een specifiek doel hebben en dat alle vereiste kennisgevingen en toestemmingen of andere passende juridische basis aanwezig zijn om de rechtmatige overdracht van de Klantpersoonsgegevens mogelijk te maken. Als u een gegevensverwerker bent (in welk geval wij als Sub-verwerker zullen optreden), zorgt u ervoor dat de relevante gegevensbeheerder garandeert dat de in deze Sectie 4.1 genoemde voorwaarden zijn vervuld.
4.2 Naleving
U bent als enige verantwoordelijk voor (a) ervoor zorgen dat u voldoet aan de Wetgeving inzake Gegevensbescherming die van toepassing is op uw gebruik van de Diensten en op uw eigen verwerking van Klantpersoonsgegevens, (b) het maken van een onafhankelijke beoordeling of de technische en organisatorische maatregelen van de Diensten aan uw vereisten voldoen, en (c) het implementeren en handhaven van privacy- en beveiligingsmaatregelen voor componenten die u levert of beheert (inclusief maar niet beperkt tot wachtwoorden, apparaten die met de Diensten en Klantapplicaties worden gebruikt).
5. Security
5.1 Beveiligingsmaatregelen
Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking, evenals het risico op wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen we passende technische en organisatorische beveiligingsmaatregelen implementeren en handhaven om Klantpersoonsgegevens te beschermen tegen Persoonsgegevenslekken en om de veiligheid, integriteit, beschikbaarheid, veerkracht en vertrouwelijkheid van de Klantgegevens die onze systemen gebruiken voor de verwerking van Klantpersoonsgegevens te waarborgen. De door ons toegepaste beveiligingsmaatregelen worden beschreven in Bijlage II.
5.2 Updates van Beveiligingsmaatregelen
U bent verantwoordelijk voor het controleren van de door ons beschikbaar gestelde informatie met betrekking tot de beveiliging van Klantpersoonsgegevens en het maken van een onafhankelijke beoordeling of dergelijke informatie voldoet aan uw vereisten en wettelijke verplichtingen onder de gegevensbeschermingswetten. U erkent dat de beveiligingsmaatregelen onderhevig zijn aan technische vooruitgang en ontwikkeling, en dat we onze beveiligingsmaatregelen van tijd tot tijd kunnen bijwerken of wijzigen, mits deze updates en wijzigingen niet resulteren in een verslechtering van de algehele beveiliging van de Klantpersoonsgegevens.
5.3 Toegangscontroles
We passen de principes van “need to know” en “least privilege” toe door ervoor te zorgen dat toegang tot Klantpersoonsgegevens beperkt is tot die Personeel die nodig zijn voor de levering van de Diensten en in overeenstemming met de Overeenkomst, inclusief deze DPA.
5.4 Vertrouwelijkheid van Verwerking
We zullen ervoor zorgen dat iedere persoon of partij die door ons is gemachtigd om Klantpersoonsgegevens te verwerken (inclusief ons personeel, agenten en Sub-verwerkers) op de hoogte is van de vertrouwelijke aard van dergelijke Klantpersoonsgegevens en een passende vertrouwelijkheidsverplichting heeft (hetzij een contractuele of wettelijke plicht) die de beëindiging van hun betrokkenheid overleeft.
5.5 Reactie en Melding van Persoonsgegevenslek
Zodra we ons bewust worden van een Persoonsgegevenslek, zullen we zonder onnodige vertraging
(i) u op de hoogte stellen,
(ii) het Persoonsgegevenslek onderzoeken,
(iii) tijdig informatie verstrekken met betrekking tot het Persoonsgegevenslek zodra deze bekend wordt of zoals redelijkerwijs door u wordt gevraagd, en (iv) commercieel redelijke stappen ondernemen om de gevolgen te beperken en herhaling van het Persoonsgegevenslek te voorkomen.
6. Assistance
6.1 Hulp bij Gegevensbescherming
Wij zullen u redelijke hulp bieden om u in staat te stellen te voldoen aan uw verplichtingen onder de Gegevensbeschermingswetten, inclusief de melding van een Persoonsgegevensinbreuk, het beoordelen van het passende beveiligingsniveau van de verwerking, en het assisteren bij de uitvoering van een relevante gegevensbeschermingseffectbeoordeling.
6.2 Hulp bij Rechten van Gegevenssubjecten
Wij zullen u redelijke hulp bieden om u in staat te stellen te voldoen aan uw verplichtingen jegens gegevenssubjecten die hun rechten uitoefenen onder de Gegevensbeschermingswetten door technische en organisatorische maatregelen via uw account beschikbaar te maken. Voor de duidelijkheid, u als de gegevensbeheerder bent verantwoordelijk voor het verwerken van elk verzoek of klacht van gegevenssubjecten met betrekking tot de Klantpersoonsgegevens van een gegevenssubject.
7. Disclosure and Disclosure Requests
7.1 Beperkingen op openbaarmaking en toegang
We zullen geen toegang verlenen tot of Customer Personal Data openbaar maken behalve (i) zoals door u aangegeven, (ii) zoals uiteengezet in de Agreement en deze DPA, of (iii) zoals wettelijk vereist.
7.2 Verzoeken om Openbaarmaking
We zullen u zo spoedig als redelijkerwijs mogelijk op de hoogte stellen als we een verzoek ontvangen van een overheids- of regelgevende instantie om Customer Personal Data openbaar te maken, tenzij een dergelijke melding wettelijk is verboden. We zullen verzoeken om openbaarmaking afhandelen in overeenstemming met het beleid voor verzoeken om openbaarmaking, beschikbaar op onze website hier.
8. Sub-verwerkers
8.1 Lijst van Huidige Sub-verwerkers
U stemt in met de betrokkenheid van de Sub-verwerkers in verband met de Diensten, vermeld in ons overzicht van Sub-verwerkers, dat ook een procedure bevat voor u om zich te abonneren op meldingen van wijzigingen in ons gebruik van Sub-verwerkers. Als u zich abonneert op dergelijke meldingen, en rekening houdend met Sectie 8.3 van deze DPA, zullen wij details van elke wijziging in Sub-verwerkers zo snel mogelijk delen.
8.2 Aanstelling van Sub-verwerkers
Door middel van deze DPA geeft u ons een algemene schriftelijke toestemming om Sub-verwerkers in te schakelen voor de verwerking van Klantpersoonsgegevens, onderworpen aan Sectie 8.3 van deze DPA en de volgende vereisten:
We zullen de toegang tot Klantpersoonsgegevens door Sub-verwerkers beperken tot wat strikt noodzakelijk is voor het leveren van de diensten gespecificeerd in de sub-verwerker overeenkomst;
We zullen gegevensbeschermingsverplichtingen overeenkomen met de Sub-verwerker die wezenlijk dezelfde zijn als de verplichtingen onder deze DPA; en
We blijven jegens u aansprakelijk onder deze DPA voor de uitvoering van de gegevensbeschermingsverplichtingen van de Sub-verwerker.
8.3 Kennisgeving van Wijzigingen aan Sub-verwerkers en Recht om Bezwaar te Maken
Voordat we nieuwe Sub-verwerkers vervangen of inschakelen (“Wijziging van Sub-verwerker”), zullen we u de mogelijkheid geven om bezwaar te maken tegen de Wijziging van Sub-verwerker. U kunt bezwaar maken tegen een Wijziging van Sub-verwerker mits (i) het bezwaar schriftelijk wordt ingediend binnen tien (10) werkdagen na onze kennisgeving van de Wijziging van Sub-verwerker en (ii) het bezwaar gebaseerd is op en duidelijk de redelijke gronden uitleggen met betrekking tot de bescherming van Klantpersoonsgegevens. Wanneer u bezwaar maakt tegen een voorgestelde Wijziging van Sub-verwerker, zullen we in goed vertrouwen met u samenwerken om een commercieel redelijke wijziging in de levering van de Diensten door te voeren die het gebruik van de relevante Sub-verwerker vermijdt. Als een dergelijke wijziging niet redelijk binnen dertig (30) werkdagen na onze ontvangst van uw bezwaarschrift kan worden doorgevoerd, of als de wijziging commercieel onredelijk voor ons is, kan elke partij de toepasselijke functies van de Diensten beëindigen die niet kunnen worden geleverd zonder het gebruik van de relevante Sub-verwerker. Dit beëindigingsrecht is uw enige en exclusieve remedie als u bezwaar maakt tegen een Wijziging van Sub-verwerker.
9. Cross Border Transfers of Customer Personal Data
9.1 Overdrachten van Klantpersoonsgegevens
We kunnen Klantpersoonsgegevens overdragen op voorwaarde dat alle passende waarborgen die vereist zijn door de Wetgeving inzake gegevensbescherming aanwezig zijn. Dit kan een voorafgaande impactbeoordeling van gegevensoverdracht omvatten, de goedkeuring, monitoring en evaluatie van aanvullende technische, organisatorische en juridische maatregelen, afdwingbare rechten van betrokkenen, en dat er doeltreffende rechtsmiddelen voor betrokkenen beschikbaar zijn.
9.2 Sub-processor Standaard Contractuele Clausules
Tenzij een adequaatheidsbesluit of alternatief overdrachtsmechanisme van toepassing is, zoals het EU-VS Data Privacy Framework, hebben we Standaard Contractuele Clausules gesloten en zullen we deze handhaven met Sub-verwerkers (inclusief onze Gelieerde Ondernemingen) buiten de EER, onder voorbehoud van de voorwaarden uiteengezet in Sectie 9.1 van deze DPA.
9.3 Overdrachtsmechanismen voor Overdrachten van Klantpersoonsgegevens
Voor zover uw gebruik van de Diensten een grensoverschrijdend gegevensoverdrachtsmechanisme vereist om Klantpersoonsgegevens wettelijk uit een rechtsgebied (bijv. de EER, Californië, Singapore, Zwitserland of het Verenigd Koninkrijk) naar ons, buiten dat rechtsgebied, te exporteren, is deze sectie van toepassing. Indien bij de uitvoering van de Diensten Klantpersoonsgegevens die onderhevig zijn aan de AVG of enige andere wetgeving met betrekking tot de bescherming of privacy van individuen die van toepassing zijn op deze DPA, worden overgedragen aan een providerentiteit gevestigd in landen die geen adequaat niveau van gegevensbescherming waarborgen in de zin van de Wetgeving inzake gegevensbescherming, zullen de hieronder vermelde overdrachtsmechanismen van toepassing zijn op dergelijke overdrachten en kunnen door de partijen direct worden gehandhaafd voor zover dergelijke overdrachten onderhevig zijn aan de Wetgeving inzake gegevensbescherming.
9.3.1
De partijen komen overeen dat de Standaard Contractuele Clausules van toepassing zullen zijn op Klantpersoonsgegevens die via de Diensten worden overgedragen vanuit de EER of Zwitserland, hetzij rechtstreeks, hetzij via verdere overdracht, naar een providerentiteit gevestigd in een land buiten de EER of Zwitserland dat niet door de Europese Commissie (of, in geval van overdrachten vanuit Zwitserland, de bevoegde autoriteit voor Zwitserland) wordt erkend als een adequaat niveau van bescherming voor persoonsgegevens biedt.
9.3.1.1
Wanneer u optreedt als een gegevensbeheerder en wij optreden als een gegevensverwerker, is de EU Controller-to-Processor (Module Two) van de Standaard Contractuele Clausules van toepassing op een dergelijke overdracht van Klantpersoonsgegevens vanuit de EER. Wanneer u optreedt als een gegevensverwerker en wij optreden als een sub-verwerker, is de Processor-to-Processor (Module Three) van de Standaard Contractuele Clausules van toepassing op een dergelijke overdracht van Klantpersoonsgegevens vanuit de EER.
9.3.1.2
Wij worden geacht de gegevensimporteur te zijn en u wordt geacht de gegevensexporteur te zijn onder de Standaard Contractuele Clausules. Ondertekening van deze DPA door iedere partij, zal worden beschouwd als ondertekening van de van toepassing zijnde Standaard Contractuele Clausules, die geacht zullen worden te zijn opgenomen in deze DPA. Details vereist onder Bijlage 1 en Bijlage 2 van de Standaard Contractuele Clausules zijn beschikbaar in Bijlage I en Bijlage II van deze DPA. In geval van tegenstrijdigheden of inconsistenties tussen deze DPA en de Standaard Contractuele Clausules, prevaleren de Standaard Contractuele Clausules uitsluitend met betrekking tot een overdracht van Klantpersoonsgegevens vanuit de EER.
9.3.1.3
Wanneer de Standaard Contractuele Clausules de partijen vereisen om te kiezen tussen optionele clausules en om informatie in te voeren, hebben de partijen dit gedaan zoals hieronder uiteengezet:
i. De Optionele Clausule 7 “Docking Clause” zal niet worden aangenomen.
ii. Voor Clausule 9 “Gebruik van sub-verwerkers”, kiezen de partijen voor de volgende optie: “Optie 2 Algemene schriftelijke authorisatie: de gegevensimporteur heeft de algemene toestemming van de controller voor de inzet van sub-verwerker(s) van een overeengekomen lijst. De gegevensimporteur zal de controller specifiek schriftelijk informeren over eventuele voorgenomen wijzigingen in die lijst door de toevoeging of vervanging van sub-verwerkers minimaal 10 werkdagen van tevoren, waardoor de controller voldoende tijd heeft om bezwaar te maken tegen dergelijke wijzigingen voordat de betrokken sub-verwerker(s) wordt ingezet. De gegevensimporteur zal de gegevensexporteur de informatie verstrekken die nodig is om de gegevensexporteur in staat te stellen zijn recht om bezwaar te maken uit te oefenen. De gegevensimporteur zal de gegevensexporteur informeren over de inzet van de sub-verwerker(s).”
iii. Voor Clausule 11 (a) “Rechtsgang”, nemen de partijen de optie niet aan.
iv. Voor Clausule 17 “Toepasselijk recht”, kiezen de partijen de volgende optie: “Optie 1. Deze Clausules worden beheerst door het recht van een van de EU-lidstaten, mits dergelijke wetgeving rechten van derden recht zul ontvangen. De partijen komen overeen dat dit het recht van Nederland zal zijn.”
v. Voor Clausule 18 (b) “Keuze van forum en rechtsmacht”: “De partijen komen overeen dat dit de rechtbanken van Nederland zullen zijn.”
9.3.2
De partijen komen overeen dat de UK Standaard Contractuele Clausules van toepassing zullen zijn op Klantpersoonsgegevens die via de Diensten worden overgedragen vanuit het Verenigd Koninkrijk, hetzij rechtstreeks, hetzij via verdere overdracht, naar een providerentiteit gevestigd in een land buiten het Verenigd Koninkrijk dat niet wordt erkend door de bevoegde Britse regelgevende autoriteit of overheidsinstantie voor het Verenigd Koninkrijk als een adequaat niveau van bescherming voor persoonsgegevens biedt.
9.3.2.1
Wij worden geacht de gegevensimporteur te zijn en u wordt geacht de gegevensexporteur te zijn onder de UK Standaard Contractuele Clausules. Ondertekening van deze DPA door iedere partij, zal worden beschouwd als ondertekening van de UK Standaard Contractuele Clausules, die geacht zullen worden te zijn opgenomen in deze DPA. Details vereist onder de UK Standaard Contractuele Clausules zijn beschikbaar in Bijlage I en Bijlage II van deze DPA. In geval van tegenstrijdigheden of inconsistenties tussen deze DPA en de UK Standaard Contractuele Clausules, prevaleren de UK Standaard Contractuele Clausules uitsluitend met betrekking tot overdracht van Klantpersoonsgegevens vanuit het Verenigd Koninkrijk.
10. Audit
10.1 Audit Report
Ons communicatieplatform wordt regelmatig geaudit volgens de ISO 27001-standaard (of equivalent). De audit kan, naar eigen goeddunken, een interne audit zijn of een audit uitgevoerd door een derde partij. Op schriftelijk verzoek zullen wij u een samenvatting verstrekken van het auditrapport(en) (“Audit Report”), zodat u onze naleving van de auditnormen en deze DPA kunt verifiëren. Dergelijke Audit Reports, evenals eventuele conclusies of bevindingen die daarin zijn vermeld, zijn onze Vertrouwelijke Informatie.
10.2 Klantinformatieverzoeken
Wij zullen u alle informatie die redelijkerwijs noodzakelijk is, ter beschikking stellen om de naleving van de verplichtingen in deze DPA aan te tonen. Wij zullen schriftelijke antwoorden geven op redelijke informatieverzoeken van u, inclusief antwoorden op informatiebeveiliging en auditvragenlijsten die redelijk qua omvang zijn en noodzakelijk om naleving van deze DPA te bevestigen, op voorwaarde dat u (i) eerst redelijke pogingen hebt gedaan om de gevraagde informatie uit de Documentatie, Audit Reports en andere door ons verstrekte of openbaar gemaakte informatie te verkrijgen, en (ii) dit recht niet meer dan eens per jaar uitoefent, tenzij een Persoonsdatabreach of een significante wijziging in onze verwerkingsactiviteiten met betrekking tot de Diensten vereist dat een aanvullende vragenlijst wordt uitgevoerd. Alle verstrekte antwoorden zijn onze Vertrouwelijke Informatie.
10.3 Klantaudit
Als een Audit Report dat door ons aan u is verstrekt u gegronde redenen geeft om te geloven dat wij onze verplichtingen onder deze DPA schenden, gerelateerd aan de door u verstrekte Klant Persoonsgegevens, zullen wij een onafhankelijke en gekwalificeerde externe auditor, benoemd door u en goedgekeurd door ons, toestaan om de relevante toepasselijke Persoonsgegevensverwerkingsactiviteiten te auditen, mits voor zover toegestaan door de toepasselijke wetgeving aan de volgende vereisten wordt voldaan:
a) U dient ons ten minste zestig (60) dagen van tevoren redelijke kennisgeving te geven alvorens het recht om te auditen uit te oefenen;
b) De auditor stemt in met marktstandaard vertrouwelijkheidsverplichtingen met ons;
c) U en de auditor nemen maatregelen om verstoring van onze bedrijfsvoering te minimaliseren;
d) De audit zal tijdens reguliere kantooruren worden uitgevoerd;
e) Wij zijn niet verplicht toegang te verlenen tot klantgegevens van andere klanten of systemen die niet betrokken zijn bij de verlening van de Diensten;
f) en U zult alle kosten van de audit betalen.
11. Verwijdering en Teruggave van Klantpersoonsgegevens
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Klant Affiliate Communicatie en Rechten
Het aangaan van deze DPA in de naam en namens een Customer Affiliate zoals uiteengezet in Sectie 1.2 vormt een aparte DPA tussen ons en die Customer Affiliate, onderworpen aan het volgende:
12.1. Communicatie
De Customer die de contractpartij is bij de Overeenkomst blijft verantwoordelijk voor het coördineren van alle communicatie met ons onder deze DPA en is gerechtigd om namens zijn Customer Affiliates elke communicatie met betrekking tot deze DPA te maken en te ontvangen.
12.2 Rechten van Customer Affiliates
Wanneer een Customer Affiliate partij wordt bij de DPA met ons, heeft het voor zover vereist onder de Data Protection Laws het recht om de rechten uit te oefenen en verhaalsmogelijkheden te zoeken onder deze DPA, onder voorbehoud van het volgende:(i) Tenzij de Data Protection Laws vereisen dat de Customer Affiliate een recht uitoefent of een verhaalsmogelijkheid zoekt onder deze DPA rechtstreeks tegen ons, komen de partijen overeen dat
(i) uitsluitend de Customer die de contractpartij is bij de Overeenkomst enige dergelijk recht uitoefent of enige dergelijke verhaalsmogelijkheid zoekt namens de Customer Affiliate, en
(ii) de Customer die de contractpartij is bij de Overeenkomst enige rechten onder deze DPA uitoefent niet afzonderlijk voor elke Customer Affiliate individueel maar op een gecombineerde manier voor zichzelf en al zijn Customer Affiliates tezamen.(ii) De partijen komen overeen dat de Customer die de contractpartij is bij de Overeenkomst, wanneer een on-site audit van de procedures die relevant zijn voor de bescherming van Customer Personal Data namens hem wordt uitgevoerd zoals uiteengezet in Sectie 10.3 van deze DPA, alle redelijke maatregelen neemt om de impact op ons te beperken door, voor zover redelijkerwijs mogelijk, meerdere auditverzoeken uitgevoerd namens zichzelf en al zijn Customer Affiliates in één enkele audit te combineren.
Ter verduidelijking, een Customer Affiliate wordt geen contractpartij bij de Overeenkomst.
13. California Consumer Privacy Act
Voor zover het van toepassing is, doen we de volgende aanvullende toezeggingen aan u met betrekking tot de verwerking van Klantpersoonsgegevens binnen de reikwijdte van de CCPA.
13.1 Onze Verplichtingen Onder de U.S. Data Protection Laws
De termen "zakelijk doel," "commercieel doel," "consument," "verkopen," en "delen" zoals gebruikt in deze Sectie 13.1 hebben de betekenissen die eraan zijn gegeven in de CCPA. Voor zover van toepassing, zullen we voldoen aan de CCPA en alle Klantpersoonsgegevens die onder de CCPA en andere toepasselijke U.S. Data Protection Laws vallen ("U.S. Persoonsgegevens") behandelen in overeenstemming met de bepalingen van de CCPA en andere U.S. Data Protection Laws. Met betrekking tot U.S. Persoonsgegevens zijn wij een dienstverlener onder de CCPA en een gegevensverwerker onder andere U.S. Data Protection Laws. We zullen geen U.S. Persoonsgegevens verkopen. We zullen geen U.S. Persoonsgegevens behouden, gebruiken of openbaar maken (i) voor enig ander doel dan de zakelijke doeleinden die in de Overeenkomst zijn gespecificeerd (inclusief het behouden, gebruiken of openbaar maken van U.S. Persoonsgegevens voor een commercieel doel anders dan het zakelijke doel dat in de Overeenkomst is gespecificeerd of zoals anders toegestaan door de CCPA of toepasselijke wetten); of (ii) buiten de directe zakelijke relatie met u en ons.
13.2 Klantverplichtingen
U verklaart en garandeert dat u de Eindgebruiker op de hoogte heeft gesteld dat de Persoonsgegevens worden gebruikt of gedeeld in overeenstemming met de toepasselijke Data Protection Laws. U bent verantwoordelijk voor de naleving van de vereisten van de Data Protection Laws voor zover deze op u van toepassing zijn als een gegevensbeheerder.
14. Toepasselijk Recht en Geschillenbeslechting
Elke geschil, claim of controverse (“Geschillen”) die voortvloeit uit of verband houdt met deze DPA, zal worden beheerst door en geïnterpreteerd in overeenstemming met de wetten van Nederland. Elke partij stemt ermee in dat de bevoegde rechtbanken van Amsterdam exclusieve jurisdictie zullen hebben om alle Geschillen die voortvloeien uit of verband houden met deze DPA te beslechten.
13.1 Onze Verplichtingen Onder Amerikaanse Gegevensbeschermingswetten
De termen “business purpose,” “commercial purpose,” “consumer,” “sell,” en “share” zoals gebruikt in deze Sectie 13.1 hebben de betekenissen die eraan zijn gegeven in de CCPA. Voor zover van toepassing, zullen we voldoen aan de CCPA en alle Klant Persoonsgegevens die onder de CCPA vallen en andere toepasselijke Amerikaanse Gegevensbeschermingswetten (“Amerikaanse Persoonsgegevens”) behandelen in overeenstemming met de bepalingen van de CCPA en andere Amerikaanse Gegevensbeschermingswetten. Met betrekking tot Amerikaanse Persoonsgegevens zijn wij een serviceprovider onder de CCPA en een gegevensverwerker onder andere Amerikaanse Gegevensbeschermingswetten. We zullen geen Amerikaanse Persoonsgegevens verkopen. We zullen geen Amerikaanse Persoonsgegevens bewaren, gebruiken of openbaar maken (i) voor enig ander doel dan de bedrijfsdoeleinden die in de Overeenkomst zijn gespecificeerd (inclusief het bewaren, gebruiken of openbaar maken van Amerikaanse Persoonsgegevens voor een commercieel doel anders dan het bedrijfsdoel dat in de Overeenkomst is gespecificeerd of zoals anderszins toegestaan door de CCPA of toepasselijke wetten); of (ii) buiten de directe zakelijke relatie met u en ons.
BIJLAGE I - DETAILS OF PROCESSING
Waar van toepassing, zal deze Bijlage I dienen als Bijlage I bij de EER-standaard contractuele clausules.
Bijlage I, Deel A. Lijst van Partijen
De termen "business purpose," "commercial purpose," "consumer," "sell," en "share" zoals gebruikt in deze Sectie 13.1 hebben de betekenissen die eraan worden gegeven in de CCPA. Voor zover van toepassing, zullen wij voldoen aan de CCPA en alle Klant Persoonsgegevens die vallen onder de CCPA en andere toepasselijke Amerikaanse gegevensbeschermingswetten (“U.S. Personal Data”) behandelen in overeenstemming met de bepalingen van de CCPA en andere Amerikaanse gegevensbeschermingswetten. Met betrekking tot U.S. Personal Data zijn wij een dienstverlener onder de CCPA en een gegevensverwerker onder andere Amerikaanse gegevensbeschermingswetten. Wij zullen geen U.S. Personal Data verkopen. Wij zullen geen U.S. Personal Data bewaren, gebruiken of openbaar maken (i) voor enig doel anders dan de zakelijke doeleinden die in de Overeenkomst zijn gespecificeerd (inclusief het bewaren, gebruiken of openbaar maken van U.S. Personal Data voor een commercieel doel anders dan het zakelijke doel dat in de Overeenkomst is gespecificeerd of zoals anderszins toegestaan door de CCPA of toepasselijke wetten); of (ii) buiten de directe zakelijke relatie met u en ons.
Gegevensexporteur
Klant
Contactgegevens gegevensexporteur
Het adres dat vermeld staat in het account van de klant, of het e-mailadres van de accounteigenaar van de klant, of naar de e-mailadressen waarvoor de klant ervoor kiest om kennisgevingen te ontvangen onder de Overeenkomst.
Rol gegevensexporteur
De rol van de gegevensexporteur is beschreven in Sectie 4 van de DPA.
Handtekening en datum
Indien en wanneer van toepassing, wordt de gegevensexporteur geacht de Standaard Contractuele Clausules die hierin zijn opgenomen te hebben ondertekend op de Ingangsdatum van de DPA.
Gegevensimporteur
Dienstverlener
Contactgegevens gegevensimporteur
Data Protection Officer - privacy@bird.com
Rol gegevensimporteur
De gegevensimporteur treedt op als gegevensverwerker.
Handtekening en datum
Indien en wanneer van toepassing, wordt de gegevensimporteur geacht de Standaard Contractuele Clausules die hierin zijn opgenomen te hebben ondertekend op de Ingangsdatum van de DPA.
Bijlage I, Deel B. Beschrijving van Overdracht
1. Categorieën betrokkenen van wie Persoonsgegevens worden overgedragen.
Gebruikers. Contactpersonen (natuurlijke personen) of werknemers, aannemers of tijdelijke werknemers (huidige, toekomstige, voormalige) van de Klant die gebruikmaken van de Diensten (“Gebruikers”);
Eindgebruikers. Elke persoon (i) wiens contactgegevens zijn opgenomen in de contactlijst(en) van de Klant; (ii) wiens informatie wordt opgeslagen op of verzameld via de Diensten, of (ii) naar wie de Klant communicatie stuurt of anderszins betrokken is of communiceert via de Diensten (gezamenlijk, “Eindgebruikers”). U als Klant bepaalt uitsluitend de categorieën betrokkenen die zijn opgenomen in de communicatie verzonden via ons communicatieplatform.
2. Categorieën van Persoonsgegevens die worden overgedragen
Klant Persoonsgegevens opgenomen in, communicatie-inhoud, verkeersgegevens, Eindgebruikersgegevens en klantgebruikgegevens.
Communicatie-inhoud, die Persoonsgegevens of andere gepersonaliseerde kenmerken kan bevatten, afhankelijk van de communicatie-inhoud zoals bepaald door u als Klant.
Verkeersgegevens, die Klant Persoonsgegevens kunnen bevatten over de routering, duur of timing van een communicatie zoals een telefoongesprek, SMS of e-mail, of het nu betrekking heeft op een individu of een bedrijf.
Eindgebruikersgegevens, zoals telefoonnummer, e-mailadres, voornaam, achternaam, profielnaam, land, kanaalidentificatie.
Klantgebruikgegevens, kunnen gegevens bevatten die aan u als individu kunnen worden gekoppeld, opgenomen in statistische gegevens en informatie met betrekking tot uw account- en serviceactiviteiten, inzichten over diensten en analytische rapporten met betrekking tot de communicatie die is verzonden en klantenondersteuning.
3. Gevoelige gegevens overgedragen
Gevoelige gegevens overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de betrokken risico's, zoals bijvoorbeeld een strikte doelbeperking, toegangsbeperkingen (waaronder toegang alleen voor personeel dat een gespecialiseerde training heeft gevolgd), het bijhouden van een register van toegang tot de gegevens, beperkingen voor verdere overdracht of aanvullende beveiligingsmaatregelen.
a) Communicatie-inhoud. Gevoelige gegevens kunnen, van tijd tot tijd, worden verwerkt via de Diensten waarbij u of uw Eindgebruikers ervoor kiezen om gevoelige gegevens op te nemen binnen de communicatie die wordt verzonden met behulp van de Diensten. U bent verantwoordelijk voor het waarborgen dat geschikte beveiligingsmaatregelen zijn genomen voordat u uw Eindgebruikers toestaat om gevoelige gegevens te verzenden of te verwerken via de Diensten, in overeenstemming met Sectie 3.2 van de Overeenkomst.
b) Verkeersgegevens, Eindgebruikersgegevens en klantgebruikgegevens. Er zijn geen gevoelige gegevens opgenomen in verkeersgegevens, Eindgebruikersgegevens of klantgebruikgegevens.
4. Frequentie van de overdracht
De frequentie van de overdracht (bijvoorbeeld of de gegevens worden overgedragen op een eenmalige of continue basis): Klant Persoonsgegevens worden op een continue basis overgedragen voor de duur van de Overeenkomst.
5. Aard van de verwerking
Wij zullen Klant Persoonsgegevens verwerken voor zover nodig om de Diensten onder de Overeenkomst te leveren. Wij verkopen geen Persoonsgegevens, inclusief Klant Persoonsgegevens, en delen geen Persoonsgegevens met derden voor compensatie of voor de eigen zakelijke belangen van die derden.
6. Doel(en) van de gegevensoverdracht en verdere verwerking
Wij zullen Klant Persoonsgegevens verwerken als een gegevensverwerker overeenkomstig de instructies van de Klant, zoals uiteengezet in deze DPA, tenzij verwerking noodzakelijk is voor naleving van een wettelijke verplichting waaraan wij onderworpen zijn, in welk geval wij fungeren als een gegevensbeheerder.
Communicatie-inhoud, verkeersgegevens, Eindgebruikersgegevens en klantgebruikgegevens. Persoonsgegevens opgenomen in communicatie-inhoud, verkeersgegevens, Eindgebruikersgegevens en klantgebruikgegevens worden onderworpen aan de volgende basisverwerkingsactiviteiten:
a) Communicatie-inhoud. De levering van programmeerbare communicatieproducten en -diensten, aangeboden in de vorm van application programming interfaces (API's) of via het Dashboard, aan de Klant, inclusief verzending naar of van de softwaretoepassing van de Klant van of naar ons communicatieplatform, en andere communicatienetwerken.
b) Verkeersgegevens. Verkeersgegevens worden verwerkt voor de verzending van communicatie via een elektronisch communicatienetwerk of voor de facturering voor die communicatie. Dit kan Klant Persoonsgegevens bevatten over de routering, duur of timing van een communicatie zoals een telefoongesprek, SMS of e-mail, of het nu betrekking heeft op een individu of een bedrijf.
c) Eindgebruikersgegevens. Persoonsgegevens van Eindgebruikers zijn nodig om de Diensten uit te voeren en worden alleen verwerkt voor de doeleinden van communicatieoverdracht, klantenondersteuning, en het waarborgen van naleving met onze wettelijke verplichtingen.
d) Klantgebruikgegevens. Persoonsgegevens opgenomen in klantgebruikgegevens zullen worden onderworpen aan de verwerkingsactiviteiten die staan in het leveren van de Diensten onder de Overeenkomst, met als doel het verstrekken van diensten gerelateerde inzichten en analytische rapporten aan de Klant over verzonden communicatie, klantenondersteuning en continue verbetering van de Diensten.
7. Persoonsgegevens Bewaarperiode
De periode waarin de Persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen: Communicatie-inhoud en verkeersgegevens. Voor communicatie-inhoud en verkeersgegevens opgenomen in de SMS en Voice Diensten geldt een bewaarperiode van zes maanden; Voor Video Diensten worden communicatie-inhoud en verkeersgegevens bewaard voor een minimum van 30 dagen tot de duur zoals overeengekomen met u; Voor E-maildiensten worden communicatie-inhoud en verkeersgegevens bewaard voor 72 uur; Voor alle andere diensten worden communicatie-inhoud en verkeersgegevens bewaard voor de duur van de Diensten, behalve als u communicatie-inhoud of verkeersgegevens verwijdert via de technische en organisatorische maatregelen die u via de Diensten worden geboden. Eindgebruikersgegevens. Eindgebruikersgegevens worden verwerkt voor de duur die is bepaald door de Klant, wanneer Eindgebruikersgegevens zijn opgenomen in uw contactprofielen is de standaard bewaarperiode voor de duur van de Diensten, onder voorbehoud van Sectie 6(c) van deze Bijlage I, Deel B. Klantgebruikgegevens. Na beëindiging van de Overeenkomst kunnen wij Klantgebruikgegevens bewaren, gebruiken en openbaar maken voor de doeleinden uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B, onder voorbehoud van de vertrouwelijkheidsverplichtingen zoals uiteengezet in de Overeenkomst. Wij zullen klantgebruikgegevens anonimiseren of verwijderen wanneer we ze niet langer nodig hebben voor de doeleinden uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B.
7. Bewaarperiode Persoonsgegevens
De periode waarin de Persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen:
Communicatie-inhoud en verkeersgegevens;
Voor communicatie-inhoud en verkeersgegevens opgenomen in de SMS en Voice Diensten geldt een bewaarperiode van zes maanden;
Voor Video Diensten worden communicatie-inhoud en verkeersgegevens bewaard voor een minimum van 30 dagen tot de duur zoals overeengekomen met u;
Voor E-maildiensten worden communicatie-inhoud en verkeersgegevens bewaard voor 72 uur;
Voor alle andere diensten worden communicatie-inhoud en verkeersgegevens bewaard voor de duur van de Diensten, behalve als u communicatie-inhoud of verkeersgegevens verwijdert via de technische en organisatorische maatregelen die u via de Diensten worden geboden.
Eindgebruikersgegevens worden verwerkt gedurende de door de Klant bepaalde duur, wanneer Eindgebruikersgegevens zijn opgenomen in uw contactprofielen is de standaard bewaarperiode voor de duur van de Diensten, onder voorbehoud van Sectie 6(c) van deze Bijlage I, Deel B.
Klantgebruikgegevens: Na beëindiging van de Overeenkomst kunnen wij Klantgebruikgegevens bewaren, gebruiken en openbaar maken voor de doeleinden uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B, onder voorbehoud van de vertrouwelijkheidsverplichtingen zoals uiteengezet in de Overeenkomst. Wij zullen klantgebruikgegevens anonimiseren of verwijderen wanneer we ze niet langer nodig hebben voor de doeleinden uiteengezet in Sectie 6(d) van deze Bijlage I, Deel B.
8. Voor overdrachten aan (Sub-)verwerkers
Voor overdrachten aan (Sub-)verwerkers, specificeren ook het onderwerp, de aard en de duur van de verwerking: Voor overdrachten aan Sub-verwerkers is het onderwerp en de aard van de verwerking beschreven op onze overzicht van Sub-verwerkers en de duur is voor de duur van de Overeenkomst.
Bijlage I, Deel C. Bevoegde Toezichthoudende Autoriteit
De Nederlandse Gegevensbeschermingsautoriteit (Autoriteit Persoonsgegevens) zal de bevoegde toezichthoudende autoriteit zijn.
BIJLAGE II - Technische en Organisatorische Beveiligingsmaatregelen
Waar van toepassing, zal deze Bijlage II dienen als Bijlage II bij de Standaard Contractuele Clausules. Hieronder vindt u meer informatie over onze technische en organisatorische beveiligingsmaatregelen zoals hieronder uiteengezet.
Technische en Organisatorische Beveiligingsmaatregelen
Maatregelen voor pseudonimisering en bescherming van Persoonsgegevens bij opslag en overdracht:
Alle Persoonsgegevens worden tijdens overdracht en in rust versleuteld en, voor zover relevant vanuit een beveiligingsstandpunt, behandeld alsof ze als gevoelige gegevens geclassificeerd zijn. Informatie wordt altijd standaard verzonden over TLS met up-to-date encryptiemethodes.
Maatregelen ter waarborging van voortdurende vertrouwelijkheid, integriteit, en beschikbaarheid en veerkracht van de verwerkende systemen en diensten:
We sluiten overeenkomsten met vertrouwelijkheidclausules af met onze medewerkers, aannemers, leveranciers en Sub-verwerkers. Ons bedrijfscontinuïteitsbeleid is om ons bedrijf en onze diensten voor te bereiden op langdurige storingen die worden veroorzaakt door factoren buiten onze controle, en om diensten zo breed mogelijk te herstellen in een minimale tijdspanne. We begrijpen dat de diensten die we bieden van cruciaal belang zijn voor onze klanten en daarom hebben we vrijwel geen tolerantie voor onderbrekingen van de dienst. Onze tijdschema's voor herstel zijn ontworpen om te waarborgen dat we aan onze verplichtingen aan alle klanten kunnen voldoen.
Processen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van verwerking te waarborgen:
Het doel van informatiebeveiliging en ons Information Security Management System (ISMS) is om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie voor de organisatie, medewerkers, partners, klanten en de (geautoriseerde) informatiesystemen te beschermen, en om het risico op schade te minimaliseren door beveiligingsincidenten te voorkomen en beveiligingsdreigingen en kwetsbaarheden te beheren. Ons Juridisch team, Data Protection Officer, en Security Team zorgen ervoor dat de toepasselijke voorschriften en normen zijn opgenomen in onze beveiligingskaders.
Maatregelen voor gebruikersidentificatie en autorisatie:
We hanteren de principes van “need to know“ en “minste privilege”. We bevorderen het gebruik van rolgebaseerde toegangscontrole. Het verlenen en intrekken van toegang staat onder toezicht van het beveiligingsteam, met Single-Sign-On en 2FA als standaard. Eigenaren zijn gedefinieerd voor elk informatiebezit, die ervoor verantwoordelijk zijn dat de toegang tot hun systemen passend is en regelmatig wordt herzien. Bij het omgaan met gevoelige informatie of het nemen van kritische maatregelen, hanteren we het vier-ogen principe.
Maatregelen voor het waarborgen van gebeurtenisregistratie:
Auditlogs worden centraal opgeslagen en regelmatig gemonitord op beveiligingsgebeurtenissen en worden veilig bewaard om risico op knoeien te vermijden. Het Incident Management Beleid handhaaft het incidentresponsplan en zijn procedures. Deze richtlijnen worden gevolgd als er een beveiligings- of technisch incident optreedt.
Maatregelen voor het waarborgen van systeemconfiguratie, inclusief standaardconfiguratie:
We volgen een consistent wijzigingsbeheerproces voor alle wijzigingen in de productieomgeving van het Communication Platform as a Service. Om verder uit te wijden, moeten alle verzoeken om wijzigingen (RFC) worden goedgekeurd door een aangewezen partij en uitgevoerd volgens het formele wijzigingscontroleproces. Het controleproces zorgt ervoor dat voorgestelde wijzigingen worden beoordeeld, geautoriseerd, getest, geïmplementeerd en in een gecontroleerde manier uitgebracht; en dat de status van elke voorgestelde wijziging wordt gemonitord. Configuratiebaselines worden gevolgd om de systemen veilig te configureren volgens best practices. Ook wordt binnen de Engineering afdeling een tech radar gebruikt om te bepalen welke technologieën (talen, platformtools, databases en beheer van data tools) kunnen worden aangenomen of vermeden tijdens de ontwikkeling.
Maatregelen voor fysieke beveiliging
We bevorderen actief een “werk van overal” beleid zodat onze medewerkers vrij zijn om op elke gewenste plek te werken. We hebben echter nog steeds onze kantoorruimte. We hebben geen beveiligde gebieden/datacentra op onze locatie omdat we een volledig cloud-gebaseerd bedrijf zijn. Onze kantoorvloeren worden beveiligd door fysieke toegangscontroles, CCTV, en bemande beveiliging.
Maatregelen voor interne IT- en IT-beveiligingsbestuur en beheer:
We onderhouden een risicogeoriënteerd beveiligingsprogramma, dat administratieve, organisatorische, technische en fysieke waarborgen omvat, ontworpen om de Services en vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens te beschermen. Ons informatiebeveiligingsprogramma is systematisch en goed georganiseerd opgezet. Bovendien gelden er juridische en regelgevende vereisten om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie voor de organisatie, medewerkers, partners en klanten te waarborgen. Al deze zaken zijn vertaald in onze informatiebeveiligingsbeleid, procedures en richtlijnen. We hebben een Security Steering Committee dat verantwoordelijk is voor het tactische niveau van informatiebeveiliging. Dit houdt de coördinatie in van informatiebeveiligingsactiviteiten en de vertaling van strategische activiteiten naar operationele activiteiten voor onze beveiliging, en ons continu handhaven van regelgevende naleving. Alle medewerkers zijn verantwoordelijk voor het beschermen van bedrijfsmiddelen. Al onze medewerkers worden gescreend op deskundigheid, ervaring en integriteit. Medewerkers worden bij de opstartfase geïnformeerd over beveiliging en gegevensbescherming, alsmede door middel van reguliere team-specifieke trainingen en andere bedrijfsbrede bijeenkomsten over het belang van gegevensbescherming en naleving van beveiliging. We zijn ISO 27001 gecertificeerd, de wereldwijd erkende informatiebeveiligingsstandaarden voor Information Security Management Systems (ISMS).
Al onze hostingproviders zijn ISO 27001 gecertificeerd.
We zijn ook geregistreerd bij de Nederlandse Autoriteit voor Consumenten en Markten. Dit betekent dat we altijd aansprakelijk en volledig transparant zijn met onze klanten.
We zijn geassocieerd lid van de Groupe Speciale Mobile Association (GSMA). De GSMA vertegenwoordigt de belangen van mobiele operators wereldwijd.
We zijn altijd up-to-date met alle toepasselijke wetten en regelgeving, inclusief de Algemene Verordening Gegevensbescherming, en het EU-VS Gegevensbeschermingskader.
Maatregelen voor certificeringen/bevestiging van processen en producten:
We ondergaan rigoureuze surveillance evenals certificeringsaudits als onderdeel van onze ISO/IEC 27001 naleving, en voeren regelmatig kwetsbaarheids- en penetratietests uit op toepassingen.
Maatregelen voor het waarborgen van aansprakelijkheid:
we implementeren informatiebeveiligings- en gegevensbeschermingsbeleid in overeenstemming met toepasselijke wetten en publiceren een overzicht van onze ISMS relevante informatie (link). We hebben een toegewijde Security Director, Information Security Officer, Compliance Officer, en Data Protection Officer aangesteld en onderhouden documentatie van onze verwerkingsactiviteiten, inclusief het registreren en rapporteren van beveiligingsincidenten waarbij Persoonsgegevens betrokken zijn waar van toepassing.
Maatregelen voor het waarborgen van gegevenswissing:
We zorgen voor gegevenswissing via een geautomatiseerd verwijderingsproces binnen onze communicatie- en infrastructuuromgeving. Dit gegevensverwijderingsproces zorgt ervoor dat alle gegevens die niet langer nodig zijn voor een specifieke doelstelling uit onze systemen worden verwijderd na verwerking.