Overeenkomst inzake de gegevensverwerking in overeenstemming met de RGPD

Overeenkomst inzake de gegevensverwerking, in overeenstemming met de RGPD, tussen de Verwerker, B2Brouter Global S.L., en de Verwerkingsverantwoordelijke.

___________________

Preámbule

Deze overeenkomst legt de verantwoordelijkheden vast van de contracterende partijen met betrekking tot de bescherming van persoonsgegevens. Deze verantwoordelijkheden vloeien voort uit alle huidige en toekomstige contracten die de verwerking van persoonsgegevens inhouden en een soortgelijke contractuele inhoud hebben, zoals het aanmaken en verzenden van elektronische documenten of facturen via verschillende netwerken, formaten en standaarden. De specifieke details worden bepaald volgens de vastgelegde verdeling of toewijzing van verantwoordelijkheden.

Deze overeenkomst is van toepassing op alle activiteiten in verband met dergelijke contracten waarbij werknemers van de Opdrachtnemer of diens aangewezen verwerkers (hierna “Subverwerkers”) persoonsgegevens van de Klant verwerken.

1. Doel van de Overeenkomst

Deze overeenkomst vormt een integraal onderdeel van het Hoofdcontract.

De Verwerker zal de persoonsgegevens verwerken namens de Verwerkingsverantwoordelijke.

Het doel van de verwerking van persoonsgegevens wordt gespecificeerd in de relevante contracten. In essentie verricht de Verwerker de volgende activiteiten:

  • Hosting van IT-infrastructuren
  • Ontwikkeling en implementatie van software
  • Support- en servicediensten voor softwaretoepassingen

Duur van de gegevensverwerking:

De looptijd van deze Overeenkomst wordt bepaald door de duur van het Hoofdcontract, tenzij de bepalingen van deze Overeenkomst verplichtingen opleggen die deze periode overschrijden.

Na afloop van de dienstverlening die onder dit contract valt, zal de Verwerker, indien hij persoonsgegevens of andere documenten en/of dragers op welke wijze dan ook heeft opgeslagen, deze – naar keuze van de Verwerkingsverantwoordelijke – terugbezorgen, verwijderen of overdragen aan een nieuwe verwerker, inclusief alle bestaande kopieën. De Verwerker geeft een certificaat van teruggave of vernietiging af indien de Verwerkingsverantwoordelijke hierom verzoekt. Verwijdering van gegevens vindt niet plaats wanneer een wettelijke bewaarplicht bestaat; in dat geval zal de Verwerker de gegevens bewaren door deze te blokkeren en de verwerking beperken tot het minimum dat nodig is om eventuele aansprakelijkheid voortvloeiend uit de relatie met de Verwerkingsverantwoordelijke te kunnen beoordelen. De Verwerker blijft gehouden aan zijn geheimhoudings- en vertrouwelijkheidsplicht, ook na het einde van de relatie die het onderwerp is van dit contract.

Categorie van gegevens:

  • Persoonsgegevens: naam, voornaam, postadres, telefoonnummer.
  • Werkgegevens: afdeling waartoe men behoort, personeelsnummer.
  • Toegangslogbestanden
  • Overige:

Categorie van betrokkenen:

  • Bestuurders, leidinggevende werknemers
  • Werknemers, inclusief vrijwilligers, stagiairs, agenten, uitzendkrachten.
  • Klanten en gebruikers.
  • Zakelijke contacten
  • Leveranciers
  • Opdrachtnemers en hun werknemers.

Deze Overeenkomst regelt de maatregelen die tussen de Verwerkingsverantwoordelijke en de Verwerker moeten worden overeengekomen om persoonsgegevens te beschermen in overeenstemming met artikel 28 van de RGPD.

Duur van de gegevensverwerking:

De geldigheidsduur van deze Overeenkomst wordt bepaald door de duur van het Hoofdcontract, tenzij de bepalingen van deze Overeenkomst verplichtingen opleggen die deze periode overschrijden.

Na afloop van de dienstverlening die onder dit contract valt en indien de Verwerker persoonsgegevens of andere documenten en/of dragers heeft opgeslagen, moet hij deze – volgens de beslissing van de Verwerkingsverantwoordelijke – terugbezorgen, verwijderen of aan een nieuwe verwerker overdragen, inclusief de bestaande kopieën. De Verwerker zal een certificaat van teruggave of vernietiging afgeven indien de Verwerkingsverantwoordelijke hierom verzoekt. Verwijdering van gegevens vindt niet plaats wanneer er een wettelijke bewaarplicht bestaat; in dat geval zal de Verwerker de gegevens bewaren door deze te blokkeren en de verwerking beperken tot het minimum dat nodig is om eventuele aansprakelijkheid voortvloeiend uit zijn relatie met de Verwerkingsverantwoordelijke vast te stellen. De Verwerker blijft gehouden aan zijn geheimhoudingsplicht, zelfs na het einde van de relatie die het onderwerp vormt van dit contract.

Categorie van gegevens:

  • Persoonsgegevens: naam, voornaam, postadres, telefoonnummer.
  • Werkgegevens: afdeling waartoe men behoort, personeelsnummer.
  • Toegangslogbestanden
  • Overige:

Categorie van betrokkenen:

  • Bestuurders, leidinggevende werknemers
  • Werknemers, inclusief vrijwilligers, stagiairs, agenten, uitzendkrachten.
  • Klanten en gebruikers.
  • Zakelijke contacten
  • Leveranciers
  • Opdrachtnemers en hun werknemers.

Deze Overeenkomst regelt de maatregelen die tussen de Verwerkingsverantwoordelijke en de Verwerker moeten worden overeengekomen om persoonsgegevens te beschermen in overeenstemming met artikel 28 van de RGPD.

2. Rechten en verplichtingen van de Verwerkingsverantwoordelijke

De VERWERKINGSVERANTWOORDELIJKE garandeert dat de aan de VERWERKER verstrekte gegevens op rechtmatige wijze zijn verkregen en dat zij toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden van de verwerking.

De VERWERKINGSVERANTWOORDELIJKE zal de VERWERKER alle informatie ter beschikking stellen die nodig is voor de uitvoering van de diensten waarop de opdracht betrekking heeft. De VERWERKINGSVERANTWOORDELIJKE wijst de VERWERKER erop dat, indien deze zelf de doeleinden en middelen van de verwerking vaststelt, hij als Verwerkingsverantwoordelijke wordt beschouwd en moet voldoen aan de geldende toepasselijke regelgeving.

De Verwerkingsverantwoordelijke moet de Verwerker onmiddellijk informeren indien hij fouten of onregelmatigheden vaststelt in de verwerking van persoonsgegevens die door deze laatste in zijn naam wordt uitgevoerd. Op zijn beurt zal de Verwerker de Verwerkingsverantwoordelijke onverwijld informeren over elke uitgevoerde correctie of noodzakelijke maatregel om dergelijke fouten of onregelmatigheden te verhelpen.

Indien een betrokkene een vordering indient bij één van de contracterende partijen overeenkomstig artikel 82 van de RGPD in verband met de verwerking van persoonsgegevens die het onderwerp is van deze Overeenkomst, moet de betrokken partij dit onmiddellijk aan de andere partij meedelen. Beide partijen verbinden zich ertoe samen te werken bij de verdediging tegen een dergelijke vordering.

3. Verplichtingen van de Verwerker

3.1. De Verwerker verwerkt de persoonsgegevens voor rekening van de Verwerkingsverantwoordelijke, overeenkomstig de bepalingen van het Contract en zoals gespecificeerd in deze Overeenkomst.

Indien de Verwerker echter de doeleinden en middelen van de verwerking van persoonsgegevens vaststelt in strijd met de instructies van de Verwerkingsverantwoordelijke, neemt hij de rol van Verwerkingsverantwoordelijke op zich. In dat geval is hij volledig verantwoordelijk voor deze verwerking, met alle bijbehorende verplichtingen zoals voorzien in de RGPD en andere toepasselijke wetgeving.

3.2. De Verwerker mag de persoonsgegevens van de betrokkenen uitsluitend verwerken binnen het kader van de taken die in het Contract en deze Overeenkomst zijn gespecificeerd, en in overeenstemming met de gedocumenteerde instructies van de Verwerkingsverantwoordelijke. Dit geldt behoudens een wettelijke verplichting om anders te handelen; in dat geval zal de Verwerker de Verwerkingsverantwoordelijke overeenkomstig artikel 28.3 a) van de RGPD informeren, tenzij deze communicatie wettelijk is verboden.

3.3. De Verwerker zal zijn interne structuur zo inrichten dat deze voldoet aan de specifieke vereisten inzake gegevensbescherming binnen zijn verantwoordelijkheidsgebied. Hij zal de nodige technische en organisatorische maatregelen treffen om de gegevens van de Verwerkingsverantwoordelijke passend te beschermen, overeenkomstig artikel 32 van de RGPD.

Deze maatregelen omvatten het waarborgen van de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en diensten die verband houden met de gegevensverwerking, ook op de lange termijn. Hij zal eveneens maatregelen invoeren om de beschikbaarheid van en toegang tot persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident. Daarnaast zal hij procedures opzetten om de doeltreffendheid van deze technische en organisatorische maatregelen regelmatig te toetsen en te evalueren, teneinde de veiligheid van de verwerking te waarborgen.

Tot de te implementeren maatregelen behoren, indien nodig voor een passend beveiligingsniveau, de pseudonimisering en versleuteling van persoonsgegevens. De door de Verwerker genomen technische en organisatorische maatregelen, zoals beschreven in Bijlage 1, zijn door de Verwerkingsverantwoordelijke geverifieerd, die hun bindend karakter bevestigt. De Verwerkingsverantwoordelijke blijft verantwoordelijk voor het naleven van deze maatregelen in overeenstemming met de specifieke vereisten inzake gegevensbescherming.

3.4. De Verwerker waarborgt de uitvoering van alle maatregelen die in deze Overeenkomst zijn vastgelegd voor de verwerking van persoonsgegevens. Hij zal de Verwerkingsverantwoordelijke informeren over nieuwe technologieën waarvan hij kennisneemt en die de bescherming van persoonsgegevens kunnen verbeteren.

3.5. De Verwerker zal een register opstellen, bijwerken en bijhouden van alle categorieën verwerkingsactiviteiten die hij voor rekening van de Verwerkingsverantwoordelijke uitvoert, met inbegrip van de specificaties zoals vereist in artikel 30.2 van de RGPD.

3.6. De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen, overeenkomstig artikel 28.3 e) van de RGPD, door passende technische en organisatorische beschermingsmaatregelen te implementeren, voor zover dit mogelijk is. Dit stelt de Verwerkingsverantwoordelijke in staat zijn verplichtingen na te komen bij het beantwoorden van verzoeken van betrokkenen overeenkomstig Hoofdstuk III van de RGPD. Deze ondersteuning kan onder meer bestaan uit het verstrekken van informatie en toegang aan betrokkenen, het rectificeren of wissen van gegevens, het beperken van de verwerking, het waarborgen van het recht om vergeten te worden, het vergemakkelijken van gegevensoverdraagbaarheid en het behandelen van bezwaren tegen de verwerking.

De Verwerker ondersteunt de Verwerkingsverantwoordelijke, overeenkomstig artikel 28.3 f) van de RGPD, bij het waarborgen van de naleving van de beveiligingsvereisten als bedoeld in artikel 32 van de RGPD. Hij faciliteert tevens de afhandeling van meldingen van inbreuken in verband met persoonsgegevens overeenkomstig artikel 33 van de RGPD en, indien nodig, van de communicatie aan betrokkenen overeenkomstig artikel 34 van de RGPD. Bovendien zal hij de Verwerkingsverantwoordelijke, op diens verzoek, de noodzakelijke gegevens en documenten verstrekken.

De Verwerker zal eveneens, op grond van artikel 28.3 f) van de RGPD, bijstand verlenen bij het uitvoeren van gegevensbeschermingseffectbeoordelingen overeenkomstig artikel 35 van de RGPD en, indien nodig, bij voorafgaande raadplegingen met de toezichthoudende autoriteiten overeenkomstig artikel 36 van de RGPD. Hij zal de Verwerkingsverantwoordelijke de vereiste gegevens en documenten verstrekken wanneer deze daarom verzoekt.

3.7. De Verwerker zal een functionaris voor gegevensbescherming aanwijzen en een contactpersoon aanstellen voor het behandelen van vragen van de Verwerkingsverantwoordelijke over gegevensbeschermingskwesties in het kader van het Contract en deze Overeenkomst. Elke wijziging van de contactpersoon moet onverwijld aan de Verwerkingsverantwoordelijke worden meegedeeld.

3.8. De Verwerker zal de persoonsgegevens niet gebruiken voor andere doeleinden dan die welke door de Verwerkingsverantwoordelijke zijn vastgesteld, en deze niet langer bewaren dan wettelijk is toegestaan. Er mogen geen kopieën of duplicaten van de gegevens worden gemaakt zonder medeweten en goedkeuring van de Verwerkingsverantwoordelijke.

3.9. De Verwerker waarborgt, overeenkomstig de schriftelijke instructies van de Verwerkingsverantwoordelijke, de uitoefening van de rechten van betrokkenen, waaronder het recht op verwijdering (recht om vergeten te worden), rectificatie, gegevensoverdraagbaarheid, beperking van de verwerking, bezwaar en inzage, en dit zonder onredelijke vertraging.

3.10. De Verwerker zal de Verwerkingsverantwoordelijke of diens Functionaris voor Gegevensbescherming onverwijld informeren in de volgende gevallen:

  • Indien de getroffen beveiligingsmaatregelen niet voldoen aan de in deze Overeenkomst vastgestelde eisen.
  • Indien zich belangrijke wijzigingen voordoen in de operationele procedures.
  • In geval van overtredingen van de regels inzake gegevensbescherming of van de bepalingen van deze Overeenkomst door de Verwerker of zijn personeel.
  • Bij enig vermoeden van een inbreuk op de beveiliging van persoonsgegevens of onregelmatigheden in de verwerking.

De Verwerker neemt passende beveiligingsmaatregelen, in overeenstemming met de instructies van de Verwerkingsverantwoordelijke, om de mogelijke nadelige gevolgen voor de betrokkenen zoveel mogelijk te beperken.

Dit omvat het waarborgen van de nakoming van de verplichtingen van de Verwerkingsverantwoordelijke krachtens de artikelen 33 en 34 van de RGPD met betrekking tot de melding van inbreuken aan toezichthoudende autoriteiten en, indien nodig, aan de betrokkenen. De Verwerker verbindt zich ertoe actief samen te werken met de Verwerkingsverantwoordelijke om deze verplichtingen na te komen.

De Verwerker zal elke inbreuk op de beveiliging van persoonsgegevens melden aan de Verwerkingsverantwoordelijke via een e-mail naar [gdpr@b2brouter.net](mailto:gdpr@b2brouter.net). De melding bevat ten minste de volgende informatie:

  • Beschrijving van de inbreuk: uitleg van de aard van de inbreuk, met inbegrip van de categorieën van getroffen gegevens en het geschatte aantal betrokken personen en records.
  • Contactgegevens: naam en contactgegevens van de persoon die nadere informatie kan verstrekken.
  • Waarschijnlijke gevolgen: beschrijving van de mogelijke gevolgen van de inbreuk voor de betrokkenen.
  • Genomen maatregelen: overzicht van de maatregelen die zijn genomen of gepland om de inbreuk te verhelpen of de gevolgen ervan te beperken.

Dit proces waarborgt een duidelijke en doeltreffende communicatie, waardoor de Verwerkingsverantwoordelijke zijn wettelijke verplichtingen uit hoofde van de RGPD kan nakomen.

3.11. De Verwerkingsverantwoordelijke heeft het recht om, zoals bepaald in Clausule 3.3, de technische en organisatorische maatregelen die de Verwerker moet nemen te inspecteren voordat enige gegevensverwerking plaatsvindt. Hij kan deze maatregelen tevens periodiek op regelmatige tijdstippen controleren. De inspecties kunnen rechtstreeks door de Verwerkingsverantwoordelijke of via audits door een door hem aangewezen derde worden uitgevoerd om de naleving van de regelgeving inzake gegevensbescherming te waarborgen.

3.12. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk informeren in de volgende gevallen:

  • Acties van de toezichthoudende autoriteit: overeenkomstig de artikelen 55 en volgende en 31 van de RGPD, evenals bij enig onderzoek van de toezichthoudende autoriteit naar de Verwerker, zoals bepaald in de artikelen 58.2 en 83 en volgende van de RGPD.
  • Verzoeken van betrokkenen: met betrekking tot de uitoefening van hun rechten zoals vastgelegd in Hoofdstuk III van de RGPD, zoals de rechten op rectificatie, verwijdering, beperking van de verwerking, inzage, gegevensoverdraagbaarheid en bezwaar. De Verwerker moet dergelijke verzoeken onverwijld doorsturen naar de Verwerkingsverantwoordelijke en meewerken aan de afhandeling ervan.

De Verwerker is zonder voorafgaande schriftelijke instructie van de Verwerkingsverantwoordelijke niet bevoegd om informatie aan betrokkenen of derden te verstrekken over de verwerking van persoonsgegevens, overeenkomstig artikel 15 van de RGPD.

3.13. Persoonsgegevens die voor testdoeleinden worden gebruikt, moeten veilig worden bewaard. Deze gegevens zijn niet toegankelijk totdat de Verwerkingsverantwoordelijke de Verwerker opdracht geeft om deze te vernietigen, te verwijderen of terug te geven. De verwijdering of vernietiging van de gegevens wordt schriftelijk aan de Verwerkingsverantwoordelijke bevestigd, met vermelding van de datum van uitvoering.

3.14. Na afloop van deze Overeenkomst levert de Verwerker aan de Verwerkingsverantwoordelijke, of verwijdert hij op diens verzoek onomkeerbaar, alle informatie, documentatie en gegevens die door de Verwerkingsverantwoordelijke zijn verstrekt, inclusief persoonsgegevens en de resultaten van werkzaamheden die in het kader van deze Overeenkomst zijn gegenereerd, mits geen wettelijke bewaarplicht bestaat krachtens het recht van de EU of van een lidstaat (zie art. 28.3 g) van de RGPD). De Verwerker bevestigt de teruggave, vernietiging, verwijdering en blokkering van alle informatie en registers uiterlijk 30 dagen na het verzoek. Dit geldt eveneens voor subverwerkers.

3.14.1. De Verwerker mag de verwerking van gegevens alleen uitbesteden aan derden met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. De door de Verwerker aangewezen subverwerkers worden vermeld in Bijlage 2 bij deze Overeenkomst. Voor de in deze Bijlage 2 genoemde subverwerkers wordt de toestemming geacht te zijn verleend door ondertekening van deze Overeenkomst. De Verwerker zal de Verwerkingsverantwoordelijke vooraf informeren over elke wijziging, toevoeging of vervanging van een subverwerker, zodat de Verwerkingsverantwoordelijke de mogelijkheid heeft om bezwaar te maken.

3.14.2. De Verwerker waarborgt dat de subverwerker zorgvuldig wordt geselecteerd met betrekking tot de geschiktheid van de toegepaste technische en organisatorische maatregelen. De Verwerker ziet erop toe dat de overeenkomst met de subverwerker (voor wat betreft de verwerking van persoonsgegevens) inhoudelijk gelijkwaardige voorwaarden bevat die in elk geval niet minder streng zijn dan de bepalingen van deze Overeenkomst.

3.14.3. De doorgifte van gegevens is slechts toegestaan zodra de subverwerker aan alle vereisten van artikel 28 van de RGPD voldoet, inclusief de beveiligingsmaatregelen zoals beschreven in artikel 32 van de RGPD.

3.14.4. In de overeenkomst tussen de Verwerker en de subverwerker moeten de in punt 1 genoemde elementen duidelijk worden gespecificeerd, zodat de verantwoordelijkheden tussen Verwerker en subverwerker helder zijn afgebakend. Dit principe geldt eveneens voor de verdeling van verantwoordelijkheden tussen verschillende subverwerkers.

3.14.5. De Verwerker zal de Verwerkingsverantwoordelijke informeren over de belangrijkste inhoud van de met subverwerkers gesloten contracten en over de uitvoering van de daarin opgenomen gegevensbeschermingsverplichtingen. Indien nodig zal de overeenkomst aan de Verwerkingsverantwoordelijke ter inzage worden verstrekt.

3.14.6. Subcontractering in de zin van deze Overeenkomst omvat niet de ondersteunende diensten die de Verwerker bij derden inkoopt om de uitvoering van de Overeenkomst te vergemakkelijken, zoals telecommunicatiediensten, schoonmaak, audits of vernietiging van dragers. Niettemin moet de Verwerker, om de bescherming en veiligheid van persoonsgegevens te waarborgen:

  • Passende overeenkomsten sluiten die in overeenstemming zijn met de toepasselijke wetgeving.
  • Toezicht houden op de activiteiten van deze derden die ondersteunende diensten verlenen, om te waarborgen dat zij voldoen aan de in deze Overeenkomst vastgelegde normen inzake gegevensbescherming.

3.15. Elke doorgifte van gegevens naar een derde land vereist voorafgaande toestemming van de Verwerkingsverantwoordelijke en is slechts toegestaan indien aan de vereisten van de artikelen 44 en volgende van de RGPD is voldaan.

3.16. Indien de persoonsgegevens van de Verwerkingsverantwoordelijke die door de Verwerker worden bewaard, in gevaar komen door beslag, inbeslagneming, insolventieprocedures, faillissement of een andere handeling of maatregel van derden, zal de Verwerker de Verwerkingsverantwoordelijke hiervan onmiddellijk op de hoogte brengen. De Verwerker zal bovendien onverwijld alle betrokken partijen informeren dat het gezag over en de eigendom van de persoonsgegevens uitsluitend bij de Verwerkingsverantwoordelijke berusten, overeenkomstig de RGPD.

4. Vertrouwelijkheid en integriteit

4.1. De Verwerker zorgt ervoor dat alle personen die gemachtigd zijn persoonsgegevens te verwerken, een schriftelijke geheimhoudingsverklaring ondertekenen voordat zij enige activiteit uitvoeren, overeenkomstig artikel 5.1 f) van de RGPD. Evenzo ziet de Verwerkingsverantwoordelijke erop toe dat zijn personeel naar behoren wordt geïnformeerd over de verplichtingen die voortvloeien uit deze Overeenkomst, de RGPD en andere relevante vereisten inzake gegevensbescherming. Hij ziet er ook op toe dat zij op de hoogte zijn van de instructies van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke houdt toezicht op de naleving van de gegevensbeschermingsregels en de bepalingen van deze Overeenkomst.

4.2. De verplichting tot vertrouwelijkheid en integriteit blijft van kracht, zelfs na het einde van de arbeidsrelatie.

4.3. De Verwerkingsverantwoordelijke is verplicht de vertrouwelijkheid te respecteren van alle bedrijfsgeheimen en gegevensbeschermingsmaatregelen van de Verwerker waarvan hij tijdens de contractuele relatie kennis kan nemen.

5. Aansprakelijkheid en schadeloosstelling

De Verwerker is jegens de Verwerkingsverantwoordelijke aansprakelijk voor elke schade die wordt veroorzaakt door ongeoorloofde of onjuiste verwerking van persoonsgegevens, ongeacht of dit voortvloeit uit contractuele of niet-contractuele relaties, overeenkomstig de RGPD en andere toepasselijke regelgeving inzake gegevensbescherming. Dit omvat in het bijzonder:

  • Verwerkingen van gegevens die afwijken van de instructies van de Verwerkingsverantwoordelijke.
  • Onjuiste verwerkingen als gevolg van het niet-naleven door de Verwerker van zijn verplichtingen uit hoofde van deze Overeenkomst.

De Verwerker verbindt zich ertoe de Verwerkingsverantwoordelijke te vrijwaren en te

ontheffen van elke vordering van derden in dit verband, overeenkomstig

artikel 82.3 van de RGPD.

6. Duur van het contract

6.1. De duur van deze Overeenkomst wordt bepaald door de looptijd van het Hoofdcontract, voor zover de bepalingen van deze Overeenkomst geen verplichtingen doen ontstaan die verder reiken. Deze Overeenkomst kan worden beëindigd door middel van een schriftelijke opzegging met een opzegtermijn van drie maanden aan de andere partij.

6.2. Indien de Verwerker de verplichtingen zoals omschreven in punt 3 van deze Overeenkomst niet nakomt, of de in punt 1 beschreven diensten niet verleent, en indien het desbetreffende verzoek of de aanmaning van de Verwerkingsverantwoordelijke gedurende een periode van zestig dagen geen effect sorteert, heeft de Verwerkingsverantwoordelijke, onverminderd andere rechten, het recht deze Overeenkomst te allen tijde en zonder opzegtermijn schriftelijk te beëindigen.

6.3. Indien de doorgifte van persoonsgegevens uitsluitend is gebaseerd op een adequaatheidsbesluit in de zin van artikel 45 van de RGPD, behoudt de Verwerkingsverantwoordelijke zich het recht voor om de Overeenkomst buitengewoon te beëindigen indien de werking van een dergelijk adequaatheidsbesluit wordt opgeschort, gewijzigd of ingetrokken overeenkomstig artikel 45.3, tweede alinea, in samenhang met paragraaf 5 van de RGPD.

7. Deelbaarheid

Indien een bepaling van deze Overeenkomst geheel of gedeeltelijk ongeldig blijkt te zijn, heeft dit geen invloed op de geldigheid van de overige bepalingen van de Overeenkomst.

De ongeldige bepaling wordt vervangen door een rechtsgeldige bepaling die, voor zover wettelijk toegestaan, de economische bedoeling en het doel van de oorspronkelijke bepaling zo goed mogelijk benadert.

8. Algemene bepalingen

8.1. Elke wijziging of aanvulling van deze Overeenkomst en van elk van haar constitutieve elementen (met inbegrip van de door de Verwerker verstrekte garanties) moet schriftelijk worden vastgelegd. Dit kan in elektronische vorm gebeuren, mits duidelijk wordt aangegeven dat het een schriftelijke overeenkomst betreft die deze Overeenkomst wijzigt of aanvult. Deze bepaling geldt ook voor afstand van de vereisten met betrekking tot deze vorm.

8.2. In geval van tegenstrijdigheid of inconsistentie tussen de voorwaarden van deze Overeenkomst en die van het Hoofdcontract, prevaleren de bepalingen van deze Overeenkomst.

8.3. Op deze Overeenkomst is het Europese recht van toepassing. De exclusieve bevoegdheid ligt bij de rechtbanken van Barcelona, Spanje.

B2Brouter Global S.L.

Verwerker Verwerkingsverantwoordelijke

Bijlage 1: Technische en organisatorische maatregelen / beveiligingsconcept

De volgende technische en organisatorische maatregelen (TOM’s) zijn overeengekomen tussen de Verwerkingsverantwoordelijke en de Verwerker en worden in dit specifieke geval nader omschreven. Voor meer referenties kan de lijst met voorbeelden worden geraadpleegd.

1. Maatregelen ter waarborging van de vertrouwelijkheid (art. 32.1 b RGPD)

  • Fysieke toegangscontrole

Ongeoorloofde toegang tot systemen voor gegevensverwerking is niet toegestaan.

  • Logische toegangscontrole

Ongeoorloofd gebruik van het systeem is niet toegestaan.

Toegang via beveiligde kanalen, geauthenticeerd via publieke/privé-sleutel via een bastionserver.

  • Toegangscontrole tot gegevens

Voorkoming van ongeoorloofd lezen, kopieëren, wijzigen of verwijderen binnen het systeem.

  • Scheiding van gegevens

Gescheiden verwerking van gegevens die voor verschillende doeleinden zijn verzameld.

Klantgegevens zijn logisch van elkaar gescheiden.

  • Gegevensverwijdering

Verouderde schijven of servers worden meerdere malen gewist in overeenstemming met het beleid voor veilig wissen.

2. Maatregelen ter waarborging van de integriteit (art. 32.1 b RGPD)

  • Controle op overdracht

Voorkoming van ongeoorloofd lezen, kopieëren, wijzigen of verwijderen tijdens elektronische overdracht of transport.

De overdracht van gegevens vindt plaats via veilige, versleutelde kanalen.

Al het personeel wordt opgeleid en is verplicht om persoonsgegevens te verwerken conform de geldende gegevensbeschermingsnormen.

  • Invoerscontrole

Vaststelling of, en zo ja door wie, persoonsgegevens in de verwerkende systemen zijn ingevoerd, gewijzigd of verwijderd (bijvoorbeeld logging, documentbeheer).

3. Maatregelen ter waarborging van beschikbaarheid en veerkracht (art. 32.1 b RGPD)

  • Beschikbaarheidscontrole

Bescherming tegen toevallige beschadiging, vernietiging of verlies door middel van back-up- en herstelstrategieën.

Systemen en gegevens zijn verdeeld over verschillende datacenters in verschillende landen van de Europese Unie (Duitsland en Finland).

Continuïteitsplannen voor kritieke activiteiten en rampenherstelplannen.

  • Er worden geen gegevens verwerkt voor rekening van de Verwerkingsverantwoordelijke overeenkomstig art. 28 RGPD zonder diens instructies.
  • Veerkracht

Systemen en diensten (bijvoorbeeld opslag, toegang, netwerkcapaciteit, enz.) zijn ontworpen om de werking te waarborgen, zelfs bij hoge, intermitterende of constante belasting.

Systemen en diensten zijn opgezet in een hoogbeschikbare architectuur en worden continu gemonitord.

Alle servers beschikken over gespiegelde schijven.

Er worden beveiligingssystemen gebruikt, zoals firewalls, antivirus, antispam en versleuteling.

4. Maatregelen voor pseudonimisering van persoonsgegevens

  • Scheiding van stamgegevens van klanten en gebruikersgegevens van klanten.
  • Persoonsgegevens worden gepseudonimiseerd wanneer dit nodig is.

5. Maatregelen voor het snel herstellen van de beschikbaarheid van persoonsgegevens na een fysiek of technisch incident

  • Redundante opslag van gegevens
  • Gedupliceerde IT-infrastructuur
  • Back-updatacenter

6. Procedures voor periodieke toetsing, evaluatie en beoordeling (art. 32.1 d en art. 25.1 RGPD)

  • Privacybeheer
  • Incidentresponsbeheer
  • Gegevensbescherming door standaardinstellingen (art. 25.2 RGPD)
  • Evaluatie door de CISO, IT-beveiligingsaudits
  • Externe evaluaties, audits, ISO27001-certificeringen.

Bijlage 2: Subverwerkers

Aangewezen onderneming Omvang van de opdracht Locatie van verwerking Gegevenstype
INGENT SYSTEM SL Uitbesteding van programmeer- en IT-activiteiten Vilafranca del Penedès (Spanje) Gegevens met betrekking tot klantaccounts (e-mailadressen, namen, bankgegevens, enz.)
Hetzner Online GmbH Uitbesteding van servers Gunzenhausen (Duitsland) Geen toegang tot persoonsgegevens
×
Cookies
We gebruiken cookies. Als je hiermee akkoord gaat, klik je gewoon op "Alles accepteren". Je kunt ook kiezen welk type cookies je wilt door op "Instellingen" te klikken. Lees ons cookiebeleid
Aanpassingen Alles afwijzen Alles accepteren en sluiten
Cookies
Kies welk type cookies u wilt accepteren. Je keuze wordt een jaar bewaard. Lees ons cookiebeleid
Sla Alles afwijzen Alles accepteren en sluiten