Gegevensverwerkingsovereenkomst

1. Achtergrond en doel

1.1 De Partijen hebben een overeenkomst gesloten met betrekking tot de levering van het Product of de Producten, al naar gelang het geval, aan de Klant en het gebruik daarvan door de Klant. De levering van het Product of de Producten houdt de verwerking van persoonsgegevens in door de Leverancier, de verwerker, namens de Klant, de verwerkingsverantwoordelijke, zoals nader gespecificeerd in Bijlage A en/of Bijlage B (voor zover van toepassing) met de instructies van de verwerkingsverantwoordelijke en de details van de verwerking, en de Partijen zijn daarom deze DPA aangegaan.

1.2 Deze gegevensverwerkingsovereenkomst vormt een aanvulling op de Algemene Voorwaarden en beschrijft de rechten en plichten van de verwerkingsverantwoordelijke en de gegevensverwerker bij de verwerking van persoonsgegevens namens de verwerkingsverantwoordelijke. Het doel van deze gegevensverwerkingsovereenkomst is ervoor te zorgen dat de partijen voldoen aan artikel 28, lid 3, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (de“AVG”). Deze DPA ontslaat de Klant niet van enige verplichting die hij in zijn hoedanigheid van verwerkingsverantwoordelijke heeft op grond van de toepasselijke wetgeving.

2. Definities

Naast de hieronder gedefinieerde termen en eventuele termen die in de Overeenkomst zijn gedefinieerd, moeten termen die in deze DPA worden gebruikt, zoals ‘betrokkene ’, ‘persoonsgegevens’, ‘verwerking’, ‘verwerkingsverantwoordelijke’, ‘verwerker’, ‘inbreuk in verband met persoonsgegevens’ enz., worden uitgelegd in overeenstemming met de betekenis die daaraan in de AVG wordt gegeven.

• Onder„gegevensbeschermingswetgeving“wordt verstaan: de AVG, aanvullende nationale wetgeving en bindende richtsnoeren van de Zweedse Autoriteit voor gegevensbescherming of een andere bevoegde instantie.

• “EU-VS DPF”betekent het zelfcertificeringsprogramma van het EU-VS-kader voor gegevensbescherming dat wordt beheerd door het Amerikaanse Ministerie van Handel.

• Onder „AVG“wordt verstaan Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG.

• Onder„standaardcontractbepalingen“wordt verstaan Uitvoeringsbesluit 2021/914 van de Commissie betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad, of elk besluit van de Commissie dat dit besluit inzake standaardcontractbepalingen vervangt.

3. De rechten en plichten van de verwerkingsverantwoordelijke

3.1 De verwerkingsverantwoordelijke draagt er de verantwoordelijkheid voor dat de verwerking van persoonsgegevens door de verwerker overeenkomstig Bijlage A en/of Bijlage B (voor zover van toepassing), met inachtneming van de instructies van de verwerkingsverantwoordelijke en de details van de verwerking, in overeenstemming is met de wetgeving inzake gegevensbescherming. De verantwoordelijkheden van de verwerkingsverantwoordelijke omvatten, maar zijn niet beperkt tot, het waarborgen dat de verwerking van persoonsgegevens op grond van deze DPA een geldige rechtsgrondslag heeft, het informeren van betrokkenen over de verwerking die wordt uitgevoerd in overeenstemming met deze DPA, het waarborgen van de rechten van de betrokkenen op grond van de AVG en, indien vereist, het verkrijgen van de toestemming van de betrokkene.

3.2 De verwerkingsverantwoordelijke heeft het recht en de plicht om de doeleinden en middelen te bepalen van de verwerking van persoonsgegevens die plaatsvindt in het kader van de levering van het/de Product(en) op grond van de Overeenkomst.

4. Verwerking van persoonsgegevens

4.1 De gegevensverwerker mag persoonsgegevens verwerken voor doeleinden die noodzakelijk zijn voor de nakoming van zijn verplichtingen uit hoofde van de Overeenkomst, en verbindt zich ertoe persoonsgegevens uitsluitend te verwerken in overeenstemming met de Overeenkomst, deze DPA en de gedocumenteerde instructies van de verwerkingsverantwoordelijke zoals gespecificeerd in Bijlage A en/of Bijlage B (voor zover van toepassing), met inbegrip van de instructies van de verwerkingsverantwoordelijke en de details van de verwerking, tenzij anders bepaald in de wetgeving inzake gegevensbescherming.

4.2 De gegevensverwerker stelt de verwerkingsverantwoordelijke ervan in kennis indien de door de verwerkingsverantwoordelijke gegeven instructies naar het oordeel van de gegevensverwerker ontoereikend zijn of in strijd zijn met de wetgeving inzake gegevensbescherming, en wacht op nadere instructies van de verwerkingsverantwoordelijke.

4.3 Indien de verwerking niet is gebaseerd op gedocumenteerde instructies van de verwerkingsverantwoordelijke, maar op dwingende bepalingen van het recht van de Europese Unie of het nationale recht waaraan de verwerker is onderworpen, stelt de verwerker de verwerkingsverantwoordelijke vóór de verwerking in kennis van die wettelijke verplichting, tenzij die wetgeving dergelijke informatie om belangrijke redenen van algemeen belang verbiedt.

5. Ondersteuning voor de verwerkingsverantwoordelijke

5.1 De verwerker verleent de verwerkingsverantwoordelijke op verzoek bijstand bij het nakomen van zijn verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG, rekening houdend met de aard van de verwerking en de informatie waarover de verwerker beschikt.

5.2 De verwerker verleent de verwerkingsverantwoordelijke op verzoek, rekening houdend met de aard van de verwerking, door middel van passende technische en organisatorische maatregelen, voor zover dit mogelijk is, bijstand bij het nakomen van de verplichting van de verwerkingsverantwoordelijke om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene zoals vastgelegd in hoofdstuk III van de AVG.

5.3 Indien een derde (bijvoorbeeld een betrokkene, een autoriteit of een andere partij) contact opneemt met de verwerker met een verzoek op grond van hoofdstuk III van de AVG of een verzoek met betrekking tot de verwerking van persoonsgegevens in het kader van deze verwerkersovereenkomst in het algemeen, zal de verwerker dit verzoek onverwijld doorsturen naar de verwerkingsverantwoordelijke.

5.4 De verwerker is niet gerechtigd om de verwerkingsverantwoordelijke jegens derden te vertegenwoordigen in aangelegenheden die betrekking hebben op de verwerking van persoonsgegevens, tenzij de verwerkingsverantwoordelijke hiermee uitdrukkelijk heeft ingestemd. Dit belet de verwerker echter niet om zijn verplichtingen na te komen in de vorm van samenwerking met een toezichthoudende autoriteit overeenkomstig artikel 31 van de AVG. De verwerker stelt de verwerkingsverantwoordelijke onverwijld in kennis van een dergelijke samenwerking, tenzij dit op grond van toepasselijke wetgeving verboden is.

6. Subverwerkers

6.1 Voor de uitvoering van de Overeenkomst schakelt de gegevensverwerker voor bepaalde taken subverwerkers in, zoals voor IT-beheer, communicatie, gegevensverzameling, enz. De gegevensverwerker krijgt hierbij voorafgaande algemene toestemming voor het inschakelen van subverwerkers waaraan persoonsgegevens kunnen worden doorgegeven, zodat de gegevensverwerker zijn verplichtingen uit hoofde van de Overeenkomst kan nakomen. De op elk moment ingeschakelde subverwerkers staan hier (Voyado Engage) en/of hier (Voyado Elevate) vermeld.

6.2 De verwerker stelt de verwerkingsverantwoordelijke in kennis van elk voornemen om nieuwe subverwerkers in te schakelen of een subverwerker te vervangen, zodat de verwerkingsverantwoordelijke de gelegenheid krijgt om bezwaar te maken tegen dergelijke wijzigingen.

6.3 De gegevensverwerker is ervoor verantwoordelijk dat de subverwerker, door middel van een schriftelijke overeenkomst of een andere rechtshandeling overeenkomstig de wetgeving inzake gegevensbescherming, gebonden is aan gegevensbeschermingsverplichtingen die gelijkwaardig zijn aan die welke in deze DPA zijn vastgelegd, en ervoor te zorgen dat de subverwerker voldoende garanties biedt dat hij passende technische en organisatorische maatregelen zal treffen, zodat de gegevensverwerking voldoet aan de vereisten van de wetgeving inzake gegevensbescherming. Indien een subverwerker zijn gegevensbeschermingsverplichtingen niet nakomt, blijft de gegevensverwerker jegens de verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen van de subverwerker.

7. Doorgifte van persoonsgegevens naar derde landen

7.1 De gegevensverwerker mag geen persoonsgegevens doorgeven aan derden die gevestigd zijn in een land buiten de EU/EER, tenzij dit noodzakelijk is voor de uitvoering van de verplichtingen uit hoofde van de Overeenkomst. De gegevensverwerker mag persoonsgegevens alleen doorgeven aan een ontvanger in een land buiten de EU/EER indien dat land door de Europese Commissie is goedgekeurd als een land dat een passend beschermingsniveau voor persoonsgegevens biedt (met inbegrip van de VS, mits de ontvanger deelneemt aan het EU-VS-kader voor gegevensbescherming), of anderszins indien de doorgifte plaatsvindt in overeenstemming met de modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig de AVG, in combinatie met de nodige technische en organisatorische beveiligingsmaatregelen, of enig ander toegestaan doorgiftemechanisme krachtens hoofdstuk V van de AVG.

7.2 Indien de gegevensverwerker van een derde partij een bevel ontvangt tot gedwongen openbaarmaking van persoonsgegevens die op grond van dit artikel zijn doorgegeven, zal de gegevensverwerker, voor zover mogelijk en niet verboden, de verwerkingsverantwoordelijke vóór de verwerking op de hoogte stellen van die wettelijke verplichting en de derde partij doorverwijzen om de gegevens rechtstreeks bij de verwerkingsverantwoordelijke op te vragen. De gegevensverwerker zal voorts alle wettige inspanningen leveren om het bevel tot openbaarmaking aan te vechten op grond van eventuele juridische tekortkomingen in de wetgeving van de verzoekende partij of eventuele relevante conflicten met het recht van de Europese Unie of het toepasselijke recht van de lidstaat.

8. Vertrouwelijkheid

8.1 De gegevensverwerker verbindt zich ertoe de toegang tot persoonsgegevens te beperken tot die personen die deze toegang nodig hebben om de diensten te verlenen.

8.2 De gegevensverwerker zorgt ervoor dat alle personen die bevoegd zijn om de persoonsgegevens te verwerken, zich tot geheimhouding hebben verbonden of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, en dat zij de persoonsgegevens uitsluitend verwerken in overeenstemming met de instructies van de verwerkingsverantwoordelijke, tenzij de toepasselijke wetgeving overeenkomstig artikel 4.3 anders bepaalt.

9. Beveiliging

De gegevensverwerker verbindt zich ertoe alle maatregelen te nemen die vereist zijn op grond van artikel 32 van de AVG, waarin wordt bepaald dat de gegevensverwerker passende technische en organisatorische maatregelen moet treffen om een beveiligingsniveau te waarborgen dat in verhouding staat tot het risico, waarbij met name rekening wordt gehouden met de risico’s die de verwerking met zich meebrengt, de gevoeligheid van de betrokken persoonsgegevens, de beschikbare technische mogelijkheden en de kosten van de uitvoering van de maatregelen. De technische en organisatorische maatregelen die door de gegevensverwerker moeten worden genomen, worden gedetailleerd beschreven in Bijlage A en/of Bijlage B (indien van toepassing), samen met de instructies van de verwerkingsverantwoordelijke en de details van de verwerking.

10. Melding van inbreuken op de bescherming van persoonsgegevens

De gegevensverwerker stelt de verwerkingsverantwoordelijke onverwijld in kennis zodra hij kennis neemt van een inbreuk op de beveiliging van persoonsgegevens waarbij persoonsgegevens betrokken zijn die door de gegevensverwerker op grond van de overeenkomst worden verwerkt. De gegevensverwerker staat de verwerkingsverantwoordelijke bij door de informatie te verstrekken die nodig is voor de nakoming van diens verplichting om de inbreuk op de bescherming van persoonsgegevens te melden aan de bevoegde toezichthoudende autoriteit en, indien van toepassing, diens verplichting om de inbreuk op de bescherming van persoonsgegevens aan de betrokkenen te melden, rekening houdend met de aard van de verwerking en de informatie waarover de gegevensverwerker beschikt.

11. Controle en inspectie

11.1 De verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke aangewezen onafhankelijke derde (die echter geen concurrent van de gegevensverwerker mag zijn) heeft, mits dit redelijkerwijs vooraf wordt aangekondigd en met inachtneming van de technische en organisatorische beveiligingsmaatregelen van de gegevensverwerker, het recht om een controle uit te voeren met als enig doel de naleving van deze DPA te waarborgen. Een dergelijke audit is beperkt tot informatie die nodig is om de naleving van de verplichtingen uit hoofde van deze DPA aan te tonen en de auditor is verplicht om, voorafgaand aan de openbaarmaking van dergelijke informatie, rechtstreeks een geheimhoudingsovereenkomst met de gegevensverwerker aan te gaan. Audits worden uitgevoerd tijdens de normale kantooruren van de gegevensverwerker en mogen geen onredelijke verstoring van de bedrijfsactiviteiten van de gegevensverwerker veroorzaken. De gegevensverwerker zal de verwerkingsverantwoordelijke voorzien van redelijke assistentie en documentatie zoals vereist om een dergelijke audit uit te voeren. Audits worden uitgevoerd op kosten van de verwerkingsverantwoordelijke.

11.2 Op verzoek van de Klant en met inachtneming van de toepasselijke geheimhoudingsverplichtingen zal de Leverancier kopieën verstrekken van alle certificaten, samenvattingen van auditrapporten en/of andere relevante documentatie waarover hij beschikt, voor zover deze documentatie doorgaans aan zijn Klanten ter beschikking wordt gesteld. Indien de gevraagde auditomvang aan de orde komt in een ISO 27001-certificering of een soortgelijk auditverslag van een derde partij dat is uitgevoerd in de twaalf (12) maanden voorafgaand aan het auditverzoek van de Klant, en de Leverancier bevestigt dat er geen wezenlijke wijzigingen bekend zijn in de geauditeerde controles, stemt de Klant ermee in om een dergelijke certificering of een dergelijk auditverslag te aanvaarden in plaats van zelf een audit uit te voeren van de controles die daaronder vallen.

11.3 De gegevensverwerker is verplicht om toezichthoudende autoriteiten die krachtens de toepasselijke wetgeving toegang hebben tot de faciliteiten van de verwerkingsverantwoordelijke en de gegevensverwerker, of vertegenwoordigers die namens deze toezichthoudende autoriteiten optreden, toegang te verlenen tot de fysieke faciliteiten van de gegevensverwerker, mits zij zich op passende wijze kunnen identificeren.

12. Aansprakelijkheid

De totale aansprakelijkheid van elke partij die voortvloeit uit of verband houdt met deze DPA, is onderworpen aan de aansprakelijkheidsbeperking die tussen de partijen in de Overeenkomst is overeengekomen. Deze beperkingen zijn echter niet van toepassing indien de schade is veroorzaakt door een onjuiste implementatie van het Product of de Producten door de verwerkingsverantwoordelijke of door een instructie van de verwerkingsverantwoordelijke; in dat geval is de verwerkingsverantwoordelijke volledig aansprakelijk voor deze schade.

13. Looptijd en beëindiging van de DPA

13.1 Deze gegevensverwerkingsovereenkomst treedt in werking op de datum waarop beide partijen de overeenkomst ondertekenen. De gegevensverwerkingsovereenkomst eindigt wanneer de overeenkomst wordt beëindigd of wanneer de gegevensverwerker om andere redenen geen persoonsgegevens meer verwerkt namens de verwerkingsverantwoordelijke.

13.2 Bij beëindiging van de DPA zal de gegevensverwerker alle persoonsgegevens definitief verwijderen of teruggeven aan de verwerkingsverantwoordelijke, afhankelijk van de keuze van de verwerkingsverantwoordelijke, tenzij de gegevensverwerker krachtens de toepasselijke wetgeving verplicht is de persoonsgegevens te bewaren. Indien de verwerkingsverantwoordelijke de gegevensverwerker niet binnen één (1) maand na beëindiging van de DPA op de hoogte heeft gesteld van zijn keuze, zal de gegevensverwerker alle persoonsgegevens definitief verwijderen in overeenstemming met zijn bewaarbeleid.

14. Diversen

14.1 Deze DPA vormt een integraal onderdeel van de Overeenkomst tussen de Leverancier en de Klant. In geval van tegenstrijdige bepalingen in de Overeenkomst prevaleert de DPA.

14.2 Indien een bepaling van deze DPA ongeldig is of wordt, of een leemte bevat, blijven de overige bepalingen onverminderd van kracht. De leverancier en de klant verbinden zich ertoe om elke ongeldige bepaling te vervangen door rechtsgeldige bepalingen die het dichtst bij de bedoeling van de ongeldige bepaling liggen, en de leemte op te vullen.

 

Bijlage A – Instructies van de verwerkingsverantwoordelijke en gegevens over de verwerking voor „Voyado Engage“

1. Aard en doel van de verwerking

Deze bijlage is van toepassing op de levering van het product „Voyado Engage“. Het gebruik door de klant van onderdelen en/of integraties met diensten van derden brengt aanvullende verwerking met zich mee, zoals nader beschreven in de specificaties voor gegevensverwerking (zie paragraaf 7 hieronder). De precieze aard van de verwerking kan ook afhangen van de instellingen die door de klant zijn geconfigureerd.

Het doel van de verwerking is het leveren van het Product in het kader van de Overeenkomst en het voortdurend ontwikkelen en verbeteren van het Product. De gegevensverwerker mag persoonsgegevens uitsluitend voor deze doeleinden verwerken.

Persoonsgegevens worden voornamelijk door de verwerkingsverantwoordelijke in het Product ingevoerd, maar kunnen in bepaalde gevallen ook uit externe bronnen worden geïmporteerd, zoals externe dienstverleners, indien dit in de Overeenkomst is overeengekomen,bijvoorbeeld met het oog op het aanvullen en bijwerken van persoonsgegevens. Persoonsgegevens kunnen ook rechtstreeks van betrokkenen worden geïmporteerd via hun gebruik van het Product.

De persoonsgegevens in het Product worden voornamelijk opgeslagen en gebruikt voor segmentatie en het uitvoeren van gerichte campagnes (voornamelijk via e-mail en sms). Het campagnebeheersysteem genereert persoonsgegevens via zijn feedbackloop op basis van onbestelbare e-mails, geopende e-mails, doorkliks en soortgelijke monitoringactiviteiten.

Het gebruik door de Klant van AI-functionaliteiten houdt in dat de Leverancier persoonsgegevens op een aanvullende manier verwerkt, in overeenstemming met de toepasselijke specificaties voor gegevensverwerking in het Helpcentrum. Indien de Klant ervoor kiest om dergelijke AI-gestuurde functionaliteiten te gebruiken, kunnen persoonsgegevens worden gebruikt voor bijvoorbeeld AI-ondersteunde inzichten en strategieën, AI-ondersteunde targeting en AI-ondersteunde contentgeneratie. De AI-functionaliteiten zijn ontworpen ter ondersteuning van de analyse, targeting en contentcreatie door de geautoriseerde gebruiker en zijn niet bedoeld voor geautomatiseerde besluitvorming in de zin van artikel 22 van de AVG.

2. Betrokkenen en persoonsgegevens

De verwerking heeft betrekking op de volgende categorieën betrokkenen:

• Leden, klanten, potentiële klanten of andere personen die in de betreffende systemen van de verwerkingsverantwoordelijke zijn geregistreerd

De gegevensverwerker verwerkt de volgende persoonsgegevens:

• Naam
• Adres
• Geboortedatum
• Persoonlijk identificatienummer
• Geslacht
• E-mailadres
• Telefoonnummer
• Toepasselijke segmentatie
• Informatie over eerdere aankopen
• Activiteiten van de betrokkenen, zoals het openen van e-mails, het klikken op links in de e-mails, aankopen, deelname aan wedstrijden en dergelijke, evenals gegevens die voortvloeien uit dergelijke activiteiten of interacties (bijv. loyaliteitspunten, voortgangsstatus, beloningen enz.)
• Andere persoonlijke gegevens die in het product zijn opgeslagen

Gevoelige persoonsgegevens in de zin van artikel 9 van de AVG en andere persoonsgegevens die vanuit het oogpunt van integriteit als gevoelig kunnen worden beschouwd, mogen niet in het Product worden verwerkt en de verwerkingsverantwoordelijke mag dergelijke gegevens niet importeren of opslaan, tenzij deze instructies uitdrukkelijk schriftelijk worden gewijzigd en door beide Partijen worden ondertekend.

3. De duur van de verwerking

Persoonsgegevens worden verwerkt gedurende de looptijd van de Overeenkomst. De Klant bepaalt, in zijn hoedanigheid van verwerkingsverantwoordelijke, de bewaartermijn voor contactpersonen en de bijbehorende persoonsgegevens. Meer informatie over het bewaren van gegevens vindt u in het Helpcentrum-artikel„Gegevensopslag in Engage“.

4. Technische en organisatorische beveiligingsmaatregelen

De leverancier heeft de volgende technische en organisatorische maatregelen getroffen (waaronder een ISO 27001-certificering) om een beveiligingsniveau voor persoonsgegevens te waarborgen dat in verhouding staat tot het risico, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsmede met de risico’s voor de rechten en vrijheden van natuurlijke personen:

4.1 Algemene veiligheidsmaatregelen

Maatregelen die in het algemeen ongeoorloofde verwerking van persoonsgegevens voorkomen.

• Beveiligingsnorm – de gegevensverwerker dient een Informatiebeveiligingsbeheersysteem (ISMS) te onderhouden en te exploiteren dat is gecertificeerd volgens ISO/IEC 27001 (of een gelijkwaardige norm), en dient technische en organisatorische beveiligingsmaatregelen toe te passen in overeenstemming met dit kader.
• Versleuteling van persoonsgegevens – Gegevensoverdrachten van en naar de gegevensverwerker worden beveiligd door middel van versleuteling volgens de gangbare praktijk. Wanneer gegevens zijn opgeslagen, worden ze, voor zover technisch haalbaar, versleuteld, waarbij ten minste gebruik wordt gemaakt van versleuteling op schijfniveau.
• Scheiding van gegevens – klantgegevens worden gescheiden door middel van logische scheiding of logische identificatiecodes, waarbij informatie wordt gemarkeerd om de eigenaar duidelijk aan te duiden en ervoor te zorgen dat klantgegevens alleen voor die klant toegankelijk zijn.
• Regelmatige en onafhankelijke kwetsbaarheids- en penetratietests, evenals regelmatige beveiligingsupdates en patches.

4.2 Fysieke toegangscontrole

Maatregelen die voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkingssystemen waarin persoonsgegevens worden verwerkt.

• De toegang tot systemen en persoonsgegevens is uitsluitend voorbehouden aan diegenen die deze toegang nodig hebben om het product aan de klanten te leveren, en wel op basis van het ‘need-to-know’-principe.
• Gebruikersauthenticatie ter beveiliging van de toegang tot gegevensverwerkingssystemen.
• Strenge wachtwoordbeleidsregels. De werkstations van medewerkers worden versleuteld met volledige schijfversleuteling en beveiligd met sterke wachtwoorden.

4.3 Organisatorische maatregelen

Maatregelen die zorgen voor veilige werkwijzen en praktijken binnen de organisatie.

• Risicobeheer – De gegevensverwerker moet beschikken over gedocumenteerde processen en procedures voor het beheer van risico’s binnen zijn bedrijfsvoering. De gegevensverwerker moet periodiek de risico’s beoordelen die verband houden met informatiesystemen en met de verwerking, opslag en verzending van gegevens.
• Wijzigingsbeheer – de gegevensverwerker hanteert een gestructureerd wijzigingsbeheerproces om ervoor te zorgen dat wijzigingen worden beoordeeld en getest voordat ze in de productieomgeving worden geïmplementeerd. Er zijn maatregelen getroffen om wijzigingen ongedaan te maken in het geval van onbedoeld gedrag.
• Veilig testen – de gegevensverwerker hanteert aparte productie- en testomgevingen.
• Functionaris voor gegevensbescherming – de verwerker heeft een functionaris voor gegevensbescherming in dienst die over de nodige beveiligingskennis beschikt, de algehele verantwoordelijkheid draagt voor de uitvoering van de beveiligingsmaatregelen en als contactpersoon fungeert voor het beveiligingspersoneel van de klant.
• Beveiliging is de verantwoordelijkheid van iedereen die voor de gegevensverwerker werkt, en alle medewerkers worden getraind om beveiligingsrisico’s te herkennen en maatregelen te nemen om deze te voorkomen.

4.4 Beheer van datalekken

Maatregelen die zorgen voor een veilig en correct beheer in geval van datalekken.

• De gegevensverwerker moet procedures hebben vastgesteld voor het beheer van inbreuken op de gegevensbescherming.
• De gegevensverwerker dient de betreffende klant zo spoedig mogelijk op de hoogte te stellen van eventuele inbreuken op de gegevensbeveiliging, in overeenstemming met de gegevensverwerkingsovereenkomst.
• Alle meldingen van inbreuken op de bescherming van persoonsgegevens worden als vertrouwelijke informatie behandeld.
• De rapportage moet de beschikbare informatie bevatten die nodig is voor de rapportage aan de toezichthoudende autoriteit.

4.5 Bedrijfscontinuïteitsbeheer

Maatregelen die de continue werking van het product waarborgen.

• De gegevensverwerker moet de risico’s voor de bedrijfscontinuïteit in kaart brengen en de nodige maatregelen nemen om deze risico’s te beheersen en te beperken.
• De gegevensverwerker moet beschikken over gedocumenteerde processen en procedures voor het waarborgen van de bedrijfscontinuïteit.
• Informatiebeveiliging moet worden geïntegreerd in de bedrijfscontinuïteitsplannen.
• De doeltreffendheid van het bedrijfscontinuïteitsbeheer van de gegevensverwerker en de naleving van de beschikbaarheidseisen moeten periodiek worden geëvalueerd.

4.6 Certificeringen

De leverancier beschikt momenteel over de volgende certificeringen:

• ISO 27001

Meer informatie vindt u op het Voyado Trust Center (http://trust.voyado.com/).

5. Verplichtingen van de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke dient alle inloggegevens van gebruikers op een veilige manier op te slaan en mag geen toegang verlenen aan onbevoegde personen. De verwerkingsverantwoordelijke dient te beschikken over procedures en beleidsregels voor een veilig gebruik van het product en dient zijn personeel te informeren over het toegestane gebruik van het product. De verwerkingsverantwoordelijke moet beschikken over beleidsregels waarin is vastgelegd welke persoonsgegevens in het product mogen worden opgeslagen en hoe lang deze gegevens mogen worden bewaard.

De verwerkingsverantwoordelijke wordt herinnerd aan zijn verplichtingen uit hoofde van de AVG om persoonsgegevens uitsluitend te verwerken in overeenstemming met de wetgeving inzake gegevensbescherming en om een hoog beveiligingsniveau voor persoonsgegevens te waarborgen door middel van technische en organisatorische beveiligingsmaatregelen. De verwerkingsverantwoordelijke erkent daarom dat hij bijvoorbeeld geen bestanden met persoonsgegevens in onversleutelde e-mails naar de verwerker mag verzenden en dat de verwerkingsverantwoordelijke geen gevoelige persoonsgegevens (tenzij hierin uitdrukkelijk anders overeengekomen), of andere persoonsgegevens die niet in deze instructie zijn opgenomen, zoals bankrekeninggegevens, creditcardgegevens enz. aan de verwerker mag verstrekken, bijvoorbeeld bij het aanvragen van ondersteuning van de verwerker of in enig ander geval. De verwerkingsverantwoordelijke wordt verder aanbevolen om actief te werken aan passende gegevensbeschermingsmaatregelen.

6. Subverwerkers en doorgifte naar derde landen

De gegevensverwerker is bevoegd om persoonsgegevens door te geven aan derde landen voor de beperkte doeleinden die krachtens deze gegevensverwerkingsovereenkomst zijn toegestaan. Hier wordt beschreven welke gegevensoverdrachten aan de betreffende subverwerkers plaatsvinden. De gegevensverwerker en de verwerkingsverantwoordelijke streven ernaar om alle doorgiften naar derde landen in alle situaties tot een minimum te beperken.

7. Aanvullende instructies voor componenten en integraties

Het gebruik door de klant van onderdelen en/of integraties met diensten van derden houdt in dat de leverancier persoonsgegevens aanvullend verwerkt in overeenstemming met de toepasselijke specificaties voor gegevensverwerking in het Helpcentrum.

 

Bijlage B – Instructies van de verwerkingsverantwoordelijke en gegevens over de verwerking voor „Voyado Elevate“

1. Aard en doel van de verwerking

Dit schema is van toepassing op de levering van het product „Voyado Elevate“. Houd er rekening mee dat de precieze afhandeling afhankelijk is van de gebruikte componenten en integraties (zie paragraaf 7 hieronder) en van de instellingen die de klant heeft opgegeven.

Het doel van de verwerking is het leveren van het Product in het kader van de Overeenkomst en het voortdurend ontwikkelen en verbeteren van de functionaliteit van het Product. De gegevensverwerker mag persoonsgegevens uitsluitend voor dit doel verwerken.

Door het verzamelen, ordenen, structureren, opslaan, opvragen, wissen en analyseren van gegevens zal de verwerker de website(s) van de verwerkingsverantwoordelijke verbeteren door producten relevanter weer te geven op basis van de activiteiten van de betrokkenen op de betreffende website(s).

2. Betrokkenen en persoonsgegevens

De verwerking heeft betrekking op de volgende categorieën betrokkenen:

• Bezoekers van de website(s) van de verwerkingsverantwoordelijke.

De gegevensverwerker verwerkt de volgende persoonsgegevens:

• Weergaven van producten, aankopen van producten, klikken op producten, toevoegingen aan het winkelmandje, zoektermen en de sessiesleutel worden allemaal opgeslagen op basis van een gepseudonimiseerde klantensleutel.
• IP-adres en user-agent.

3. De duur van de verwerking

De standaardbewaartermijn is vastgesteld op twaalf (12) maanden. Meer informatie over het bewaren van gegevens vindt u hier in het gedeelte „Gegevensopslag in Elevate“.

4. Technische en organisatorische beveiligingsmaatregelen

De leverancier heeft de volgende technische en organisatorische maatregelen getroffen (waaronder een ISO 27001-certificering) om een beveiligingsniveau voor persoonsgegevens te waarborgen dat in verhouding staat tot het risico, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsmede met de risico’s voor de rechten en vrijheden van natuurlijke personen:

4.1 Algemene veiligheidsmaatregelen

Maatregelen die in het algemeen ongeoorloofde verwerking van persoonsgegevens voorkomen.

• Beveiligingsnorm – de gegevensverwerker dient een Informatiebeveiligingsbeheersysteem (ISMS) te onderhouden en te exploiteren dat is gecertificeerd volgens ISO/IEC 27001 (of een gelijkwaardige norm), en dient technische en organisatorische beveiligingsmaatregelen toe te passen in overeenstemming met dit kader.
• Versleuteling van verkeersgegevens – alle externe gegevensoverdrachten van en naar de processor worden beveiligd door middel van versleuteling, conform de gangbare praktijk.
• Scheiding van gegevens – klantgegevens worden gescheiden door middel van logische scheiding of logische identificatiecodes, waarbij informatie wordt gemarkeerd om de eigenaar duidelijk aan te duiden en ervoor te zorgen dat klantgegevens alleen voor die klant toegankelijk zijn.
• Regelmatige beveiligingsupdates en patches voor alle systemen.
• De gegevensverwerker staat huurders toe om op verzoek zelfstandig kwetsbaarheidsanalyses uit te voeren, binnen de grenzen van de algemene testrichtlijnen van de verwerker.

4.2 Fysieke toegangscontrole

Maatregelen die voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkingssystemen waarin persoonsgegevens worden verwerkt.

• De toegang tot systemen en persoonsgegevens is uitsluitend voorbehouden aan diegenen die deze toegang nodig hebben om het product aan de klanten te leveren, en wel op basis van het ‘need-to-know’-principe.
• Gebruikersauthenticatie ter beveiliging van de toegang tot gegevensverwerkingssystemen.
• Veilige wachtwoordbeleidsregels voor alle systemen en werkstations.
• De gegevensverwerker moet bevoorrechte toegang (bijvoorbeeld op beheerdersniveau) tot informatiebeveiligingsbeheersystemen controleren en registreren.

4.3 Organisatorische maatregelen

Maatregelen die zorgen voor veilige werkwijzen en praktijken binnen de organisatie.

• Risicobeheer – De gegevensverwerker moet beschikken over gedocumenteerde processen en procedures voor het beheer van risico’s binnen zijn bedrijfsvoering. De gegevensverwerker moet periodiek de risico’s beoordelen die verband houden met informatiesystemen en met de verwerking, opslag en verzending van gegevens.
• Wijzigingsbeheer – de gegevensverwerker hanteert een gestructureerd wijzigingsbeheerproces om ervoor te zorgen dat wijzigingen worden beoordeeld en getest.
• Veilig testen – de gegevensverwerker hanteert aparte productie- en testomgevingen.
• Functionaris voor gegevensbescherming – de gegevensverwerker heeft een functionaris voor gegevensbescherming in dienst die over de nodige beveiligingskennis beschikt, de algehele verantwoordelijkheid draagt voor de uitvoering van de beveiligingsmaatregelen en als contactpersoon fungeert voor het beveiligingspersoneel van de klant.
• Beveiliging is de verantwoordelijkheid van iedereen die voor de gegevensverwerker werkt, en alle medewerkers worden getraind om beveiligingsrisico’s te herkennen en maatregelen te nemen om deze te voorkomen.
• De gegevensverwerker beschikt over een gedocumenteerd rampenplan voor beveiligingsincidenten, evenals over beproefde beleidsregels en procedures om de taken van de dienstverlening adequaat te ondersteunen.

4.4 Beheer van datalekken

Maatregelen die zorgen voor een veilig en correct beheer in geval van datalekken.

• De gegevensverwerker moet procedures hebben vastgesteld voor het beheer van inbreuken op de gegevensbescherming.
• De gegevensverwerker dient de betreffende klant zo spoedig mogelijk op de hoogte te stellen van eventuele inbreuken op de gegevensbeveiliging, in overeenstemming met de gegevensverwerkingsovereenkomst.
• Alle meldingen van inbreuken op de bescherming van persoonsgegevens worden als vertrouwelijke informatie behandeld.
• De rapportage moet de beschikbare informatie bevatten die nodig is voor de rapportage aan de toezichthoudende autoriteit.

4.5 Bedrijfscontinuïteitsbeheer

Maatregelen die de continue werking van het product waarborgen.

• De gegevensverwerker moet de risico’s voor de bedrijfscontinuïteit in kaart brengen en de nodige maatregelen nemen om deze risico’s te beheersen en te beperken.
• De gegevensverwerker moet beschikken over gedocumenteerde processen en procedures voor het waarborgen van de bedrijfscontinuïteit.
• Informatiebeveiliging moet worden geïntegreerd in de bedrijfscontinuïteitsplannen.
• De doeltreffendheid van het bedrijfscontinuïteitsbeheer van de gegevensverwerker en de naleving van de beschikbaarheidseisen moeten periodiek worden geëvalueerd.

4.6 Certificeringen

De leverancier beschikt momenteel over de volgende certificeringen:

• ISO 27001

Meer informatie vindt u op het Voyado Trust Center (http://trust.voyado.com/).

5. Subverwerkers en doorgifte naar derde landen

De gegevensverwerker is bevoegd om persoonsgegevens door te geven aan derde landen voor de beperkte doeleinden die krachtens deze gegevensverwerkingsovereenkomst zijn toegestaan. Hier wordt beschreven welke gegevensoverdrachten aan de betreffende subverwerkers plaatsvinden. De gegevensverwerker en de verwerkingsverantwoordelijke streven ernaar om alle doorgiften naar derde landen in alle situaties tot een minimum te beperken.

6. Aanvullende instructies voor componenten en integraties

Het gebruik door de klant van onderdelen en/of integraties met diensten van derden houdt in dat de leverancier persoonsgegevens aanvullend verwerkt in overeenstemming met de toepasselijke specificaties voor gegevensverwerking in het Helpcentrum.

 

* * *