Overeenkomst gegevensverwerking

Overeenkomst voor het verwerken van informatie


Deze Overeenkomst Gegevensverwerking tussen PrismaNote en Retailers of Merken vormt een aanvulling op de Servicevoorwaarden. Onder de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie heeft PrismaNote een positie van ‘Verwerker’ en hebben de gebruikers van PrismaNote een positie van ‘Verwerkingsverantwoordelijke’ met betrekking tot de persoonlijke gegevens die worden verstrekt door de gebruikers van PrismaNote.


De Overeenkomst Gegevensverwerking vormt een integraal onderdeel van de Servicevoorwaarden. Bepalingen uit deze Overeenkomst vervangen elke bepaling uit de algemene servicevoorwaarden voor zover een dergelijke bepaling in strijd is met de bepalingen uit deze Overeenkomst Gegevensverwerking.


In het privacybeleid bieden we graag we openheid in de manier waarop PrismaNote de 'Verwerkingsverantwoordelijke' is.

1. Definities


1.1 De volgende definities leggen een deel van de terminologie en afkortingen uit die in dit addendum bij de Servicevoorwaarden worden gebruikt:

  • DPA’ verwijst naar deze Overeenkomst Gegevensverwerking.
  • Voorwaarden’ verwijst naar de Servicevoorwaarden overeenkomst.
  • Processor / Verwerker’ verwijst naar PrismaNote.
  • Controller / Verwerkingsverantwoordelijke’ verwijst naar de geregistreerde gebruiker van de PrismaNote-services.
  • 'Verwerking' verwijst naar elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonlijke gegevens of op sets van persoonlijke gegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, registratie, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging , gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, afstemming of combinatie, beperking, wissing of vernietiging.
  • Data / Gegevens’ verwijst naar informatie die door Verwerkingsverantwoordelijke aan de Verwerker wordt verstrekt met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon; een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificatiecode of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.
  • Betrokkene’ verwijst naar een geïdentificeerde of identificeerbare natuurlijke persoon op wie de gegevens betrekking hebben.
  • Datalek’ verwijst naar een inbreuk op de beveiliging die leidt tot onbedoelde of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot verzonden, opgeslagen of anderszins verwerkte gegevens.

2. Verwerking


2.1 Verwerker verbindt zich ertoe alle Gegevens te verwerken in overeenstemming met de AVG en andere toepasselijke wetten, statuten en voorschriften.


2.2 Verwerker mag de Gegevens alleen verwerken in overeenstemming met de gedocumenteerde instructies van de Verwerkingsverantwoordelijke. Instructies waarnaar hierin wordt verwezen, zijn opgenomen in de Voorwaarden of kunnen vervat zijn in een ander schriftelijk document dat is opgesteld of uitgewisseld tussen de Verantwoordelijke en de Verwerker.


2.3 Gedurende de looptijd van deze DPA blijft Verwerkingsverantwoordelijke eigenaar van de aan Verwerker overgedragen Data. Niets in deze DPA mag worden opgevat als overdracht van de eigendom van de Gegevens aan de Verwerker of andere Derde partij.


2.4 Verwerkingsverantwoordelijke garandeert dat de Gegevens worden verkregen in overeenstemming met de toepasselijke wetten, statuten en voorschriften en dat de Verwerking die Verwerkingsverantwoordelijke vraagt, geen toepasselijke wet, statuten of regelgeving schendt.


2.5 Gegevens kunnen worden verwerkt binnen de looptijd van deze DPA.

3. Personeel


3.1 Verwerker draagt ​​er zorg voor dat alle medewerkers, aannemers en overige personen die werkzaam zijn onder het gezag van Verwerker, zijn gebonden aan een strikte geheimhoudingsverklaring voorafgaand hen toegang te geven tot de Gegevens.


3.2 Verwerker zal maatregelen nemen om ervoor te zorgen dat een persoon die handelt onder het gezag van Verwerker en toegang heeft tot de Gegevens deze niet verwerkt, behalve op instructie van de Verwerkingsverantwoordelijke.

4. Veiligheid


4.1 Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking, alsmede het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van Betrokkenen, zal de Verwerker passende technische en organisatorische maatregelen nemen om een ​​beveiligingsniveau te waarborgen dat is afgestemd op het risico, waaronder onder andere:

  • De pseudonimisering en versleuteling van de gegevens;
  • Het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te waarborgen;
  • De mogelijkheid om de beschikbaarheid van en toegang tot de Gegevens tijdig te herstellen in geval van een fysiek of technisch incident;
  • Een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.


4.2 Bij het beoordelen van het passende beveiligingsniveau wordt in het bijzonder rekening gehouden met de risico's die de verwerking met zich meebrengt, in het bijzonder als gevolg van onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot de verzonden, opgeslagen of anderszins verwerkte gegevens.

5. Onderverwerker


5.1 Verwerker zal geen andere verwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van Verwerkingsverantwoordelijke. Bij algemene schriftelijke toestemming zal Verwerker de Verwerkingsverantwoordelijke op de hoogte stellen van voorgenomen wijzigingen met betrekking tot het toevoegen of vervangen van andere verwerkers, waardoor Verwerkingsverantwoordelijke in de gelegenheid wordt gesteld bezwaar te maken tegen dergelijke wijzigingen. De Verwerkingsverantwoordelijke kan binnen vijftien (15) dagen na ontvangst van de kennisgeving over wijzigingen schriftelijk bezwaar maken tegen dergelijke wijzigingen.


5.2 Indien Verwerker een andere verwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens Verwerkingsverantwoordelijke, worden aan die andere verwerker dezelfde verplichtingen inzake gegevensbescherming opgelegd als uiteengezet in deze DPA door middel van een contract of andere rechtshandeling. Hierbij worden voldoende, passende technische en organisatorische maatregelen genomen op een zodanige manier dat de verwerking voldoet aan de eisen van de toepasselijke wet-, statuten en regelgeving. Indien die andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Verwerker volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van die andere verwerker.

6. Rechten onder Data


6.1 Verwerker zal, rekening houdend met de aard van de Verwerking, de Verwerkingsverantwoordelijke bijstaan met passende technische en organisatorische maatregelen, voor zover mogelijk, om te voldoen aan de verplichtingen van Verwerkingsverantwoordelijke, zoals redelijkerwijs begrepen door Verwerkingsverantwoordelijke, om te reageren op verzoeken tot uitoefening Rechten van betrokkenen onder de AVG.


6.2 Verwerker zal:

  • De Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen als Verwerker of Subverwerker een verzoek ontvangt van een Betrokkene op grond van de AVG of andere toepasselijke wet, statuut of regelgeving met betrekking tot de Gegevens; en
  • Ervoor te zorgen dat de Verwerker of Subverwerker niet op dat verzoek reageert, behalve op gedocumenteerde instructies van de Verwerkingsverantwoordelijke of zoals vereist door de toepasselijke wetgeving waaraan de Verwerker of Subverwerker is onderworpen, in welk geval de Verwerker voor zover toegestaan door toepasselijke wetgeving de Verwerkingsverantwoordelijke op de hoogte zal stellen van die wettelijke vereiste, voordat de Verwerker of Subverwerker op het verzoek reageert.

7. Datalek


7.1 Verwerker zal Verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte stellen, nadat hij kennis heeft genomen van een Datalek dat van invloed is op de Gegevens. Hierbij zal hij de Verwerkingsverantwoordelijke voldoende informatie verstrekken om Verwerkingsverantwoordelijke in staat te stellen te voldoen aan eventuele meldingsverplichtingen bij bevoegde autoriteiten en Betrokkenen waar nodig te informeren over het Datalek.


7.2 De Verwerker zal samenwerken met de Verwerkingsverantwoordelijke en alle redelijke commerciële stappen ondernemen die door de Verwerkingsverantwoordelijke zijn voorgeschreven om te helpen bij het onderzoek, de beperking en het herstel van elk dergelijk Datalek.

8. Effectbeoordeling van gegevensbescherming en voorafgaand overleg


8.1 De Verwerker zal de Verwerkingsverantwoordelijke redelijke assistentie verlenen bij eventuele effectbeoordelingen van gegevensbescherming en voorafgaand overleg met bevoegde gegevensbeschermingsautoriteiten. In elk geval uitsluitend verband met de Verwerking van de Gegevens door en gelet op de aard van de verwerking en informatie waarover Verwerker beschikt, waarvan de Verwerkingsverantwoordelijke redelijkerwijs van mening is dat de AVG of gelijkwaardige bepalingen van enig ander toepasselijk recht vereist zijn.

9. Verwijdering of terugsturen van gegevens


9.1 Onder voorbehoud van de paragrafen 9.2 en 9.3 zullen de Verwerker en elke eventuele subverwerker onmiddellijk en in elk geval binnen dertig (30) dagen na de datum van beëindiging van de diensten die betrekking hebben op de verwerking van de gegevens (de "beëindigingsdatum"), verwijderen en zorg ervoor dat alle kopieën van die gegevens worden verwijderd.


9.2 Behoudens paragraaf 9.3 kan de Verwerkingsverantwoordelijke naar eigen goeddunken door middel van een schriftelijke kennisgeving aan de Verwerker binnen zeven (7) dagen na de Beëindigingsdatum eisen dat Verwerker en elke eventuele Subverwerker een volledige kopie van alle Gegevens aan de Verwerkingsverantwoordelijke terugstuurt door veilige bestandsoverdracht in een formaat dat redelijkerwijs door Verwerkingsverantwoordelijke aan Verwerker is gemeld; en


9.3 De Verwerker mag de Gegevens bewaren voor zover vereist en alleen voor de periode die vereist is door de toepasselijke wetgeving en altijd op voorwaarde dat de Verwerker de vertrouwelijkheid van al deze Gegevens waarborgt en ervoor zorgt dat dergelijke Gegevens alleen worden verwerkt als het noodzakelijk is voor het doel of de doeleinden die zijn gespecificeerd in de toepasselijke wetten die opslag vereisen en voor geen ander doel.


9.4 Verwerker dient binnen zestig (60) dagen na de Beëindigingsdatum schriftelijk te verklaren aan Verantwoordelijke dat Verwerker volledig heeft voldaan aan dit artikel 9.

10. Auditrechten


10.1 Behoudens het bepaalde in dit artikel 10 stelt Verwerker op verzoek aan Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om naleving van deze DPA aan te tonen, en zal hij audits, waaronder inspecties, door Verwerkingsverantwoordelijke of een door Verwerkingsverantwoordelijke gemachtigde auditor mogelijk maken en daaraan bijdragen. met betrekking tot de verwerking van de gegevens.


10.2 Informatie en auditrechten van de Verwerkingsverantwoordelijke komen alleen voor onder sectie 10.1 voor zover de Voorwaarden hen niet anderszins informatie en auditrechten geven die voldoen aan de relevante vereisten van de AVG.

11. Slotbepalingen


11.1 Elke aangelegenheid die niet wordt geregeld door deze DPA, wordt beheerst door de Voorwaarden of een Werkoverzicht of Order die is gesloten of uitgewisseld tussen de partijen bij deze DPA.


11.2 Als enig onderdeel van deze DPA in enig opzicht ongeldig, onwettig of niet-afdwingbaar blijkt te zijn, heeft dit geen invloed op de geldigheid of afdwingbaarheid van de rest van de Voorwaarden.


11.3 Het niet uitoefenen of afdwingen van enig recht of de bepaling van deze DPA houdt geen verklaring van afstand van dat recht of die bepaling in.


11.4 De titels van de secties in de DPA zijn uitsluitend bedoeld voor het gemak en hebben geen wettelijke of contractuele gevolgen.

Bijlage 1: technische en organisatorische maatregelen van de Verwerker


Verwerker neemt de volgende technische en organisatorische maatregelen van gegevensbeveiliging in de zin van artikel 28 van de AVG:


Vertrouwelijkheid

  • Toewijzing van gebruikersrechten
  • Aanmaken van gebruikersprofielen
  • Authenticatie van gebruikers door gebruikersnaam en wachtwoord
  • Toegewezen wachtwoorden worden bij de eerste keer inloggen vervangen door veilige individuele wachtwoorden
  • Wachtwoordvereisten zoals minimumaantal tekens en complexiteit richtlijnen
  • Wachtwoordbeveiliging door periodieke wijzigingen
  • Autorisatie alleen door de beheerder
  • Gebruik van VPN-technologie
  • Gebruik van antivirussoftware
  • Gebruik van firewall
  • Constante updates voor antivirussoftware, firewall, besturingssysteem en andere software
  • Scheiding van bedrijfsnetwerk en gast-WLAN
  • Instructies voor het reguleren van internet- en e-mailgebruik (verbod op privégebruik)
  • Gebruik van geteste en goedgekeurde datadragers
  • Op rollen gebaseerde autorisaties
  • Procedurele instructies voor het annuleren van toegangsrechten
  • Afzonderlijke beheerdersaccounts
  • Veilige vernietiging van bestanden en gegevensdragers en versleuteling (we gebruiken TSL voor versleuteling)
  • Pseudonimisering via klant- / gebruikersnummers


Integriteit

  • Protocol van de installatie en werking van IT-systemen
  • Zorg voor beveiliging van logboekbestanden (beperkte toegang alleen voor netwerkbeheerder)
  • Sluiting van een contract of ander juridisch instrument in overeenstemming met artikel 28 van de AVG en naleving van deze voorschriften
  • Evaluatie van de technische en organisatorische maatregelen die genomen worden door Subverwerkers.
  • Medewerkers van PrismaNote zijn verplicht tot geheimhouding van gegevens


Voorzorgsmaatregelen en veiligheidsmaatregelen

  • Branddeuren
  • Brandblusser met geschikt blusmiddel beschikbaar
  • Periodieke gegevensback-up


Procedures voor regelmatig toezicht en evaluatie

  • Beheer van gegevensbescherming (richtlijnen voor gegevensbescherming, IT-beveiligingsrichtlijnen, gegevensbeschermingsinstructies, beschrijvingen van gegevensbeschermingsprocessen)
  • Registratie van verwerkingsactiviteiten
  • Regelmatige training en sensibilisatie van medewerkers
  • Verplichting van medewerkers tot geheimhouding van gegevens
  • Verplichting van derden tot geheimhouding van gegevens
  • DPA met externe provider en subverwerkers volgens artikel 28 van de AVG

Laatst gewijzigd: 15-2-2020

Share by: