Aanvulling op
de orderafhandeling Deze bepalingen voor de orderafhandeling vormen een aanvulling op de Algemene Voorwaarden van Jungherz GmbH als exploitant van het merk AppConfector (hierna te noemen „Opdrachtnemer“). Door deze bepalingen vast te leggen, gaat u als klant (hierna te noemen „Opdrachtgever“) automatisch akkoord met deze aanvulling in het kader van een zakelijke relatie. In geval van tegenstrijdigheid tussen deze bepalingen en de algemene voorwaarden, prevaleren deze bepalingen voor de orderverwerking.
De Opdrachtnemer en de Klant worden hierna gezamenlijk aangeduid als "de Partijen".
De Partijen komen overeen dat op het moment dat deze Overeenkomst inzake gegevensverwerking in opdracht in werking treedt, de bestaande Overeenkomst inzake gegevensverwerking in opdracht tussen de Partijen overeenkomstig § 11 van de Duitse Federale Wet op de Gegevensbescherming en alle andere overeenkomsten inzake gegevensverwerking in opdracht in onderling overleg worden beëindigd en vervangen door deze nieuwe Overeenkomst inzake gegevensverwerking in opdracht.
1. Algemeen
(1) De verwerker verwerkt persoonsgegevens namens de Opdrachtgever in de zin van artikel 4, punt 8, en artikel 28 van Verordening (EU) 2016/679 – Algemene Verordening Gegevensbescherming (AVG). Deze overeenkomst regelt de rechten en plichten van de partijen in verband met de verwerking van persoonsgegevens.
(2) Voor zover in deze overeenkomst de term "gegevensverwerking" of "verwerking" (van gegevens) wordt gebruikt, is de definitie van "verwerking" in de zin van art. 4, lid 2, AVG van toepassing.
(3) Alle verwijzingen in deze overeenkomst naar de AVG (Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming)) hebben betrekking op de AVG in haar huidige versie.
2. Voorwerp van de opdracht
Het voorwerp van de verwerking, de aard en het doel van de verwerking, de aard van de persoonsgegevens en de categorieën van betrokkenen zijn vastgelegd in bijlage 1 bij deze overeenkomst.
3. Rechten en plichten van de opdrachtgever
(1) De opdrachtgever is de verwerkingsverantwoordelijke in de zin van art. 4, lid 7, AVG voor de verwerking van gegevens namens de verwerkers. Overeenkomstig art. 4, lid 5, van deze overeenkomst heeft deze laatste het recht om de opdrachtgever te informeren indien de opdracht en/of een instructie betrekking heeft op gegevensverwerking die naar zijn mening juridisch onaanvaardbaar is.
(2) De opdrachtgever is verantwoordelijk voor de bescherming van de rechten van de betrokkenen. De verwerker stelt de opdrachtgever onverwijld op de hoogte indien betrokkenen hun rechten als betrokkene jegens de verwerker doen gelden.
(3) De opdrachtgever heeft het recht om de verwerker te allen tijde aanvullende instructies te geven met betrekking tot de aard, de omvang en de wijze van de gegevensverwerking. Instructies kunnen in tekstvorm (bijv. per e-mail) worden gegeven.
(4) Bepalingen betreffende een eventuele vergoeding van extra kosten die de verwerker maakt als gevolg van aanvullende instructies van de
opdrachtgever
, blijven onverminderd van kracht
. 5. De opdrachtgever stelt de verwerker onverwijld op de hoogte indien hij fouten of onregelmatigheden constateert in verband met de verwerking van persoonsgegevens door de verwerker.
(6) Indien er een verplichting bestaat om derden te informeren overeenkomstig art. 33, 34 AVG of enige andere wettelijke kennisgevingsverplichting die op de opdrachtgever van toepassing is, is de opdrachtgever verantwoordelijk voor de naleving van deze verplichting.
4. Algemene verplichtingen van de verwerker
(1) De verwerker verwerkt persoonsgegevens uitsluitend binnen het kader van de gemaakte afspraken en/of in overeenstemming met eventuele aanvullende instructies van de opdrachtgever. Hiervan uitgezonderd zijn wettelijke voorschriften die de verwerker kunnen verplichten de gegevens op een andere manier te verwerken. In een dergelijk geval stelt de verwerker de opdrachtgever vóór de verwerking in kennis van deze wettelijke vereisten, tenzij de betreffende wet een dergelijke kennisgeving verbiedt omwille van een belangrijk openbaar belang. Het doel, de aard en de omvang van de gegevensverwerking worden voor het overige uitsluitend bepaald door deze Overeenkomst en/of de instructies van de opdrachtgever. Elke afwijkende verwerking van gegevens is voor de verwerker verboden, tenzij de verwerker hiervoor schriftelijk toestemming heeft gegeven.
(2) De verwerker verbindt zich ertoe de gegevensverwerking namens de klant uitsluitend binnen de Europese Economische Ruimte uit te voeren, tenzij technisch anders vereist.
(3) Op het gebied van de verwerking van persoonsgegevens overeenkomstig de opdracht garandeert de
verwerker
de contractuele uitvoering van alle overeengekomen maatregelen
. (4) De verwerker is verplicht zijn bedrijf en zijn werkwijzen zodanig in te richten dat de door de verwerker namens de opdrachtgever verwerkte gegevens in de in elk geval noodzakelijke mate worden beveiligd en beschermd tegen ongeoorloofde toegang door derden. De
verwerker
stemt wijzigingen in de organisatie van de gegevensverwerking namens de klant, die van belang zijn voor de beveiliging van de gegevens, vooraf af met de klant.
(5) De verwerker stelt de klant onverwijld op de hoogte indien een door de klant gegeven instructie naar zijn mening in strijd is met wettelijke voorschriften. De verwerker heeft het recht de uitvoering van de betreffende instructie op te schorten totdat deze door de opdrachtgever is bevestigd of gewijzigd. Indien de verwerker kan aantonen dat verwerking in overeenstemming met de instructies van de klant kan leiden tot aansprakelijkheid van de verwerker op grond van art. 82 AVG, heeft de verwerker het recht de verdere verwerking in dit opzicht op te schorten totdat de aansprakelijkheid tussen de partijen is opgehelderd.
(6) De verwerking van gegevens in
opdracht van
de
opdrachtgever
buiten de bedrijfsruimten van de verwerker of onderaannemer is alleen toegestaan met schriftelijke of tekstuele toestemming van de opdrachtgever. Verwerking van gegevens voor de opdrachtgever in privéwoningen is alleen in individuele gevallen toegestaan met schriftelijke of tekstuele toestemming van de opdrachtgever
. (7) De verwerker zal de gegevens die hij in opdracht van de opdrachtgever verwerkt, gescheiden van andere gegevens verwerken. Een fysieke scheiding is niet verplicht.
5.
Functionaris voor gegevensbescherming
van de
verwerker (1) De verwerker bevestigt dat hij een functionaris voor gegevensbescherming heeft aangesteld overeenkomstig art. 37 AVG. De verwerker zorgt ervoor dat de functionaris voor gegevensbescherming over de nodige kwalificaties en deskundigheid beschikt. De verwerker deelt de klant afzonderlijk in tekstvorm de naam en contactgegevens van zijn functionaris voor gegevensbescherming mee.
(2) Van de verplichting tot aanstelling van een functionaris voor gegevensbescherming overeenkomstig lid 1 kan naar goeddunken van de opdrachtgever worden afgeweken indien de verwerker kan aantonen dat hij wettelijk niet verplicht is een functionaris voor gegevensbescherming aan te stellen en de verwerker kan aantonen dat er operationele regelingen bestaan die waarborgen dat persoonsgegevens worden verwerkt in overeenstemming met de wettelijke bepalingen, de bepalingen van deze overeenkomst en eventuele verdere instructies van de opdrachtgever.
6. Meldingsplichten van de verwerker
(1) De verwerker is verplicht de opdrachtgever onverwijld in kennis te stellen van elke inbreuk op de voorschriften inzake gegevensbescherming of op de gemaakte contractuele afspraken en/of de door de opdrachtgever gegeven instructies die zich heeft voorgedaan tijdens de verwerking van gegevens door hem of door andere bij de verwerking betrokken personen. Hetzelfde geldt voor elke inbreuk op de bescherming van persoonsgegevens die door de verwerker namens de opdrachtgever worden verwerkt.
(2) Bovendien stelt de verwerker de klant onverwijld op de hoogte indien een toezichthoudende autoriteit overeenkomstig art. 58 AVG maatregelen neemt tegen de verwerker en dit ook betrekking kan hebben op een controle van de verwerking die de verwerker namens de klant uitvoert.
(3) De verwerker is zich ervan bewust dat de klant onderworpen kan zijn aan een meldingsplicht overeenkomstig art. 33, 34 AVG, die voorziet in een melding aan de toezichthoudende autoriteit binnen 72 uur na de ontdekking ervan. De verwerker ondersteunt de klant bij de uitvoering van de meldingsverplichtingen. In het bijzonder stelt de verwerker de klant onverwijld, maar uiterlijk binnen 48 uur nadat hij kennis heeft genomen van een dergelijke toegang, in kennis van elke ongeoorloofde toegang tot persoonsgegevens die namens de klant worden verwerkt. De kennisgeving van de verwerkers aan de klant moet in het bijzonder de volgende informatie bevatten:
- een beschrijving van de aard van de inbreuk op de bescherming van persoonsgegevens, indien mogelijk met een indicatie van de categorieën en het geschatte aantal betrokken personen, de betrokken categorieën en het geschatte aantal betrokken persoonsgegevensrecords;
- een beschrijving van de door de verwerker genomen of voorgestelde maatregelen om de inbreuk op de bescherming van persoonsgegevens te verhelpen en, indien van toepassing, maatregelen om de mogelijke nadelige gevolgen ervan te beperken.
7. Verplichtingen van de verwerker tot medewerking
(1) De verwerker ondersteunt de opdrachtgever bij zijn verplichting om te reageren op verzoeken tot uitoefening van de rechten van betrokkenen overeenkomstig de artikelen 12-23 AVG. De bepalingen van artikel 11 van deze overeenkomst zijn van toepassing.
(2) De verwerker neemt deel aan het opstellen van de lijsten van verwerkingsactiviteiten door de opdrachtgever. De verwerker verstrekt de opdrachtgever op passende wijze de benodigde informatie.
(3) Rekening houdend met de aard van de verwerking en de informatie waarover hij beschikt, staat de verwerker de opdrachtgever bij in het nakomen van de verplichtingen zoals vastgelegd in de artikelen 32 tot en met 36 AVG.
(4) De verwerker heeft het recht om voor deze diensten een passende, op de kosten gebaseerde vergoeding van de opdrachtgever te verlangen.
8. Controlebevoegdheden
(1) De klant heeft het recht om te allen tijde, voor zover nodig, te controleren of de verwerker de wettelijke bepalingen inzake gegevensbescherming naleeft en/of de tussen de partijen overeengekomen contractuele bepalingen en/of de verwerker de instructies van de klant naleeft.
Het bewijs van naleving van de verplichtingen die op een verwerker rusten overeenkomstig de AVG dient in de eerste plaats te worden geleverd door onafhankelijke testrapporten en certificering.
Indien de opdrachtgever op basis van feitelijke aanwijzingen redelijke twijfels heeft dat de testrapporten of certificeringen ontoereikend of onjuist zijn, of indien bijzondere voorvallen in de zin van art. 33, lid 1 AVG in verband met de uitvoering van de gegevensverwerking in opdracht van de opdrachtgever dit rechtvaardigen, kan de opdrachtgever inspecties uitvoeren overeenkomstig lid 8. (2).
(2) Om de opdrachtgever in staat te stellen een inspectie van de opdracht uit te voeren en in het bijzonder de technische en organisatorische maatregelen te controleren die bij de verwerker zijn getroffen vóór de aanvang van en regelmatig tijdens de gegevensverwerking, staat de verwerker de inspectie toe door een neutrale derde partij (beëdigd accountant) die door de opdrachtgever is aangesteld. De verwerker heeft het recht om data voor een inspectie vast te stellen op basis van de operationele mogelijkheden. Het onderzoek moet binnen een redelijke termijn na het verzoek mogelijk worden gemaakt. Als alternatief kan de verwerker ook aan het inspectierecht van de
opdrachtgever
voldoen door een inspectierapport te verstrekken dat door een onafhankelijke, beëdigde accountant namens de verwerker is opgesteld. De uitoefening van het inspectierecht mag de bedrijfsvoering van de verwerker niet onnodig verstoren of misbruik inhouden.
(3) De verwerker heeft het recht om van de opdrachtgever een redelijke vergoeding te verlangen voor inspecties in de zin van punt 8. (2).
9. Uitbestedingspercentages
(1) Het inschakelen van onderaannemers door de verwerker is alleen toegestaan met schriftelijke toestemming van de klant. De verwerker vermeldt alle onderaannemingsrelaties die op het moment van het sluiten van de overeenkomst reeds bestaan in bijlage 2 bij deze overeenkomst.
(2) De verwerker selecteert de onderaannemer zorgvuldig en controleert vóór het plaatsen van de opdracht of de onderaannemer in staat is om de tussen de klant en de verwerker gemaakte afspraken na te komen. De verwerker controleert met name vooraf en regelmatig gedurende de looptijd van de overeenkomst of de onderaannemer de technische en organisatorische maatregelen heeft getroffen die krachtens art. 32 AVG vereist zijn voor de bescherming van persoonsgegevens. Het resultaat van de controle wordt door de onderaannemer gedocumenteerd en op verzoek aan de klant ter beschikking gesteld.
(3) De verwerker is verplicht om van de onderaannemer een bevestiging te verkrijgen dat deze een functionaris voor gegevensbescherming heeft aangesteld overeenkomstig art. 37 AVG. Indien de onderaannemer geen functionaris voor gegevensbescherming heeft aangesteld, stelt de verwerker de klant hiervan op de hoogte en verstrekt hij informatie waaruit blijkt dat de onderaannemer wettelijk niet verplicht is een functionaris voor gegevensbescherming aan te stellen.
(4) De verwerker zorgt ervoor dat de in deze overeenkomst overeengekomen bepalingen en eventuele aanvullende instructies van de klant ook van toepassing zijn op de onderaannemer.
(5) De verwerker sluit met de onderaannemer een overeenkomst die voldoet aan de vereisten van art. 28 AVG. Bovendien legt de verwerker de onderaannemer dezelfde verplichtingen op inzake de bescherming van persoonsgegevens als die welke tussen de opdrachtgever en de verwerker zijn vastgelegd.
(6) De opdrachtnemer is in het bijzonder verplicht om via contractuele bepalingen te waarborgen dat de controlebevoegdheden (artikel 8 van deze overeenkomst) van de opdrachtgever en toezichthoudende autoriteiten ook van toepassing zijn op de onderaannemer en dat overeenkomstige controlerechten door de opdrachtgever en toezichthoudende autoriteiten worden overeengekomen. Voorts wordt contractueel overeengekomen dat de onderaannemer deze controlemaatregelen en eventuele inspecties ter plaatse toestaat.
(7) Subcontractingrelaties in de zin van de leden 1 tot en met 6 worden niet beschouwd als diensten die de verwerker van derden verkrijgt als louter bijkomende dienst om de bedrijfsactiviteit uit te voeren. Dergelijke diensten omvatten bijvoorbeeld schoonmaakdiensten, zuivere telecommunicatiediensten zonder specifieke verwijzing naar diensten die de verwerker voor de opdrachtgever verricht, post- en koeriersdiensten, vervoersdiensten en beveiligingsdiensten. De verwerker is niettemin verplicht om, ook in het geval van door derden geleverde nevenactiviteiten, ervoor te zorgen dat passende voorzorgsmaatregelen en technische en organisatorische maatregelen zijn getroffen om de bescherming van persoonsgegevens te waarborgen. Het onderhoud en de service van IT-systemen of -toepassingen vormt een onderaannemingsrelatie en verwerking in opdracht in de zin van art. 28 AVG, waarvoor toestemming vereist is indien het onderhoud en de tests betrekking hebben op dergelijke IT-systemen die ook worden gebruikt in verband met de dienstverlening aan de opdrachtgever en indien tijdens het onderhoud toegang kan worden verkregen tot persoonsgegevens die namens de opdrachtgever worden verwerkt.
10. Geheimhoudingsplicht
(1) Bij de verwerking van gegevens namens de opdrachtgever is de verwerker verplicht tot geheimhouding van gegevens die hij in verband met de opdracht ontvangt of waarvan hij kennis neemt. De verwerker verbindt zich ertoe dezelfde regels inzake geheimhouding in acht te nemen als die welke op de opdrachtgever rusten. De opdrachtgever is verplicht de
verwerker
op
de hoogte
te stellen van eventuele bijzondere regels
inzake
geheimhouding.
(2) De verwerker verzekert dat hij op de hoogte is van de toepasselijke voorschriften inzake gegevensbescherming en dat hij vertrouwd is met de toepassing daarvan. De verwerker garandeert voorts dat hij zijn medewerkers vertrouwd heeft gemaakt met de op hen van toepassing zijnde bepalingen inzake gegevensbescherming en hen tot geheimhouding heeft verplicht. De verwerker garandeert voorts dat hij met name zijn bij de uitvoering van de werkzaamheden betrokken medewerkers tot geheimhouding heeft verplicht en hen op de hoogte heeft gesteld van de instructies van de opdrachtgever.
(3) De verplichting van de medewerkers overeenkomstig lid 2 moet op verzoek aan de opdrachtgever worden aangetoond.
11. Bescherming van de rechten van betrokkenen
(1) De opdrachtgever is als enige verantwoordelijk voor de waarborging van de rechten van de betrokkenen. De verwerker is verplicht de opdrachtgever te ondersteunen bij zijn verplichting om verzoeken van betrokkenen te verwerken overeenkomstig art. 12-23 AVG. De verwerker zorgt er in het bijzonder voor dat de in dit verband vereiste informatie onverwijld aan de opdrachtgever wordt verstrekt, zodat de opdrachtgever zijn verplichtingen uit hoofde van art. 12, lid 3 AVG kan nakomen.
(2) Voor zover de medewerking van de verwerker noodzakelijk is voor de bescherming van de rechten van de betrokkenen – in het bijzonder het recht op informatie, rectificatie, afscherming of verwijdering – door de opdrachtgever, neemt de verwerker de daarvoor noodzakelijke maatregelen in overeenstemming met de instructies van de opdrachtgever. Indien mogelijk ondersteunt de verwerker de opdrachtgever met passende technische en organisatorische maatregelen om te voldoen aan zijn verplichting om te reageren op verzoeken tot uitoefening van de rechten van de betrokkenen. De verwerker heeft het recht om van de opdrachtgever een redelijke vergoeding voor deze diensten te verlangen.
(3) Dit laat eventuele bepalingen over de mogelijke vergoeding van extra kosten die de verwerker maakt als gevolg van samenwerkingsdiensten in verband met de uitoefening van rechten van betrokkenen jegens de opdrachtgever onverlet.
12. Geheimhoudingsverplichtingen
(1) Beide partijen verbinden zich ertoe alle informatie die zij in verband met de uitvoering van deze overeenkomst ontvangen, voor onbepaalde tijd vertrouwelijk te behandelen en uitsluitend te gebruiken voor de uitvoering van de overeenkomst. Geen van beide partijen heeft het recht deze informatie geheel of gedeeltelijk te gebruiken voor andere dan de zojuist genoemde doeleinden, noch deze informatie aan derden ter beschikking te stellen.
(2) De bovenstaande verplichting geldt niet voor informatie die een van de partijen aantoonbaar van derden heeft ontvangen zonder tot geheimhouding verplicht te zijn, of die algemeen bekend is.
13. Verwerking
De verwerker ontvangt geen afzonderlijke vergoeding voor deze overeenkomst.
14. Technische en organisatorische maatregelen voor gegevensbeveiliging
(1) De verwerker verbindt zich er jegens de opdrachtgever toe de technische en organisatorische maatregelen te nemen die vereist zijn om te voldoen aan de toepasselijke voorschriften inzake gegevensbescherming. Dit omvat in het bijzonder de vereisten van art. 32 AVG.
(2) De stand van de technische en organisatorische maatregelen die op het moment van het sluiten van de overeenkomst bestaan, is als Bijlage 3 bij deze overeenkomst gevoegd. De partijen komen overeen dat wijzigingen in de technische en organisatorische maatregelen noodzakelijk kunnen zijn om zich aan te passen aan technische en wettelijke omstandigheden. Aanzienlijke wijzigingen die van invloed kunnen zijn op de integriteit, vertrouwelijkheid of beschikbaarheid van persoonsgegevens, worden vooraf door de verwerker met de klant overeengekomen. Maatregelen die slechts geringe technische of organisatorische wijzigingen inhouden en geen negatieve invloed hebben op de integriteit, vertrouwelijkheid en beschikbaarheid van de persoonsgegevens, mogen door de verwerker worden doorgevoerd zonder overleg met de klant. De klant kan te allen tijde een actuele versie van de door de verwerker
genomen
technische en organisatorische maatregelen opvragen.
(3) De verwerker toetst de door hem genomen technische en organisatorische maatregelen regelmatig en ook wanneer dat nodig is op hun doeltreffendheid. Indien er behoefte is aan optimalisatie en/of aanpassing, stelt de verwerker de opdrachtgever hiervan op de hoogte.
15. Duur van de opdracht
(1) De overeenkomst gaat in bij de opdracht en wordt aangegaan voor onbepaalde tijd.
(2) De overeenkomst eindigt bij beëindiging van de hoofdovereenkomst (een app-pakket of een dienst) zonder dat een afzonderlijke opzegging nodig is.
Eventuele verwijderings- en teruggaveverplichtingen na beëindiging van deze overeenkomst worden geregeld in artikel 16.
(3) De opdrachtgever kan de overeenkomst te allen tijde zonder opzegtermijn beëindigen indien er sprake is van een ernstige schending van de op de verwerker van toepassing zijnde gegevensbeschermingsbepalingen of van verplichtingen uit hoofde van deze overeenkomst, indien de verwerker niet in staat of niet bereid is een door de opdrachtgever gegeven instructie uit te voeren, of indien de verwerker in strijd met de overeenkomst de toegang weigert aan de opdrachtgever of de bevoegde toezichthoudende autoriteit.
16. Beëindiging
(1) Na beëindiging van de overeenkomst dient de verwerker alle documenten, gegevens en gecreëerde verwerkings- of gebruiksresultaten die in verband met de contractuele relatie in zijn bezit zijn gekomen, naar keuze van de opdrachtgever aan de opdrachtgever terug te geven of te verwijderen. De verwijdering dient op passende wijze te worden gedocumenteerd. Eventuele wettelijke bewaarplichten of andere verplichtingen tot het bewaren van de gegevens blijven onverminderd van kracht. In het geval van gegevensdragers moeten deze bij een door de opdrachtgever gevraagde verwijdering worden vernietigd, waarbij ten minste beveiligingsniveau 3 van DIN 66399 moet worden nageleefd; de opdrachtgever moet het bewijs van de vernietiging leveren met verwijzing naar het beveiligingsniveau overeenkomstig DIN 66399.
(2) De opdrachtgever heeft het recht om de volledige en contractuele teruggave en verwijdering van de gegevens bij de verwerker te controleren. Dit kan ook gebeuren door de gegevensverwerkingsapparatuur in de bedrijfsruimten van de verwerker te inspecteren. De inspectie ter plaatse dient door de klant met een redelijke termijn te worden aangekondigd.
17. Retentierecht
De partijen komen overeen dat het beroep op het retentierecht door de verwerker in de zin van § 273 BGB (Duits Burgerlijk Wetboek) met betrekking tot de verwerkte gegevens en de bijbehorende gegevensdragers is uitgesloten.
18. Slotbepalingen
(1) Indien het eigendom van de opdrachtgever in de bedrijfsruimten van de verwerker in gevaar komt door maatregelen van derden (zoals beslaglegging of inbeslagname), door insolventieprocedures of door andere gebeurtenissen, dient de verwerker de opdrachtgever hiervan onverwijld op de hoogte te stellen. De verwerker dient de schuldeisers onverwijld te informeren over het feit dat de gegevens in opdracht worden verwerkt.
(2) Voor nevenafspraken is de schriftelijke vorm vereist.
(3) Indien afzonderlijke onderdelen van deze overeenkomst ongeldig zijn, heeft dit geen invloed op de geldigheid van de overige bepalingen van de overeenkomst.
Bijlage 1 – Voorwerp van de opdracht
1. Voorwerp en doel van
de verwerking De opdracht van de opdrachtgever aan de verwerker omvat de volgende werkzaamheden en/of diensten: levering van mobiele applicaties (nader beschreven in de respectievelijke geldende servicebeschrijving), alsmede webpagina's met soortgelijke inhoud. Dit omvat het verzamelen, verwerken en doorsturen van geregistreerde gegevens.
2. Soort(en) persoonsgegevens
De volgende soorten gegevens worden regelmatig verwerkt: Verkeersgegevens, inhoudsgegevens, contactgegevens, persoonlijke stamgegevens en communicatiegegevens (naam, adres, telefoonnummer, faxnummer, e-mailadres).
3. Kring van betrokkenen
Kring van personen op wie de gegevensverwerking betrekking heeft: Gebruikers van uw account, bellende en gebelde deelnemers of afzenders/ontvangers van sms/fax, medewerkers, klanten, zakenpartners, geïnteresseerden en dienstverleners van de klant.
Indien de klant een partner is van de verwerker: Contact-, persoons- en communicatiegegevens (naam, adres, telefoonnummer, faxnummer, e-mailadres) van de aannemers/bedrijven die zijn doorverwezen door de partner die de opdracht heeft geplaatst.
De klant is verplicht de gebruikers van het account en – indien nodig – de ondernemingsraad of vergelijkbare vertegenwoordigers te informeren over de verwerking van de in punt 2 genoemde gegevens.
4. Plaats van gegevensverwerking:
Alle gegevens worden verwerkt op servers binnen de Europese Economische Ruimte.
Bijlage 2 – Subcontractant
Voor de verwerking van gegevens namens de opdrachtgever maakt de verwerker gebruik van de diensten van derden die namens hem gegevens verwerken ("subcontractanten").
De verwerker maakt gebruik van verschillende subcontractanten om zijn diensten te verlenen.
Deze subcontractanten zijn in eerste instantie de volgende bedrijven van de verwerker en verrichten voorbereidende werkzaamheden voor de uitvoering van de diensten van de verwerker. Tussen de bedrijven zijn de nodige contractuele afspraken getroffen voor de verwerking van deze gegevens.
Dit zijn de volgende bedrijven:
Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001
Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlijn,
netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe
OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Frankrijk
Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim
CopeCart GmbH, Ufnaustrasse 10, 10553 Berlijn
Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Ierland
Bijlage 3 - Technische en organisatorische maatregelen van de verwerker
De verwerker neemt de volgende technische en organisatorische maatregelen voor gegevensbeveiliging in de zin van art. 32 AVG.
1. Vertrouwelijkheid
Toegangscontrole
Om ongeoorloofde toegang tot de gegevensverwerkingssystemen waarmee gegevens worden verwerkt of gebruikt te voorkomen, hebben de verwerker en zijn onderaannemers, zoals Netcup en de Google Cloud-divisie, uitgebreide formele toegangscontroleprocessen geïmplementeerd.
De gebruikte locaties beschikken over serverruimtes en een ruimte voor servertechnologie. Voor toegang worden elektronische sleutels verstrekt aan geselecteerde medewerkers van de onderaannemer. De sleutels geven de betreffende medewerker van de onderaannemer uitsluitend toestemming om individuele deuren te openen/sluiten die voor dit doel zijn goedgekeurd. Alle open- en sluitbewerkingen van een sleutel worden elektronisch geregistreerd, samen met de unieke ID van de sleutel. Alleen medewerkers van de onderaannemer die rechtstreeks door het management zijn geautoriseerd, zijn verantwoordelijk voor het beheer van de sleutels.
De serverruimte is te allen tijde afgesloten en kan alleen worden betreden door geselecteerde medewerkers van de onderaannemer.
Binnen het gebouw van de betreffende locatie zijn de toegangsrechten van de medewerkers van de onderaannemer – zelfs van degenen die een sleutel hebben – beperkt tot hetgeen noodzakelijk is voor de specifieke uit te voeren taak.
Tijdens kantooruren wordt bij de permanent bemande receptie een controle uitgevoerd op personen die het gebouw betreden. Buiten kantooruren zijn alle ingangen van het gebouw afgesloten en beveiligd met een alarmsysteem. Het gebouw wordt bovendien beveiligd door een beveiligingsdienst. Alle alarmen van het alarmsysteem worden rechtstreeks gemeld aan een beveiligingsdienst.
In alle datacenters worden standaard beveiligingsmaatregelen toegepast. Deze komen overeen met de stand van de techniek en de (best practices) van de IT-sector. Hiertoe behoren elektronische toegangscontrolesystemen met logboekregistratie, waarbij alleen bevoegde personen het gebouw mogen betreden, alarmsystemen, videobewaking binnen en buiten, 24/7 beveiligingspersoneel, beveiliging van het gebouw met prikkeldraad, bescherming door externe beveiligingsdiensten die bij een alarm automatisch worden geïnformeerd via een speciale alarmlijn.
De sleutels van de afzonderlijke ruimtes en kooien in het datacenter moeten altijd bij het beveiligingspersoneel worden opgehaald.
Toegangscontrole
Om ervoor te zorgen dat degenen die bevoegd zijn om een systeem voor gegevensverwerking te gebruiken, alleen toegang hebben tot de gegevens waarvoor zij toegangsbevoegdheid hebben en dat opgeslagen of verwerkte gegevens niet door onbevoegden kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd, maakt de verwerker gebruik van een centraal systeem voor het beheer van toegangsbevoegdheden. Alle toegangen worden lokaal en op de centrale logserver opgeslagen. Beheerdersrechten kunnen alleen worden uitgeoefend via een centraal beheerprogramma.
De toegang tot alle gegevens is beperkt tot hetgeen noodzakelijk is voor alle bevoegde personen om hun specifieke taken te vervullen. De wettelijke gegevensbeschermingsvereisten, in het bijzonder die van de Algemene Verordening Gegevensbescherming (AVG) en de TKG, worden nageleefd.
Scheiding
De verwerker verwerkt de gegevens op serversystemen die logisch gescheiden zijn door een systeem van logische en fysieke toegangscontroles op het netwerk.
2. Integriteit
Invoercontrole
Om ervoor te zorgen dat de verwerker achteraf kan controleren en vaststellen of en door wie gegevens zijn ingevoerd, gewijzigd of verwijderd in de gegevensverwerkingssystemen, worden alle toegangen tot de opgeslagen gegevens van de klant lokaal en op de centrale logserver geregistreerd.
Controle op doorgifte
Om te waarborgen dat gegevens tijdens elektronische verzending, transport of opslag niet door onbevoegden kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd, en dat kan worden nagegaan waar gegevens door gegevensoverdrachtssystemen naartoe worden verzonden, is de toegang tot alle systemen die klantgegevens verwerken onderworpen aan effectieve toegangscontroles. Deze toegangscontrolemechanismen zijn hierboven onder 3 al nader beschreven.
3. Beschikbaarheid en veerkracht
De verwerker maakt in alle systemen gebruik van een combinatie van redundante systemen en back-upoplossingen om de opgeslagen gegevens te beschermen en deze indien nodig te kunnen herstellen. Deze systemen worden uitsluitend geëxploiteerd in gebouwen die zijn beveiligd en uitgerust volgens de huidige stand van de techniek, die beschikken over de nodige klimaatbeheersing, brand- en rookmeldsystemen en waarvoor gedetailleerde noodplannen bestaan.
4. Procedures voor regelmatige toetsing, beoordeling en evaluatie
Al onze eigen medewerkers en die van de onderaannemer worden regelmatig getraind op het gebied van gegevensbescherming. Deze trainingen worden volledig in eigen beheer gegeven, zodat een exacte afstemming op de voor de verwerker relevante kwesties mogelijk is. Tijdens deze trainingssessies worden ook individuele vragen uitvoerig behandeld.
Alle medewerkers van de verwerker die in het kader van hun werkzaamheden in aanraking komen met de verwerking van persoonsgegevens, zijn verplicht om persoonsgegevens vertrouwelijk te behandelen. Dit gebeurt bij de indiensttreding van nieuwe medewerkers door middel van een contractuele verbintenisverklaring, die elke medewerker moet ondertekenen.
De verwerker heeft een functionaris voor gegevensbescherming aangesteld. Samen met zijn of haar plaatsvervangers zorgt de functionaris voor gegevensbescherming ervoor dat verzoeken van betrokkenen tijdig worden beantwoord.
De verwerker houdt een register bij van verwerkingsactiviteiten in de zin van art. 30, lid 1 en 2, AVG. Deze lijst van verwerkingsactiviteiten is niet openbaar.
(per 16 februari 2022)