Verwerkersovereenkomst
1. Achtergrond
De Leverancier en de Klant zijn een overeenkomst aangegaan die de dienst(en) omvat die zijn vermeld in de hoofdovereenkomst (de "Overeenkomst") welke door de Klant worden afgenomen (de "Diensten"). Op grond van de Overeenkomst en in overeenstemming met deze Verwerkersovereenkomst zal Leverancier van tijd tot tijd en namens de Klant persoonsgegevens verwerken waarvoor de Klant verwerkingsverantwoordelijke is.
2. Definities
"Toepasselijke wetgeving inzake gegevensbescherming" betekent, tenzij schriftelijk anders overeengekomen tussen de partijen; (i) de Algemene Verordening Gegevensbescherming, (ii) de nationale wetgeving inzake gegevensbescherming voor zover van toepassing op de Diensten; en (iii) de voorschriften en besluiten van de toezichthoudende autoriteiten die van toepassing zijn op de verwerking van persoonsgegevens onder deze Verwerkersovereenkomst, indien van toepassing.
"Klantapparatuur" betekent computers en andere apparatuur die eigendom zijn van, gehuurd of geleased worden door de Klant of de operationele provider van de Klant.
"Leverancier" betekent een relevant bedrijf van Dustin binnen de Dustin-groep, zoals vermeld in de Overeenkomst, en, indien relevant, elke persoon/entiteit die gemachtigd is om werkzaamheden uit te voeren namens het bedrijf dat wordt vermeld in de Overeenkomst.
"Apparatuur van de Leverancier" betekent computers en andere apparatuur die eigendom zijn van, gehuurd of geleased worden door de Leverancier of de operationele dienstverlener van de Leverancier.
"Beveiligingsmaatregelen" betekent de passende technische en organisatorische maatregelen die nodig zijn om te voldoen aan de Toepasselijke wetgeving inzake gegevensbescherming, vermeld in Bijlage A of anderszins noodzakelijk om de persoonsgegevens die worden verwerkt te beschermen tegen datalekken.
"Derde land" betekent een land buiten de EU/EER.
3. Verwerking van persoonsgegevens
3.1 Aanwijzingen
De Klant is verantwoordelijk voor de verwerking van persoonsgegevens in overeenstemming met de Toepasselijke wetgeving inzake gegevensbescherming in zijn hoedanigheid van verwerkingsverantwoordelijke. De Klant dient ervoor te zorgen dat de Leverancier namens de Klant geen andere categorieën persoonsgegevens verwerkt dan de categorieën persoonsgegevens die zijn vermeld in Bijlage A voor de betreffende Diensten en in de daarin vermelde reikwijdte. Tenzij specifiek anders vermeld in Bijlage A, zal de Leverancier bij het verlenen van IT-consultancydiensten:
(a) alleen persoonsgegevens verwerken met betrekking tot de categorieën van betrokkenen in het kader van de Diensten die naar hun aard als onschadelijk worden beschouwd, zoals contactgegevens van klanten en werknemers; en
(b) geen persoonsgegevens verwerken die bijzondere categorieën van persoonsgegevens vormen, zoals gezondheidsgegevens of andere gevoelige gegevens.
De Leverancier zal persoonsgegevens alleen verwerken in overeenstemming met gedocumenteerde instructies van de Klant, tenzij de Leverancier anderszins verplicht is om persoonsgegevens te verwerken op grond van de toepasselijke wetgeving. In dergelijke gevallen zal de Leverancier, voor zover toegestaan door de toepasselijke wetgeving, de Klant op de hoogte stellen van dergelijke wettelijke verplichtingen voordat met de verwerking wordt begonnen.
Elke Partij moet ervoor zorgen dat de andere Partij het recht heeft om contactgegevens en andere soorten persoonsgegevens van de werknemers van de andere Partij te verwerken indien en voor zover een dergelijke verwerking noodzakelijk is om de Diensten te leveren.
De Leverancier mag geen persoonsgegevens verwerken voor eigen doeleinden of andere doeleinden, behalve zoals uiteengezet in de Verwerkersovereenkomst en de Overeenkomst. De Leverancier heeft het recht om persoonsgegevens te verwerken met het oog op het leveren, onderhouden en ondersteunen van de Diensten.
Deze Verwerkersovereenkomst en het gebruik van de Dienst door de Klant zijn de volledige en definitieve instructies van de Klant aan de Leverancier met betrekking tot de verwerking van persoonsgegevens, met uitzondering van alle schriftelijke instructies die de Klant verplicht is te verstrekken aan de Leverancier om te voldoen aan de Toepasselijke wetgeving inzake gegevensbescherming. Eventuele andere wijzigingen dienen afzonderlijk schriftelijk te worden overeengekomen tussen de Partijen, met inbegrip van, maar niet beperkt tot, wijzigingen met betrekking tot Bijlage A. Indien Leverancier de aangepaste instructies accepteert, heeft Leverancier recht op een redelijke vergoeding voor het aanpassen aan die instructies. Indien de Leverancier de Klant binnen een redelijke termijn informeert dat hij niet kan voldoen aan de aangepaste instructies van de Klant om te voldoen aan de Toepasselijke wetgeving inzake gegevensbescherming, is de Leverancier niet gebonden aan de voorgestelde instructies en heeft de Klant het recht om de Overeenkomst te beëindigen in overeenstemming met artikel 11.2.
3.2 Veiligheidsmaatregelen
3.2.1 Algemeen
Leverancier heeft bij het verlenen van de Diensten de in Bijlage A genoemde, of in de Overeenkomst vermelde, Beveiligingsmaatregelen geïmplementeerd en gevolgd. Op de levering van de Dienst zijn te allen tijde de interne IT-veiligheidsvoorschriften van Leverancier van toepassing en Leverancier kan deze voorschriften gedurende de looptijd van de Overeenkomst aanpassen.
De Klant is verantwoordelijk om ervoor te zorgen dat de Beveiligingsmaatregelen voldoen aan de verplichtingen van de Klant met betrekking tot voldoende veiligheid voor de persoonsgegevens die worden verwerkt onder de Toepasselijke wetgeving inzake gegevensbescherming. Indien de Klant verzoekt om een wijziging van de Beveiligingsmaatregelen, gelden dezelfde bepalingen als voor gewijzigde instructies die door de Klant worden gevraagd onder artikel 3.1, paragraaf 5. Indien Leverancier verzoekt om wijzigingen in de overeengekomen Beveiligingsmaatregelen, geldt het bepaalde in het onderstaande lid.
Indien de Leverancier zich ervan bewust wordt dat de Beveiligingsmaatregelen geheel of gedeeltelijk in strijd zijn met de Toepasselijke Wetgeving inzake gegevensbescherming, zal de Leverancier de Klant binnen een redelijke termijn op de hoogte stellen en aangepaste schriftelijke instructies verstrekken over adequate Beveiligingsmaatregelen in overeenstemming met het bovenstaande ter goedkeuring van de Klant. Indien de Klant de aangepaste instructies niet goedkeurt binnen een redelijke termijn nadat de Leverancier de Klant heeft geïnformeerd over de noodzaak van aangepaste instructies, heeft de Leverancier het recht om, op kosten van de Klant, redelijke en noodzakelijke Beveiligingsmaatregelen te nemen om te voldoen aan de Toepasselijke wetgeving inzake gegevensbescherming.
4. Melden van datalekken
Als de Leverancier zich bewust wordt van een datalek, moet de Leverancier de Klant onverwijld en in overeenstemming met de Toepasselijke wetgeving inzake gegevensbescherming op de hoogte stellen.
5. Subverwerkers en doorgifte aan derde landen
De Leverancier heeft het recht om de verwerking van persoonsgegevens uit te besteden aan subverwerkers binnen en buiten de EU/EER. De Klant stemt er hierbij mee in dat de verwerking van persoonsgegevens kan worden uitgevoerd door de eventuele subverwerkers die zijn vermeld in Bijlage A in de daarin vermelde landen. De Leverancier moet ervoor zorgen dat subverwerkers gebonden zijn aan schriftelijke overeenkomsten die ten minste hetzelfde niveau van gegevensbescherming bieden als de verplichtingen onder deze Verwerkersovereenkomst. Indien een subverwerker de verplichtingen in overeenstemming met het bovenstaande niet nakomt, is de Leverancier verantwoordelijk voor de niet-nakoming van de verplichtingen van deze subverwerkers.
De Leverancier zal de Klant op de hoogte stellen van eventuele voornemen om een subverwerker te vervangen of in te huren. De informatie omvat een indicatie van de naam van de subverwerker en de geografische locatie van de verwerking van persoonsgegevens. De Klant heeft het recht om binnen veertien dagen na ontvangst van de kennisgeving schriftelijk bezwaar te maken tegen de vervanging of indienstneming van een dergelijke nieuwe subverwerker. Mocht Leverancier ondanks bezwaar van Klant toch een subverwerker willen vervangen of inschakelen, dan is Klant gerechtigd de Overeenkomst te ontbinden conform artikel 11.2.
De Leverancier moet ervoor zorgen dat er een wettelijke basis is voor de overdracht van persoonsgegevens naar een derde land. Een dergelijke rechtsgrondslag kan bestaan uit standaardclausules inzake gegevensbescherming die zijn aangenomen door de Europese Commissie of andere gelijkwaardige bepalingen.
6. Hulp bij verzoeken van betrokkenen
In aanvulling op wat volgt uit artikel 3.2dient de Leverancier passende technische en organisatorische maatregelen te treffen om op schriftelijk verzoek van de Klant de Klant te kunnen bijstaan bij het vervullen van de rechten van de betrokkenen zoals vastgelegd in de Algemene Verordening Gegevensbescherming. De verplichting van de Leverancier op grond van deze bepaling is alleen van toepassing voor zover dergelijke hulp redelijkerwijs mogelijk is en voor zover de verwerking van persoonsgegevens een dergelijke verplichting vereist.
In aanvulling op het bovenstaande en rekening houdend met de aard van de verwerking en de informatie waarover de Leverancier beschikt, moet de Leverancier op schriftelijk verzoek van de Klant meewerken zodat de Klant kan voldoen aan de verplichtingen die hem zijn opgelegd met betrekking tot de veiligheid van persoonsgegevens, datalekken, gegevensbeschermingseffectbeoordeling en voorafgaand overleg in overeenstemming met de Toepasselijke wetgeving inzake gegevensbescherming.
De Leverancier heeft recht op een redelijke vergoeding voor de hulp die op grond van dit artikel wordt verleend.
7. Vertrouwelijkheid en openbaarmaking van persoonsgegevens
Persoonsgegevens waarvoor de Klant verwerkingsverantwoordelijke is en die de Leverancier verwerkt in overeenstemming met deze Verwerkersovereenkomst, zijn onderworpen aan de vertrouwelijkheidsbepalingen van de Overeenkomst.
De Leverancier mag de persoonsgegevens van de Klant op grond van deze Verwerkersovereenkomst niet bekendmaken aan een betrokkene of een derde partij, tenzij anders vermeld in de Overeenkomst of voorzien in de wet, een rechterlijke beslissing of een officiële beslissing. Indien de leverancier dergelijke informatie openbaar maakt op grond van wettelijke vereisten, een rechterlijke beslissing of een officiële beslissing, zal de Leverancier de Klant op de hoogte stellen van de openbaarmaking, tenzij dit verboden is door de wet, een rechterlijke beslissing of een officiële beslissing in kwestie.
De Leverancier moet de Klant onverwijld op de hoogte brengen als de betrokkene informatie vraagt over de verwerking van persoonsgegevens onder deze Verwerkersovereenkomst en de betrokkene doorverwijzen naar de Klant. De Leverancier zal de Klant bijstaan bij het reageren op dergelijke verzoeken in overeenstemming met artikel 6.
De Leverancier en zijn vertegenwoordigers zijn op grond van de Toepasselijke wetgeving inzake gegevensbescherming verplicht om samen te werken met de bevoegde toezichthoudende autoriteiten. De Leverancier zal de Klant zonder onredelijke vertraging op de hoogte brengen van een dergelijk verzoek indien het verzoek specifiek betrekking heeft op de verwerking van persoonsgegevens in het kader van deze Verwerkersovereenkomst. De Leverancier zal de Klant niet vertegenwoordigen of namens de Klant optreden in dergelijke verzoeken van een toezichthoudende autoriteit. De Leverancier heeft recht op een redelijke vergoeding voor zijn werk met vragen met betrekking tot de Klant, onder voorbehoud van het onderzoek dat niet het gevolg is van schending door de Leverancier van zijn verplichtingen op grond van deze Verwerkersovereenkomst.
8. Compensatie
In aanvulling op hetgeen in deze Verwerkersovereenkomst is vermeld, heeft Leverancier recht op een redelijke vergoeding voor het naleven van de schriftelijke instructies van de Klant, tenzij de gevraagde actie specifiek in de Overeenkomst is vermeld. Indien Leverancier recht heeft op een vergoeding voor verrichte werkzaamheden, geldt de geldende prijslijst van Leverancier, tenzij in de Overeenkomst anders is bepaald.
9. Aansprakelijkheid
9.1 Allgemeen
Indien de Leverancier aansprakelijk is voor het betalen van schadevergoeding aan betrokkenen in overeenstemming met de Toepasselijke wetgeving inzake gegevensbescherming, en de Klant heeft deelgenomen aan de verwerking van persoonsgegevens die de basis vormt voor de vorderingen van de betrokkenen, moet de Klant de Leverancier vergoeden voor het deel van de schade dat de Leverancier verplicht is te betalen aan betrokkenen dat te wijten is aan de niet-nakoming door de Klant van zijn verplichtingen of de instructies van de Klant aan de Leverancier. Daarnaast moet de Klant de Leverancier vergoeden voor zijn redelijke kosten met betrekking tot de verdediging van de Leverancier tegen claims van betrokkenen (inclusief het bedrag de Leverancier is veroordeeld tot betaling aan betrokkenen).
Indien de Klant aansprakelijk is voor het betalen van een schadevergoeding aan betrokkenen in overeenstemming met de Toepasselijke wetgeving inzake gegevensbescherming, en de Leverancier heeft deelgenomen aan de verwerking van persoonsgegevens die de basis vormt voor de vorderingen van de betrokkenen, moet de Leverancier de Klant vergoeden voor het deel van de schade dat de Klant verplicht is te betalen en dat te wijten is aan de niet-nakoming door de Leverancier van zijn verplichtingen op grond van de Toepasselijke wetgeving inzake gegevensbescherming of deze Verwerkersovereenkomst. Daarnaast moet de Leverancier de Klant vergoeden voor zijn redelijke kosten met betrekking tot de verdediging van de Klant tegen claims van betrokkenen (inclusief het bedrag de Klant is veroordeeld tot betaling aan betrokkenen). De totale aansprakelijkheid van de Leverancier op grond van deze Verwerkersovereenkomst is beperkt tot 150 procent van de kosten voor de eerste twaalf maanden van de Diensten, tenzij de Leverancier de schade heeft veroorzaakt door opzet of grove schuld.
De aansprakelijkheid van een Partij voor schade anders dan uitdrukkelijk in deze voorwaarden vermeld, wordt beheerst door de Overeenkomst.
9.2 Kennisgeving, recht op informatie etc.
Een Partij die onderhevig is aan claims van betrokkenen moet binnen een redelijke termijn (i) de andere Partij schriftelijk op de hoogte stellen van alle claims die kunnen leiden tot claims tegen de andere Partij op grond van dit artikel 9; en (ii) de andere Partij inzicht te geven in de documenten in een dergelijke procedure, zowel van de Partij als van de betrokkene, en de andere Partij in staat te stellen opmerkingen over dergelijke documenten in te dienen.
Vorderingen tot terugbetaling van de andere Partij op grond van dit artikel 9 zijn onderworpen aan het volgen van de bovenstaande regels en kunnen worden ingesteld uiterlijk zes maanden nadat de Partij verplicht is geweest om schadevergoeding te betalen aan betrokkenen.
10. Audits
De Leverancier zal de Klant toegang verlenen tot alle informatie die redelijkerwijs nodig kan zijn om te bewijzen dat aan de verplichtingen die op grond van de Toepasselijke wetgeving inzake gegevensbescherming aan verwerkers zijn opgelegd, is voldaan. Hieronder valt ook het verlenen van redelijke bijstand bij audits en inspecties, uitgevoerd door de Klant of een door de Klant aangestelde auditor. Inspecties mogen alleen worden uitgevoerd als een audit niet kan worden afgerond door de openbaarmaking van informatie door de Leverancier. Leverancier dient tijdig voorafgaand aan de beoogde inspectiedatum op de hoogte te worden gesteld van een inspectie met specificatie van de reikwijdte en het doel van de inspectie. Opdrachtnemer heeft recht op een redelijke vergoeding voor de kosten die gepaard gaan met de uitvoering van een dergelijke audit of inspectie.
Voorafgaand aan een audit of inspectie dient de Klant of de door de Klant aangestelde auditor te voldoen aan de noodzakelijke geheimhoudingsverplichtingen en zich te houden aan de beveiligingsvoorschriften van de Leverancier op de plaats van inspectie. De inspectie mag de bedrijfsvoering van de Leverancier niet belemmeren of de bescherming van de informatie van andere klanten in gevaar brengen. Informatie die in het kader van de audit is verzameld, moet worden verwijderd na voltooiing van de audit of wanneer deze niet langer nodig is voor het doel van de audit.
11. Looptijd en beëindiging
11.1 Allgemeen
Deze Verwerkersovereenkomst is geldig zolang de Leverancier persoonsgegevens verwerkt in opdracht van de Klant en eindigt automatisch in verband met de Overeenkomst wanneer de Leverancier niet langer Diensten verleent aan de Klant; de aansprakelijkheid van een Partij op grond van deze Verwerkersovereenkomst is echter ook van toepassing na de beëindiging van deze Overeenkomst.
Bij beëindiging van deze Verwerkersovereenkomst moet de Leverancier de persoonsgegevens van de Klant verwijderen of teruggeven aan de Klant of aan een derde partij in opdracht van de Klant, met inbegrip van gegevens die worden verwerkt op Apparatuur van de Leverancier, maar met uitzondering van gegevens die worden verwerkt op Apparatuur van de Klant. De elektronisch opgeslagen persoonsgegevens kunnen elektronisch worden verstrekt volgens de instructies van de Klant, indien dit redelijk is. Het verzoek tot verwijdering of terugzending van de Klant moet worden ingediend binnen zestig dagen na de beëindiging van deze Verwerkersovereenkomst. Na het verstrijken van de bovenstaande periode, en tenzij anders vereist onder de toepasselijke wetgeving, kan de Leverancier bestaande kopieën van de persoonsgegevens verwijderen. Na de teruggave van de persoonsgegevens, of indien de teruggave van persoonsgegevens na het verstrijken van bovenstaande termijn niet door de Klant is aangevraagd, zal de Leverancier de persoonsgegevens van de Klant binnen een redelijke termijn, maar niet later dan zes maanden na de beëindiging van deze Verwerkersovereenkomst, verwijderen.
Na de beëindiging van deze Verwerkersovereenkomst mag de Leverancier geen persoonsgegevens meer verwerken voor andere doeleinden dan het verwijderen van de persoonsgegevens of het beschermen van de persoonsgegevens tegen datalekken, tenzij anders wordt bewezen onder de toepasselijke wetgeving. De Leverancier heeft recht op een redelijke vergoeding voor de werkzaamheden die op grond van dit artikel zijn verricht.
11.2 Gevolgen van voortijdige beëindiging
De Klant heeft het recht de Overeenkomst te beëindigen in overeenstemming met artikel 3.1 en 5 met betrekking tot de betrokken Diensten, met een opzegtermijn van 90 dagen. Als gedeeltelijke beëindiging om technische redenen niet mogelijk is, kan beëindiging van een Dienst van toepassing zijn op de gehele Overeenkomst en/of alle betrokken Diensten. Indien de Overeenkomst wordt beëindigd in overeenstemming met het bovenstaande, zal de Leverancier alle reeds betaalde vergoedingen terugbetalen voor Diensten die na de beëindiging van de Overeenkomst niet zullen worden gebruikt. Indien de Klant gegronde redenen heeft om bezwaar te maken, mag de Leverancier de nieuwe subverwerker in kwestie niet in dienst nemen voor de beëindigingsperiode. Indien de Klant niet kan aantonen dat hij geldige redenen heeft om bezwaar te maken, wordt de beëindiging beschouwd als een voortijdige beëindiging zonder geldige reden, in welk geval de Leverancier recht heeft op een vergoeding die overeenkomt met vijfentwintig procent van de resterende contractwaarde. Als de Diensten producten bevatten die nodig zijn voor de levering van de Diensten en die door de Leverancier specifiek voor de Klant zijn gekocht, verbindt de Klant zich er bovendien toe dergelijke producten van de Leverancier te kopen als de Klant verzoekt om vroegtijdige beëindiging in overeenstemming met dit artikel. Dergelijke producten kunnen bijvoorbeeld netwerkproducten omvatten die eigendom zijn van of gehuurd worden door de Leverancier en die zijn geïnstalleerd op locaties van de Klant, maar omvatten geen producten met betrekking tot private of publieke clouddiensten die zijn geïnstalleerd op de locaties van de Leverancier of zijn partners.
"Geldige reden" voor de toepassing van dit deel betekent omstandigheden van de kant van de subverwerker die aanzienlijke gevolgen hebben of kunnen hebben voor de bescherming van de persoonsgegevens van betrokkenen, zoals de nieuwe onderaannemer die niet voldoet aan de verplichtingen die zijn opgelegd aan verwerkers op grond van de toepasselijke wetgeving inzake gegevensbescherming.
BIJLAGE A. BIJ DE VERWERKERSOVEREENKOMST
Specificatie over de verwerking van persoonsgegevens in verband met terugnamediensten
AANWIJZINGEN | ||
|---|---|---|
1.1 Korte beschrijving van de Dienst en het doel van de verwerkingsactiviteit | Vermeld alle doeleinden waarvoor persoonsgegevens door de Leverancier worden verwerkt: Leverancier zal persoonsgegevens verwerken voor zover dit nodig is voor het uitvoeren van de Diensten op grond van de Overeenkomst en zoals nader gespecificeerd in de Beschrijving van de Dienst, en zoals verder geïnstrueerd door Klant bij het gebruik van de Dienst. | |
1.2 Categorieën van persoonsgegevens | Vermeld de soorten persoonsgegevens die door de Leverancier worden verwerkt: De Leverancier zal persoonsgegevens die zijn opgeslagen op de IT-apparatuur van de Klant verwerken (verwijderen), in overeenstemming met de beschrijving van de Diensten. De informatie op eventuele opslagmedia die door de Klant worden verstrekt, is afhankelijk van het gebruik van de apparatuur door de gebruikers, en is dus niet bekend bij de Leverancier en kan enige vorm van persoonsgegevens zijn. Vermeld de soorten bijzondere categorieën persoonsgegevens die door de Leverancier worden verwerkt (indien van toepassing): Persoonsgegevens die zijn opgeslagen op de apparaten van de Klant en die binnen de Dienst aan de Leverancier worden verstrekt, zijn afhankelijk van het gebruik van dergelijke apparaten door de gebruikers. Hierdoor kunnen bijzondere categorieën van persoonsgegevens worden verwerkt (verwijderd). | |
1.3 Categorieën van betrokkenen | Vermeld de categorieën van betrokkenen op basis waarvan de Leverancier persoonsgegevens zal verwerken en de omvang van de verwerking: De inhoud van alle door de Klant verstrekte opslagmedia is afhankelijk van het gebruik van de apparatuur door de gebruikers, en daarom is het bij de Leverancier niet bekend op welke betrokkenen de persoonsgegevens betrekking kunnen hebben. | |
1.4 Verwerkingsactiviteiten (opslag, administratie etc.) | Vermeld de verwerkingsactiviteiten die door de Leverancier zullen worden uitgevoerd: Wissen van opslagmedia op door de Klant ter beschikking gestelde apparatuur, hetzij door het veilig overschrijven van de media, hetzij door veilige vernietiging van de media/apparatuur. | |
1.5 Plaats voor verwerking | Vermeld alle landen waar persoonsgegevens door de Leverancier kunnen worden opgeslagen en/of verwerkt: Persoonsgegevens worden door de Leverancier in Zweden verwerkt. |
VEILIGHEIDSMAATREGELEN | ||
|---|---|---|
Vermeld alle organisatorische en technische beveiligingsmaatregelen die door de Leverancier zullen worden geïmplementeerd | ||
2.1 Fysieke toegangscontrole | Maatregelen om fysieke toegang van onbevoegden tot IT-systemen die persoonsgegevens verwerken te voorkomen: De toegang tot gebouwen is beperkt met behulp van persoonlijke toegangskaarten met persoonlijke pincode en toegang wordt alleen verleend aan geautoriseerd personeel op bepaalde uren van de dag. Dit geldt zowel voor kantoor- als productieomgevingen. De toegang tot de productieruimte is nog verder beperkt en omvat alleen geautoriseerd personeel dat actief is om de Dienst te verlenen. De gebouwen worden beveiligd door een alarm van beveiligingsniveau 2, verbonden met een extern beveiligingsbedrijf. Het beveiligingsbedrijf inspecteert dagelijks het pand. De activering van het alarm is geautomatiseerd en ingesteld op een specifiek tijdstip in de avond. | |
2.2 Toegangscontrole van het systeem | Maatregelen die voorkomen dat onbevoegden gebruik kunnen maken van IT-systemen en -processen: Toegangsrechten worden geïmplementeerd op een need-to-know-basis, zodat het personeel alleen toegang heeft tot informatie die het nodig heeft om zijn taken te kunnen uitvoeren binnen de verantwoordelijkheid van zijn rol. Toegangscontroles worden regelmatig binnen een vooraf bepaalde tijdsfrequentie herzien om ervoor te zorgen dat de toegangsrechten up-to-date en relevant blijven. | |
2.3 Controle van de toegang tot gegevens | Maatregelen om ervoor te zorgen dat personen die gemachtigd zijn om het IT-systeem te gebruiken, alleen toegang hebben tot de persoonsgegevens in het kader van hun toegangsrechten: Vanwege de aard van de Dienst zal Leverancier geen toegang krijgen tot de gegevens, er zal geen verwerking worden uitgevoerd door Leverancier behalve verwijdering. | |
2.4 Toegangscontrole voor transmissie | Maatregelen om ervoor te zorgen dat persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of gewist door onbevoegden tijdens de elektronische overdracht of tijdens het transport of de opslag op gegevensdragers en dat de gebieden kunnen worden gecontroleerd en geïdentificeerd waar de overdracht van persoonsgegevens via gegevenstransmissiesystemen moet plaatsvinden: Vanwege de aard van de Dienst zal de Leverancier geen persoonsgegevens elektronisch verzenden. Apparaten worden vervoerd in afgesloten kluisjes met verschillende pincodes voor elke kluis. Het productieteam scant de toepasselijke doosnummers en koppelt de toepasselijke kluisjes aan de specifieke bestelling. De kluisjes zijn vergrendeld wanneer ze leeg worden verzonden en de klant is verantwoordelijk voor het vergrendelen van kluisjes voordat ze worden teruggestuurd naar de leverancier. Kluisjes worden geopend bij aankomst bij de leverancier en er worden foto's gemaakt om de inhoud van de dozen te documenteren. Vergrendelcodes worden gewijzigd met een vooraf ingestelde tijdsfrequentie om ongeoorloofde toegang tot kluisjes te voorkomen. | |
2.5 Toegangscontrole voor gegevensinvoer | Maatregelen om ervoor te zorgen dat achteraf kan worden gecontroleerd en vastgesteld of en van wie persoonsgegevens zijn ingevoerd, gewijzigd of verwijderd in het IT-systeem: De toegang tot systemen wordt gelogd en gemonitord om een spoor te creëren voor audits en herzieningen op het gebied van beveiliging en processen voor verantwoording. | |
2.6 Controle over beschikbaarheid | Maatregelen om ervoor te zorgen dat persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies: Vanwege de aard van de Dienst zal het altijd de bedoeling zijn om gegevens te verwijderen die zijn opgeslagen op apparaten die door Klant aan Leverancier zijn geleverd. | |
2.7 Scheiding controle | Maatregelen om ervoor te zorgen dat persoonsgegevens die voor verschillende doeleinden worden verzameld, afzonderlijk kunnen worden verwerkt: Niet van toepassing, Leverancier zal geen persoonsgegevens namens de Klant verwerken voor andere doeleinden dan verwijdering. | |
2.8 Besturingselementen voor het proces voor veilige verwijdering | Het proces voor retournering, verwijdering en verdere levering is gebouwd om te allen tijde een veilige afhandeling van de geretourneerde artikelen te garanderen. De belangrijkste beveiligingsmaatregelen zijn de volgende:
| |
2.9 Regels voor bewaring | Maatregelen om ervoor te zorgen dat persoonsgegevens op passende wijze worden gewist of vernietigd wanneer het gebruik van de persoonsgegevens niet langer redelijk of noodzakelijk is: Tijdens de looptijd van de overeenkomst: Vanwege de aard van de Dienst zal de Leverancier de persoonsgegevens als onderdeel van de levering van de Dienst altijd verwijderen of vernietigen, binnen twee 2 maanden vanaf de datum waarop de producten aan Dustin zijn overhandigd. Na het verstrijken van de looptijd van de overeenkomst: Leverancier zal de persoonsgegevens niet voor andere doeleinden verwerken dan verwijdering. Verwijdering of teruggave van persoonsgegevens na het verstrijken van de looptijd van de overeenkomst is dan ook niet van toepassing op de Dienst. |