ADDENDUM DATAVERWERKING (KLANTEN)
Dit Addendum Dataverwerking (“Addendum”) is aangegaan door en tussen LogoMix, Inc. DBA FreeLogoServices (“FreeLogoServices” of “Wij” of “ons” waar van toepassing), en u (“Klant”) en is toegevoegd aan en ter aanvulling op onze Gebruiksvoorwaarden, Privacybeleid, en alle overeenkomsten die van toepassing zijn op onze Aangeboden Diensten (collectief de “Servicevoorwaarden”).
1. Definities
In dit Addendum hebben de volgende termen de aangegeven betekenissen.
“Aangeboden Diensten” zijn alle gehoste diensten die wij u aanbieden waar sprake kan zijn van onze Verwerking van Persoonsgegevens.
“Klantgegevens” zijn de Persoonsgegevens van een Betrokkene die Verwerkt worden door FreeLogoServices binnen het FreeLogoServices Netwerk ten behoeve van de Klant overeenkomstig met of in relatie tot de Servicevoorwaarden.
“Gegevensbeheerder” betekent Klant, zijnde de entiteit die de doelen van en middelen voor de Verwerking van Persoonsgegevens verzameld via de website van de Klant vastlegt.
“Gegevensverwerker” betekent FreeLogoServices, zijnde de entiteit die Persoonsgegevens Verwerkt ten behoeve van de Gegevensbeheerder.
“Databeschermingswetten” zijn alle wet- en regelgeving, waaronder wet- en regelgeving van de Europese Unie, die van toepassing zijn op de Verwerking van Persoonsgegevens op grond van dit Addendum.
“Betrokkene” betekent de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
“EER” betekent de Europese Economische Ruimte.
“FreeLogoServices Netwerk” betekent de datacentra, servers, netwerkapparatuur en host softwaresystemen van FreeLogoServices die binnen het beheer van FreeLogoServices vallen en gebruikt worden om de Aangeboden Diensten te verzorgen.
“Persoonsgegevens” zijn alle informatie gerelateerd aan een geïdentificeerde of identificeerbare natuurlijke persoon.
“Verwerking” houdt elke handeling of groep handelingen in die uitgevoerd wordt op Persoonsgegevens, waaronder verzameling, opname, organisatie, structurering, opslag, aanpassing of verandering, opvraging, raadpleging, gebruik, openbaring door verzending, verspreiding of op andere wijze beschikbaar maken, afstemming of combinatie, beperking, verwijdering of vernietiging. “Verwerken” en “verwerkt” worden dienovereenkomstig geïnterpreteerd. Details over de Verwerking worden uiteengezet in Bijlage 1.
“Veiligheidsincident” is ofwel (a) een schending van de beveiliging van FreeLogoServices die leidt tot de onopzettelijke of onwettige vernietiging van, het verlies van, de wijziging van, de onbevoegde openbaring van, of de toegang tot welke Klantgegevens dan ook; of (b) iedere onbevoegde toegang tot apparatuur of faciliteiten van FreeLogoServices, waarbij in beide gevallen deze toegang leidt tot de vernietiging van, het verlies van, de onbevoegde openbaring van, of de wijziging van Klantgegevens.
“Beveiligingsstandaarden” zijn de beveiligingsstandaarden die als Bijlage 2 toegevoegd zijn aan dit Addendum.
“Standaardcontractbepalingen” verwijzen naar Bijlage 3, toegevoegd aan en deel uitmakend van dit Addendum overeenkomstig met het Besluit van de Europese Commissie van 5 februari 2010 over standaardcontractbepalingen voor de doorgifte van persoonsgegevens aan verwerkers gevestigd in derde landen op grond van de Richtlijn.
“Subverwerker” betekent elke derde partij die door de Gegevensverwerker ingezet wordt om gegevens te Verwerken ten behoeve van de Gegevensbeheerder.
2. Gegevensverwerking
2.1 Bereik en Rollen
Dit Addendum is van toepassing wanneer Klantgegevens worden verwerkt door FreeLogoServices. Binnen deze context treedt FreeLogoServices op als de Dataverwerker ten behoeve van de Klant als Gegevensbeheerder inzake Klantgegevens.
2.2 Specificaties Gegevensverwerking
De grondslag voor de verwerking van Klantgegevens door FreeLogoServices is de uitvoering van de Aangeboden Diensten in overeenstemming met de Servicevoorwaarden. FreeLogoServices zal alleen Klantgegevens verwerken ten behoeve van de Klant en in overeenstemming met de vastgelegde instructies van de Klant voor de volgende doelen:
- Verwerking conform de Servicevoorwaarden;
- Verwerking die door eindgebruikers geïnitieerd wordt door hun gebruik van de Aangeboden Diensten;
- Verwerking om te voldoen aan andere vastgelegde, redelijke instructies die door Klanten verstrekt worden (e.g. per e-mail) waarbij zulke instructies in overeenstemming zijn met de bepalingen in dit Addendum.
Niettegenstaande dit, wordt niet van FreeLogoServices vereist de instructies van de Klant na te leven of in het oog te houden indien deze instructies strijdig zijn met de EU Algemene Verordening Gegevensbescherming 2016/679 (“AVG”) of andere toepasselijke databeschermingswetten.
De duur van de Verwerking, de aard en het doel van de Verwerking, de types persoonlijke gegevens en categorieën Betrokkenen die Verwerkt worden op grond van dit Addendum worden verder gespecificeerd in Bijlage 1 (“Specificatie van de Verwerking”) bij dit Addendum.
3. Vertrouwelijkheid van Klantgegevens
FreeLogoServices zal geen Klantgegevens openbaren aan overheden of andere derde partijen, tenzij dit noodzakelijk is om de wet of een geldig en bindend bevel van een wethandhavingsinstantie (zoals een dagvaarding of een gerechtelijk bevel) na te leven. Wanneer een wethandhavingsinstantie een verzoek om Klantgegevens bij FreeLogoServices indient, zal FreeLogoServices pogen de wethandhavingsinstantie door te verwijzen naar de Klant om deze gegevens rechtstreeks op te vragen. Als onderdeel van deze poging kan FreeLogoServices de basiscontactgegevens van de Klant overhandigen aan de wethandhavingsinstantie. Wanneer FreeLogoServices gedwongen wordt Klantgegevens te openbaren aan een wethandhavingsinstantie, dan zal FreeLogoServices de Klant tijdig informeren over de eis zodat de Klant een conservatoire maatregel of ander noodzakelijk beschermmiddel in kan zetten, tenzij het wettelijk verboden is voor FreeLogoServices dit te doen.
4. Veiligheid
FreeLogoServices heeft de technische en organisatorische maatregelen voor het FreeLogoServices Netwerk zoals beschreven in dit Artikel en de Beveiligingsstandaarden, zoals verder beschreven in Bijlage 2 bij dit Addendum, geïmplementeerd en zal deze handhaven. FreeLogoServices heeft in het bijzonder geïmplementeerd en zal handhaven:
- De beveiliging van het FreeLogoServices Netwerk;
- De fysieke beveiliging van de faciliteiten;
- De beheerelementen omtrent toegang tot het FreeLogoServices Netwerk en de faciliteiten van FreeLogoServices voor werknemers en aannemers; en,
- De processen voor het testen, beoordelen en evalueren van de effectiviteit van de technische en organisatorische maatregelen die FreeLogoServices geïmplementeerd heeft.
FreeLogoServices maakt een aantal beveiligingseigenschappen en functies beschikbaar die de Klant kan gebruiken in relatie tot de Aangeboden Diensten. De Klant is verantwoordelijk voor:
- Het correct configureren van de Aangeboden Diensten.
- Het gebruik van de beschikbare beheerelementen in relatie tot de Aangeboden Diensten (waaronder de beveiligingselementen) om de doorlopende vertrouwelijkheid, integriteit, beschikbaarheid, en robuustheid van de verwerkingssystemen en diensten te waarborgen.
- Het gebruik van de beschikbare beheerelementen in relatie tot de Aangeboden Diensten (waaronder de beveiligingselementen) waarmee de Klant de beschikbaarheid en toegang tot Klantgegevens tijdig kan herstellen in het geval van een fysiek of technisch ongeval (e.g., back-ups en het regelmatig archiveren van Klantgegevens).
- De stappen te nemen die de Klant afdoende vindt om de gepaste beveiliging, bescherming en verwijdering van Klantgegevens te behouden, waaronder het gebruik van encryptietechnieken om de Klantgegevens te beschermen tegen onrechtmatige toegang en maatregelen om toegangsrechten tot Klantgegevens te beheren.
5. Rechten Betrokkene
De Klant is verantwoordelijk voor:
- Het voldoen aan alle toepasselijke privacywetgeving, waaronder de AVG, en waaronder het in acht nemen van de rechten van Betrokkenen zoals beschreven in deze wetten. Dit kan verder reiken dan Klantgegevens en gegevens omvatten die de Klant heeft verzameld maar die niet worden verwerkt door FreeLogoServices.
- Het direct beantwoorden van rechtenverzoeken van Betrokkenen, en het optreden als enige aanspreekpunt voor Betrokkenen wanneer een rechtenverzoek Klantgegevens omvat.
FreeLogoServices zal:
- De Klant direct op de hoogte stellen wanneer zij een verzoek ontvangt van een Betrokkene over Klantgegevens op basis van een Databeschermingswet.
- Ervoor zorgen dat zij niet ingaat op dit verzoek, tenzij dit vastgelegd is in instructies van de Klant of vereist is op basis van Toepasselijke Wetgeving waar FreeLogoServices aan moet voldoen, waarbij FreeLogoServices voor zover toegestaan is door Toepasselijke Wetgeving de Klant over deze wettelijke verplichting informeert voordat FreeLogoServices ingaat op het verzoek.
- Waar het gebruik van de Aangeboden Diensten de Klant beperkt in haar vermogen in te gaan op een Verzoek van een Betrokkene, kan FreeLogoServices, wanneer wettelijk toegestaan en passend en op uitdrukkelijk verzoek van de Klant, commercieel redelijke ondersteuning verlenen bij de afhandeling van het verzoek, op kosten van de Klant (indien hier sprake van is).
6. Subverwerking
6.1 Geautoriseerde Subverwerkers
De Klant stemt ermee in dat FreeLogoServices Subverwerkers kan gebruiken om aan haar contractuele verplichtingen op basis van haar Servicevoorwaarden en dit Addendum te voldoen of om bepaalde diensten aan te bieden ten behoeve van de Klant, zoals het aanbieden van ondersteuningsdiensten. De Klant geeft hierbij toestemming voor het gebruik van Subverwerkers door FreeLogoServices zoals beschreven in dit Artikel. FreeLogoServices staat geen enkele andere subverwerkingsactiviteiten toe, behalve zoals in dit Artikel beschreven of anders expliciet door u goedgekeurd is.
6.2 Verplichtingen Subverwerker
Wanneer FreeLogoServices een geautoriseerde Subverwerker gebruikt zoals hierboven beschreven in “Geautoriseerde Subverwerkers”:
- Zal FreeLogoServices de toegang tot Klantgegevens voor de Subverwerker beperken tot slechts dat wat noodzakelijk is om de Aangeboden Diensten te onderhouden of om de Aangeboden Diensten aan de Klant en mogelijke eindgebruikers te leveren op basis van de Aangeboden Diensten. FreeLogoServices zal de Subverwerker de toegang tot Klantgegevens voor enig ander doel verbieden.
- Zal FreeLogoServices een schriftelijke overeenkomst aangaan met de Subverwerker en, voor zover de Subverwerker dezelfde gegevensverwerkingsdiensten levert als FreeLogoServices doet volgens dit Addendum, zal FreeLogoServices de Subverwerker onderwerpen aan dezelfde contractuele verplichtingen die gelden voor FreeLogoServices volgens dit Addendum.
- FreeLogoServices blijft verantwoordelijk voor het naleven van de verplichtingen in dit Addendum en voor elke handeling of nalatigheid van de Subverwerker die ertoe leidt dat FreeLogoServices inbreuk maakt op de verplichtingen van FreeLogoServices volgens dit Addendum.
7. Notificatie Veiligheidsincident
7.1 Verantwoordelijkheden FreeLogoServices
Wanneer FreeLogoServices een Veiligheidsincident opmerkt, zal FreeLogoServices zonder onnodige vertraging:
- De Klant informeren over het Veiligheidsincident; en,
- Redelijke stappen ondernemen om de effecten te beperken en enige schade die ontstaat door het Veiligheidsincident te minimaliseren.
7.2 Ondersteuning FreeLogoServices
Om de Klant te ondersteunen in het kader van notificaties van inbreuk in verband met persoonlijke gegevens die van de Klant vereist worden op basis van toepasselijke privacywetgeving, zal FreeLogoServices in de notificatie onder het artikel “Klantrechten/Onafhankelijke Beoordeling” (hieronder) dusdanige informatie delen over het Veiligheidsincident als FreeLogoServices redelijkerwijs kan delen met de Klant, rekening houdend met de aard van de Aangeboden Diensten, de beschikbare informatie voor FreeLogoServices, en enige beperkingen op het delen van de informatie, zoals vertrouwelijkheid.
7.3 Mislukt Veiligheidsincident
De Klant gaat ermee akkoord dat:
- Een mislukt Veiligheidsincident niet onderhevig is aan de bepalingen in dit Addendum. Een mislukt Veiligheidsincident is een incident dat niet leidt tot ongeoorloofde toegang tot Klantgegevens of tot het Netwerk, de apparatuur, of de faciliteiten die Klantgegevens opslaan van FreeLogoServices, waaronder kan vallen, zonder beperkingen, pings en andere broadcastaanvallen op firewalls of edge servers, port scans, mislukte inlogpogingen, denial of service aanvallen, packet sniffing (of andere ongeoorloofde toegang tot dataverkeer die niet leidt tot toegang verder dan headers) of gelijkaardige incidenten; en,
- De verplichting van FreeLogoServices om conform dit Artikel een Veiligheidsincident te rapporteren of bestrijden is niet en kan niet gebruikt worden als een erkenning van FreeLogoServices van enige schuld of aansprakelijkheid van FreeLogoServices wat betreft het Veiligheidsincident.
7.4 Communicatie
Notificatie(s) van eventuele Veiligheidsincidenten zullen gedaan worden aan één of meerdere administratoren van de Klant op een manier die FreeLogoServices kiest, waaronder per e-mail. Het is de volledige verantwoordelijkheid van de Klant om ervoor te zorgen dat de administratoren van de Klant te allen tijde zorgen voor de juiste contactgegevens op de managementconsole van FreeLogoServices en een veilige doorgifte.
8. Klantrechten
8.1 Onafhankelijke Beoordeling
De Klant is verantwoordelijk voor het bestuderen van de informatie die FreeLogoServices beschikbaar maakt met betrekking tot gegevensbescherming en de Beveiligingsstandaarden en voor het onafhankelijk beoordelen of de Aangeboden Diensten voldoen aan de eisen van de Klant en zijn wettelijke verplichtingen, en ook de verplichtingen voor de Klant op grond van dit Addendum. De informatie die beschikbaar gemaakt is dient ter ondersteuning van de Klant in het voldoen aan de verplichtingen van de Klant volgens toepasselijke privacywetgeving, waaronder de AVG, met betrekking tot beoordelingen van de impact op gegevensbescherming en voorafgaand overleg.
Als de Standaardcontractbepalingen van toepassing zijn, past niets in dit Artikel de Standaardcontractbepalingen aan noch beïnvloedt het de rechten van een toezichthoudende autoriteit of Betrokkene op grond van de Standaardcontractbepalingen.
8.2 Inspectierechten Klant
De Klant heeft het recht te bevestigen dat FreeLogoServices dit Addendum waar van toepassing op de Aangeboden Diensten naleeft, waaronder specifiek dat FreeLogoServices haar Beveiligingsstandaarden naleeft. FreeLogoServices zal, op verzoek, alle informatie waarvan zij denkt dat deze het naleven van de Beveiligingsstandaarden demonstreert beschikbaar maken voor de Klant.
Informatie- en inspectierechten van de Klant komen alleen voort uit dit artikel voor zover de Overeenkomst verder geen informatie- en inspectierechten die voldoen aan de relevante eisen van Databeschermingswetten verleent.
9. Doorgifte van Persoonsgegevens
9.1 Verwerking in Canada
Behalve waar specifiek vastgelegd in de Servicevoorwaarden, worden Klantgegevens overgedragen naar buiten de EER en verwerkt in Canada, waar deze gegevens gereguleerd zijn door de Canadese Personal Information Protection and Electronic Documents Act (PIPEDA). De EU erkent dat Canada voldoende gegevensbescherming biedt (per artikel 45 van Verordening (EU) 2016/679), waardoor persoonsgegevens van inwoners van de EU vrijelijk overgedragen mogen worden naar Canada.
Aangezien FreeLogoServices samenwerkt met een aantal partners in de VS, dragen wij ook (in overeenstemming met Artikel 45 van de AVG) persoonsgegevens over naar bedrijven die hun naleving van het EU-VS-kader voor gegevensbescherming of Zwitserland-VS-kader voor gegevensbescherming hebben gecertifieerd.
9.2 Toepassing van Standaardcontractbepalingen
De Standaardcontractbepalingen zijn van toepassing op Klantgegevens die overgedragen worden naar buiten de EER, ofwel rechtstreeks ofwel per indirecte doorgifte, naar elk land waarvan de Europese Commissie niet erkent dat het voldoende gegevensbescherming biedt (zoals omschreven in de AVG). De Standaardcontractbepalingen zijn niet van toepassing op Klantgegevens die niet overgedragen worden, ofwel rechtstreeks ofwel per indirecte doorgifte, naar buiten de EER. Niettegenstaande het voorgaande, zijn de Standaardcontractbepalingen niet van toepassing wanneer de gegevens overgedragen worden in overeenstemming met een erkende nalevingsnorm voor de wettige doorgifte van persoonsgegevens (zoals gedefinieerd in de AVG) naar buiten de EER, zoals de PIPEDA-regelgeving in Canada en ook het EU-VS-kader voor gegevensbescherming en Zwitserland-VS-kader voor gegevensbescherming.
10. Stopzetting van het Addendum
Dit Addendum blijft van kracht tot de stopzetting van het verwerken door FreeLogoServices in overeenstemming met de Gebruiksvoorwaarden (de “Datum van Stopzetting”).
11. Teruggave of Verwijdering van Klantgegevens
Zoals omschreven in de Aangeboden Diensten, kan FreeLogoServices de Klant een dienst leveren die gebruikt kan worden om Klantgegevens terug te halen of te verwijderen. Elke verwijdering van Klantgegevens is onderworpen aan de bepalingen voor de specifieke Aangeboden Diensten.
12. Beperkingen van Aansprakelijkheid
De aansprakelijkheid van elke partij in het kader van dit Addendum is onderworpen aan de uitsluitingen en beperkingen van aansprakelijkheid die uiteengezet zijn in de Servicevoorwaarden. De Klant gaat ermee akkoord dat eventuele boetes die FreeLogoServices opgelegd krijgt in relatie tot Klantgegevens en die ontstaan door, of gerelateerd zijn aan, het niet naleven door de Klant van haar verplichtingen op grond van dit Addendum en toepasselijke privacywetgeving, vallen onder de aansprakelijkheid van FreeLogoServices en deze verzwakken conform de Servicevoorwaarden alsof het een aansprakelijkheid naar de Klant betreft conform de Servicevoorwaarden.
13. Volledige Servicevoorwaarden; Conflict
Dit Addendum overstijgt en vervangt alle eerdere of gelijktijdige verklaringen, afspraken, overeenkomsten of communicatie tussen de Klant en FreeLogoServices, ongeacht schriftelijk of mondeling, wat betreft de inhoud van dit Addendum, waaronder dataverwerkingsaddenda die aangegaan zijn tussen FreeLogoServices en de Klant wat betreft de verwerking van persoonsgegevens en het vrije verkeer van deze gegevens. Behalve waar aangepast door dit Addendum, blijven de Servicevoorwaarden volledig van kracht. Als er een conflict is met een andere overeenkomst tussen de partijen, waaronder de Servicevoorwaarden en dit Addendum, dan zijn de bepalingen in dit Addendum leidend.
Bijlage 1 – Specificatie van de Verwerking
- Aard en Doel van Verwerking. FreeLogoServices zal waar nodig Persoonsgegevens Verwerken om de Aangeboden Diensten te leveren in naleving van de Servicevoorwaarden, product-specifieke overeenkomsten en verdere instructies van de Klant gedurende haar gebruik van de Aangeboden Diensten.
- Duur van de Verwerking. In naleving van Artikel 10 van dit Addendum zal FreeLogoServices Persoonsgegevens Verwerken zolang de Servicevoorwaarden van kracht zijn, maar zal voldoen aan de bepalingen in dit Addendum gedurende het Verwerken wanneer deze periode overschreden wordt, en tenzij schriftelijk anders overeengekomen.
- Categorieën Betrokkenen. De Klant kan Persoonsgegevens uploaden gedurende haar gebruik van de Aangeboden Diensten, de mate waarin wordt bepaald en beheerd door de Klant naar eigen goeddunken, en dit kan inhouden maar is niet beperkt tot Persoonsgegevens die gerelateerd zijn aan de volgende categorieën Betrokkenen:
- Mogelijk toekomstige klanten, klanten, zakenrelaties, en leveranciers van de Klant (die natuurlijke personen zijn).
- Werknemers of contactpersonen van mogelijk toekomstige klanten, klanten, zakenrelaties, en leveranciers van de Klant.
- Werknemers, vertegenwoordigers, adviseurs en freelancers van de Klant (die natuurlijke personen zijn).
- Gebruikers van de Klant die van de Klant het recht gekregen hebben de Aangeboden Diensten te gebruiken.
- Soorten Persoonsgegevens. De Klant kan Persoonsgegevens uploaden gedurende haar gebruik van de Aangeboden Diensten, de mate waarin wordt bepaald en beheerd door de Klant naar eigen goeddunken, en dit kan inhouden maar is niet beperkt tot de volgende categorieën Persoonsgegevens van Betrokkenen:
- Naam
- Adres
- Telefoonnummer
- Geboortedatum
- E-mailadres
- Andere verzamelde gegevens waarmee een Betrokkene direct of indirect geïdentificeerd kan worden.
Bijlage 2 - Beveiligingsstandaarden
I. Technische en Organisatorische Maatregelen
Wij zijn toegewijd aan het beschermen van de informatie van onze klanten. Rekening houdend met de beste werkwijzen, de implementatiekosten, en de aard, reikwijdte, omstandigheden, en doelen van de verwerking en ook de verschillende kansen op het voorkomen van en de zwaarte van de risico’s voor de rechten en vrijheden van natuurlijke personen, nemen wij de volgende technische en organisatorische maatregelen. Bij het selecteren van de maatregelen is rekening gehouden met de vertrouwelijkheid, integriteit, beschikbaarheid, en robuustheid van de systemen. Een snel herstel na een fysiek of technisch incident is gegarandeerd.
II. Databeschermingsprogramma
Wij testen, beoordelen en evalueren regelmatig de effectiviteit van het FreeLogoServices Netwerk en de beveiliging van onze faciliteiten.
1. Vertrouwelijkheid.
Wij nemen een aantal fysieke en logische maatregelen om de vertrouwelijkheid van de persoonsgegevens van onze klanten te beschermen. Onder deze maatregelen valt:
Fysieke Beveiliging
- Gebruik van fysieke toegangscontrolesystemen (toegangscontrole met badges, toezicht op beveiligingsgebeurtenissen etc.).
- Surveillancesystemen waaronder alarmen en, waar passend, cameratoezicht.
- ‘Clean-desk’ beleid en beheer (vergrendeling onbeheerde computers, vergrendeling kasten etc.).
- Beheer Toegang Bezoekers.
- Vernietiging van gegevens op fysieke media en documenten.
Toegangscontrole & Preventie van Onrechtmatige Toegang
- Toegangsbeperkingen gebruikers toegepast en toegangspermissies gebaseerd op rol ingevoerd/herzien op basis van het principe van scheiding van taken.
- Krachtige authenticatie- en autorisatiemethoden (multi-factor authenticatie, automatisch deactiveren/uitloggen etc.).
- Gecentraliseerd wachtwoordbeheer en krachtige/complexe wachtwoordeisen (minimumlengte, complexe karakters etc.).
Beveiligingstests
- Regelmatige netwerk- en kwetsbaarheidsscans.
2. Integriteit
Er zijn passende systemen voor wijzigings- en logboekbeheer, naast toegangsbeheer om de integriteit van persoonsgegevens te bewaren, zoals:
Management Wijziging & Vrijgave
- Managementproces voor wijziging en vrijgave waaronder (effectanalyse, goedkeuring, testen, veiligheidscontroles, voorbereiding, toezicht etc.).
- Toegangsverlening tot productieomgevingen gebaseerd op Rol & Functie (Scheiding van Taken)
Registratie & Toezicht
- Registratie van toegang tot en veranderingen in gegevens.
- Inspectie- & veiligheidslogboeken.
3. Beschikbaarheid
We implementeren geschikte maatregelen voor continuïteit en beveiliging om onze diensten en de gegevens binnen deze diensten beschikbaar te houden:
- Uitvoerig toezicht op en rapportage over de prestaties/beschikbaarheid van kritieke systemen.
- Responsprogramma bij incidenten.
- Kritieke data ofwel gedupliceerd of geback-upt (Cloud Back-ups/Harde Schijven/Database duplicatie etc.).
- Gepland onderhoud aan software, infrastructuur en beveiliging (Software-updates, veiligheidsupdates etc.).
- Redundante en robuuste systemen.
- Gebruik van ononderbroken stroomvoorzieningen, faal-veilige hardware, en netwerksystemen.
- Alarmen en veiligheidssystemen.
- Fysieke Beschermingsmaatregelen getroffen in kritieke locaties (overspanningsbeveiliging, verhoogde vloeren, koelsystemen, brand- en/of rookdetectors, brandblussystemen etc.).
- DDOS-bescherming om beschikbaarheid in stand te houden.
- Beladings- & Stresstests.
- Firewalls voor webapplicatie.
4. Dataverwerkingsinstructies
Wij hebben interne privacyregelgeving en overeenkomsten ingesteld om ervoor te zorgen dat persoonsgegevens verwerkt worden in overeenstemming met de wensen en instructies van klanten.
- Privacy- en vertrouwelijkheidsregels in werknemers- en aannemerscontracten.
- Regelmatige controles op beveiliging.
- Testen van PCI-naleving.
Bijlage 3 - Standaardcontractbepalingen
Noot: Zie Artikel 9.2 van het Addendum voor de toepasselijkheid van deze Standaardcontractbepalingen.
Voor de toepassing van artikel 26, lid 2, van Richtlijn 95/46/EG, voor de doorgifte van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen die geen passend beschermingsniveau waarborgen,
De entiteit die geïdentificeerd wordt als “Klant” in het Addendum (de “gegevensexporteur”)
en
FreeLogoServices (de “gegevensimporteur”), beiden een “partij”; samen “de partijen”
ZIJN OVEREENGEKOMEN de volgende Contractbepalingen (de Bepalingen) vast te stellen teneinde voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, bij de doorgifte van de in Aanhangsel 1 vermelde persoonsgegevens door de gegevensexporteur aan de gegevensimporteur.
Bepaling 1 - Definities
Voor de toepassing van de Bepalingen:
a) gelden voor „persoonsgegevens”, „bijzondere categorieën gegevens”, „verwerken/verwerking”, „voor de verwerking verantwoordelijke”, „verwerker”, „betrokkene” en „toezichthoudende autoriteit” dezelfde definities als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
b) wordt onder „gegevensexporteur” verstaan: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;
c) wordt onder „gegevensimporteur” verstaan: de verwerker die overeenkomt van de gegevensexporteur persoonsgegevens te ontvangen om deze na doorgifte namens de gegevensexporteur te verwerken in overeenstemming met zijn instructies en de voorwaarden van de bepalingen, en die niet onderworpen is aan een regeling van een derde land die passende bescherming biedt in de zin van Artikel 25(1), van Richtlijn 95/46/EG;
d) wordt onder „subverwerker” verstaan: een verwerker die door de gegevensimporteur of een andere voor de gegevensimporteur werkende subverwerker is gecontracteerd en die overeenkomt van de gegevensimporteur of van een andere voor de gegevensimporteur werkende subverwerker persoonsgegevens te ontvangen, uitsluitend ten behoeve van de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht na de doorgifte, overeenkomstig de instructies van de gegevensexporteur, de voorwaarden van de Bepalingen en de voorwaarden van het schriftelijke contract inzake subverwerking;
e) wordt onder „toepasselijk recht inzake gegevensbescherming” verstaan: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een voor de verwerking verantwoordelijke;
f) wordt onder „technische en organisatorische beveiligingsmaatregelen” verstaan: maatregelen die tot doel hebben persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking de doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.
Bepaling 2 – Bijzonderheden betreffende de doorgifte
De bijzonderheden betreffende de doorgifte, met name, in voorkomend geval, de bijzondere categorieën persoonsgegevens, worden nader omschreven in Aanhangsel 1, dat een integrerend deel van de Bepalingen vormt.
Bepaling 3 - Derdenbeding
1. De betrokkenen kunnen deze Bepaling en Bepaling 4(b) tot en met (i), Bepaling 5(a) tot en met (e) en (g) tot en met (j), Bepaling 6, Bepaling 7(2), en de Bepalingen 8 tot en met 11 als derde begunstigden tegenover de gegevensexporteur afdwingen.
2. De betrokkenen kunnen deze Bepaling, Bepaling 5(a) tot en met (e) en (g), Bepaling 6, Bepaling 7(2), en de Bepalingen 8 tot en met 11 tegenover de gegevensimporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dit geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen.
3. De betrokkenen kunnen deze Bepaling, Bepaling 5(a) tot en met (e) en (g), Bepaling 6, Bepaling 7(2), en de Bepalingen 8 tot en met 11 tegenover de subverwerker afdwingen in die gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dat geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
4. De partijen verzetten zich er niet tegen dat de betrokkenen door een vereniging of andere instelling worden vertegenwoordigd, indien de betrokkenen dit uitdrukkelijk wensen en dit in het nationale recht is toegestaan.
Bepaling 4 – Verplichtingen van de gegevensexporteur
De gegevensexporteur stemt ermee in en garandeert dat:
a) de verwerking van de persoonsgegevens, met inbegrip van de doorgifte zelf, is geschied en zal blijven geschieden in overeenstemming met alle relevante bepalingen van het toepasselijke recht inzake gegevensbescherming (en, waar van toepassing, is gemeld aan de betrokken autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd), en dat zij niet in strijd is met de toepasselijke bepalingen van die staat;
b) hij de gegevensimporteur instructie heeft gegeven, en gedurende de verwerking van de persoonsgegevens zal geven, de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met het toepasselijke recht inzake gegevensbescherming en de Bepalingen te verwerken;
c) de gegevensimporteur voldoende waarborgen zal bieden ten aanzien van de technische en organisatorische beveiligingsmaatregelen die in Aanhangsel 2 bij dit contract worden omschreven;
d) deze beveiligingsmaatregelen, na een beoordeling van de vereisten van het toepasselijke recht inzake gegevensbescherming, geschikt zijn bevonden om persoonsgegevens te beschermen tegen vernietiging, hetzij bij ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens via een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en deze maatregelen gezien de aan de verwerking en de aard van de te beschermen gegevens verbonden risico’s een passend beveiligingsniveau waarborgen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging;
e) hij op de naleving van deze beveiligingsmaatregelen zal toezien;
f) wanneer de doorgifte bijzondere categorieën gegevens betreft, de betrokkene ervan in kennis is gesteld, of vóór of zo spoedig mogelijk na de doorgifte ervan in kennis zal worden gesteld, dat zijn gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt als bedoeld in Richtlijn 95/46/EG;
g) hij overeenkomstig Bepaling 5(b), en Bepaling 7(3), ontvangen kennisgevingen van de gegevensimporteur of een subverwerker aan de toezichthoudende autoriteit zal doorzenden, wanneer hij (dat wil zeggen de gegevensexporteur) besluit de doorgifte voort te zetten of de opschorting op te heffen;
h) hij op verzoek een afschrift van de Bepalingen ter beschikking van de betrokkene zal stellen, met uitzondering van Aanhangsel 2, alsmede een beknopte beschrijving van de beveiligingsmaatregelen en een afschrift van elk contract voor subverwerkingsdiensten dat overeenkomstig de Bepalingen dient te worden opgesteld; indien de Bepalingen of het contract commerciële informatie bevatten, mag de gegevensexporteur deze commerciële informatie verwijderen;
i) in geval van subverwerking de verwerkingsactiviteiten worden uitgevoerd overeenkomstig Bepaling 10 door een subverwerker die ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van de betrokkenen waarborgt als de gegevensimporteur overeenkomstig deze Bepalingen; en
j) hij zal toezien op de naleving van Bepaling 4(a) tot en met (i).
Bepaling 5 – Verplichtingen van de gegevensimporteur
Noot: Vereisten van het nationale recht die op de gegevensimporteur van toepassing zijn en die niet verder gaan dan wat in een democratische samenleving noodzakelijk is op basis van een van de in Artikel 13(1), van Richtlijn 95/46/EG vermelde belangen, dat wil zeggen noodzakelijke maatregelen ter vrijwaring van de veiligheid van een staat, de landsverdediging, de openbare veiligheid, het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen, een belangrijk economisch en financieel belang van een lidstaat of de bescherming van de betrokkene of van de rechten en vrijheden van anderen, zijn niet in strijd met de bepalingen. Enkele voorbeelden van dergelijke vereisten die niet verder gaan dan wat in een democratische samenleving noodzakelijk is, zijn internationaal erkende sancties, verplichtingen in verband met de belastingaangifte en verplichtingen in verband met het melden van witwaspraktijken.
De gegevensimporteur stemt ermee in en garandeert dat:
a) hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de Bepalingen verwerkt; indien hij om welke reden dan ook daartoe niet in staat is, stemt hij ermee in de gegevensexporteur onverwijld daarvan in kennis te stellen, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
b) hij geen reden heeft aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen, en dat hij in geval van een wijziging in deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de Bepalingen opgenomen waarborgen en verplichtingen, de gegevensexporteur, zodra hij de wijziging kent, onverwijld daarvan in kennis stelt, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
c) hij de in Aanhangsel 2 omschreven technische en organisatorische beveiligingsmaatregelen vóór de verwerking van de doorgegeven persoonsgegevens heeft getroffen;
d) hij de gegevensexporteur onverwijld ervan in kennis stelt wanneer:
i) een wetshandhavingsinstantie een juridisch bindend verzoek om verstrekking van persoonsgegevens heeft gedaan, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;
ii) iemand per ongeluk of op ongeoorloofde wijze toegang tot de gegevens heeft gehad;
iii) hij van de betrokkenen rechtstreeks een verzoek heeft ontvangen, waarop hij niet ingaat, tenzij hem dit anderszins is toegestaan;
e) hij alle vragen van de gegevensexporteur betreffende de door hem uitgevoerde verwerking van de doorgegeven persoonsgegevens zo spoedig mogelijk naar behoren beantwoordt en het advies van de toezichthoudende autoriteit volgt bij de verwerking van de doorgegeven gegevens;
f) hij, wanneer de betrokkene geen afschrift van de gegevensexporteur kan verkrijgen, hem op verzoek een afschrift van de Bepalingen alsmede eventuele subverwerkingscontracten ter beschikking stelt, met uitzondering van Aanhangsel 2 dat door een beknopte beschrijving van de beveiligingsmaatregelen wordt vervangen; indien de Bepalingen of contracten commerciële informatie bevatten, mag de gegevensimporteur deze commerciële informatie verwijderen;
g) hij, wanneer subverwerking plaatsvindt, de gegevensexporteur tevoren heeft ingelicht en diens schriftelijke toestemming heeft verkregen;
h) de verwerkingsdiensten van de subverwerker overeenkomstig Bepaling 10 zullen worden uitgevoerd;
i) hij van elk subverwerkingscontract dat hij in het kader van de Bepalingen aangaat, onverwijld een afschrift doet toekomen aan de gegevensexporteur.
Bepaling 6 – Bemiddeling en rechtsmacht
1. De gegevensimporteur stemt ermee in dat, indien de betrokkene tegen hem rechten ten behoeve van derden en/of vorderingen tot schadevergoeding krachtens de Bepalingen inroept, de gegevensimporteur de beslissing van de betrokkene aanvaardt:
(a) om het geschil te onderwerpen aan bemiddeling door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit;
(b) om het geschil voor te leggen aan een rechterlijke instantie in de lidstaat waar de gegevensexporteur is gevestigd. Te weten, alle geschillen moeten voorgelegd worden aan de rechtbank in de provincie Ontario in het land Canada.
2. De partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan diens materiële of formele rechten om op grond van andere bepalingen van nationaal of internationaal recht verhaal te zoeken.
Bepaling 7 – Samenwerking met de toezichthoudende autoriteiten
1. De gegevensexporteur stemt ermee in een afschrift van dit contract bij de toezichthoudende autoriteit neer te leggen, indien deze daarom verzoekt of indien dit krachtens het toepasselijke recht inzake gegevensbescherming vereist is.
2. De partijen komen overeen dat de toezichthoudende autoriteit bevoegd is bij de gegevensimporteur en eventuele subverwerkers een controle te verrichten die dezelfde reikwijdte heeft en aan dezelfde voorwaarden is onderworpen als die welke krachtens het toepasselijke recht inzake gegevensbescherming voor haar controle van de gegevensexporteur zouden gelden.
3. Indien er wetgeving bestaat die op de gegevensimporteur of een subverwerker van toepassing is en die de uitvoering van controles als in lid 2 bedoeld op de gegevensimporteur of een subverwerker verbiedt, stelt de gegevensimporteur de gegevensexporteur daarvan onverwijld in kennis. In een dergelijk geval mag de gegevensexporteur de in Bepaling 5 (b), bedoelde maatregelen nemen.
Bepaling 8 – Toepasselijk recht
Op de Bepalingen is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing: te weten de geldende wetten van Canada en de Provincie Ontario.
Bepaling 9 – Wijziging van het contract
De partijen verbinden zich ertoe de Bepalingen niet te wijzigen. Dit vormt voor de partijen geen beletsel om indien nodig Bepalingen toe te voegen betreffende met de transactie verband houdende vraagstukken, mits deze niet met de Bepaling in strijd zijn.
Bepaling 10 - Subverwerking
1. De gegevensimporteur besteedt de verwerkingsactiviteiten die hij overeenkomstig de Bepalingen namens de gegevensexporteur uitvoert, niet uit zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur met toestemming van de gegevensexporteur zijn verplichtingen uit hoofde van de Bepalingen uitbesteedt, dient hij met de subverwerker een schriftelijk contract te sluiten waarbij aan de subverwerker dezelfde verplichtingen worden opgelegd als die waaraan de gegevensimporteur uit hoofde van de Bepalingen moet voldoen. Indien de subverwerker niet voldoet aan zijn verplichtingen tot gegevensbescherming uit hoofde van dat schriftelijke contract, blijft de gegevensimporteur jegens de gegevensexporteur volledig aansprakelijk voor de uitvoering van de verplichtingen van de subverwerker uit hoofde van dat contract.
2. In het tevoren tussen de gegevensimporteur en de subverwerker te sluiten schriftelijke contract dient tevens een derdenbeding te zijn opgenomen zoals vervat in Bepaling 3, dat voorziet in gevallen dat de betrokkene geen vordering tot schadevergoeding kan instellen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, en er geen rechtsopvolger is die contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de Bepalingen.
3. Op de bepalingen betreffende de gegevensbeschermingsaspecten van de subverwerking uit hoofde van het in lid 1 bedoelde contract is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing. Te weten, de geldende wetten van Canada en de Provincie Ontario.
4. De gegevensexporteur houdt een lijst bij van subverwerkingscontracten die krachtens de Bepalingen zijn gesloten en door de gegevensimporteur overeenkomstig Bepaling 5 (j), zijn aangemeld, en werkt deze ten minste eenmaal per jaar bij. Deze lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voor gegevensbescherming die op de gegevensexporteur toezicht houdt.
Bepaling 11 – Verplichting na de beëindiging van de verwerking van persoonsgegevens
1. De partijen komen overeen dat de gegevensimporteur en de subverwerker na het beëindigen van de verlening van de gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens en kopieën daarvan aan de gegevensexporteur terugbezorgen of, indien de gegevensexporteur dat verkiest, alle persoonsgegevens vernietigen en aan de gegevensexporteur verklaren dat de vernietiging heeft plaatsgevonden, tenzij de op de gegevensimporteur toepasselijke wetgeving hem verbiedt alle of een gedeelte van de doorgegeven persoonsgegevens terug te bezorgen of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens zal respecteren en dat hij de doorgegeven gegevens niet verder actief zal verwerken.
2. De gegevensimporteur en de subverwerker garanderen dat zij op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit hun verwerkingsvoorzieningen voor een controle van de in lid 1 bedoelde maatregelen beschikbaar zullen stellen.
Aanhangsel 1 bij de Standaardcontractbepalingen
Gegevensexporteur: De gegevensexporteur is de entiteit die geïdentificeerd is als “Klant” in het Addendum
Gegevensimporteur: De gegevensimporteur is FreeLogoServices, een aanbieder van gehoste diensten.
Betrokkenen: De verwerkingshandelingen zijn gedefinieerd in Bepaling 1.3 en Bijlage 1 van het Addendum.
Gegevenscategorieën: De verwerkingshandelingen zijn gedefinieerd in Bepaling 1.3 en Bijlage 1 van het Addendum.
Verwerkingshandelingen: De verwerkingshandelingen zijn gedefinieerd in Bepaling 1.3 en Bijlage 1 van het Addendum.
Aanhangsel 2 bij de Standaardcontractbepalingen
Dit Aanhangsel maakt deel uit van de Bepalingen. Door de Aangeboden Diensten van FreeLogoServices aan te schaffen, worden het Addendum en dit Aanhangsel 2 geacht geaccepteerd en aangegaan te zijn door en tussen de partijen.
Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur overeenkomstig Bepaling 4(d), en Bepaling 5(c), zijn getroffen (of bijgevoegd(e) document/wettelijke regeling):
De technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur zijn getroffen zijn zoals beschreven in het Addendum, meer specifiek in Bijlage 2, die hier onderdeel van uitmaakt en aan is toegevoegd.