APPENDIX 2 – VERWERKERSOVEREENKOMST
Artikel 1. - Definities
In deze verwerkersovereenkomst wordt verstaan onder:
de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene verordening gegevensbescherming)
de direct of indirect geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft
Inbreuk in verband met persoonsgegevens
een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens
de overeenkomst waarvan deze verwerkersovereenkomst onderdeel uitmaakt
elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat Verwerker op grond van de Overeenkomst verwerkt of dient te verwerken, niet zijnde geanonimiseerde dat
een door Verwerker bij de uitvoering van deze Overeenkomst ingeschakelde derde
deze verwerkersovereenkomst, een en ander zoals bedoeld in artikel 28 lid 3 AVG
een verwerking of een geheel van verwerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren, of combineren, afschermen, wissen of vernietigen van Persoonsgegevens
Verwerkingsverantwoordelijke:
de wederpartij van Tron B.V. in de Overeenkomst.
Artikel 2. - Reikwijdte van de Verwerkersovereenkomst
- De bepalingen uit deze Verwerkersovereenkomst zijn van toepassing op iedere Verwerking van Verwerker op grond van de Overeenkomst.
- Verwerker verricht in opdracht van Verwerkingsverantwoordelijke diensten op het gebied van het traceren van pakketten en het voorzien van Verwerkingsverantwoordelijke in de noodzakelijke gegevens voor juiste en tijdige levering en het opvolgen van statusupdates en het notificeren of voorspellen van afwijkingen in het bezorgproces. Bij de uitvoering van deze werkzaamheden verwerkt Verwerker ten behoeve van Verwerkingsverantwoordelijke persoonsgegevens in de zin van de AVG. De te verwerken persoonsgegevens en de verwerkingsdoeleinden staan omschreven in Bijlage 1 bij deze Verwerkersovereenkomst.
- Deze Verwerkersovereenkomst vormt een bijlage bij de Overeenkomst.
- Het bepaalde in deze Verwerkersovereenkomst gaat voor op de Overeenkomst en eventueel daarop van toepassing verklaarde algemene voorwaarden.
2. Totstandkoming Overeenkomst
- Alle Offertes van TRON zijn vrijblijvend, tenzij schriftelijk anders is overeengekomen, en zijn gebaseerd op de door of namens de Opdrachtgever verstrekte informatie. De Opdrachtgever draagt er zorg voor dat alle gegevens, waarvan TRON aangeeft dat deze noodzakelijk zijn of waarvan Opdrachtgever redelijkerwijs behoort te begrijpen dat deze noodzakelijk zijn voor het opstellen van de Offerte, tijdig aan TRON worden verstrekt. Opdrachtgever staat daarnaast in voor de juistheid en volledigheid van de verstrekte gegevens.
- Offertes hebben een geldigheidsduur van 4 (vier) weken, tenzij een andere termijn in de Offerte staat vermeld.
- Een Offerte wordt, na ondertekening door Opdrachtgever, samen met alle aanhangige documentatie gezien als de Overeenkomst.
- De Opdrachtgever is verplicht -indien de uitvoering van werkzaamheden en/of levering buiten Nederland dient plaats te vinden- in het land waar de Overeenkomst moet worden uitgevoerd op deze uitvoering betrekking hebbende regels van dwingendrechtelijke aard in ieder geval voor afgifte van de Offerte door TRON, schriftelijk aan TRON bekend te maken, bij gebreke waarvan ter zake van niet-naleving van bedoelde dwingendrechtelijke regels geen enkele aansprakelijkheid door TRON kan en zal worden aanvaard, ongeacht de regelgeving van het betrokken land.
- TRON is pas gehouden de contractuele verplichtingen na te komen nadat een door TRON verstuurde Overeenkomst of Offerte getekend van de Opdrachtgever retour is ontvangen.
- De door TRON genoemde prijzen zijn steeds gesteld in de Euro, tenzij uitdrukkelijk anders overeengekomen en steeds exclusief omzetbelasting (btw) en andere daarmee gelijk te stellen heffingen.
- In alle Offertes, aanbiedingen en overeenkomsten voorkomende evidente verschrijvingen binden ons niet; wij zijn ter zake steeds tot aanpassing gerechtigd.
- Indien er meerdere Opdrachtgevers zijn, zijn deze hoofdelijk aansprakelijk voor de nakoming van de uit de Overeenkomst voortvloeiende verplichtingen.
Artikel 3. - Rechten en plichten Verwerker
- Verwerker Verwerkt de Persoonsgegevens slechts in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen, en in overeenstemming met de op Verwerker toepasselijke wet- en regelgeving, de Overeenkomst, de Verwerkersovereenkomst en alle redelijke schriftelijke instructies van Verwerkingsverantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens.
- Verwerker zal de Persoonsgegevens uitsluitend verwerken voor zover nodig om diensten als bedoeld in de Overeenkomst aan Verwerkingsverantwoordelijke te leveren. Verwerker zal de Persoonsgegevens niet verwerken voor andere doeleinden, tenzij hij daartoe schriftelijk is geautoriseerd door Verwerkingsverantwoordelijke.
- De te verwerken Persoonsgegevens en de doeleinden voor verwerking zijn nader gespecificeerd in Annex 1.
- Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nooit bij Verwerker te berusten.
- De Verwerkingsverantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van Persoonsgegevens.
- Alle rechten en titels in de Persoonsgegevens verstrekt aan Verwerker of verzameld of gegenereerd door Verwerker in het kader van de Overeenkomst, blijven rusten bij Verwerkingsverantwoordelijke.
- Indien Verwerkingsverantwoordelijke van Verwerker verlangt dat Verwerker ten behoeve van de uitvoering van deze Verwerkersovereenkomst een investering maakt of Verwerkingsverantwoordelijke Verwerker een instructie geeft om een investering te maken, dan zullen partijen hierover in overleg treden. Indien partijen geen akkoord bereiken, heeft Verwerker het recht om de Overeenkomst en deze Verwerkersovereenkomst op te zeggen voor zover de te maken investering deze opzegging rechtvaardigt. De Verwerker is niet gehouden schade te vergoeden die op enige wijze voortvloeit uit deze opzegging.
Artikel 4. - Rechten en plichten Verwerkingsverantwoordelijke
- Verwerkingsverantwoordelijke is verplicht te zorgen voor een geldige verwerkingsgrondslag voor de verwerking van Persoonsgegevens.
- Verwerkingsverantwoordelijke zal Betrokkenen te woord staan indien die verzoeken, vragen, klachten of enige andere vorm van mededelingen hebben. Indien de Betrokkene zich tot Verwerker richt, zal Verwerker de Betrokkene slechts naar de Verwerkingsverantwoordelijke doorverwijzen.
Artikel 5. - Geheimhouding
- Verwerker verplicht de personen die in zijn dienst zijn, dan wel werkzaamheden voor hem verrichten, tot geheimhouding met betrekking tot al hetgeen waarvan zij met betrekking tot de uitvoering van deze Verwerkersovereenkomst kennis kunnen nemen. Indien dit voor voornoemde personen niet reeds contractueel is vastgelegd, zal Verwerker deze personen een geheimhoudingsverplichting opleggen voor de Persoonsgegevens waarvan zij kennis zullen nemen.
Artikel 6. - Geen verdere verstrekking
- Verwerker zal geen Persoonsgegevens delen met of verstrekken aan derden (waaronder Betrokkenen), tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen of op grond van dwingendrechtelijke regelgeving daartoe verplicht is.
- Indien Verwerker op grond van dwingendrechtelijke regelgeving of een rechterlijk gebod verplicht is om de Persoonsgegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verwerkingsverantwoordelijke hierover voorafgaand schriftelijk en onverwijld volledig informeren, tenzij dit niet is toegestaan.
Artikel 7. - Beveiligingsmaatregelen
- Verwerker zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van de bescherming van Persoonsgegevens, de stand van de techniek, de kosten van tenuitvoerlegging, de aard van de Persoonsgegevens en de risico’s – technische en organisatorische beveiligingsmaatregelen treffen om te zorgen voor beschikbaarheid, integriteit en vertrouwelijkheid van de Persoonsgegevens en om de Persoonsgegevens passend te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking, zoals bedoel in artikel 32 AVG. De beveiligingsmaatregelen van Verwerker zijn nader gespecificeerd in annex 2.
- Verwerker heeft een passend, schriftelijk beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de in lid 1 van dit artikel genoemde maatregelen zullen zijn beschreven.
- De Persoonsgegevens zullen uitsluitend worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER) en landen waarvoor de Europese Commissie een adequaatheidsbesluit heeft afgegeven (zoals genoemd in artikel 45 AVG).
Artikel 8. - Inlichtingen en medewerkingsplicht
- Verwerker zal Verwerkingsverantwoordelijke op diens verzoek en voor diens rekening inlichtingen verschaffen over de Verwerking van de Persoonsgegevens door Verwerker of Sub-verwerkers. Verwerker zal de gevraagde inlichtingen zo snel mogelijk verstrekken.
- Verwerker zal Verwerkingsverantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een Betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.
- Als Verwerker rechtstreeks van een Betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Persoonsgegevens ontvangt, informeert Verwerker Verwerkingsverantwoordelijke binnen twee werkdagen over de ontvangst van het verzoek. Verwerker voert zo snel mogelijk alle instructies uit die Verwerkingsverantwoordelijke schriftelijk aan Verwerker geeft als gevolg van zodanig verzoek van Betrokkene.
- Verwerker zal, voor zover redelijkerwijs mogelijk, passende technische en organisatorische maatregelen nemen om Verwerkingsverantwoordelijke bij te kunnen staan in het voldoen aan verzoeken van betrokkenen.
Artikel 9. - Toezicht op naleving en gegevensbeschermingseffectbeoordeling
- Verwerkingsverantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door Verwerkingsverantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze Verwerkersovereenkomst nakomt. Verwerker zal daaraan alle redelijkerwijs noodzakelijke medewerking verlenen. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij Verwerkingsverantwoordelijke. De inspectie mag de normale bedrijfsuitoefening van de Verwerker niet schaden.
Verwerker zal in het kader van haar verplichting onder lid 1 van dit artikel aan Verwerkingsverantwoordelijke dan wel een daartoe door Verwerkingsverantwoordelijke ingeschakelde derde in ieder geval:
- alle relevante inlichtingen en documenten verstrekken.
- toegang verlenen tot alle relevante gebouwen, informatiesystemen en Persoonsgegevens.
- Verwerker zal op verzoek van Verwerkingsverantwoordelijke en voor diens rekening meewerken aan het uitvoeren van een gegevensbeschermingseffectbeoordeling door Verwerkingsverantwoordelijke.
- Verwerkingsverantwoordelijke en Verwerker zullen zo spoedig mogelijk na het gereedkomen van het inspectierapport en/of de gegevensbeschermingseffectbeoordeling met elkaar in overleg treden om de eventuele risico’s en tekortkomingen te adresseren. Verwerker zal op kosten van Verwerkingsverantwoordelijke maatregelen nemen om de geconstateerde risico’s en tekortkomingen op een voor Verwerkingsverantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen.
Artikel 10. - Inbreuken in verband met persoonsgegevens
- Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte van een inbreuk in verband met persoonsgegevens (van welke aard dan ook) via de bij Verwerker bekende contactgegevens van Verwerkingsverantwoordelijke. Verwerker zal hierbij in ieder geval informatie verstrekken over het volgende: de aard van de Inbreuk in verband met persoonsgegevens, de (mogelijk) getroffen Persoonsgegevens, een benadering van het aantal Betrokkenen, een benadering van het aantal betrokken persoonsregisters, de naam en contactgegevens van de functionaris voor gegevensbescherming of, indien die er niet is, een ander contactpunt voor informatie, de vastgestelde en verwachte gevolgen van de Inbreuk in verband met persoonsgegevens op de Persoonsgegevens en de maatregelen die Verwerker getroffen heeft en zal treffen.
- Verwerker zal alle benodigde maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken.
- Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten. De kosten hiervan komen voor rekening van Verwerkingsverantwoordelijke.
- Verwerkingsverantwoordelijke zal Betrokkenen en andere derden, waaronder de Autoriteit Persoonsgegevens (AP) informeren over Inbreuken in verband met persoonsgegevens. Het is Verwerker niet toegestaan om informatie te verstrekken over Inbreuken in verband met persoonsgegevens aan Betrokkenen en /of derden, tenzij Verwerker daartoe wettelijk verplicht is.
- De afhandeling van Inbreuken in verband met persoonsgegevens zal overeenkomstig hetgeen bepaald in Annex 3 plaatsvinden.
Artikel 11. - Sub-verwerkers
- Verwerker mag zijn verplichtingen uitbesteden aan derden en derden inschakelen in het kader van de uitvoering van de Overeenkomst. Indien deze derden toegang zullen of kunnen krijgen tot Persoonsgegevens, dan schakelt Verwerker deze derden pas in nadat Verwerker Verwerkingsverantwoordelijke van het voornemen om de derden in te schakelen op de hoogte heeft gesteld en Verwerker aan Verwerkingsverantwoordelijke een redelijke termijn heeft gebonden om op redelijke gronden bezwaar te maken tegen het inschakelen van de derden. Een termijn van 14 dagen wordt als redelijke termijn beschouwd.
- Indien Verwerker op grond van artikel 11.1 een derde inschakelt, legt Verwerker aan de betreffende derde(n) alle verantwoordelijkheden en verplichtingen die Verwerker op grond van deze Verwerkersovereenkomst heeft, schriftelijk op in een sub-verwerkersovereenkomst.
- Verwerker zal op verzoek aan Verwerkingsverantwoordelijke een overzicht van de Sub-verwerker(s) die door Verwerker zijn ingeschakeld, alsmede een kopie van de met deze Sub-verwerkers(s) gesloten sub-verwerkersovereenkomst(en).
- Verwerkingsverantwoordelijke geeft door ondertekening van deze Verwerkersovereenkomst toestemming voor het door Verwerker inschakelen van de derden die zijn opgenomen in Annex 4.
- Indien Verwerkingsverantwoordelijke bezwaar maakt tegen het inschakelen van een derde of toestemming weigert te verlenen voor het inschakelen van een derde door Verwerker, dan heeft Verwerker, voor zover de weigering dit redelijkerwijs rechtvaardigt, het recht de Overeenkomst op te zeggen zonder schadeplichtig te zijn jegens Verwerkingsverantwoordelijke. Verwerker zal in dit geval een opzegtermijn van 1 maand hanteren.
Artikel 12. - Aansprakelijkheid
- Verwerker is alleen aansprakelijk voor schade veroorzaakt door verwerkingen als Verwerker niet heeft voldaan aan specifieke verplichtingen die zijn opgelegd aan verwerkers onder de AVG of in het geval van handelingen die verder gaan dan of in strijd zijn met de wettige instructies van de Verwerkingsverantwoordelijke.
- De beperking van aansprakelijkheid van Verwerker zoals overeengekomen in de Overeenkomst en bijbehorende voorwaarden zijn van toepassing op verplichtingen vervat in deze Verwerkersovereenkomst. Indien en voor zover de bijbehorende voorwaarden geen deel uitmaken van de Overeenkomst of niet zien op gegevensverwerking, is de aansprakelijkheid van Verwerker voor schade beperkt tot het bedrag dat haar verzekeraar in het gegeven geval uitkeert. In het geval dat er sprake zou zijn van een gebeurtenis die niet gedekt is onder enige verzekering of indien de verzekering niet tot uitkering overgaat, is de aansprakelijkheid van Verwerker beperkt tot een bedrag van maximaal € 500,- (vijfhonderd euro) per gebeurtenis, waarbij een reeks van onderling gerelateerde gebeurtenissen een enkele gebeurtenis vormt. Gevolgschade, waaronder maar niet beperkt tot gederfde winst, reputatieschade, gemiste besparingen, verlies van gegevens, schade door bedrijfsstagnatie, niet-actief personeel, aan derden verschuldigde boetes en compensaties en verminderde goodwill zijn altijd uitgesloten.
- Aansprakelijkheid voor gevolgschade, waaronder maar niet beperkt tot gederfde winst, reputatieschade, gemiste besparingen, verlies van gegevens, schade door bedrijfsstagnatie, niet-actief personeel, aan derden verschuldigde boetes en compensaties en verminderde goodwill is altijd uitgesloten.
- Voor zover de in lid 1, 2 of 3 genoemde aansprakelijkheidsuitsluiting op welke grond dan ook rechtsgeldigheid zou ontberen, beperkt Verwerker haar aansprakelijkheid tot het bedrag dat conform dwingend recht maximaal is toegestaan.
- De aansprakelijkheidsbeperkingen uit de leden 1 tot en met 3 zijn niet van toepassing indien de schade het gevolg is van bewuste roekeloosheid of opzet door leidinggevenden van Verwerker.
- Als Verwerkingsverantwoordelijke niet handelt in overeenstemming met de AVG en / of andere wetgeving, vrijwaart de Verwerkingsverantwoordelijke Verwerker voor alle claims die door derden zijn ingediend als gevolg van een dergelijke nalatigheid, zoals boetes en schade
Artikel 13. - Duur en beëindiging
- Deze Overeenkomst is geldig zolang Verwerker de opdracht heeft van Verwerkingsverantwoordelijke om Persoonsgegevens te verwerken op grond van de Overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker. Deze Verwerkersovereenkomst eindigt automatisch zodra de Overeenkomst eindigt.
- Bij beëindiging van deze Verwerkersovereenkomst heeft Verwerkingsverantwoordelijke 2 (twee) maanden de tijd om Verwerker te verzoeken om Persoonsgegevens te retourneren aan Verwerkingsverantwoordelijke. Na het verstrijken van deze termijn zal Verwerker tot definitieve vernietiging van de Persoonsgegevens overgaan, tenzij Verwerker op grond van een wettelijke plicht gehouden is de gegevens op te slaan.
- De wijze van vernietiging wordt vastgesteld in overleg met Verwerkingsverantwoordelijke. Na vernietiging verstrekt de Verwerker hiervan een schriftelijke bevestiging aan de Verwerkingsverantwoordelijke.
- In geval van retournering zal Verwerker de Persoonsgegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor zover de Persoonsgegevens zich in een computersysteem bevinden of in een andere vorm waardoor de Persoonsgegevens redelijkerwijs niet kunnen worden verstrekt aan Verwerkingsverantwoordelijke, zal Verwerker aan Verwerkingsverantwoordelijke een toegankelijke, leesbare kopie van de Persoonsgegevens verstrekken.
- Na beëindiging van de Verwerkersovereenkomst zal Verwerker geen Persoonsgegevens houden noch gebruiken, tenzij anders is bepaald in deze Verwerkersovereenkomst.
- Zo lang Verwerker Persoonsgegevens onder zich heeft blijven alle in deze Verwerkersovereenkomst genoemde restricties van kracht.
Artikel 14. - Nietigheid
- Indien enige bepaling van deze Verwerkersovereenkomst nietig of anderszins niet afdwingbaar is, blijven de overige bepalingen onverminderd van kracht. Partijen zullen alsdan een bepaling overeenkomen, die de strekking van de nietige bepaling zoveel mogelijk benadert.
Artikel 15. - Toepasselijk recht en jurisdictie
- Op de Verwerkersovereenkomst is het recht van toepassing dat ook van toepassing is op de Overeenkomst.
- Alle geschillen in verband met deze Verwerkersovereenkomst of de uitvoering ervan worden voorgelegd aan de bevoegde rechter die ook bevoegd is kennis te nemen van alle geschillen in verband met de Overeenkomst of de uitvoering daarvan.
Verwerkersovereenkomst bijlage 1 – persoonsgegevens en verwerkingsdoeleinden
Gegevens en doeleinden
De Verwerkingsverantwoordelijke laat de Verwerker de volgende categorieën Persoonsgegevens verwerken:
- Barcode / trackingnummer van de zending
- Postcode
- Land van bestemming
- Naam webshop
- Vervoerder
- Servicelevel
- Naam (gebruiker in Tracey-portal)
- E-mailadres (gebruiker in Tracey-portal)
- Wachtwoord voor online omgeving Verwerker (gebruiker in Tracey-portal)
Verwerker ontvangt een deel van deze Persoonsgegevens van de door de Verwerkingsverantwoordelijke ingeschakelde vervoerder van het pakket. Verwerker heeft geen overeenkomst met deze vervoerder. Gegevensdoorgifte tussen de Verwerker en de Vervoerder vindt plaats op basis van de door de Verwerkingsverantwoordelijke gehanteerde verwerkingsgrondslagen.
Verwerker kan aanvullende persoonsgegevens ontvangen van de vervoerder, zoals NAW-gegevens van de Betrokkene. Verwerker verwerkt deze persoonsgegevens niet en slaat ze ook niet op.
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt zijn:
- Het aan Verwerkingsverantwoordelijke doorgeven van de status van een verzending
- Het doen van voorspellingen over komende zendingen op basis van historische data
- Het anonimiseren van persoonsgegevens, zodat Verwerker voor de Verwerkingsverantwoordelijke rapportages en onderzoeken kan opstellen
De Persoonsgegevens betreffende de volgende categorieën van Betrokkenen:
- Ontvangers van pakketten die bij Verwerkingsverantwoordelijke zijn besteld (gegevens 1 t/m 6)
- Werknemers van de Verwerkingsverantwoordelijke (gegevens 7 t/m 9)
De termijn waarbinnen Verwerker de persoonsgegevens onder 1 t/m 6 moet wissen of anonimiseren bedraagt: maximaal 40 dagen na de laatste update van het specifieke pakket. De gegevens 7 t/m 9 worden bewaard zolang de Verwerkingsverantwoordelijke de diensten van Verwerker gebruikt en de betrokkene werkzaam is bij Verwerkingsverantwoordelijke.
Verwerkersovereenkomst bijlage 2 – beveiligingsmaatregelen
De Verwerker heeft passende technische en organisatorische maatregelen getroffen om de Persoonsgegevens te beschermen. Hieronder omschrijft Verwerker in globale zin de beveiligingsmaatregelen die zij heeft getroffen. Een detailoverzicht stelt Verwerker niet beschikbaar, omdat dat ten koste kan gaan van de veiligheid van het systeem.
Globale beveiligingsmaatregelen:
- Alleen personeel dat toegang tot persoonsgegevens nodig heeft, krijgt toegang tot persoonsgegevens.
- Persoonsgegevens worden enkel versleuteld verzonden.
- Verwerker zorgt voor het tijdig updaten van software.
Verwerkersovereenkomst bijlage 3 – meldplicht datalekken
Tussen Partijen zijn met betrekking tot de meldplicht van Inbreuken in verband met persoonsgegevens de volgende afspraken gemaakt:
- Verwerker registreert alle Inbreuken in verband met persoonsgegevens en de in artikel 10 lid 1 genoemde informatie.
- In geval van een Inbreuk in verband met persoonsgegevens informeert Verwerker Verwerkingsverantwoordelijke zonder onredelijke vertraging;
- Met betrekking tot Inbreuken in verband met persoonsgegevens kan de contactpersoon van Verwerker benaderd worden via: privacy@tracey.support. De Verwerkingsverantwoordelijke wordt benaderd op het door hem opgegeven e-mailadres ten tijde van de registratie voor de dienstverlening van Verwerker. Indien geen e-mailadres is opgegeven bij de registratie voor de dienstverlening van Verwerker, is degene die de Overeenkomst namens Verwerkingsverantwoordelijke heeft ondertekend de contactpersoon van Verwerkingsverantwoordelijke.
- Verwerker verstrekt de informatie die Verwerkingsverantwoordelijke nodig heeft om te kunnen beoordelen of een melding aan de Autoriteit Persoonsgegevens vereist is. Daartoe verstrekt Verwerker op zijn minst de informatie die vermeld wordt op het meldingsformulier voor datalekken van de Autoriteit Persoonsgegevens.
Verwerkersovereenkomst bijlage 4 – sub-verwerkers
De volgende Sub-verwerkers zijn reeds ten tijde van het sluiten van de verwerkersovereenkomst door Verwerker ingeschakeld. Verwerkingsverantwoordelijke heeft door ondertekening van deze Verwerkersovereenkomst toestemming gegeven voor het inschakelen van deze Sub-verwerkers.
Sub-verwerkers:
- Microsoft (hosting provider)
- Google (e-mail provider)