VERWERKERSOVEREENKOMST
Datum: 25-05-2018
Inhoud:
- Definities
- Totstandkoming, toepassing, duur en beëindiging van deze Verwerkersovereenkomst
- Verwerken Persoonsgegevens
- Beveiligen van Persoonsgegevens
- Exporteren Persoonsgegevens
- Geheimhouding
- Datalekken
- Aansprakelijkheid
- Teruggave Persoonsgegevens en bewaartermijn
- Slotbepalingen
- Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen
- Bijlage 2: Overzicht met beveiligingsmaatregelen
- Bijlage 3: Proces rondom het melden van Datalekken en de te verstrekken informatie
- Bijlage 4: Bedrijven waar uw digitale gegevens mee gedeeld (kunnen) worden
1. Definities
De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:
1.1 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
1.2 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
1.3 Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lid statelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkings-verantwoordelijke is of volgens welke criteria deze wordt aangewezen (“Verantwoordelijke”);
1.4 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (“Verwerker”);
1.5 Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben;
1.6 Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen (“Verwerkersovereenkomst”);
1.7 Overeenkomst: de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit;
1.8 Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”);
1.9 Gegevensbeschermingseffectbeoordeling: het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van de verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens.
1.10 Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens;
2. Totstandkoming, toepassing, duur en beëindiging van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst is van toepassing de gehoste diensten, software ontwikkeling en support werkzaamheden die door de verwerker worden uitgevoerd.
2.2 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst en zal gelden voor zolang de Overeenkomst duurt.
2.3 Indien de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet apart worden opgezegd.
2.4 Na beëindiging van deze Verwerkersovereenkomst zullen de lopende verplichtingen voor Verwerker, zoals het melden van Datalekken, waarbij de Persoonsgegevens van Verantwoordelijke betrokken zijn, en de plicht tot geheimhouding blijven voortduren.
3. Verwerken Persoonsgegevens
3.1 Verwerker zal alleen Persoonsgegevens verwerken in opdracht van Verantwoordelijke en heeft geen zeggenschap over de Persoonsgegevens. Verwerker volgt instructies van Verantwoordelijke hierover op en Verwerker mag de Persoonsgegevens niet op een andere manier verwerken, tenzij Verantwoordelijke de Verwerker daar van te voren toestemming of opdracht voor geeft.
3.2 In Bijlage 1 wordt opgenomen welke Persoonsgegevens Verwerker precies zal verwerken en voor welke verwerkingsdoeleinden.
3.3 Verwerker houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.
3.4 Verwerker mag zonder voorafgaande schriftelijke toestemming van Verantwoordelijke geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.
3.5 Wanneer Verwerker met toestemming van Verantwoordelijke andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkersovereenkomst.
3.6 Wanneer Verantwoordelijke een verzoek krijgt van een Betrokkene, die zijn of haar privacy rechten wil uitoefenen, werkt de Verwerker daar binnen een termijn van 4 weken aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.
3.7 Wanneer Verantwoordelijke de Verwerker vraagt om de Verantwoordelijke informatie te geven, dan zal Verwerker de informatie verstrekken die Verantwoordelijke nodig heeft voor het uitvoeren van een Gegevensbeschermingseffectbeoordeling. Verantwoordelijke heeft dit nodig om in te kunnen schatten wat het risico van de Verwerking is die Verwerker namens Verantwoordelijke uitvoert.
4. Beveiligen van Persoonsgegevens
4.1 Verwerker zorgt ervoor dat de Persoonsgegevens voldoende beveiligd worden. Om verlies en onrechtmatige verwerkingen te voorkomen neemt Verwerker passende technische en organisatorische maatregelen.
4.2 Deze maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover neemt Verwerker op in Bijlage 2.
4.3 Ter controle zal Verwerker aan Verantwoordelijke ieder jaar een rapportage sturen waarin de genomen beveiligingsmaatregelen staan en de eventuele aandachts- en/of verbeterpunten. Hiervoor zal Verwerker aan Verantwoordelijke geen kosten in rekening brengen.
4.4 Verantwoordelijke mag een inspectie of audit in de organisatie van Verwerker laten uitvoeren om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet. Hierbij zal Verwerker medewerking verlenen, waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie.
4.5 De kosten voor de uitvoering van deze audit zullen voor rekening van Verantwoordelijke komen, als blijkt dat Verwerker zich aan de verplichtingen in deze Verwerkersovereenkomst houdt. De kosten zullen daarentegen voor rekening van Verwerker komen, wanneer blijkt dat Verwerker zich niet aan de verplichtingen in deze Verwerkersovereenkomst houdt.
4.6 De controle op de algehele verwerking van Persoonsgegevens door Verwerker kan, naast de audit mogelijkheid, ook gebeuren via zelfevaluatie. Verwerker zal hierbij aan Verantwoordelijke een rapport verstrekken waarin Verwerker aantoont dat Verwerker voldoet aan de wet en de afspraken uit deze Verwerkersovereenkomst. Deze rapportage dient te worden ondertekend door een directielid binnen de organisatie van Verwerker.
4.7 Wanneer een van Partijen vindt, dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden Partijen in overleg over de wijziging daarvan. De kosten voor het wijzigen van de beveiligingsmaatregelen komen voor de rekening van degene die de kosten maakt.
4.8 Verwerker registreert inloggegevens voor toegang tot de hosting omgeving (RDS), E-Mail platform, FTP server en/of Webshop backend. Deze inloggegevens worden éénmalig en alleen via het callsysteem van Verwerker aan de Verantwoordelijke verstrekt. Verantwoordelijke is daarna verantwoordelijk voor deze gegevens. Wachtwoorden kunnen niet opnieuw door Verwerker worden doorgegeven; deze kunnen alleen op verzoek van Verantwoordelijke opnieuw worden ingesteld.
5. Exporteren Persoonsgegevens
5.1 Verwerker mag geen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van Verantwoordelijke.
6. Geheimhouding
6.1 Verwerker zal de aan Verwerker verstrekte Persoonsgegevens geheimhouden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.
6.2 Verwerker zal ervoor zorgen dat ook personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-) contracten op te nemen.
7. Datalekken
7.1 In geval van een ontdekking van een mogelijk datalek zal Verwerker de Verantwoordelijke hierover informeren binnen 24 uur via e-mail en telefoon. Vervolgens zal de Verwerker de Verantwoordelijke de informatie verstrekken die is aangegeven in Bijlage 3, zodat Verantwoordelijke, indien nodig, een melding bij de Toezichthouder kan doen.
7.2 Na de melding van een Datalek aan Verantwoordelijke, houdt Verwerker de Verantwoordelijke op de hoogte van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die Verwerker heeft getroffen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.
7.3 Het is niet toegestaan dat Verwerker een melding van een Datalek doet aan de Toezichthouder en ook mag Verwerker de Betrokkenen niet informeren over het Datalek. Dit is de verantwoordelijkheid van de Verantwoordelijke.
7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.
8. Aansprakelijkheid en boetebepalingen
8.1 De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is uitgesloten.
Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten is deze per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan € 1000,- (duizend) euro.
8.2 Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
- schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
- redelijke en aantoonbare kosten om de Verwerker ertoe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
- redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
- redelijke en aantoonbare kosten die Verantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
8.3 De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet behalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
8.4 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
8.5 Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts, indien Verantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
8.6. Iedere vordering tot schadevergoeding door Verantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van 6 (zes) maanden na het ontstaan van de vordering.
8.7. In het geval van schending van de Verwerkersovereenkomst zal Verwerker een direct opeisbare boete van € 50,00 per overtreding en € 50,00 per dag dat de schending voortduurt verbeuren aan Verantwoordelijke.
8.8. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Verantwoordelijke de schade zo spoedig mogelijk na het bekend worden daarmee schriftelijk en aangetekend bij Verwerker meldt. Iedere vordering tot schadevergoeding door Verantwoordelijke vervalt door het enkele verloop van 3 (drie) maanden nadat Verantwoordelijke bekend is geworden met het feit dat hij schade heeft geleden.
9. Teruggave Persoonsgegevens en bewaartermijn
9.1 De Verwerker zal de Verantwoordelijke bijstand verlenen bij het vervullen van diens plicht, als betrokkenen hun privacyrechten willen uitoefenen. Het gaat om privacyrechten zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit. De Verwerker brengt hier niet meer dan redelijke kosten voor in rekening (max. € 100,- per uur voor alleen directe uren).
9.2 Na het beëindigen van deze Verwerkersovereenkomst geeft Verwerker de Persoonsgegevens terug. Eventuele achtergebleven Persoonsgegevens worden door Verwerker op een zorgvuldige en veilige manier vernietigd.
9.3 De Persoonsgegevens, die Verwerker verwerkt volgens deze Verwerkersovereenkomst, zal Verwerker vernietigen na verstrijken van de wettelijke bewaartermijn en/of op verzoek van Verantwoordelijke. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer Verwerker de Persoonsgegevens moet bewaren om belastingtechnische redenen.
9.4 Verwerker maakt back-ups (reservekopieën) van alle gegevens die zij voor haar eigen bedrijfsvoering gebruikt. Deze back-ups bevatten ook persoonsgegevens, waarop recht van verwijdering geldt. De back-up zijn opgeslagen in een apart, afgeschermd en beveiligd systeem. Verwerker bewaart haar back-ups gedurende een periode van maximaal 1 (één) maand. Deze termijn is nodig om bij grote catastrofes de bedrijfsgegevens volledig te herstellen. De Verantwoordelijke blijft zelf verantwoordelijk voor beschikbaar houden van gegevens conform de wettelijke bewaartermijn; dit staat los van de back-ups die worden gemaakt.
9.5 Verwerker zal na de teruggave en/of vernietiging van de Persoonsgegevens schriftelijk aan Verantwoordelijke verklaren dat Verwerker de Persoonsgegevens niet langer heeft.
10. Slotbepalingen
10.1 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst zijn daarom ook van toepassing op de Verwerkersovereenkomst.
10.2 Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Overeenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst.
10.3 Afwijkingen van deze Verwerkersovereenkomst zijn slechts geldig wanneer Partijen dit samen schriftelijk afspreken.
10.4 Op deze Verwerkersovereenkomst en werkzaamheden verricht door Verwerker is het Nederlandse recht van toepassing.
10.5 Over eventuele geschillen tussen Partijen bepaalt de rechter in de rechtbank binnen het gebied waar mijn bedrijf gevestigd is.
10.6 Wij behouden ons het recht voor om de Verwerkersovereenkomst te wijzigen. De meest actuele versie is te benaderen via de website https://didata.org. Wij adviseren u dan ook om deze met enige regelmaat te raadplegen.
Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen
Specificatie persoonsgegevens en betrokkenen
Verwerker zal in het kader van artikel 1 van de Verwerkersovereenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:
Verwerkingsactiviteiten: Hostingdiensten, Klantenservice (support) , Installaties/Conversies, softwareontwikkeling
Verwerkingsdoelen: Afhandelen overeenkomst (softwarecontract en/of hostingscontract)
Verantwoordelijke: Verantwoordelijke zoals hierboven genoemd
Verwerker: Didata Automatisering B.V.
Subverwerkers: Dataplace en/of Vertixo en/of Denit
Verwerkte Persoonsgegevens:
- NAW-gegevens;
• Taal;
• Geboortedata;
• Geslacht;
• (Mobiele) Telefoonnummer(s);
• E-mailadres(sen);
• IP-adres;
• Domeinnaam of domeinnamen;
• Betalingsgegevens ;
• Factuuradres(sen); - Inloggegevens;
• Andere informatie over uw server(s), computer(s) of overige apparatuur;
• Dataverkeer en;
• Bezoekgedrag.
Van de categorieën betrokkenen:
• Accounthouders;
• Klanten;
• Externe beheerders;
• Mogelijke klanten;
• Websitebezoekers.
Locatie verwerkingen:
• Datacenters Dataplace Arnhem
• Didata Automatisering B.V. Aalsbergen 12, Didam
Bewaartermijn: Contractduur (+ 1 maand i.v.m. back-up) of wettelijke bewaartermijn (+ 1 maand i.v.m. back-up). Gegevens gebruikt t.b.v. conversies worden na akkoord Verantwoordelijke verwijderd.
Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.
Bijlage 2: Overzicht met beveiligingsmaatregelen
Beveiliging van persoonsgegevens is voor ons van groot belang.
Om uw privacy te beschermen, neemt Verwerker de volgende maatregelen:
• Toegang tot persoonsgegevens wordt afgeschermd met een gebruikersnaam, wachtwoord en GEO IP.
• De gegevens worden na ontvangst opgeslagen in een apart, afgeschermd systeem.
• Verwerker neemt maatregelen zoals:
- sloten en kluizen voor toegangsbescherming van de systemen waarin persoonsgegevens opslagen zijn.
- Up-to-date virus- en malwarescanners
- Schijfencryptie toegangsmechanisme (lokale werkstations Verwerker)
- Clean desk policy
- Security-by-design
- Privacy-by-design
- Wij maken zoveel mogelijk gebruik van beveiligde verbindingen (SSL, TLS en/of andere encryptie methoden) waarmee alle informatie tussen u en onze website, e-mail, portal(s) en apps wordt afgeschermd wanneer uw persoonsgegevens invoert.
- Wij houden, waar mogelijk, logs bij van verwerkingen van persoonsgegevens.
• Verwerker maakt back-ups (reservekopieën) van alle gegevens die zij voor haar eigen bedrijfsvoering gebruikt. Deze back-ups bevatten ook persoonsgegevens, waarop recht van verwijdering geldt. De back-up zijn opgeslagen in een apart, afgeschermd en beveiligd systeem. Verwerker bewaart haar back-ups gedurende een periode van maximaal 1 (één) maand. Deze termijn is nodig om bij grote catastrofes de bedrijfsgegevens volledig te herstellen.
De Verantwoordelijke blijft zelf verantwoordelijk voor beschikbaar houden van gegevens conform de wettelijke bewaartermijn; dit staat los van de back-ups die worden gemaakt.
Tenslotte kunnen er zich situaties voordoen waarbij de Verwerker wettelijk verplicht is, om gegevens langer vast te houden. In deze gevallen geldt dan de wettelijke bewaarplicht.
Voorbeeld:
Als een Verantwoordelijke de Verwerker vraagt om persoonsgegevens te verwijderen, dan wordt dit direct op de productie omgeving doorgevoerd. Echter zullen dezelfde gegevens, die in de back-up opgenomen zijn, maximaal pas 1 maand na verwijdering definitief worden verwijderd uit de back-up data. Verwerker zal in geval van een herstel van een back-up wel direct, de door de Verantwoordelijke verzochte gegevens, wissen.
Bijlage 3: Proces rondom het melden van Datalekken en de te verstrekken informatie
Wat is een beveiligingsincident en wanneer moet dit gemeld worden?
Een datalek is een beveiligingsincident waarbij Persoonsgegevens, die de Verwerker namens de Verwerkingsverantwoordelijke beheert, mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, log in gegevens, cookies, IP adressen of identificerende gegevens van computers of telefoons.
Hieronder vindt u een aantal voorbeelden van beveiligingsincidenten die moeten worden gemeld bij de Autoriteit Persoonsgegevens.
- De website met logingegevens is gehackt of is toegankelijk voor derden.
- Verlies van een laptop of USB-stick met persoonsgegevens.
- Salarisstroken van medewerkers zijn per ongeluk naar verkeerde personen gestuurd.
- Brieven of e-mails worden naar een verkeerd adres gestuurd.
- Een aanval van een hacker op het ICT systeem.
- Een verloren of gestolen telefoon waar persoonsgegevens op aanwezig zijn.
Wat te doen als Verantwoordelijke bij constatering van een mogelijk incident?
Als u op basis van bovenstaande niet zeker weet of er sprake is van een beveiligingsincident, stelt u uzelf dan in ieder geval alvast de volgende vragen als hulpmiddel:
- Gaat het probleem over de beveiliging van Persoonsgegevens? Ook IP-adressen, telefoonnummers of identificerende gegevens, bijvoorbeeld van hardware, kunnen hieronder vallen.
- Gaat het om gevoelige gegevens zoals ras, gezondheidsgegevens, informatie over iemands financiële situatie, zoals salaris of gegevens waar (identiteits)fraude mee kan worden gepleegd, zoals een Burgerservicenummer.
- Zijn er grote hoeveelheden persoonsgegevens onbedoeld toegankelijk geworden voor derden?
- Gaat het om gegevens van kwetsbare groepen zoals kinderen?
- Worden de persoonsgegevens beheerd door een leverancier?
Bij twijfel, neem dan contact op met de Verwerker.
Bijlage 4: Bedrijven waar uw digitale gegevens mee gedeeld (kunnen) worden
Verwerker neemt bij een aantal bedrijven (een) dienst(en) af om onze diensten aan te kunnen bieden,
of te verbeteren. Om goed van deze diensten gebruik te kunnen maken, kunnen wij persoonsgegevens delen met deze bedrijven. Omdat uw privacy bij ons hoog in het vaandel staat, streven wij ernaar om de hoeveelheid gegevens die gedeeld worden tot een minimum te beperken. Hieronder vind u een overzicht van welke gegevens met welk bedrijf gedeeld (kunnen) worden.
- Dataplace Arnhem, Bedrijfsidentificatienummer : 5069082
Voor de hostingdiensten staan onze servers opgesteld in de datacenters van Dataplace te Arnhem.
Verwerker verwerkt data in de datacenters van Dataplace te Arnhem; deze vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. Dataplace Arnhem is SOC2, ISO 9001, ISO 14001 en ISO 27001 gecertificeerd. Verwerker heeft een verwerkersovereenkomst met Dataplace gesloten. Daarin staan strikte afspraken over toegang tot de servers.
Gegevens: IP-adres, dataverkeer
- Vertixo, Bedrijfsidentificatienummer : 53940628
Vertixo beheert de netwerkomgeving t.b.v. ontsluiting in het datacenter van Dataplace.
Verwerker heeft een verwerkersovereenkomst met Dataplace gesloten. Daarin staan strikte afspraken over
welke netwerkinformatie Vertixo mag onderzoeken.
Gegevens: IP-adres, dataverkeer
- ING Bank N.V., Bedrijfsidentificatienummer: 33031431
Wij maken gebruik van ING Bank, zij gebruiken betalingsgegevens voor het verwerken van haar administratie m.b.t. betalingen via bankoverschrijving aan ons. V.w.b. de gegevensbescherming door de ING Bank verwijst de Verwerker naar de privacy verklaring van deze bank.
Gegevens: betalingsgegevens
- Denit, Bedrijfsidentificatienummer : 58277390
Denit verzorgt voor de Verwerker aanvragen / registraties van domeinnamen. Bij een aanvraag (registratie), wijziging of de verhuizing van een domeinnaam worden in overleg met Verantwoordelijke persoonsgegevens verstuurd naar de Denit. Wij hebben een verwerkersovereenkomst met de Denit
gesloten. Daarin staan strikte afspraken over wat zij mogen bijhouden.
Gegevens: taal, NAW-gegevens, e-mailadres, telefoonnummer(s), domeinnaam.
- Leveranciers soft-/hardware
T.b.v. uitvoeren overeenkomsten kunnen persoonsgegevens uitgewisseld worden met een leverancier
voor registratie software en/of (garantie) hardware. Denk aan partijen als Microsoft, ESET, Portland,
BIT (Kerio software).
Gegevens: NAW-gegevens, e-mailadres, telefoonnummer(s)
- Google Ireland Ltd., Bedrijfsidentificatienummer: 368047
Verwerker gebruikt Google Analytics om bij te houden hoe bezoekers onze online dienst gebruiken. Verwerker heeft een verwerkersovereenkomst met Google gesloten. Voor meer informatie: https://policies.google.com/technologies/partner-sites?hl=nl en https://support.google.com/analytics/answer/6004245?hl=nl. De Verwerker gebruikt IP-adres gegevens (niet-geanonimiseerd) en bezoekgedrag uitsluitend voor eigen marketingdoeleinden. De Verwerker heeft Google niet toegestaan de verkregen Analytics informatie te gebruiken voor andere Google diensten.
Gegevens: bezoekgedrag, IP-adres, overige informatie over uw computer en/of apparaat.