ADDENDUM VOOR GEGEVENSVERWERKING

Verantwoordelijke en Verwerker zijn een Overeenkomst aangegaan. Verwerker zal ter uitvoering van de Overeenkomst persoonsgegevens gaan verwerken ten behoeve van Verantwoordelijke.

Partijen willen, mede gelet op het bepaalde in artikel 28 lid 3 Algemene Verordening Gegevensbescherming, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen op basis van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, vastleggen. Deze Verwerkersovereenkomst vormt een integraal en onlosmakelijk onderdeel van de Overeenkomst en Algemene Voorwaarden.

Deze AV zijn verdeeld in drie hoofdstukken. Hoofdstuk A is van toepassing op alle Diensten. Hoofdstuk B is aanvullend van toepassing op Diensten met betrekking tot “Premium Rate Nummers” en andere nummers en/ of Diensten die (kunnen) omvatten en/ of (kunnen) resulteren in betalingen door Systematix Solutions aan de Klant, ongeacht hoe een dergelijke betaling wordt geadresseerd of benoemd (bijv. Uitbetaling, Terugslag of Opbrengstaandeel). Hoofdstuk C is aanvullend van toepassing op Systematix Solutions Online Diensten en op alle onderhandelingen, aanbiedingen en andere overeenkomsten met Systematix Solutions met betrekking tot Systematix Solutions Online Diensten.

1. DEFINITIES

In deze Verwerkersovereenkomst wordt verstaan onder:

  • Betrokkene, Verwerker, Verantwoordelijke, Derde, Persoonsgegevens, Verwerking en Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG;
  • Verwerkersovereenkomst: deze overeenkomst, inclusief Bijlagen, tussen Verantwoordelijke en Verwerker waarin hun wederzijdse rechten en plichten met betrekking tot de Verwerking van Persoonsgegevens zijn vastgelegd;
  • Bijlage: een bijlage bij deze Verwerkersovereenkomst, welke daarvan een onlosmakelijk deel uitmaakt;
  • Datalek: een Inbreuk in verband met Persoonsgegevens, zoals bedoeld in artikel 4, onder 12, AVG;
  • Subverwerker: de partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van de (verdere) Verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst;
  • AVG: de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG) (PbEU 2016, L 119);
  • Toepasselijke wet- e nregelgeving betreffende de Verwerkingvan Persoonsgegevens: de AVG en andere toepasselijke (Unierechtelijke en lidstaatrechtelijke) wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet;
  • Schriftelijk: op schrift gesteld of langs de elektronische weg, zoals bedoeld in artikel 6:227a Burgerlijk Wetboek.
2. VERWERKERSOVEREENKOMST

2.1 Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Overeenkomst.

2.2 Verantwoordelijke verstrekt aan Verwerker de opdracht en instructies tot Verwerking van Persoonsgegevens namens Verantwoordelijke ten behoeve van de uitvoering van de Overeenkomst. De instructies van Verantwoordelijke zijn nader omschreven in deze Verwerkersovereenkomst en de Overeenkomst.

2.3 De bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen die plaatsvinden ter uitvoering van de Overeenkomst. Verwerker brengt Verantwoordelijke onverwijld op de hoogte indien Verwerker reden heeft om aan te nemen dat Verwerker niet langer aan de Verwerkersovereenkomst kan voldoen.

3. ROLVERDELING

3.1. Verantwoordelijke is ten aanzien van de in diens opdracht uit te voeren Verwerking van Persoonsgegevens de Verwerkingsverantwoordelijke in de zin van de AVG. Verwerker is verwerker in de zin van de AVG. Verantwoordelijke heeft en houdt zelfstandige zeggenschap over het bepalen van het doel en de middelen van de Verwerking van de Persoonsgegevens.

3.2. Verwerker draagt er zorg voor dat Verantwoordelijke voorafgaande aan het sluiten van deze Verwerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die de Verwerker verleent en de uit te voeren Verwerkingen. De gegeven informatie stelt Verantwoordelijke in staat om te doorgronden welke Verwerkingen zijn verbonden met een aangeboden dienst.

3.3 Verwerker informeert voorafgaand aan het sluiten van deze Verwerkersovereenkomst Verantwoordelijke in Bijlage 1 over de in lid 2 bedoelde diensten en de Verwerkingen die in dat kader plaatsvinden. De in Bijlage 1 opgenomen informatie moet in begrijpelijke taal zijn beschreven, waardoor Verantwoordelijke geïnformeerd akkoord kan gaan met de afname van deze dienst(en) en de uitvoering van de bijbehorende Verwerkingen. Verantwoordelijke neemt de in lid 2 van dit artikel genoemde Verwerking van de Persoonsgegevens op in een register van de verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvindt.

3.4 Voor zover artikel 30 lid 5 AVG daartoe verplicht, houdt Verwerker conform artikel 30, lid 2 AVG een register bij van alle categorieën van verwerkingsactiviteiten die Verwerker ten behoeve van Verantwoordelijke verricht.

3.5 Verantwoordelijke en Verwerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens mogelijk te maken.

4. GEBRUIK PERSOONSGEGEVENS

4.1 Verwerker verplicht zich om de van Verantwoordelijke verkregen Persoonsgegevens niet voor andere doelen en/of met behulp van andere middelen te verwerken, dan voor het doel. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door Verantwoordelijke aan Verwerker in het kader van de uitvoering van de Overeenkomst zijn opgedragen, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot Verwerking verplicht. In dat geval stelt Verwerker Verantwoordelijke voorafgaand aan de Verwerking schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

4.2 Een overzicht van onder meer de categorieën Persoonsgegevens en het doel waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in onze Privacy bijsluiter (Bijlage 1).

4.3 Verwerker onthoudt zich van Verstrekking van Persoonsgegeven aan een Derde, tenzij deze Verstrekking plaatsvindt in opdracht van Verantwoordelijke of noodzakelijk is om te voldoen aan een op Verwerker rustende wettelijke verplichting.

5. VERTROUWELIJKHEID

5.1 Verwerker zorgt er voor dat een ieder (waaronder haar werknemers, vertegenwoordigers en/of Subverwerkers) die betrokken is bij de Verwerking van de Persoonsgegevens, deze Persoonsgegevens als vertrouwelijk behandelt. Verwerker waarborgt dat met de door Verwerker voor het Verwerken van de Persoonsgegevens geautoriseerde personen, een geheimhoudingsovereenkomst of –beding is gesloten, of dat deze door een wettelijke verplichting tot geheimhouding zijn gebonden.

5.2 De in dit artikel bedoelde geheimhoudingsplicht voor Verwerker geldt niet voor zover:

  1. Verantwoordelijke uitdrukkelijk Schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken;
  2. Indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Verwerker aan Verantwoordelijke te verlenen diensten; of;
  3. Indien een dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak Partijen tot bekendmaking en/of verstrekking van die Persoonsgegevens verplicht, zoals Unierechtelijke of lidstaatrechtelijke bepalingen op grond waarvan Verwerker tot verstrekking verplicht is.
6. BEVEILIGING EN TOEZICHT

6.1 Verwerker garandeert dat zij passende technische en organisatorische maatregelen treft als bedoeld in artikel 32 AVG om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

6.2 De in artikel 6.1 van deze Verwerkersovereenkomst bedoelde maatregelen dienen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, evenals de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, een op het risico afgestemd beveiligingsniveau te verzekeren. Bij de beoordeling of sprake is van een passend beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

6.3 Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen periodiek evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.

6.4 De Verwerker stelt Verantwoordelijke in staat om te kunnen voldoen aan haar wettelijke verplichting om toezicht te houden op de naleving van deze Verwerkersovereenkomst door de Verwerker, met name van de technische en organisatorische beveiligingsmaatregelen en de in artikel 7 van deze Verwerkersovereenkomst genoemde verplichtingen ten aanzien van Datalekken.

6.5 In aanvulling op de voorgaande leden heeft Verantwoordelijke te allen tijde het recht om, in overleg met Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige. Verantwoordelijke gaat ermee akkoord dat de kosten van deze audit voor haar eigen rekening komen. Indien uit de audit grote gebreken blijkenb die aan Verwerker kunnen worden toegerekend, dan zullen Verwerker en Verantwoordelijke in overleg treden over een verdeling van de kosten van deze audit.

7. DATALEKKEN

7.1 Verwerker en Verantwoordelijke hebben een passend beleid voor de omgang met Datalekken.

7.2 Indien Verwerker een Datalek vaststelt, zal deze Verantwoordelijke daarover zonder onredelijke vertraging na kennisneming informeren. Verwerker verstrekt ingeval van een Datalek alle relevante informatie aan Verantwoordelijke met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek en de maatregelen die de Verwerker treft om de gevolgen van het Datalek te beperken en herhaling ervan te voorkomen.

7.3 Verwerker informeert Verantwoordelijke onverwijld indien de inbreuk op de beveiliging waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34 lid 1, AVG.

7.4 Verwerker stelt bij een Datalek Verantwoordelijke in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, te voorkomen of te beperken.

7.5 In geval van een Datalek, zal Verantwoordelijke voldoen aan eventuele wettelijke meldingsplichten aan de Autoriteit Persoonsgegevens en Betrokkenen. Verwerker onthoudt zich van het doen van dergelijke meldingen, tenzij Schriftelijk anders is overeengekomen met Verantwoordelijke.

8. BIJSTAND

8.1 Verwerker verleent Verantwoordelijke bijstand bij het doen nakomen van de op Verantwoordelijke rustende verplichtingen op grond van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zoals met betrekking – maar niet beperkt – tot:

  1. het – voor zover redelijkerwijs mogelijk – vervullen van de plicht van Verantwoordelijke om tijdig aan verzoeken van de in hoofdstuk III van de AVG vastgelegde rechten van de Betrokkene te voldoen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens;
  2. het uitvoeren van controles en audits zoals bedoeld in artikel 5 van deze Verwerkersovereenkomst;
  3. het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andere overheidsinstantie; e. het melden van Datalekken zoals bedoeld in artikel 7 van deze Verwerkersovereenkomst.

8.2 Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de Autoriteit Persoonsgegevens met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Verwerker, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naar Verantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek.

9. DOORGIFTE AAN EEN DERDE LAND OF INT. ORGANISATIE

9.1 Verwerker is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land (landen buiten de Europese Economische Ruimte) of internationale organisatie indien Verantwoordelijke daarvoor specifieke Schriftelijke toestemming heeft gegeven, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot Verwerking verplicht. In dat geval stelt Verwerker Verantwoordelijke voorafgaand aan de Verwerking Schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

9.2 Indien na toestemming van Verantwoordelijke Persoonsgegevens worden doorgegeven aan derde landen of een internationale organisatie zoals bedoeld in artikel 4 onder 26 AVG, dan zien Partijen er op toe dat dit alleen plaatsvindt conform wettelijke voorschriften en eventuele verplichtingen die in dit verband op Verantwoordelijke rusten. Indien Persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, dan wordt dit in Bijlage 1 bij deze Verwerkersovereenkomst aangegeven.

10. INSCHAKELING SUBVERWERKER

10.1 Verantwoordelijke geeft Verwerker toestemming tot het inschakelen van Subverwerkers, van wie de identiteit en vestigingsgegevens zijn opgenomen in BIJLAGE 1: bijsluiter Communicatie Platform.

10.2 Verwerker verstrekt op eerste verzoek van Verantwoordelijke aan deze een overzicht van de door Verwerker ingeschakelde Subverwerkers.

10.3 Verwerker is verplicht iedere Subverwerker via een overeenkomst of andere rechtshandeling minimaal dezelfde verplichtingen inzake gegevensbescherming op te leggen als in deze Verwerkersovereenkomst aan Verwerker zijn opgelegd. Hieronder vallen onder meer de verplichting om de Persoonsgegevens niet te Verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen en de verplichting tot het nakomen van de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen met betrekking tot de Verwerking van Persoonsgegevens zoals in deze Verwerkersovereenkomst vastgelegd.

10.4 Verantwoordelijke kan de Schriftelijke toestemming voor het inschakelen van een Subverwerker intrekken, indien Verwerker niet of niet langer voldoet aan de verplichtingen uit de Verwerkersovereenkomst, de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.

10.5 Verwerker blijft, niettegenstaande de Schriftelijke toestemming van Verantwoordelijke als genoemd in artikel 10 lid 1, steeds verantwoordelijk en aansprakelijk voor het handelen van de door Verwerker ingeschakelde Subverwerkers.

11. BEWAARTERMIJNEN EN VERNIETIGING PERSOONSGEGEVENS

11.1 Verantwoordelijke zal Verwerker adequaat informeren over wettelijke bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker. Verwerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.

11.2 Verantwoordelijke verplicht Verwerker om de in opdracht van Verantwoordelijke Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst te vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van wettelijke verplichtingen, dan wel op verzoek van Verantwoordelijke. Verantwoordelijke kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.

12. TEGENSTRIJDIGHEID EN WIJZIGING OVEREENKOMST

12.1 De Verwerkersovereenkomst vormt een aanvulling op de Overeenkomst en vervangt eventuele eerder gemaakte afspraken tussen Partijen ten aanzien van de Verwerking van Persoonsgegevens. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Overeenkomst, zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.

12.2 Indien en zodra gedurende de looptijd van de Verwerkersovereenkomst de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens wijzigt, zullen de bepalingen van deze Verwerkersovereenkomst zoveel als mogelijk naar de strekking van deze wijzigingen worden uitgelegd.

12.3 Wijzigingen van en aanvullingen op deze Verwerkersovereenkomst zijn alleen geldig indien zij Schriftelijk zijn vastgelegd en beide Partijen uitdrukkelijk en Schriftelijk te kennen hebben gegeven met de wijzigingen c.q. aanvullingen in te stemmen.

12.4 In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval zo spoedig mogelijk met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen Partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.

13. AANSPRAKELIJKHEID

13.1 Verantwoordelijke vrijwaart Verwerker voor alle aanspraken, behoudens opzet en/of grove schuld door Verwerker respectievelijk Verantwoordelijke, bij schending van het gestelde bij of krachtens wet- en regelgeving aangaande gegevensbescherming of de uitvoering van deze overeenkomst.

14. DUUR EN BEËINDIGING

14.1 De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Overeenkomst, inclusief eventuele verlengingen daarvan.

14.2 Deze Verwerkersovereenkomst eindigt van rechtswege ingeval de Overeenkomst is geëindigd, en de Persoonsgegevens conform artikel 11 van deze overeenkomst zijn vernietigd, zonder dat voorafgaande opzegging daarvan vereist is.

14.3 De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.

15. RECHTSMACHT EN TOEPASSELIJK RECHT

15.1 Op deze Verwerkersovereenkomst, alsmede op alle rechtsbetrekkingen tussen Verantwoordelijke en Verwerker is uitsluitend Nederlands recht van toepassing. De bevoegde rechter is de rechter die bevoegd is op basis van de hoofdovereenkomst.

BIJLAGE 1: BIJSLUITER COMMUNICATIE PLATFORM

Gebruik van deze Privacy bijsluiter Communicatie Platform helpt om goed te begrijpen wat de werking van de dienst inhoudt en welke gegevens daarvoor worden uitgewisseld. De Privacy bijsluiter omvat de Instructies voor de Verwerking van Persoonsgegevens van Verantwoordelijke aan de Verwerker.

A. Algemene informatie

Systematix Solutions BV
Middelerf 14
3851 SP Ermelo
https://systematix.solutions/

Verantwoordelijke levert een service waarbij agents (helpdeskmedewerkers, receptionsten, consulenten) interactief via diverse communicatiekanalen (telefonie, chat en messaging) contact kunnen onderhouden met klanten (cliënten e.d.).

Verwerker biedt Verantwoordelijke een set aan communicatietools (bereikbaarheid via teleoon, chat, berichten) waarmee, al dan niet tegen betaling, contact en communicatie op gang kan komen en onderhouden kan worden. Verantwoordelijke heeft hierbij inzage en controle over dit communicatie-verkeer middels een online portal die door Verwerker 24 uur per dag en 7 dagen per week ter beschikking gesteld wordt.

Voor een meer gedetailleerde beschrijving van deze mogelijkheden en functinaliteiten die Verantwoordelijke ter beschikking krijgt verwijzen wij naar diverse (altijd up to date zijnde) pagina’s binnen de webiste van Systematix Solutions.

Indien er behoefte ontstaat en/of bovenstaande en beschikbare webpagina’s niet voldoende informatie verschaffen over de werking ervan, dan kan Verantwoordelijke meer informatie verkrijgen via het mailadres: AVG@systematix.solutions.

B. Gegevensverwerking

  • Authenticatie persoonsgegevens:

Gegevens waarmee personen kunnen worden geauthentiseerd, om toegang tot systemen te kunnen verkrijgen. Onder andere loginnamen en wachtwoorden van gebruikers.

C. Categorieën persoongsgegevens

  • Authenticatie persoonsgegevens:

Gegevens waarmee personen kunnen worden geauthentiseerd, om toegang tot systemen te kunnen verkrijgen. Onder andere loginnamen en wachtwoorden van gebruikers.

  • Vertrouwelijke communicatie klantgegevens:

Communicatie van klantgegevens, waaronder persoonlijke gegevens, gevoerde gesprekken (berichten / e-mail).

  • Vertrouwelijke specifieke klantgegevens:

Direct of indirect geregistreerd (onder andere: bedrijfsnaam, bedrijfsnummer, bedrijfsuittreksel, BTW-nummer, adresgegevens, telefoonnummer(s), IBAN-nummer, BIC-code, banknaam, offerte(n), legitimatiebewijs.

  • Niet vertrouwelijke klantgegevens:

Klantgegevens ter configuratie van de dienstverlening, waaronder audiobestanden t.b.v. belscript(s), rechten binnen de klant-omgeving van agents en bezoekers en rapportages van bezoekgedrag weergegeven in logs en dashboardpagina(‘s).

D. Bewaartermijnen

Systematix Solutions bewaart vertrouwelijke gegevens niet langer dan strikt noodzakelijk om genoemde doeleinden t.b.v. een optimale dienstverlening te bereiken. Gegevens zullen nooit langer worden bewaard dan weetlijk is toegestaan. Bewaartermijnen verschillen per type persoonsgegevens.

E. Opslag en verwerking persoonsgegevens

Equinix AM5 – Schepenbergweg 42 – 1105 AT Amsterdam – Nederland

F. Subverwerkers

Verwerker maakt gebruik van de volgende subverwerkers:

  1. Equinix AM5 – Schepenbergweg 42 – 1105 AT Amsterdam – Nederland: Servers t.b.v. hosting, opslag en registraties
  2. Telvox Global – Printerweg 18 – 3821 AD Amersfoort – Nederland: Implementatie van telefoonnummers en doorgifte van telefoonverkeer (aan en naar Systematix Solutions).
  3. Global Premium Telecom – Printerweg 18 – 3821 AD Amersfoort – Nederland: Implementatie van servicenummers en doorgifte van telefoonverkeer (aan en naar Systematix Solutions).
  4. Tintel – Kopersteden 10 – 7547 TK Enschede – Nederland: Verwerking van online betalingen t.b.v tegoeden voor gebruik van diensten Verantwoordelijke.
  5. Mollie – Keizersgracht 313 – 1016 EE Amsterdam – Nederland: Verwerking van online betalingen t.b.v tegoeden voor gebruik van diensten Verantwoordelijke.
  6. PayPal (Europe) – 22-24 Boulevard Royal L-2449, Luxemburg.

G. Contact met Systematix Solutions
https://systematix.solutions/contact/

BIJLAGE 2: BEVEILIGINGSBIJLAGE

De Verwerker is overeenkomstig de AVG en artikel 5 en 6 van de Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens en die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.

  1. Normen informatiebeveiliging
  2. Verwerker heeft voldoende technische en organisatorische maatregelen genomen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Zoals logische toegangscontrole voor het gebouw en kantoor, gebruik makend van persoonsgebonden toegangspasjes en vingerscansysteem, verificatie door personeel. Systematix Solutions hanteert de ISO 27001:2013 standaarden als basis voor het inrichten en onderhouden van een stelsel van maatregelen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en informatiesystemen. Systematix Solutions voldoet aan alle, van toepassing zijnde, wet- en regelgeving. In dit verband worden genoemd:

    • Archiefwet
    • Telecommunicatiewet
    • Algemene Verordening Gegevensbescherming (AVG)
    • Wet Computercriminaliteit II
  3. Minimale beveiligingsmaatregelen en aantoonbaarheid
  4. De data is redundant opgeslagen bij onze Subverwerker Equinix, welke SOC2, PCI-DSS en ISO 27001 gecertificeerd zijn. Er is beveiliging van netwerkverbindingen via Transport Layer Security technologie. Het beheer van onze servers zijn alleen via bepaalde IP adressen te benaderen. Wij hebben steekproefsgewijze controle op naleving van het beleid met behulp van een Verwerkers Checklist voor beveiligingsmaatregelen. Uiteraard kijkende naar de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten gebruiken wij encryptie (versleuteling) van digitale bestanden.

    Alleen na overleg staan wij toe dat Verantwoordelijke audits laat uitvoeren om vast te stellen of aan alle beveiligingseisen wordt voldaan.

    Verantwoordelijke stelt alleen persoonsgegevens aan Systematix Solutions ter beschikking voor verwerking indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.

    • Een classificatie van het product of de dienst op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid;
    • Een beschrijving in welke mate aan de hieronder genoemde minimale beveiligingsmaatregelen in het kader van artikel 32 AVG wordt voldaan;
    • Verwerker heeft een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast;
    • Verwerker heeft de Persoonsgegevens die worden Verwerkt geclassificeerd op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid en heeft op basis van die classificatie beveiligingsmaatregelen genomen om de risico’s voor de Verwerking van Persoonsgegevens te beperken;
    • Verwerker neemt maatregelen zodat via een systeem van autorisatie enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst. Hierbij heeft Verwerker procedures vastgesteld en gedeeld met Verantwoordelijke voor de identificatie, autorisatie en authenticatie van medewerkers alsmede rondom de registratie, aanmelding en afmelding van de medewerkers;
    • Verwerker zorgt dat de toegang tot het product of de dienst beveiligd is door middel van een passend beleid voor wachtwoorden dat aansluit bij de stand van de techniek;
    • Verwerker heeft procedures voor het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering). Verantwoordelijke wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren;
    • Verwerker heeft maatregelen genomen om de Persoonsgegevens te beschermen tegen verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig;
    • Verwerker maakt bij de beveiliging van de Verwerking van Persoonsgegevens gebruik van een (inter)nationale beveiligingsnorm;
    • Verwerker heeft maatregelen genomen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verantwoordelijke;
    • Een toetsing van getroffen maatregelen aan (inter)nationaal erkende normen en standaarden voor informatiebeveiliging.

  5. Beveiligingsincidenten en/of datalekken
  6. Bij vermoedens van het minste geringste beveiligingsincident dient Verantwoordelijke direct contact op te nemen met de support afdeling vanSystematix Solutions: support@systematix.solutions.

  7. Informeren Datalekken en beveiligingsincidenten:
  8. Wanneer Systematix Solutions een datalek ontdekt, zal het Verantwoordelijke zo snel mogelijk (binnen 24 uur) op de hoogte stellen met de volgende informatie:

    • Het soort incident.
    • Een samenvatting van het incident.
    • Wanneer het incident plaatsvond bij een sub-verwerker.
    • Indien bekend het aantal personen die betrokken zijn.
    • Indien bekend een omschrijving van de groep mensen die betrokken zijn.
    • Datum, tijd en duur (indien bekend).
    • Aard van de inbreuk zoals lezen, kopiëren, wijzigen, verwijderen, vernietigen, ontvreemding.
    • Type persoonsgegevens zoals telefoonnummers, e-mailadressen of andere adressen voor elektronische communicatie, toegangsgegevens, identificatiegegevens, financiële gegevens.
    • Gevolgen van de inbreuk voor de persoonlijke levenssfeer van betrokkenen.
    • Omschrijven welke technische en organisatorische maatregelen zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen.

    Systematix Solutions zal Verantwoordelijke ondersteunen bij het meldproces aan de Autoriteit Persoonsgegevens in Nederland. Het wel of niet melden blijft te allen tijde de verantwoordelijkheid van Verantwoordelijke.

    Wanneer Systematix Solutions een lek ontdekt, zal deze om schade te voorkomen, eventueel zonder overleg met Verantwoordelijke direct worden gestopt. Het stoppen van het datalek kan zijn door het blokkeren van gebruikersaccounts, het verplaatsen van data naar een veilige locatie, het uitschakelen van het systeem, het isoleren van een indringer van buitenaf, het aanpassen van firewall-configuraties, het wijzigen van beheer- en onderhoudswachtwoorden, het installeren van afleidingssystemen, of zelfs het tijdelijk stopzetten van (web)diensten. Systematix Solutions zal direct professionale hulp inschakelen wanneer blijkt dat het lek niet eigenhandig onder controle kan worden gebracht.

COPYRIGHT © 2004 - 2024 SYSTEMATIX SOLUTIONS | POWERED BY SYSTEMATIX SOLUTIONS
Systematix Logo