Versie mei 2018
VERWERKERSOVEREENKOMST
DEZE VERWERKERSOVEREENKOMST (“OVEREENKOMST”) IS EEN JURIDISCH BINDENDE OVEREENKOMST WELKE ONLOSMAKELIJK DEEL UITMAAKT VAN EN GELDT IN AANVULLING OP DE BESTAANDE ALPIEK BV DIENSTENOVEREENKOMST AANGEGAAN TUSSEN ALPIEK BV EN DE KLANT EN HEEFT BETREKKING OP DE LEVERING VAN DIENSTEN WELKE DIVERSE VERWERKINGSACTIVITEITEN VAN PERSOONSGEGEVENS VOOR DE KLANT BEVATTEN (“DIENSTEN”).
1. ALPIEK BV KAN OP IEDER MOMENT IMMATERIELE WIJZIGINGEN AAN DEZE OVEREENKOMST MAKEN. ALPIEK BV ZAL IN DAT GEVAL DE KLANT INFORMEREN OVER DERGELIJKE WIJZIGINGEN.
2. Tenzij expliciet anders bepaald zullen in deze Overeenkomst gebruikte begrippen dezelfde betekenis hebben die daaraan is toegekend in de Dienstenovereenkomst. In het geval van een conflict of verschil tussen de Dienstenovereenkomst en deze Overeenkomst zullen de bepalingen van deze Overeenkomst voorrang hebben.
3. Bij het uitvoeren van de Diensten kan Alpiek BV toegang krijgen tot of op andere wijze informatie verkrijgen of verwerken met betrekking tot geïdentificeerde of identificeerbare individuen (“Persoonsgegevens”). De gebruikte verwerkers, het onderwerp, de duur, de aard en de doeleinden van het verwerken alsmede de soorten van Persoonsgegevens die worden verwerkt en categorieën van individuen van wie de gegevens worden verwerkt zijn omschreven in Annex 1, welke Annex onlosmakelijk verbonden is aan deze Overeenkomst.
4. Alpiek BV mag uitsluitend Persoonsgegevens verwerken namens de Klant en uitsluitend voor de doeleinden zoals omschreven in deze Overeenkomst
5. Het is Alpiek BV toegestaan om verwerkers zoals omschreven in Annex 1 en andere verwerkers in te schakelen om Persoonsgegevens namens de Klant te verwerken. Alpiek BV zal de klant informeren over voorgenomen wijzigingen inzake de toevoeging of vervanging van (onder)verwerkers die Persoonsgegevens van de Klant zullen verwerken en zal de Klant de mogelijkheid bieden om bezwaar te maken tegen dergelijke veranderingen.
6. Alpiek BV zal ervoor zorgen dat iedere vorm van verwerking behoorlijk en rechtmatig geschiedt in overeenstemming met Alpiek BV’s verplichtingen onder deze Overeenkomst en overeenkomstig de toepasselijke wetgeving inzake de bescherming van persoonsgegevens. Alpiek BV zal, in het bijzonder, ervoor zorgen dat iedere persoon die namens Alpiek BV betrokken is bij het verlenen van de diensten:
a. Persoonsgegevens uitsluitend zal verwerken op basis van vastgelegde instructies van de Klant. Indien Alpiek BV verplicht is om Persoonsgegevens te verwerken in overeenstemming met een Europese wet of een wet van een lidstaat van de Europese Unie die van toepassing is op Alpiek BV, dan zal Alpiek BV de Klant voorafgaand aan de verwerking informeren over dergelijke wettelijke voorschriften, tenzij de betreffende wet die van toepassing is op Alpiek BV dit verbiedt;
b. een passende beveiliging van de Persoonsgegevens waarborgt ter voorkoming van een inbreuk die per ongeluk of op onrechtmatige wijze leidt tot het verlies, de vernietiging, de wijziging of de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot Persoonsgegevens, met name waar de verwerking een verzending van Persoonsgegevens over een netwerk betreft, alsmede tegen alle andere onrechtmatige vormen van verwerken.
c. voldoet aan de beveiligingsvereisten zoals omschreven in Annex 2, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de doeleinden van verwerking;
d. de Klant bijstaat in het voldoen aan de verplichtingen met betrekking tot beveiligingsmaatregelen en het uitvoeren van een gegevensbeschermingseffectbeoordeling, voor zover noodzakelijk op basis van artikelen 32 tot en met 36 van de Algemene Verordening Gegevensbescherming, Nr. 2016/679;
e. geen Persoonsgegevens openbaar te maken aan derden tenzij de Klant haar voorafgaande schriftelijke toestemming heeft gegeven met betrekking tot een dergelijke verstrekking en met inachtneming van artikel 6 van deze Overeenkomst.
f. strikte geheimhouding betrachten met betrekking tot de Persoonsgegevens en werknemers en andere personen die onder diens gezag staan en die toegang hebben tot of anderszins Persoonsgegevens verwerken verplichten om dezelfde geheimhouding te betrachten in overeenstemming met de verplichtingen van deze Overeenkomst (inclusief gedurende de duur van de arbeid of opdracht alsmede daarna);
g. onmiddellijk de Klant informeren indien het een verzoek van een individu ontvangt met betrekking tot Persoonsgegevens, waaronder begrepen, doch niet uitsluitend, een verzoek tot informatie, toegang tot, rectificatie, beperking, verwijdering of overdracht van Persoonsgegevens en Alpiek BV zal niet reageren op een dergelijk verzoek tenzij dit uitdrukkelijk is toegestaan door de Klant of tenzij Alpiek BV hiertoe verplicht is op grond van een toepasselijke wet van de Europese Unie of van een lidstaat van de Europese Unie. Alpiek BV zal er tevens voor zorgen dat zij de nodige technische en organisatorische maatregelen heeft genomen om de Klant te assisteren bij het voldoen aan haar verplichtingen om te reageren op dergelijk verzoeken van een individu met betrekking tot het verwerken van Persoonsgegevens;
h. onmiddellijk de Klant informeren indien Alpiek BV meent dat een instructie zoals gegeven door de Klant een inbreuk maakt op toepasselijke wet- en regelgeving, waaronder begrepen wetgeving met betrekking tot bescherming van persoonsgegevens, of indien het aannemelijk is dat een wijziging in toepasselijke wet- en regelgeving een materieel negatief effect heeft op haar mogelijkheid om te voldoen aan de verplichtingen onder deze Overeenkomst;
i. onmiddellijk (en in ieder geval binnen zesendertig (36) uur) na bekendwording, de Klant informeren over iedere aan Alpiek BV bekende feiten die betrekking hebben op een daadwerkelijke of vermoedelijke onopzettelijke of ongeoorloofde toegang tot, openbaarmaking of gebruik van, dan wel onopzettelijk of ongeoorloofd verlies, beschadiging of vernietiging van Persoonsgegevens door een huidige of voormalige werknemer, opdrachtnemer of agent van Alpiek BV dan wel door een andere persoon of derde;
j. haar volledige medewerking verlenen aan de Klant in het geval van een onopzettelijke of ongeoorloofde toegang tot, openbaarmaking of gebruik van, dan wel onopzettelijk of ongeoorloofd verlies, beschadiging of vernietiging van Persoonsgegevens door een ander persoon of een derde, om de ongeoorloofde openbaarmaking of gebruik te beperken, de teruggave van Persoonsgegevens na te streven en te assisteren in het melden aan de toezichthoudende autoriteit en aan de betrokkenen indien verzocht door de Klant;
k. onverwijld en behoorlijk omgaan met aanvragen en verzoeken van de Klant met betrekking tot het verwerken van Persoonsgegevens onder deze Overeenkomst en overige redelijke assistentie en ondersteuning verlenen;
l. de Klant assisteren en ondersteunen in het geval dat een onderzoek door een autoriteit persoonsgegevens of een vergelijkbare autoriteit wordt uitgevoerd, indien en voor zover een dergelijk onderzoek betrekking heeft op het verwerken van Persoonsgegevens onder deze Overeenkomst;
7. In het geval van beëindiging of afloop van de Diensten, ongeacht de aanleiding, of op verzoek daartoe van de Klant zal Alpiek BV onmiddellijk de verwerking van Persoonsgegevens beëindigen en zal onmiddellijk aan de Klant alle Persoonsgegevens retourneren dan wel deze verwijderen, in overeenstemming met de instructie die de Klant daartoe mag geven, tenzij het verplicht is om de Persoonsgegevens te bewaren op grond van een Europese wet of een wet van een lidstaat van de Europese Unie die van toepassing is op Alpiek BV of tenzij expliciet anders overeengekomen met de Klant. De verplichtingen zoals omschreven in dit artikel zullen in stand blijven ongeacht de beëindiging of afloop van deze Overeenkomst.
8. Alpiek BV zal ervoor zorgen dat alle werknemers, agenten, opdrachtnemers of andere personen die betrokken zijn bij de uitvoering van de Diensten en die toegang hebben tot Persoonsgegevens van de Klant, zullen voldoen aan alle wetten en regelgeving op het gebied van informatiebescherming en persoonsgegevens (inclusief alle wijzigingen of vernieuwingen van deze wet en regelgeving) die van toepassing is op Alpiek BV.
9. Het is Alpiek BV uitsluitend toegestaan om haar diensten geheel of gedeeltelijk uit te besteden aan derden (inclusief Alpiek BV’s vestigingen buiten de EER) indien Alpiek BV kan bewerkstelligen dat een dergelijke derde partij schriftelijk gebonden is aan dezelfde verplichtingen en de Klant dezelfde rechten heeft ten opzichte van deze derde partij zoals vastgelegd in deze Overeenkomst.
10. In het geval dat (i) Alpiek BV niet kan voldoen aan haar materiële verplichtingen zoals beschreven in deze Overeenkomst, waarbij een wettelijke verplichting (inclusief, maar niet beperkt tot artikel 28 van de Algemene Verordening Gegevensbescherming, Nr. 2016/679) als materieel wordt gezien, of (ii) Alpiek BV zich bewust wordt van een omstandigheid of verandering in toepasselijke wetgeving op het gebied van bescherming van persoonsgegevens dat hoogstwaarschijnlijk een materieel negatief effect heeft op Alpiek BV’s mogelijkheid om haar verplichtingen onder deze Overeenkomst na te komen, zal Alpiek BV onmiddellijk de Klant daarvan op de hoogte stellen en de Klant zal in dat geval gerechtigd zijn om, naar keuze, (i) alle overdrachten van Persoonsgegevens op te schorten tot de niet-naleving is opgelost, (ii) Alpiek BV te verplichten om het verwerken van de Persoonsgegevens te staken totdat de niet-naleving is opgelost en/of (iii) deze Overeenkomst onmiddellijk te beëindigen.
11. Alpiek BV zal aan de Klant alle informatie verstrekken die noodzakelijk is om naleving aan te tonen van de verplichtingen met betrekking tot het verwerken van Persoonsgegevens verstrekt aan Alpiek BV in haar hoedanigheid van een verwerker.
12. Audits en naleving.
a. Alpiek BV zal alle verwerkingssystemen, faciliteiten en ondersteunende documentatie relevant voor het verwerken van Persoonsgegevens beschikbaar stellen voor een audit door de Klant of door een gekwalificeerde onafhankelijke auditor geselecteerd door de Klant en zal alle ondersteuning verlenen die de Klant redelijkerwijs nodig heeft voor de audit. Indien op basis van de audit blijkt dat Alpiek BV enige verplichting onder de Overeenkomst heeft geschaad zal zij die inbreuk onmiddellijk herstellen;
b. In het geval van een inspectie of een audit door een bevoegde overheidsinstantie met betrekking tot het verwerken van Persoonsgegevens, zal Alpiek BV alle relevante verwerkingssystemen, faciliteiten en ondersteunende documentatie beschikbaar stellen aan de relevante bevoegde overheidsinstantie voor de inspectie of de audit indien dit noodzakelijk is om te voldoen aan toepasselijke wetgeving. In het geval van een inspectie of een audit zal iedere partij al haar redelijke ondersteuning verlenen aan de andere partij bij de inspectie of audit. In het geval dat een bevoegde overheidsinstantie de verwerking van Persoonsgegevens met betrekking tot deze Overeenkomst onrechtmatig vindt, dan zullen partijen onmiddellijk alle maatregelen nemen om te bewerkstelligen dat zij in het vervolg voldoen aan toepasselijke wetgeving op het gebied van bescherming van persoonsgegevens.
c. Alpiek BV zal de Klant onverwijld informeren in het geval dat: (i) er een onderzoek plaatsvindt of zij een dagvaarding of verzoek tot inspectie of audit van een bevoegde overheidsinstantie ontvangt met betrekking tot het verwerken van Persoonsgegevens onder deze Overeenkomst, tenzij het Alpiek BV wettelijk verboden is om dergelijke informatie te verstrekken; of (ii) zij de intentie heeft om Persoonsgegevens aan een bevoegde overheidsinstantie te verstrekken.
Annex 1: Beschrijving van de verwerkingsactiviteiten van Alpiek BV
Details van de verwerkingen
Alpiek BV levert diensten die bestaan uit software as a service voor het opslaan van de voor de klant relevante gegevens voor ondernemers. Alpiek BV zal Persoonsgegevens namens de klant verwerken om de diensten aan de klant te kunnen verlenen op basis van de Dienstenovereenkomst en voor iedere additionele doeleinden waartoe de Klant bij het gebruiken van de Diensten aan Alpiek BV de opdracht geeft.
Soorten Persoonsgegevens
Afhankelijk van hoe de Klant ervoor kiest om de Diensten te gebruiken, kan Alpiek BV alle door de klant bepaalde persoonsgegevens verwerken.
Duur (bewaartermijn)
Ieder vorm van persoonsgegevens wordt verwijderd na ontvangst van een opdracht daartoe van de Klant.
Categorieën van individuen van wie de persoonsgegevens worden verwerkt
· Personen die gebruik maken van de diensten van de Klant.
· Werknemers en andere personen die toestemming hebben van de Klant voor de toegang tot en gebruiken van de Diensten.
· (Onder)verwerkers
De Klant geeft hierbij aan Alpiek BV toestemming om de volgende onder verwerkers namens Alpiek BV in te schakelen:
|
Naam |
Omschrijving |
Land |
|
PyProject |
Ontwikkeling sofware, bugfixing, support |
Polen |
|
True |
Hosting; Opslag Persoonsgegevens |
Nederland |
|
TransIP |
Hosting;Opslag persoonsgegevens |
Nederland |
|
Odoo SA |
Support |
Belgie |
|
Liderado |
Support/sales |
Nederland |
|
VanBIT |
Support |
Nederland |
Annex 2: Beschrijving van de beveiligingsmaatregelen
Alpiek BV heeft een passende en voldoende technische en organisatorische maatregelen genomen ter beveiliging van de Persoonsgegevens ter voorkoming van een inbreuk die per ongeluk of op onrechtmatige wijze leidt tot het verlies, de vernietiging, de wijziging of de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot Persoonsgegevens, met name waar de verwerking een verzending van Persoonsgegevens over een netwerk betreft, alsmede tegen alle andere onrechtmatige vormen van verwerken.
De volgende beschrijving geeft een overzicht weer van de geïmplementeerde technische en organisatorische beveiligingsmaatregelen. Dergelijke maatregelen omvatten, maar zijn niet beperkt tot:
Gegevensbescherming
Alpiek BV verwerkt de Persoonsgegevens als een Gegevensverwerker, uitsluitend met het doel om de Diensten te leveren in overeenstemming met gedocumenteerde instructies van de Klant (op voorwaarde dat dergelijke instructies in overeenstemming zijn met de functionaliteiten van de Diensten) en zoals met u is afgesproken.
Alpiek BV implementeert en onderhoudt gepaste technische en organisatorische maatregelen om Persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging, beschadiging, diefstal, wijziging of openbaarmaking.
Alpiek BV zorgt ervoor dat de werknemers die toegang hebben tot Persoonsgegevens gebonden zijn aan geheimhoudingsverplichtingen die hun mogelijkheden om de Persoonsgegevens openbaar te maken beperken.
In transit: Alpiek BV maakt HTTPS-codering beschikbaar op alle inlog interfaces en op elke klanten website die wordt gehost op de Alpiek BV-producten. De HTTPS-implementatie van Alpiek BV maakt gebruik van standaard algoritmen en -certificaten.
In rust: Alpiek BV slaat gebruikerswachtwoorden op volgens de industriestandaard gebruiken voor beveiliging.
Controle op toegang
1. Ongeautoriseerde toegang tot producten voorkomen
Verwerking door derden: Alpiek BV host zijn services op externe hosting infrastructuur in de vorm van datacenters en Infrastructure-as-a-Service (IaaS). Daarnaast onderhoudt Alpiek BV contractuele relaties met leveranciers om de service te leveren in overeenstemming met onze gegevensverwerking overeenkomst. Alpiek BV vertrouwt op contractuele overeenkomsten, privacybeleid en leveranciers compliance programma's om gegevens te beschermen die door deze leveranciers worden verwerkt of opgeslagen.
Fysieke en omgevingsbeveiliging: Alpiek BV host zijn product infrastructuur met multi-tenant, uitbestede infrastructuur providers. De fysieke en omgeving beveiligingscontroles worden gecontroleerd op onder meer SOC 2 Type II, ISO 27001 en PCI DSS-conformiteit.
Authenticatie: Alpiek BV heeft een uniform wachtwoordbeleid voor zijn producten geïmplementeerd. Alle gebruikers die via elke interface met de producten moeten communiceren, moeten zich verifiëren voordat ze toegang krijgen tot niet-openbare klantgegevens.
Autorisatie: Klantgegevens worden opgeslagen in multi-tenant opslagsystemen die voor klanten toegankelijk zijn uitsluitend via gebruikersinterfaces en de API. Klanten hebben geen directe toegang tot de onderliggende applicatie-infrastructuur. Het autorisatiemodel in elk product van Alpiek BV is ontworpen om ervoor te zorgen dat alleen de daartoe aangewezen personen toegang hebben tot relevante functies, weergaven en aanpassingsmogelijkheden. Autorisatie voor gegevenssets wordt uitgevoerd door de machtigingen van de gebruiker te valideren ten opzichte van de kenmerken die aan elke dataset zijn gekoppeld.
2. Ongeautoriseerd gebruik van het product voorkomen
Toegangscontroles: Toegangscontrolemechanismen voor het netwerk zijn ontworpen om te voorkomen dat netwerkverkeer door ongeautoriseerde protocollen de product infrastructuur bereikt. De geïmplementeerde technische maatregelen verschillen per infrastructuur aanbieder en omvatten Virtual Private Cloud (VPC) -implementaties, toewijzing van beveiligingsgroepen en traditionele firewallregels.
Kwetsbaarheid van beveiligingslekken: Alpiek BV scant regelmatig zijn infrastructuur en webservices op bekende kwetsbaarheden en lost deze tijdig op.
3. Beperkingen van privilege & autorisatie vereisten
Product toegang: Een deel van de werknemers van Alpiek BV en (onder)verwerkers heeft via gecontroleerde interfaces toegang tot de producten en tot klantgegevens. De bedoeling om toegang te bieden aan een groep van medewerkers is om effectieve ondersteuning te bieden, mogelijke problemen op te lossen, beveiligingsincidenten te detecteren en erop te reageren en gegevensbeveiliging te implementeren. Medewerkers krijgen toegang per rol. Toegang tot gegevens of verwerkingssystemen worden vastgelegd.
Database toegang: Klantgegevens zijn alleen toegankelijk voor daartoe bevoegde medewerkers. Directe database toegang is beperkt en toegangsrechten zijn vastgesteld en nageleefd.
Incident Management Control
Detectie: Alpiek BV heeft zijn infrastructuur ontworpen om uitgebreide informatie over het systeem, ontvangen dataverkeer, systeem verificatie en andere verzoeken te loggen. Interne systemen verzamelen gegevens en waarschuwen bevoegde medewerkers van kwaadwillende, onbedoelde of abnormale activiteiten. Het personeel van Alpiek BV, inclusief beveiliging, operations en support, zal reageren op bekend geworden incidenten.
Communicatie: Als Alpiek BV kennis krijgt van onrechtmatige toegang tot klantgegevens die zijn opgeslagen in haar producten, zal Alpiek BV: de betrokken klanten informeren over het incident; een beschrijving van de stappen die Alpiek BV neemt om het incident op te lossen delen; status-updates met de klant delen, indien en voor zover zij dit nodig acht of hiertoe verplicht is. Kennisgeving van eventuele incidenten wordt aan een of meer contactpersonen van de Klant geleverd in een vorm die door Alpiek BV wordt geselecteerd, mogelijk via e-mail of telefoon.
Ik bevestig hierbij dat ik de voorwaarden van de verwerkersovereenkomst heb gelezen en begrepen en dat doormiddel van ondertekening deze voorwaarden juridisch bindende verplichtingen van ondergenoemde klant en Alpiek BV bevatten. Ik garandeer ook dat alle informatie die ik op deze pagina heb ingevuld waar en correct is en dat ik rechtsgeldig bevoegd ben om te tekenen namens ondergenoemde klant.