Gegevensverwerkingsovereenkomst

Deze Gegevensverwerkingsovereenkomst (deze “DPA”) wordt aangegaan tussen Simplenet Hosting SRL (“Simplenet”, “wij”) en de Klant (“Klant”, “u”), samen aangeduid als “De Partijen”. Deze overeenkomst (“DPA”) maakt deel uit van de Servicevoorwaarden, het Privacybeleid en ander relevant beleid dat hier .

De Klant die met deze voorwaarden instemt, gaat namens hem/haar deze DPA aan voor zover vereist onder de toepasselijke regelgeving en wetgeving inzake gegevensbescherming en voor zover Simplenet Klantgegevens verwerkt zoals geïnstrueerd door de Verwerkingsverantwoordelijke (zoals gedefinieerd in Hoofdstuk 1). 

Tijdens het leveren van de Diensten aan de Klant kan Simplenet Klantgegevens namens de Klant Verwerken. De Partijen komen overeen de volgende bepalingen na te leven met betrekking tot Klantgegevens, waarbij elk redelijk en te goeder trouw handelt. 

1. Definities. 

Tenzij anders gedefinieerd in deze DPA, hebben alle met een hoofdletter geschreven termen de hieronder uiteengezette betekenis:

“Overeenkomst” betekent de Servicevoorwaarden en ander relevant beleid aangekondigd op onze website, samen met uw Bestelling voor de aankoop van Diensten en de door Simplenet verzonden Bestelbevestiging.

“Bestelling” betekent de bestelling van een Klant voor de aankoop van de betreffende diensten. 

“Site” betekent de Simplenet-website en alle diensten die wij via onze website aanbieden.

“Diensten” betekent alle hostingdiensten die wij aanbieden en die de Klant heeft aangeschaft en die de verwerking van Persoonsgegevens door Simplenet met zich mee kunnen brengen.

“Partner” betekent elke entiteit die direct of indirect zeggenschap heeft over, wordt gecontroleerd door of onder gemeenschappelijke controle staat met de Simplenet-entiteit. Voor het doel van deze definitie betekent “Zeggenschap” directe of indirecte eigendom of controle over meer dan 50% van de stembelangen van de betrokken entiteit.

“Aanvullende Producten” betekent alle functies, producten, software, programma's, add-ons, plug-ins, scripts, tools of andere software of inhoud van derden die geen deel uitmaken van de Diensten, maar die toegankelijk kunnen zijn via de Simplenet-gebruikersruimte of de Controle Panel, al dan niet door de Klant geïnstalleerd voor het gebruik van de Diensten.

“AVG” betekent de Algemene Verordening Gegevensbescherming (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van klantgegevens en betreffende het vrije verkeer van dergelijke gegevens, en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).

“Verwerkingsverantwoordelijke” betekent de natuurlijke persoon of de rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van klantgegevens bepaalt;  

“Klantgegevens” betekent alle “Persoonlijke gegevens” die aan Simplenet worden verstrekt door of namens de Klant via hun gebruik van de Diensten en die zijn opgeslagen in het account van de Klant (om twijfel te voorkomen: Persoonsgegevens maken deel uit van de bestelling van de Klant voor aankoop van de betreffende dienst worden niet behandeld als Klantgegevens). Klantgegevens kunnen klantgegevens omvatten, maar zijn niet beperkt tot, in de zin van de AVG.

“Persoonsgegevens” heeft de betekenis zoals gegeven in artikel 4 van de AVG. 

“Regelgeving en wetgeving inzake gegevensbescherming” betekent alle regelgeving en wetten, inclusief wetten en regelgeving van de Europese Unie, de Europese Economische Ruimte en hun lidstaten, Zwitserland en het Verenigd Koninkrijk, die van toepassing zijn op de verwerking van klantgegevens onder deze DPA.

“Gegevenssubject” betekent de geïdentificeerde of identificeerbare persoon op wie de Klantgegevens betrekking hebben.

“Ingangsdatum” betekent, indien van toepassing:

  1. 25 mei 2018, als de Klant Order(s) heeft uitgevoerd en de Overeenkomsten heeft aanvaard of als de Partijen vóór of op die datum anderszins met deze DPA zijn overeengekomen met betrekking tot de toepasselijke Overeenkomst; of
  2. de datum waarop de Klant heeft geklikt om de Overeenkomst te accepteren, of waarop de Partijen anderszins deze DPA zijn overeengekomen met betrekking tot de toepasselijke Overeenkomst, indien deze datum na 25 mei 2018 ligt.

“Verwerking” heeft de betekenis zoals gegeven in artikel 4 AVG.

“Verwerker” betekent de entiteit die Klantgegevens namens de Verwerkingsverantwoordelijke verwerkt.

“Simplenet” betekent de Simplenet-entiteit die partij is bij deze DPA, zoals gespecificeerd in de sectie, een bedrijf opgericht in Roemenië (registratienummer CIF: RO22199266), met adres: Str. 22 december 3/B/16, 600196 Bacău, Roemenië.

“Standaardcontractbepalingen” of “SCC’s” betekent de standaardgegevensbeschermingsclausules voor de overdracht van Klantgegevens, zoals beschreven in Artikel 46, p.2, c) van de AVG, Bijlage 1 bij deze DPA.

Onder “subverwerker” wordt verstaan ​​iedere door Simplenet ingeschakelde Verwerker.

“Toezichthoudende autoriteit” betekent een onafhankelijke overheidsinstantie, gevestigd in Roemenië op het grondgebied van de EU-lidstaat overeenkomstig de AVG. 

“Termijn” betekent de periode vanaf de Ingangsdatum tot het einde van de levering door Simplenet van de Diensten onder de toepasselijke Overeenkomst, inclusief, indien van toepassing, elke periode waarin de Diensten mogelijk zijn opgeschort en elke periode na beëindiging (namelijk 60 kalenderdagen). ) gedurende welke Simplenet Diensten kan blijven leveren voor overgangsdoeleinden.

“Gegevensbeschermingsverliezen” betekent alle aansprakelijkheden, inclusief: 

  1. kosten (inclusief juridische kosten);
  2. claims, eisen, acties, schikkingen, aanklachten, procedures, uitgaven, verliezen en schade (materieel of immaterieel, en inclusief voor emotioneel leed);
  3. voor zover toegestaan ​​door de toepasselijke wetgeving:
    1. administratieve boetes, boetes, sancties, aansprakelijkheden of andere rechtsmiddelen opgelegd door een toezichthoudende autoriteit voor gegevensbescherming of een andere relevante regelgevende autoriteit;
    2. compensatie aan een Betrokkene op bevel van een Toezichthoudende Autoriteit voor Gegevensbescherming;
    3. de redelijke kosten van naleving van onderzoeken door een toezichthoudende autoriteit voor gegevensbescherming of een andere relevante regelgevende autoriteit; En
  4. de kosten voor het laden van Klantgegevens en vervanging van materialen en apparatuur van de Klant, voor zover deze verloren of beschadigd zijn, en enig verlies of beschadiging van Klantgegevens, inclusief de kosten van rectificatie of herstel van Klantgegevens;

“E-mailadres voor kennisgeving” betekent het e-mailadres dat door de Klant is opgegeven in de sectie Mijn gegevens in de Gebruikersruimte om bepaalde kennisgevingen van Simplenet te ontvangen.

2. Gegevensverwerking. 

2.1. Domein

Deze DPA is van toepassing waar en alleen voor zover Simplenet Persoonsgegevens namens de Klant verwerkt tijdens het leveren van de Diensten en dergelijke Persoonsgegevens onderworpen zijn aan de gegevensbeschermingswetten van de Europese Unie, de Europese Economische Ruimte en/of hun lidstaten. staten, Zwitserland en/of het Verenigd Koninkrijk (hierna “Klantgegevens” genoemd). 

Als de Klant die akkoord gaat met deze DPA al een Klant is, maakt deze DPA deel uit van de Overeenkomst, het Privacybeleid en ander relevant beleid en andere documenten die op onze website zijn aangekondigd. In een dergelijk geval wordt de Simplenet-entiteit beschouwd als partij bij deze DPA.

Deze DPA is alleen van kracht voor het Klantaccount waarvoor deze is overeengekomen. Indien de Klant meerdere accounts bezit, wordt voor ieder individueel account afzonderlijk een DPA afgesloten.

Deze DPA is alleen geldig en juridisch bindend voor de fysieke/juridische entiteit vermeld in het account in de Gebruikersruimte en alleen voor de Diensten die rechtstreeks bij Simplenet zijn gekocht binnen het betreffende account. 

Als de Klantentiteit die akkoord gaat met deze DPA geen partij is bij een Bestelling of de Overeenkomst, is deze DPA niet geldig en niet juridisch bindend. Een dergelijke entiteit dient te verzoeken dat de Klantentiteit die partij is bij de Overeenkomst deze DPA uitvoert.

Deze DPA, inclusief de bijlagen, met uitzondering van de clausules in het Privacybeleid, zal van kracht zijn en alle voorwaarden vervangen die eerder van toepassing waren op privacy, gegevensverwerking en/of gegevensbeveiliging.

2.2. Naleving van wetten.  

Als de gegevensbeschermingswetgeving van de Europese Unie op deze DPA van toepassing is, zal elke partij voldoen aan de verplichtingen die op haar van toepassing zijn onder de Europese wetgeving inzake gegevensbescherming met betrekking tot de verwerking van die klantgegevens.

2.3. Onderwerp en details van de gegevensverwerking

2.3.1 Onderwerp

Simplenet zal Klantgegevens verwerken indien nodig voor het leveren van de Diensten, gerelateerde technische ondersteuning en andere vragen op grond van de Overeenkomst en zoals verder geïnstrueerd door de Klant bij zijn gebruik van de Diensten.

2.3.2. Duur van de verwerking

Met inachtneming van artikel 11 is de duur van de gegevensverwerking de termijn die is aangegeven in de Order en de toepasselijke Overeenkomst. 

2.3.3. Aard en doel van de verwerking

Simplenet zal Klantgegevens verwerken met het oog op het leveren van de Diensten en gerelateerde technische ondersteuning aan de Klant in overeenstemming met de Overeenkomst, deze DPA en ander relevant beleid.

2.3.4. Categorieën van betrokkenen

De Klant kan Klantgegevens verstrekken tijdens zijn gebruik van de Services, waarvan de omvang geheel naar eigen goeddunken door de Klant wordt bepaald en beheerd, en die mogelijk ook Persoonsgegevens met betrekking tot de volgende categorieën van betrokkenen omvat, maar niet beperkt is tot: :

  • Prospects, klanten, zakenpartners en verkopers van de Klant (die natuurlijke personen en rechtspersonen zijn);
  • Werknemers of contactpersonen van prospects, klanten, zakenpartners en verkopers van de Klant;
  • Werknemers, agenten, adviseurs, freelancers van de Klant (die natuurlijke personen zijn);
  • Gebruikers van de Klant die door de Klant zijn geautoriseerd om de Services te gebruiken;
  • Individuen die gegevens verzenden via de Diensten, inclusief personen die samenwerken en communiceren met de Klant of de eindgebruikers van de Klant;
  • Personen van wie gegevens via de Diensten aan Simplenet worden verstrekt door of op aanwijzing van de Klant of door eindgebruikers van de Klant.

2.3.5. Categorieën persoonlijke gegevens

De Klant kan Klantgegevens verstrekken tijdens zijn gebruik van de Services, waarvan de omvang geheel naar eigen goeddunken door de Klant wordt bepaald en beheerd, en die onder meer Persoonsgegevens kunnen omvatten met betrekking tot de volgende categorieën Persoonsgegevens :

  • Naam
  • Adres
  • E-mailadres
  • Alle persoonsgegevens die betrekking hebben op individuen

2.4. Rollen van de partijen

De partijen erkennen en komen overeen dat:

  1. Simplenet is een verwerker van de Klantgegevens onder de Europese wetgeving inzake gegevensbescherming;
  2. De Klant is een verwerkingsverantwoordelijke of verwerker, indien van toepassing, van de Klantgegevens onder de Europese wetgeving inzake gegevensbescherming; en heeft alle toestemmingen en rechten verkregen die nodig zijn onder de gegevensbeschermingswetten voor Simplenet om Klantgegevens te verwerken en de Services te leveren overeenkomstig de Overeenkomst en deze DPA.

2.5. Instructies voor gegevensverwerking. 

Simplenet zal Klantgegevens verwerken in overeenstemming met deze DPA, wat de volledige en laatste instructies van de Klant aan Simplenet zijn met betrekking tot de verwerking van Klantgegevens. Voor verwerking buiten het toepassingsgebied van deze DPA (indien van toepassing) is een voorafgaande schriftelijke overeenkomst tussen Simplenet en de Klant vereist over aanvullende instructies voor de verwerking. Door deze DPA aan te gaan, instrueert de Klant Simplenet om Klantgegevens alleen te verwerken in overeenstemming met de toepasselijke wetgeving:

  1. om de Diensten en gerelateerde technische en andere ondersteuning te verlenen;
  2. zoals geïnitieerd door de Klant en eindgebruikers bij hun gebruik van de Services; 
  3. zoals gespecificeerd in de Overeenkomst, Servicevoorwaarden, Privacybeleid en ander relevant beleid dat de levering van de Services en gerelateerde technische en andere ondersteuning regelt.

2.6. Toegang of gebruik. 

Simplenet zal geen toegang krijgen tot Klantgegevens en deze ook niet gebruiken, behalve indien nodig om de Diensten en gerelateerde technische ondersteuning aan de Klant te leveren in overeenstemming met de DPA, de Overeenkomst en ander relevant beleid.

2.6.1. Verwerking van de klant. 

De Klant zal bij zijn gebruik van de Diensten zijn Gegevens Verwerken in overeenstemming met de vereisten van de wet- en regelgeving inzake gegevensbescherming die daarop van toepassing is. De Klant is als enige verantwoordelijk voor de juistheid, kwaliteit en wettigheid van zijn Gegevens en de middelen waarmee de Klant deze Gegevens heeft verkregen.

2.6.2. Simplenet's verwerking van klantgegevens. 

Simplenet verwerkt uitsluitend Klantgegevens namens en in overeenstemming met de gedocumenteerde instructies van de Klant voor de volgende doeleinden: 

  1. Verwerking om de Services en gerelateerde technische ondersteuning te leveren in overeenstemming met deze DPA en toepasselijke Order(s);
  2. Verwerking geïnitieerd door Gebruikers bij hun gebruik van de Diensten;
  3. Verwerking die nodig is om de Diensten te onderhouden en te verbeteren.

2.6.3. Naleving van instructies door Simplenet.  

Vanaf de Ingangsdatum zal Simplenet voldoen aan de hierboven beschreven instructies in de sectie Instructies van de Klant, inclusief met betrekking tot gegevensoverdrachten, tenzij de wetgeving van de EU of de EU-lidstaten waaraan Simplenet onderworpen is een andere verwerking van Klantgegevens door Simplenet vereist, in welk geval Simplenet zal de Klant informeren (tenzij de wet Simplenet verbiedt dit te doen om belangrijke redenen van openbaar belang) via de Site of het E-mailadres voor kennisgeving. 

Klantgegevens kunnen worden geopend en verwerkt door Simplenet, Geautoriseerde Gebruikers en Subverwerkers om te voldoen aan de verplichtingen onder deze DPA en de respectieve Overeenkomst of om bepaalde diensten namens Simplenet te leveren. Een dergelijke verwerking zal voldoen aan de maatregelen die zijn beschreven in secties 3, sectie 7 en bijlage 2 Beveiligingsmaatregelen.

2.7. Rechten van de betrokkenen.

2.7.1. Toegang, rectificatie, beperkte verwerking, portabiliteit.

Gedurende de toepasselijke Termijn zal Simplenet, op een manier die consistent is met de functionaliteit van de Diensten, de Klant in staat stellen toegang te krijgen tot de Klantgegevens, deze te corrigeren en de verwerking ervan te beperken, inclusief via het verwijderen van alle of een deel van de Klantgegevens onder hun account of het verwijderen van de hele rekening zoals beschreven in paragraaf 2.6. (Retourneren en verwijderen van klantgegevens) en via export van klantgegevens.

2.7.2. Verzoeken van betrokkenen.

2.7.2.1. Verantwoordelijkheid van de klant voor verzoeken. 

Indien Simplenet tijdens de toepasselijke Termijn een verzoek ontvangt van een Betrokkene om het recht van toegang, het recht op rectificatie, de beperking van de Verwerking, het wissen (“recht om vergeten te worden”), de overdraagbaarheid van gegevens, het bezwaar tegen de Verwerking of het recht heeft om niet te worden onderworpen aan een geautomatiseerde individuele besluitvorming (“Verzoek van Betrokkene”), zal Simplenet de Betrokkene adviseren zijn/haar verzoek in te dienen bij de Klant, en de Klant is verantwoordelijk voor het reageren op een dergelijk verzoek, inclusief: waar nodig, door gebruik te maken van de functionaliteit van de Diensten. Simplenet zal, voor zover wettelijk toegestaan, commercieel redelijke stappen ondernemen om de Klant op de hoogte te stellen van dergelijke verzoeken.

2.7.2.2. Simplenet-gegevenssubject vraagt ​​om hulp.  

Rekening houdend met de aard van de Verwerking gaat Klant ermee akkoord dat Simplenet, voor zover mogelijk, passende technische en organisatorische assistentie zal verlenen voor de vervulling van de verplichting van Klant om te reageren op verzoeken van Betrokkenen, met inbegrip van, indien van toepassing, de verplichting van Klant om te reageren op verzoeken voor het uitoefenen van de rechten van de betrokkene zoals vastgelegd in Hoofdstuk III van de AVG, door:

(a) het verstrekken van documentatiebronnen in de vorm van tutorials en kennisbankartikelen, functionaliteit en/of bedieningselementen in het Configuratiescherm die de Klant kan gebruiken om de Services correct te configureren en de Services op een veilige manier te gebruiken.

(b) het aanbieden van functies, functionaliteiten en/of bedieningselementen in het Configuratiescherm die de Klant kan gebruiken om de Klantgegevens uit de Services op te halen, te corrigeren of te verwijderen.

(c) het naleven van de verplichtingen die in deze DPA zijn vastgelegd.

(d) Voor zover de Klant bij zijn gebruik van de Diensten niet in staat is een verzoek van een Betrokkene te beantwoorden, zal Simplenet op verzoek van de Klant commercieel redelijke inspanningen leveren om de Klant te helpen bij het reageren op een dergelijk Verzoek van een Betrokkene, voor zover Het is Simplenet wettelijk toegestaan ​​om dit te doen en het antwoord op een dergelijk verzoek van een betrokkene is vereist op grond van de wet- en regelgeving inzake gegevensbescherming. Voor zover wettelijk toegestaan, is de Klant verantwoordelijk voor alle kosten die voortvloeien uit het verlenen van dergelijke hulp door Simplenet.

De Klant zal de redelijke kosten van Simplenet voor het verlenen van assistentie in paragraaf 2.7.2.2 dekken.

2.8. Retourneren en verwijderen van klantgegevens.

Simplenet zal de Klant in staat stellen Klantgegevens te verwijderen gedurende de toepasselijke Termijn op een manier die consistent is met de functionaliteit van de Diensten en de kenmerken van de betreffende Bestelling. Als de Klant de Diensten gebruikt om Klantgegevens op te halen of te verwijderen en de Klantgegevens kunnen niet worden hersteld, vormt dit een instructie aan Simplenet om de relevante Klantgegevens die op back-upsystemen zijn gearchiveerd te verwijderen in overeenstemming met de toepasselijke wetgeving en binnen een periode van maximaal 60 kalenderdagen. dagen.  

Deactivering van de Diensten of het verstrijken van de toepasselijke Termijn vormt een instructie aan Simplenet om de Klantgegevens en de relevante Klantgegevens die op back-upsystemen zijn gearchiveerd, binnen een periode van maximaal 60 kalenderdagen te verwijderen. 

Niets in dit artikel 2.8 varieert of wijzigt de verplichting van Simplenet om sommige of alle klantgegevens te bewaren als dat nodig is om te voldoen aan de wet of een geldig en bindend bevel van een wetshandhavingsinstantie (zoals een dagvaarding of een gerechtelijk bevel). 

2.9. Openbaring. 

Simplenet zal geen Klantgegevens bekendmaken aan enige overheid, wetshandhavingsinstanties en andere autoriteiten, behalve indien dit nodig is om te voldoen aan de wet of een geldig en bindend bevel van een wetshandhavingsinstantie (zoals een dagvaarding of een gerechtelijk bevel).  

2.10. Het personeel van Simplenet. 

Simplenet beperkt zijn personeel in het verwerken van Klantgegevens zonder toestemming van Simplenet. Toegang tot Klantgegevens is beperkt tot het personeel dat een rol en verantwoordelijkheden vervult in overeenstemming met de Overeenkomst.

Simplenet legt zijn personeel passende contractuele verplichtingen op, inclusief relevante verplichtingen met betrekking tot vertrouwelijkheid, gegevensbescherming en gegevensbeveiliging. Simplenet zorgt ervoor dat deze vertrouwelijkheidsverplichtingen ook na de beëindiging van de personeelsbetrokkenheid overleven.

2.11. Functionaris voor gegevensbescherming.

Simplenet heeft voor de doeleinden van deze DPA en het Privacybeleid een functionaris voor gegevensbescherming aangesteld, die te bereiken is via contact@staging.simplenet.site.

3. Subverwerkers.

3.1. Toestemming voor de inzet/aanstelling van subverwerkers door subverwerkers 

De Klant erkent en gaat ermee akkoord dat: 

(a) Simplenet Partners kunnen worden ingeschakeld als subverwerkers; En 

(b) Simplenet en Simplenet Partners kunnen respectievelijk Subverwerkers inschakelen in verband met de levering van de Diensten. Simplenet heeft met elke Subverwerker een schriftelijke overeenkomst gesloten waarin gegevensbeschermingsverplichtingen zijn opgenomen die niet minder beschermend zijn dan die in deze DPA met betrekking tot de bescherming van Klantgegevens, voor zover van toepassing op de aard van de Diensten die door dergelijke Subverwerkers worden geleverd. Als de Klant standaardcontractbepalingen (bijlage 1) is aangegaan, zoals beschreven in Hoofdstuk 5 (Overdracht van gegevens buiten de EER), vormen de bovenstaande autorisaties de voorafgaande schriftelijke toestemming van de Klant voor de uitbesteding door Simplenet van de verwerking van Klantgegevens, indien deze toestemming is vereist onder de Standaardcontractbepalingen.

3.2. Informatie over subverwerkers/Melding van nieuwe Subverwerkers.

3.2.1. Simplenet zal informatie over u delen met subverwerkers, zoals de subverwerker(s) die zich bezighouden met het leveren van diensten die onder uw overeenkomst vallen en die gevestigd zijn op het grondgebied van de Europese Unie en de Verenigde Staten, datacenterdienstverleners die gevestigd op het grondgebied van de Europese Unie, de Verenigde Staten, Australië en Singapore. Deze Subverwerkers zullen de verstrekte gegevens verwerken in opdracht van Simplenet en in overeenstemming met ons Privacybeleid en deze DPA. Wij geven subverwerkers geen toestemming om uw persoonlijk identificeerbare informatie voor secundaire doeleinden te bewaren, te delen, op te slaan of te gebruiken. 

3.2.2. Wanneer een nieuwe externe subverwerker wordt ingeschakeld om Klantgegevens te verwerken in verband met de levering van de toepasselijke Diensten gedurende de toepasselijke Termijn van deze DPA, zal Simplenet de Klant op de hoogte stellen van deze opdracht, inclusief de categorie en locatie van de relevante subverwerker. -verwerker en de activiteiten die hij zal uitvoeren, minstens 10 kalenderdagen voordat hij de nieuwe Derde Subverwerker autoriseert, hetzij door een e-mail te sturen naar het Kennisgevings-e-mailadres of via de Gebruikersruimte.

3.3. Vereisten voor de betrokkenheid van een subverwerker.

Bij het inschakelen van een Subverwerker zal Simplenet:

(a) er via een schriftelijk contract voor zorgen dat:

(i) de Subverwerker heeft alleen toegang tot en gebruikt Klantgegevens voor zover dit nodig is om de verplichtingen uit te voeren die aan hem zijn uitbesteed, en doet dit in overeenstemming met de toepasselijke Overeenkomst (inclusief dit Amendement Gegevensverwerking) en eventuele aangegane Standaardcontractbepalingen of Alternatieve Overdrachtsoplossing aangenomen door Simplenet zoals beschreven in Sectie 5 (Overdracht van gegevens buiten de EER); En

(ii) als de AVG van toepassing is op de verwerking van klantgegevens van Klanten, worden de gegevensbeschermingsverplichtingen zoals uiteengezet in artikel 28, lid 3 van de AVG, zoals beschreven in dit Amendement gegevensverwerking, opgelegd aan de Subverwerker; En

(b) volledig aansprakelijk blijven voor alle verplichtingen die aan haar zijn uitbesteed, en alle handelingen en nalatigheden van de Subverwerker.

3.4. Bezwaarrecht voor nieuwe subverwerkers. 

3.4.1. De Klant kan bezwaar maken tegen elke nieuwe Derde Subverwerker door de toepasselijke Overeenkomst onmiddellijk te beëindigen na schriftelijke kennisgeving aan Simplenet, op voorwaarde dat de Klant een dergelijke kennisgeving verstrekt binnen 10 kalenderdagen nadat hij op de hoogte is gesteld van de inschakeling van de subverwerker. Dit beëindigingsrecht is het enige en exclusieve rechtsmiddel van de Klant als de Klant bezwaar maakt tegen een nieuwe Derde Subverwerker.

3.4.2. Simplenet zal de Klant alle vooruitbetaalde vergoedingen voor de rest van de looptijd van dergelijke Bestelling(en) na de ingangsdatum van de beëindiging met betrekking tot dergelijke beëindigde Diensten terugbetalen, zonder de Klant een boete op te leggen voor een dergelijke beëindiging.

4. Effectbeoordelingen, overleg. Opslag. 

4.1. Effectbeoordelingen en overleg. 

Op verzoek van de Klant zal Simplenet de Klant voorzien van redelijke medewerking en assistentie die nodig is om te voldoen aan de verplichting van de Klant onder de AVG om een ​​gegevensbeschermingseffectbeoordeling uit te voeren met betrekking tot het gebruik van de Diensten door de Klant, voor zover de Klant anderszins geen toegang heeft tot de relevante informatie, en voor zover dergelijke informatie beschikbaar is voor Simplenet. Simplenet zal de Klant redelijke bijstand verlenen bij de samenwerking of voorafgaand overleg met de Toezichthoudende Autoriteit bij de uitvoering van zijn taken met betrekking tot deze DPA, voor zover vereist onder de AVG.

5. Overdrachten buiten de EER.

5.1. Datacenter en opslag

Simplenet bewaart en verwerkt klantgegevens in datacentra binnen en buiten de Europese Unie. Informatie over onze datacenterlocaties is beschikbaar in de kennisbank en Simplenet behoudt zich het recht voor om deze van tijd tot tijd bij te werken.

De Klant kan de datacenterlocatie opgeven waar zijn Klantgegevens worden opgeslagen. De Klant gaat ermee akkoord dat Simplenet de locaties van de Datacenters mag wijzigen en Klantgegevens naar een ander Datacenter mag verplaatsen. Simplenet zal de Klant minstens 10 kalenderdagen informeren voordat Klantgegevens naar een nieuw Datacenter worden verplaatst, hetzij door een e-mail te sturen naar het Notificatie-e-mailadres of via de Gebruikersruimte. Als de wijziging van het Datacenter ertoe leidt dat de Klantgegevens onder een ander rechtsgebied worden opgeslagen, kan de Klant bezwaar maken tegen een dergelijke wijziging door de Overeenkomst onmiddellijk en na schriftelijke kennisgeving aan Simplenet te beëindigen, op voorwaarde dat de Klant een dergelijke kennisgeving binnen 10 kalenderdagen na de datum van de wijziging verstrekt. op de hoogte worden gesteld van de wijziging van het Datacenter.

De Klant kan zijn account en Klantgegevens op elk moment naar een andere Datacenterlocatie verplaatsen, op voorwaarde dat de functionaliteit van de Diensten dit toelaat en tegen extra kosten. Zodra de Klant zijn keuze heeft gemaakt en een datacenterlocatie binnen de Europese Unie heeft gespecificeerd, zal Simplenet geen Klantgegevens opslaan buiten de grenzen van de Europese Unie, behalve indien nodig om te voldoen aan de wet of een geldig en bindend bevel van een wetshandhavingsinstantie (zoals als dagvaarding of gerechtelijk bevel).

5.2. Verwerkingslocaties

Voor zover de Klant een Datacenter buiten de Europese Economische Ruimte heeft gespecificeerd en voor zover Simplenet de Diensten en gerelateerde technische en andere ondersteuning levert, gaat de Klant ermee akkoord dat Simplenet, met inachtneming van Artikel 5, Klantgegevens mag raadplegen en verwerken in de EER, Verenigde Staten en andere landen waar Simplenet en/of haar partners en subverwerkers datacentra, faciliteiten hebben of gegevensverwerkingsactiviteiten uitvoeren. Als de opslag en/of verwerking van Klantgegevens de verwerking van Klantgegevens buiten de EER met zich meebrengt, en de Europese wetgeving inzake gegevensbescherming van toepassing is, gaat de Klant ermee akkoord dat Simplenet redelijkerwijs van de Klant verlangt dat hij Modelcontractclausules aangaat met betrekking tot dergelijke overdrachten in overeenstemming met met Paragraaf 5.2 en Bijlage 1 en de Klant stemt ermee in dit te doen.

5.3. Overdrachtsmechanisme

Voor zover Simplenet Klantgegevens onder deze DPA verwerkt of overdraagt ​​(rechtstreeks of via verdere overdracht) vanuit de Europese Unie, de Europese Economische Ruimte en/of hun lidstaten en Zwitserland in of naar landen die geen adequaat niveau van gegevensbescherming garanderen binnen de betekenis van de toepasselijke gegevensbeschermingswetten van de voorgaande gebieden komen de partijen overeen dat:

  1. De Standaardcontractbepalingen (Bijlage 1) zijn van toepassing op Klantgegevens die worden overgedragen.
  2. Simplenet wordt geacht passende waarborgen te bieden om Klantgegevens te beschermen door het beschikbaar stellen van Standaardcontractbepalingen (Bijlage 1) als overdrachtsmechanisme.
  3. De Klant geeft hierbij toestemming voor elke overdracht van of toegang tot Klantgegevens vanuit dergelijke bestemmingen buiten de Europese Economische Ruimte, met inachtneming van een van de bovenstaande maatregelen;

6. Verwerken van administratie.

De Klant erkent dat Simplenet krachtens de AVG verplicht is om:

(a) het verzamelen en bijhouden van bepaalde informatie, waaronder de naam en contactgegevens van elke verwerker en/of verwerkingsverantwoordelijke namens wie Simplenet handelt en, indien van toepassing, van de lokale vertegenwoordiger en functionaris voor gegevensbescherming van deze verwerker of verwerkingsverantwoordelijke; En 

b) dergelijke informatie ter beschikking stellen van de toezichthoudende autoriteiten. Dienovereenkomstig zal de Klant, indien de AVG van toepassing is op de verwerking van Klantgegevens, op verzoek dergelijke informatie aan Simplenet verstrekken via de Site of andere door Simplenet verstrekte middelen, en zal hij de Site of een ander middel gebruiken om ervoor te zorgen dat alle verstrekte informatie wordt accuraat en actueel gehouden.

7. Beveiligingsverantwoordelijkheden van Simplenet.

7.1. Simplenet zal technische en organisatorische maatregelen implementeren en onderhouden om Klantgegevens te beschermen tegen accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang, zoals beschreven in Bijlage 2 (de “Veiligheidsmaatregelen”). Zoals beschreven in Bijlage 2 omvatten de Beveiligingsmaatregelen maatregelen om gecodeerde overdracht van klantgegevens buiten de Serviceomgeving mogelijk te maken; om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en diensten van Simplenet te helpen garanderen; om te helpen bij het herstellen van de tijdige toegang tot Klantgegevens vanaf een beschikbare back-up, geleverd door Simplenet Backup Services of door de eigen back-up van de Klant na een incident; en voor het regelmatig testen van de effectiviteit. Simplenet kan de Beveiligingsmaatregelen van tijd tot tijd bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen niet resulteren in een verslechtering van de algehele veiligheid van de Diensten.

7.2. Beveiligingsverantwoordelijkheden en beoordeling van de klant.

De Klant gaat ermee akkoord dat, onverminderd de verplichtingen van Simplenet op grond van artikel 7. (Veiligheidsverantwoordelijkheden van Simplenet) en andere relevante artikelen in deze DPA: 

  1. De Klant is als enige verantwoordelijk voor zijn gebruik van de Diensten, met inbegrip van:
    1. het op passende wijze gebruik maken van de Diensten om een ​​beveiligingsniveau te garanderen dat past bij het risico met betrekking tot de Klantgegevens;
    2. het beveiligen van de accountverificatiegegevens, systemen en apparaten die de Klant gebruikt om toegang te krijgen tot de Diensten; 
    3. ervoor zorgen dat alle programma's, scripts, add-ons, plug-ins en andere software die op het account zijn geïnstalleerd, veilig zijn en dat het gebruik ervan geen enkel veiligheidsrisico met zich meebrengt met betrekking tot de Klantgegevens en het account zelf;
    4. het beveiligen van alle geïnstalleerde programma's, scripts, add-ons, plug-ins en andere software, hun configuratie en hun reguliere onderhoud;
    5. eventuele inhoud van het account;  
    6. eventuele acties en activiteiten op het account; En
    7. het maken van een back-up van hun klantgegevens; En
  2. Simplenet heeft geen verplichting om Klantgegevens te beschermen die de Klant besluit op te slaan of over te dragen buiten de systemen van Simplenet en zijn Subverwerkers (bijvoorbeeld offline of on-premise opslag), of om Klantgegevens te beschermen door aanvullende beveiligingscontroles te implementeren of te onderhouden. behalve voor zover de Klant ervoor heeft gekozen deze te gebruiken.
  3. De Klant is als enige verantwoordelijk voor het beoordelen van de documentatie en het evalueren of de Diensten, de Beveiligingsmaatregelen, de verplichtingen van Simplenet onder deze Sectie en het volgende voldoen aan de behoeften van de Klant, inclusief eventuele beveiligingsverplichtingen van de Klant onder de Europese wetgeving inzake gegevensbescherming en/of niet- Europese wetgeving inzake gegevensbescherming, indien van toepassing.
  4. De Klant erkent en stemt ermee in dat (rekening houdend met de implementatiekosten en de aard, reikwijdte, context en doel van de verwerking van Klantgegevens, evenals de risico's voor individuen) de Beveiligingsmaatregelen die door Simplenet zijn geïmplementeerd en onderhouden zoals uiteengezet in Artikel 7.1 . het benodigde beveiligingsniveau te bieden dat past bij het risico met betrekking tot de Klantgegevens.
  5. Het is de verantwoordelijkheid van de Klant om een ​​back-up te maken van Klantgegevens en van alle gegevens en toestemming die in het account zijn opgeslagen, om potentieel gegevensverlies te voorkomen.
    1. Simplenet Backup Services worden geleverd “as-is” en zijn onderworpen aan alle aansprakelijkheidsbeperkingen zoals uiteengezet in de toepasselijke Overeenkomst.
    2. Zelfs als de Klant Back-updiensten aanschaft, gaat hij ermee akkoord dat hij zijn eigen set back-ups zal onderhouden, onafhankelijk van de back-ups die Simplenet onderhoudt, en dat de enige verplichting van Simplenet erin bestaat de accountruimte in de werkende staat te herstellen. In het geval van een incident, hardware- of softwarefout of incidentele beschadiging of verlies van gegevens, kan Simplenet hulp bieden, maar het is de enige verplichting van de Klant om de Klantgegevens te herstellen.  
    3. In geval van gedeeltelijk of volledig gegevensverlies of corruptie en in het geval dat de Klant niet tevreden is met het resultaat van het herstel door de Simplenet Backup Services of dat de back-up van Simplenet niet recent is of geschikt is voor herstel, is het de verplichting van de Klant om Klantgegevens, hun bestanden en alle gegevens binnen het account herstellen vanaf de eigen back-up van de Klant.

8. Beoordeling en audits van naleving.

Als de Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van klantgegevens:

  1. De Klant heeft het recht om de naleving door Simplenet van zijn verplichtingen uit hoofde van deze DPA te verifiëren, door het uitvoeren van een beoordeling van documentatie of een audit, inclusief inspecties, uitgevoerd door de Klant of een door de Klant aangestelde onafhankelijke auditor, door een specifiek verzoek in te dienen bij Simplenet in een schriftelijk formulier naar het adres dat is vermeld in de respectieve Servicevoorwaarden. 
  2. Simplenet zal verder schriftelijke antwoorden geven op alle redelijke verzoeken van de Klant en kan voor elke beoordeling of audit een vergoeding in rekening brengen. Simplenet zal voorafgaand aan een dergelijke audit details verstrekken over eventuele toepasselijke vergoedingen en de Klant is verantwoordelijk voor eventuele vergoedingen die door een auditor in rekening worden gebracht en voor eventuele kosten die verband houden met het uitvoeren van een audit. De rapporten van een dergelijke audit zullen aan Simplenet ter beschikking worden gesteld zonder beperkingen van de doeleinden voor verder gebruik ervan door Simplenet.
  3. Simplenet kan schriftelijk bezwaar maken en weigeren bij de Klant of een door de Klant aangewezen auditor om een ​​audit uit te voeren indien de Klant of de auditor, naar de redelijke mening van Simplenet, niet voldoende gekwalificeerd of onafhankelijk is, een concurrent van Simplenet, of anderszins kennelijk ongeschikt is.
  4. Indien Simplenet weigert een door de Klant of een auditor gevraagde instructie met betrekking tot een naar behoren aangevraagde en reikwijdte audit of inspectie op te volgen, heeft de Klant het recht om deze DPA en de Servicevoorwaarden te beëindigen.

Niets in dit artikel 8 (Beoordeling en audits van naleving) varieert of wijzigt de rechten of verplichtingen van de Klant of Simplenet onder modelcontractclausules die zijn aangegaan zoals beschreven in artikel 5 (Overdracht van gegevens buiten de EER).

9. Melding van inbreuk op de beveiliging. 

9.1. Simplenet handhaaft beleid en procedures voor het beheer van beveiligingsincidenten en zal de Klant zonder onnodige vertraging op de hoogte stellen nadat hij zich bewust is geworden van de accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Klantgegevens, met inbegrip van Klantgegevens die zijn verzonden, opgeslagen of anderszins Verwerkt door Simplenet of haar Subverwerkers waarvan Simplenet op de hoogte wordt gesteld (een “Klantgegevensincident”). Simplenet zal redelijke inspanningen leveren om de oorzaak van een dergelijk Klantgegevensincident te identificeren en de stappen ondernemen die Simplenet noodzakelijk en redelijk acht om de oorzaak van een dergelijk Klantgegevensincident te verhelpen, voor zover het herstel binnen de redelijke controle van Simplenet ligt. De verplichtingen hierin zijn niet van toepassing op incidenten die worden veroorzaakt door de Klant, het gebruik door de Klant van de Services, de acties of activiteiten van de Klant of de Gebruikers van de Klant.

9.2. Kennisgevingen die op grond van dit artikel worden gedaan, zullen, voor zover mogelijk, de details van het Data-incident beschrijven, inclusief de stappen die zijn genomen om de potentiële risico's te beperken en de stappen die Simplenet de Klant aanbeveelt te nemen om het Data-incident aan te pakken. 

9.3. Kennisgeving(en) van (een) Data-incident(en) zullen worden afgeleverd op het e-mailadres voor de kennisgeving of, naar goeddunken van Simplenet, via directe communicatie (bijvoorbeeld per telefoongesprek). De Klant is als enige verantwoordelijk om ervoor te zorgen dat het e-mailadres voor de melding en de contactgegevens actueel en geldig zijn.

9.4. Simplenet zal de inhoud van Klantgegevens niet beoordelen om informatie te identificeren die onderworpen is aan specifieke wettelijke vereisten. De Klant is als enige verantwoordelijk voor het naleven van de wetten op het melden van incidenten die van toepassing zijn op de Klant, en voor het voldoen aan eventuele kennisgevingsverplichtingen van derden met betrekking tot (een) Data-incident(en).

9.5. De kennisgeving of reactie van Simplenet op een Data-incident op grond van dit Artikel 10 mag niet worden geïnterpreteerd als een erkenning door Simplenet van enige fout of aansprakelijkheid met betrekking tot het Data-incident.

10. Aansprakelijkheid en vrijwaring.

10.1. De Klant zal Simplenet vrijwaren en schadeloos houden met betrekking tot alle inbreuken op de gegevensbescherming en verliezen geleden of opgelopen door, voortvloeiend uit of verband houdend met:

(a) eventuele niet-naleving door de Klant van wet- en regelgeving op het gebied van gegevensbescherming;

(b) elke inbreuk door de Klant op zijn verplichtingen inzake gegevensbescherming onder deze Overeenkomst; 

10.2. Simplenet is alleen aansprakelijk voor inbreuken op de gegevensbescherming en verliezen veroorzaakt door de verwerking van Klantgegevens, voor zover dit rechtstreeks voortvloeit uit het onvermogen van Simplenet om te voldoen aan zijn verplichtingen als gegevensverwerker onder de wet- en regelgeving inzake gegevensbescherming.

11. Beëindiging

Deze DPA wordt van kracht vanaf de Ingangsdatum tot het einde van de levering door Simplenet van de Diensten onder de toepasselijke Overeenkomst, inclusief, indien van toepassing, elke periode waarin de Diensten mogelijk zijn opgeschort en elke periode na beëindiging (namelijk 60 kalenderdagen). gedurende welke Simplenet Diensten kan blijven leveren voor overgangsdoeleinden (“Termijn”). De DPA vervalt automatisch bij verwijdering van alle Klantgegevens door Simplenet.

Voor zover er sprake is van een conflict of inconsistentie tussen de voorwaarden van deze DPA en de rest van de toepasselijke Overeenkomst met betrekking tot de Verwerking van Klantgegevens, zijn de voorwaarden van deze DPA van toepassing. Behoudens eventuele wijzigingen in deze DPA blijft een dergelijke Overeenkomst volledig van kracht. Voor de duidelijkheid: als de Klant meer dan één Overeenkomst heeft gesloten, zal deze DPA elk van de Overeenkomsten afzonderlijk wijzigen.


Bijlage 1

STANDAARD CONTRACTUELE CLAUSULES (VERWERKERS)

Voor de doeleinden van artikel 26, lid 2, van Richtlijn 95/46/EG voor de overdracht van persoonsgegevens aan verwerkers gevestigd in derde landen die geen passend niveau van gegevensbescherming garanderen

De entiteit geïdentificeerd als “Klant” in de Gegevensverwerkingsovereenkomst 

(de gegevensexporteur)

En

Simplenet Hosting SRL

(de gegevensimporteur)

elk een 'feestje'; samen ‘de partijen’,

HEBBEN OVEREENGEKOMEN over de volgende contractbepalingen (de clausules) om adequate waarborgen te bieden met betrekking tot de bescherming van de privacy en de fundamentele rechten en vrijheden van individuen voor de overdracht door de gegevensexporteur aan de gegevensimporteur van de in Bijlage 1 gespecificeerde persoonsgegevens .

Clausule 1

Definities

Voor de toepassing van de Clausules:

a) ‘persoonsgegevens’, ‘bijzondere categorieën van gegevens’, ‘proces/verwerking’, ‘verwerkingsverantwoordelijke’, ‘verwerker’, ‘betrokkene’ en ‘toezichthoudende autoriteit’ hebben dezelfde betekenis als in Richtlijn 95/46/ EC van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;

(b) 'de gegevensexporteur': de verwerkingsverantwoordelijke die de persoonsgegevens overdraagt;

(c) 'de gegevensimporteur' betekent de verwerker die ermee instemt om van de gegevensexporteur persoonsgegevens te ontvangen die bedoeld zijn om namens hem te worden verwerkt na de overdracht in overeenstemming met zijn instructies en de voorwaarden van de Clausules en die niet onderworpen is aan de regels van een derde land systeem dat adequate bescherming garandeert in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;

(d) 'de subverwerker' betekent elke verwerker die is ingeschakeld door de gegevensimporteur of door een andere subverwerker van de gegevensimporteur die ermee instemt uitsluitend van de gegevensimporteur of van een andere subverwerker van de gegevensimporteur persoonsgegevens te ontvangen bedoeld voor verwerkingsactiviteiten die na de overdracht namens de gegevensexporteur moeten worden uitgevoerd in overeenstemming met zijn instructies, de voorwaarden van de Clausules en de voorwaarden van het schriftelijke subcontract;

e) "de toepasselijke wetgeving inzake gegevensbescherming": de wetgeving ter bescherming van de fundamentele rechten en vrijheden van individuen en, in het bijzonder, hun recht op privacy met betrekking tot de verwerking van persoonsgegevens die van toepassing is op een voor de verwerking verantwoordelijke in de lidstaat waar de gegevensexporteur is gevestigd;

f) "technische en organisatorische beveiligingsmaatregelen": maatregelen die gericht zijn op het beschermen van persoonsgegevens tegen accidentele of onrechtmatige vernietiging of accidenteel verlies, wijziging, ongeoorloofde openbaarmaking of toegang, met name wanneer de verwerking de overdracht van gegevens via een netwerk met zich meebrengt, en tegen alle overige onrechtmatige vormen van verwerking.

Artikel 2

Details van de overdracht

De details van de overdracht en in het bijzonder de speciale categorieën van persoonsgegevens, indien van toepassing, worden gespecificeerd in Bijlage 1, die een integraal onderdeel vormt van de Clausules.

Artikel 3

Derdenbegunstigdeclausule

1. De betrokkene kan deze clausule, clausule 4(b) tot (i), clausule 5(a) tot (e), en (g) tot (j), clausule 6(1) en (g) tot (j), clausule 6(1) en ( 2), artikel 7, artikel 8, lid 2, en artikelen 9 tot en met 12 als derde begunstigde.

2. De betrokkene kan deze clausule, clausule 5(a) tot (e) en (g), clausule 6, clausule 7, clausule 8(2) en clausules 9 tot 12 tegen de gegevensimporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of juridisch niet meer bestaat, tenzij een opvolger de volledige wettelijke verplichtingen van de gegevensexporteur contractueel of van rechtswege op zich heeft genomen, waardoor deze de rechten en plichten van de gegevens overneemt exporteur, in welk geval de betrokkene deze tegen die entiteit kan afdwingen.

3. De betrokkene kan deze clausule, clausule 5(a) tot (e) en (g), clausule 6, clausule 7, clausule 8(2) en clausules 9 tot 12 tegen de subverwerker afdwingen in gevallen waarin zowel de gegevensexporteur als de gegevensimporteur zijn feitelijk verdwenen, hebben juridisch opgehouden te bestaan ​​of zijn insolvabel geworden, tenzij een opvolger de volledige wettelijke verplichtingen van de gegevensexporteur contractueel of van rechtswege op zich heeft genomen als gevolg van waarbij hij de rechten en plichten van de gegevensexporteur overneemt, in welk geval de betrokkene deze jegens die entiteit kan afdwingen. Dergelijke aansprakelijkheid jegens derden van de subverwerker is beperkt tot zijn eigen verwerkingsactiviteiten onder de Clausules.

4. Partijen maken er geen bezwaar tegen dat een betrokkene wordt vertegenwoordigd door een vereniging of ander orgaan, indien de betrokkene dit uitdrukkelijk wenst en indien het nationale recht dit toestaat.

Artikel 4

Verplichtingen van de gegevensexporteur

De gegevensexporteur gaat ermee akkoord en garandeert:

(a) dat de verwerking, inclusief de overdracht zelf, van de persoonsgegevens is en zal worden uitgevoerd in overeenstemming met de relevante bepalingen van de toepasselijke wetgeving inzake gegevensbescherming (en, indien van toepassing, op de hoogte is gesteld van de relevante autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd) en de relevante bepalingen van die staat niet schendt;

(b) dat zij de gegevensimporteur de opdracht heeft gegeven en gedurende de duur van de diensten voor de verwerking van persoonsgegevens opdracht zal geven de overgedragen persoonsgegevens uitsluitend namens de gegevensexporteur te verwerken en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en de Clausules;

(c) dat de gegevensimporteur voldoende garanties zal bieden met betrekking tot de technische en organisatorische beveiligingsmaatregelen vermeld in bijlage 2 bij dit contract;

(d) dat, na beoordeling van de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, de beveiligingsmaatregelen passend zijn om persoonsgegevens te beschermen tegen accidentele of onrechtmatige vernietiging of accidenteel verlies, wijziging, ongeoorloofde openbaarmaking of toegang, in het bijzonder wanneer de verwerking de overdracht omvat van gegevens over een netwerk, en tegen alle andere onrechtmatige vormen van verwerking, en dat deze maatregelen een beveiligingsniveau garanderen dat past bij de risico’s die de verwerking met zich meebrengt en de aard van de te beschermen gegevens, gelet op de stand van de techniek en de kosten van de implementatie ervan;

e) dat zij de naleving van de beveiligingsmaatregelen zal garanderen;

f) dat, indien de doorgifte bijzondere categorieën van gegevens betreft, de betrokkene vóór of zo snel mogelijk na de doorgifte ervan op de hoogte is gesteld of zal worden gebracht dat zijn gegevens kunnen worden doorgegeven aan een derde land dat binnen de grenzen van dat land geen adequate bescherming biedt. de betekenis van Richtlijn 95/46/EG;

(g) om elke kennisgeving ontvangen van de gegevensimporteur of een subverwerker overeenkomstig artikel 5(b) en artikel 8(3) door te sturen naar de toezichthoudende autoriteit voor gegevensbescherming als de gegevensexporteur besluit de overdracht voort te zetten of de opschorting op te heffen ;

(h) om op verzoek aan de betrokkenen een kopie van de Clausules, met uitzondering van Bijlage 2, en een samenvattende beschrijving van de beveiligingsmaatregelen ter beschikking te stellen, evenals een kopie van elk contract voor subverwerkingsdiensten dat moet worden gemaakt in overeenstemming met de Clausules, tenzij de Clausules of het contract commerciële informatie bevatten, in welk geval dergelijke commerciële informatie kan worden verwijderd;

(i) dat, in geval van subverwerking, de verwerkingsactiviteit wordt uitgevoerd in overeenstemming met artikel 11 door een subverwerker die ten minste hetzelfde niveau van bescherming van de persoonsgegevens en de rechten van de betrokkene biedt als de gegevenssubject importeur op grond van de Clausules; En

(j) dat zij de naleving van artikel 4(a) tot (i) zal garanderen.

Artikel 5

Verplichtingen van de gegevensimporteur [1]

De gegevensimporteur gaat akkoord en garandeert:

(a) om de persoonsgegevens uitsluitend te verwerken namens de gegevensexporteur en in overeenstemming met zijn instructies en de Clausules; indien zij om welke reden dan ook niet aan deze naleving kan voldoen, stemt zij ermee in de gegevensexporteur onmiddellijk op de hoogte te stellen van zijn onvermogen om hieraan te voldoen, in welk geval de gegevensexporteur het recht heeft de overdracht van gegevens op te schorten en/of het contract te beëindigen;

(b) dat hij geen reden heeft om aan te nemen dat de op hem toepasselijke wetgeving hem verhindert de instructies van de gegevensexporteur en zijn verplichtingen uit hoofde van het contract na te komen, en dat in het geval van een wijziging in deze wetgeving die waarschijnlijk gevolgen zal hebben aanzienlijke nadelige gevolgen heeft voor de garanties en verplichtingen waarin de Clausules voorzien, zal zij de wijziging onmiddellijk aan de gegevensexporteur melden zodra zij hiervan op de hoogte is, in welk geval de gegevensexporteur het recht heeft de overdracht van gegevens op te schorten en/of het contract te beëindigen. ;

(c) dat zij de in Bijlage 2 gespecificeerde technische en organisatorische veiligheidsmaatregelen heeft geïmplementeerd voordat zij de overgedragen persoonsgegevens verwerkt;

d) dat zij de gegevensexporteur onverwijld op de hoogte zal stellen van:

(i) elk juridisch bindend verzoek om openbaarmaking van de persoonsgegevens door een wetshandhavingsautoriteit, tenzij anderszins verboden, zoals een strafrechtelijk verbod om de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;

(ii) elke accidentele of ongeoorloofde toegang; En

(iii) elk verzoek dat rechtstreeks van de betrokkenen wordt ontvangen zonder op dat verzoek te reageren, tenzij hij daartoe anderszins toestemming heeft gekregen;

(e) om alle vragen van de gegevensexporteur met betrekking tot de verwerking van de persoonsgegevens waarop de overdracht betrekking heeft, snel en correct te behandelen en om het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de overgedragen gegevens op te volgen;

(f) op verzoek van de gegevensexporteur zijn gegevensverwerkingsfaciliteiten ter beschikking stellen voor een audit van de verwerkingsactiviteiten waarop de bepalingen van toepassing zijn, die zal worden uitgevoerd door de gegevensexporteur of een inspectie-orgaan bestaande uit onafhankelijke leden en in het bezit van de vereiste beroepskwalificaties die gebonden zijn aan een geheimhoudingsplicht, geselecteerd door de gegevensexporteur, indien van toepassing, in overleg met de toezichthoudende autoriteit;

(g) om op verzoek een kopie van de Clausules of een bestaand contract voor subverwerking aan de betrokkene ter beschikking te stellen, tenzij de Clausules of het contract commerciële informatie bevatten, in welk geval dergelijke commerciële informatie mag worden verwijderd, met uitzondering van aanhangsel 2, dat wordt vervangen door een samenvattende beschrijving van de beveiligingsmaatregelen in gevallen waarin de betrokkene geen kopie van de gegevensexporteur kan verkrijgen;

(h) dat zij, in geval van subverwerking, de gegevensexporteur vooraf heeft geïnformeerd en vooraf schriftelijke toestemming heeft verkregen;

(i) dat de verwerkingsdiensten door de subverwerker zullen worden uitgevoerd in overeenstemming met artikel 11;

(j) om onverwijld een kopie van elke subverwerkersovereenkomst die zij op grond van de bepalingen sluit, naar de gegevensexporteur te sturen.

Artikel 6

Betrouwbaarheid

1. De partijen komen overeen dat elke betrokkene die schade heeft geleden als gevolg van een schending van de verplichtingen bedoeld in artikel 3 of artikel 11 door een partij of subverwerker, recht heeft op compensatie van de gegevensexporteur voor de geleden schade.

2. Als een betrokkene geen vordering tot schadevergoeding kan instellen overeenkomstig lid 1 tegen de gegevensexporteur, die voortvloeit uit een schending door de gegevensimporteur of zijn subverwerker van een van hun verplichtingen als bedoeld in artikel 3, of in artikel 11 gaat de gegevensimporteur ermee akkoord dat de betrokkene een vordering kan indienen tegen de gegevensimporteur, omdat de gegevensexporteur feitelijk is verdwenen, juridisch niet meer bestaat of insolvabel is geworden, tenzij hij de gegevensexporteur is. de opvolgerentiteit heeft de volledige wettelijke verplichtingen van de gegevensexporteur contractueel of van rechtswege op zich genomen, in welk geval de betrokkene zijn rechten jegens die entiteit kan afdwingen.

De gegevensimporteur mag zich niet beroepen op een schending door een subverwerker van zijn verplichtingen om zijn eigen aansprakelijkheid te ontlopen.

3. Indien een betrokkene geen vordering kan instellen tegen de gegevensexporteur of de gegevensimporteur bedoeld in de leden 1 en 2, die voortvloeit uit een schending door de subverwerker van een van zijn verplichtingen bedoeld in artikel 3 of in artikel 11, omdat zowel de gegevensexporteur als de gegevensimporteur feitelijk zijn verdwenen of juridisch niet meer bestaan ​​of insolvabel zijn geworden, stemt de subverwerker ermee in dat de betrokkene een vordering kan indienen tegen de gegevenssubverwerker met betrekking tot zijn eigen verwerkingsactiviteiten onder de bepalingen uitvoert alsof hij de gegevensexporteur of gegevensimporteur is, tenzij een opvolger de volledige wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur contractueel of van rechtswege op zich heeft genomen, in welk geval de betrokkene zijn rechten tegen een dergelijke entiteit kan afdwingen. De aansprakelijkheid van de subverwerker is beperkt tot zijn eigen verwerkingsactiviteiten onder de Clausules.

Artikel 7

Bemiddeling en jurisdictie

1. De gegevensimporteur gaat ermee akkoord dat als de betrokkene de rechten van derden tegen hem inroept en/of schadevergoeding eist op grond van de bepalingen, de gegevensimporteur de beslissing van de betrokkene zal aanvaarden:

a) het geschil voor te leggen aan bemiddeling door een onafhankelijke persoon of, indien van toepassing, door de toezichthoudende autoriteit;

b) het geschil voor te leggen aan de rechtbanken van de lidstaat waar de gegevensexporteur is gevestigd.

2. De partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan zijn materiële of procedurele rechten om verhaal te halen in overeenstemming met andere bepalingen van nationaal of internationaal recht.

Artikel 8

Samenwerking met toezichthoudende autoriteiten

1. De gegevensexporteur stemt ermee in een kopie van dit contract bij de toezichthoudende autoriteit te deponeren als deze daarom verzoekt of als een dergelijke deponering vereist is onder de toepasselijke wetgeving inzake gegevensbescherming.

2. De partijen komen overeen dat de toezichthoudende autoriteit het recht heeft om een ​​audit uit te voeren van de gegevensimporteur en van elke subverwerker, die dezelfde reikwijdte heeft en onderworpen is aan dezelfde voorwaarden als die zouden gelden voor een audit van de gegevensexporteur. onder de toepasselijke wetgeving inzake gegevensbescherming.

3. De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van het bestaan ​​van wetgeving die op hem van toepassing is of op een subverwerker die de uitvoering van een audit van de gegevensimporteur, of een subverwerker, verhindert overeenkomstig lid 2. In een dergelijk geval de gegevensexporteur heeft het recht de in artikel 5, onder b), bedoelde maatregelen te nemen.

Artikel 9

Toepasselijk recht

Op de Clausules is het recht van toepassing van de lidstaat waar de gegevensexporteur is gevestigd.

Artikel 10

Wijziging van het contract

De partijen verbinden zich ertoe de Clausules niet te wijzigen of te wijzigen. Dit belet de partijen niet om waar nodig clausules over bedrijfsgerelateerde kwesties toe te voegen, zolang deze niet in tegenspraak zijn met de clausule.

Artikel 11

Subverwerking

1. De gegevensimporteur mag geen van de verwerkingsactiviteiten die hij krachtens de bepalingen namens de gegevensexporteur uitvoert, uitbesteden zonder voorafgaande schriftelijke toestemming van de gegevensexporteur. Wanneer de gegevensimporteur zijn verplichtingen uit hoofde van de Clausules uitbesteedt, met toestemming van de gegevensexporteur, zal hij dit alleen doen door middel van een schriftelijke overeenkomst met de subverwerker, die aan de subverwerker dezelfde verplichtingen oplegt als aan de subverwerker. gegevensimporteur onder de clausules (3). Wanneer de subverwerker zijn verplichtingen op het gebied van gegevensbescherming uit hoofde van een dergelijke schriftelijke overeenkomst niet nakomt, blijft de gegevensimporteur volledig aansprakelijk jegens de gegevensexporteur voor de nakoming van de verplichtingen van de subverwerker op grond van een dergelijke overeenkomst.

2. Het voorafgaande schriftelijke contract tussen de gegevensimporteur en de subverwerker voorziet ook in een derdenbegunstigdenclausule zoals vastgelegd in artikel 3 voor gevallen waarin de betrokkene niet in staat is de in paragraaf 3 bedoelde vordering tot schadevergoeding in te stellen. 1 van artikel 6 tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen of juridisch niet meer bestaan ​​of insolvabel zijn geworden en geen enkele opvolger de volledige wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur contractueel of contractueel heeft overgenomen. van rechtswege. Dergelijke aansprakelijkheid jegens derden van de subverwerker is beperkt tot zijn eigen verwerkingsactiviteiten onder de Clausules.

3. De bepalingen met betrekking tot gegevensbeschermingsaspecten voor de subverwerking van de overeenkomst bedoeld in lid 1 worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd, namelijk …

4. De gegevensexporteur houdt een lijst bij van subverwerkingsovereenkomsten die op grond van de bepalingen zijn gesloten en door de gegevensimporteur overeenkomstig artikel 5, onder j), zijn aangemeld, en die ten minste eenmaal per jaar wordt bijgewerkt. De lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voor gegevensbescherming van de gegevensexporteur.

Artikel 12

Verplichting na beëindiging van de verwerking van persoonsgegevens

1. De partijen komen overeen dat bij de beëindiging van de verlening van gegevensverwerkingsdiensten de gegevensimporteur en de subverwerker, naar keuze van de gegevensexporteur, alle overgedragen persoonsgegevens en de kopieën daarvan aan de gegevensexporteur zullen terugbezorgen. of hij zal alle persoonsgegevens vernietigen en aan de gegevensexporteur verklaren dat hij dit heeft gedaan, tenzij de aan de gegevensimporteur opgelegde wetgeving verhindert dat hij de overgedragen persoonsgegevens geheel of gedeeltelijk teruggeeft of vernietigt. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de overgedragen persoonsgegevens zal garanderen en de doorgegeven persoonsgegevens niet meer actief zal verwerken.

2. De gegevensimporteur en de subverwerker garanderen dat zij op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit hun gegevensverwerkingsfaciliteiten zullen onderwerpen aan een audit van de in lid 1 genoemde maatregelen.

[1] Dwingende vereisten van de nationale wetgeving die van toepassing is op de gegevensimporteur en die niet verder gaan dan wat nodig is in een democratische samenleving op basis van een van de belangen opgesomd in artikel 13, lid 1, van Richtlijn 95/46/EG, namelijk is, indien zij een noodzakelijke maatregel vormen ter bescherming van de nationale veiligheid, defensie, de openbare veiligheid, het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de ethiek voor de gereglementeerde beroepen, een belangrijk economisch of financieel belang van de staat of de bescherming van de betrokkene of de rechten en vrijheden van anderen zijn niet in strijd met de standaardcontractbepalingen. Enkele voorbeelden van dergelijke verplichte vereisten die niet verder gaan dan wat nodig is in een democratische samenleving zijn onder meer internationaal erkende sancties, vereisten op het gebied van belastingrapportage of rapportagevereisten ter bestrijding van het witwassen van geld.


Bijlage 1 bij de Standaardcontractbepalingen

Gegevensexporteur

De gegevensexporteur is de entiteit die in de Gegevensverwerkingsovereenkomst als ‘Klant’ wordt geïdentificeerd

Gegevensimporteur

De gegevensimporteur is Simplenet Hosting SRL

Betrokkenen

De persoonsgegevens betreffen de categorieën betrokkenen zoals gedefinieerd in paragraaf 2.3.4. in de Verwerkersovereenkomst.

Categorieën gegevens

De persoonsgegevens betreffen de categorieën gegevens zoals gedefinieerd in paragraaf 2.3.5. in de Verwerkersovereenkomst.

Verwerkingshandelingen

De verwerkingen zijn gedefinieerd in artikel 2 van de Verwerkersovereenkomst.


Bijlage 2 bij de Standaardcontractbepalingen

Deze bijlage maakt deel uit van de artikelen. Door Diensten van Simplenet af te nemen en de Gegevensverwerkingsovereenkomst overeen te komen, worden de partijen geacht deze Bijlage 2 te hebben aanvaard en uitgevoerd.

Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur zijn geïmplementeerd in overeenstemming met clausules 4(d) en 5(c) (of bijgevoegd document/wetgeving):

De door de gegevensimporteur getroffen technische en organisatorische beveiligingsmaatregelen zijn zoals beschreven in de Verwerkersovereenkomst en Bijlage 2 Beveiligingsmaatregelen.


Bijlage 2

Beveiligingsmaatregelen

Simplenet implementeert en onderhoudt passende technische en organisatorische Beveiligingsmaatregelen voor de Verwerking van Persoonsgegevens, waaronder de maatregelen zoals uiteengezet in deze Bijlage 2 bij de Verwerkersovereenkomst. Deze maatregelen zijn bedoeld om Persoonsgegevens te beschermen tegen accidenteel of ongeoorloofd verlies, vernietiging, wijziging, openbaarmaking of toegang, en tegen alle andere onwettige vormen van Verwerking. Aanvullende maatregelen en informatie over dergelijke maatregelen, inclusief de specifieke beveiligingsmaatregelen en -praktijken voor de specifieke door de Klant bestelde Diensten, kunnen in de Overeenkomst worden gespecificeerd.  

Simplenet kan deze Beveiligingsmaatregelen van tijd tot tijd bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen niet resulteren in een verslechtering van de algehele veiligheid van de Diensten. 

De door Simplenet geïmplementeerde technische en organisatorische beveiligingsmaatregelen zijn in overeenstemming met clausules 4(c) en 5(c) van de standaardcontractbepalingen.

Personeel en vertrouwelijkheid

Simplenet zal redelijke stappen ondernemen om ervoor te zorgen dat niemand door Simplenet wordt aangesteld om Persoonsgegevens te verwerken, tenzij die persoon:

  1. bekwaam en gekwalificeerd is om de specifieke taken uit te voeren die hem door Simplenet zijn opgedragen;
  2. is geautoriseerd door Simplenet; En
  3. door Simplenet is geïnstrueerd over de vereisten die relevant zijn voor de nakoming van de verplichtingen van Simplenet onder deze artikelen, in het bijzonder het beperkte doel van de gegevensverwerking.

Simplenet-personeel moet zich gedragen op een manier die consistent is met de richtlijnen van het bedrijf met betrekking tot vertrouwelijkheid, bedrijfsethiek, gepast gebruik en professionele normen. Simplenet voert redelijk passende antecedentenonderzoeken uit voor zover wettelijk toegestaan ​​en in overeenstemming met de toepasselijke lokale arbeidswetten en wettelijke voorschriften. Het personeel is verplicht een vertrouwelijkheidsovereenkomst uit te voeren en moet de ontvangst en naleving van het vertrouwelijkheids- en privacybeleid van Simplenet bevestigen. Ze krijgen training en het personeel dat klantgegevens verwerkt, moet aan aanvullende vereisten voldoen die passen bij hun rol. 

Fysieke beveiliging 

Simplenet maakt gebruik van geografisch verspreide datacenters en slaat alle productiegegevens op in fysiek beveiligde datacenters. De productiedatacentra van Simplenet Sub-processor maken gebruik van maatregelen om de toegang tot gegevensverwerkingssystemen te beveiligen. Ze beschikken over een toegangssysteem dat de toegang tot het datacenter regelt. Met dit systeem heeft alleen geautoriseerd personeel toegang tot beveiligde gebieden. De faciliteiten zijn ontworpen om bestand te zijn tegen ongunstige weersomstandigheden en andere redelijk voorspelbare natuurlijke omstandigheden, worden 24 uur per dag beveiligd door bewakers, CCTV-bewaking, toegangscontrole en door escortes gecontroleerde toegang, en worden ook ondersteund door on-site back-upgeneratoren in de geval van een stroomstoring.

De elektrische energiesystemen van het datacenter zijn ontworpen om redundant en onderhoudbaar te zijn, zonder dat dit gevolgen heeft voor de continue 24/7 bedrijfsvoering. In de meeste gevallen wordt zowel een primaire als een alternatieve stroombron geleverd voor kritieke infrastructuurcomponenten in het datacenter. Back-upstroom wordt geleverd door verschillende mechanismen, zoals batterijen voor ononderbroken stroomvoorzieningen (UPS) of dieselgeneratoren die in staat zijn om elektrische noodstroomvoorziening of betrouwbare stroombescherming te bieden tijdens stroomonderbrekingen, stroomuitval, overspanning, onderspanning en buiten de tolerantie. frequentie omstandigheden.

Infrastructuursystemen zijn ontworpen om afzonderlijke storingspunten te elimineren en de impact van verwachte milieurisico's te minimaliseren. De productieapparatuur en faciliteiten van Simplenet Sub-processor hebben preventieve onderhoudsprocedures gedocumenteerd die het proces en de frequentie van de prestaties gedetailleerd beschrijven in overeenstemming met de specificaties van de fabrikant of interne. Preventief en correctief onderhoud van de datacenterapparatuur wordt gepland via een standaard wijzigingsproces volgens gedocumenteerde procedures.

Systeemtoegangscontrole

Simplenet-servers gebruiken een op Linux gebaseerde implementatie die is aangepast voor de Diensten. Simplenet maakt gebruik van een beoordelingsproces om de veiligheid van de besturingssystemen die worden gebruikt om de Diensten te leveren te vergroten en om de beveiligingsproducten in productieomgevingen te verbeteren.

Simplenet heeft en onderhoudt een veiligheidsbeleid voor het personeel. Het infrastructuur-, ontwikkelings- en ondersteuningspersoneel van Simplenet is verantwoordelijk voor het voortdurende toezicht op de beveiliging van de infrastructuur door Simplenet, de beoordeling van de Diensten en het reageren op beveiligingsincidenten.

De interne toegangsprocessen en het beleid van Simplenet zijn ontworpen om te voorkomen dat onbevoegde personen en/of systemen toegang krijgen tot systemen die worden gebruikt om klantgegevens, inclusief persoonlijke gegevens, te verwerken. Simplenet streeft ernaar zijn systemen zo te ontwerpen dat: (i) alleen geautoriseerde personen toegang krijgen tot de gegevens waartoe zij geautoriseerd zijn; en (ii) ervoor zorgen dat persoonlijke gegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens verwerking, gebruik en na registratie. Simplenet maakt gebruik van een toegangsbeheersysteem om de toegang van personeel tot productieservers te controleren en biedt alleen toegang aan geautoriseerd personeel. Afhankelijk van de specifieke bestelde Diensten kunnen onder meer het volgende worden toegepast: authenticatie via wachtwoorden en/of tweefactorauthenticatie, SSH-sleutels, autorisatieprocessen, wijzigingsbeheerprocessen, logische toegang tot de datacenters is beperkt en beschermd door een firewall /VLAN en loggen van toegang op verschillende niveaus. Het verlenen of wijzigen van toegangsrechten is gebaseerd op: de functieverantwoordelijkheden van het geautoriseerde personeel; functievereisten die nodig zijn om geautoriseerde taken uit te voeren; en een ‘need-to-know’-basis. Het verlenen of wijzigen van toegangsrechten moet ook in overeenstemming zijn met het interne beleid voor gegevenstoegang van Simplenet. 

Diensten Toegangscontrole

Klant en Eindgebruikers moeten zichzelf authenticeren via een authenticatiesysteem om de Diensten te kunnen gebruiken. Elke applicatie controleert de inloggegevens om de weergave van gegevens aan een geautoriseerde Eindgebruiker mogelijk te maken.

Afhankelijk van de specifieke bestelde Diensten kunnen onder meer het volgende worden toegepast: authenticatie via wachtwoorden en/of tweefactorauthenticatie, SSH-sleutels, autorisatieprocessen, wijzigingsbeheerprocessen en loggen van toegang op verschillende niveaus. Afhankelijk van de specifieke bestelde Diensten kunnen de volgende controles ook van toepassing zijn: unieke identificatiegegevens worden toegekend aan de verantwoordelijke persoon, toegangsmechanismen worden ingetrokken bij opeenvolgende mislukte inlogpogingen en uitsluitingsperioden, mechanismen voor het verlopen en opnieuw instellen van wachtwoorden, vereisten voor wachtwoordcomplexiteit.

Gegevenstoegangscontrole 

Simplenet slaat gegevens op in een multi-tenantomgeving, wat betekent dat de implementaties van meerdere klanten op dezelfde fysieke hardware worden opgeslagen. Simplenet maakt gebruik van logische isolatie om de gegevens van elke Klant te scheiden en scheidt de gegevens van elke Klant logisch van die van anderen. Dit zorgt voor schaalgrootte en verhindert tegelijkertijd rigoureus dat klanten toegang krijgen tot elkaars gegevens.

De Klant krijgt controle over specifieke controles voor het delen van toegang tot de gegevens met Eindgebruikers voor specifieke doeleinden in overeenstemming met de functionaliteit van de Services. De Klant kan ervoor kiezen om van deze controles gebruik te maken. Simplenet stelt bepaalde logmogelijkheden beschikbaar.

Directe toegang tot klantgegevens is beperkt en indien dit vereist is, worden toegangsrechten alleen ingesteld en afgedwongen voor correct geautoriseerd personeel, naast de regels voor toegangscontrole die in de voorgaande paragrafen zijn uiteengezet. 

Transmissiecontrole

Datacenters zijn doorgaans verbonden via snelle privéverbindingen om veilige en snelle gegevensoverdracht tussen datacenters te bieden. Dit is bedoeld om te voorkomen dat gegevens zonder toestemming worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens elektronische overdracht of transport of terwijl ze worden vastgelegd op gegevensopslagmedia of worden uitgewisseld binnen het datacenter. 

Voor gegevens die onderweg zijn, gebruikt Simplenet industriestandaard transportprotocollen zoals SSL en TLS tussen apparaten van de Klant en de Services en datacentra van Simplenet, en binnen de datacentra zelf. Tenzij anders aangegeven voor de Diensten (inclusief binnen de Bestelling, de toepasselijke Overeenkomst of de Gebruikersdocumentatie van de Diensten), worden gegevensoverdrachten buiten de Dienstomgeving gecodeerd. Sommige functionaliteiten van de Diensten kunnen de Klant in staat stellen om te kiezen voor niet-gecodeerde communicatie bij het gebruik van de Dienst. De Klant is als enige verantwoordelijk voor de gevolgen van zijn beslissing om dergelijke niet-gecodeerde communicatie of transmissies te gebruiken. 

Invoercontrole

De bron van Persoonsgegevens staat onder controle van de Klant en de integratie van Persoonsgegevens in het systeem wordt beheerd door middel van beveiligde bestandsoverdracht, via webservices of ingevoerd in de applicatie van de Klant. Zoals uiteengezet in het onderdeel Transmissiecontrole hierboven, staan ​​sommige functionaliteiten van de Services Klanten toe om niet-gecodeerde protocollen voor bestandsoverdracht te gebruiken. In dergelijke gevallen is de Klant als enige verantwoordelijk voor zijn beslissing om dergelijke niet-gecodeerde veldoverdrachtprotocollen te gebruiken. 

De Services introduceren geen virussen in Klantgegevens; de Services scannen echter niet op virussen die kunnen zijn opgenomen in bijlagen of andere Persoonsgegevens die door de Klant naar de Services zijn geüpload. Dergelijke geüploade bijlagen worden niet uitgevoerd in de Services en zullen daarom de Service niet beschadigen of compromitteren.

Netwerkcontrole

Simplenet blokkeert ongeautoriseerd verkeer naar en binnen de datacenters met behulp van een verscheidenheid aan technologieën, zoals firewalls, NAT's, gepartitioneerde Local Area Networks en fysieke scheiding van back-endservers van openbare interfaces.

Simplenet maakt gebruik van meerdere lagen netwerkapparaten en inbraakdetectie om het externe aanvalsoppervlak te beschermen. Simplenet houdt rekening met potentiële aanvalsvectoren en integreert geschikte, speciaal gebouwde technologieën in naar buiten gerichte systemen.

Simplenet en geautoriseerd personeel zullen de Services controleren op ongeoorloofde inbraak met behulp van netwerkgebaseerde inbraakdetectiemechanismen. Inbraakdetectie is bedoeld om inzicht te geven in lopende aanvalsactiviteiten en om adequate informatie te verschaffen om op incidenten te kunnen reageren. De inbraakdetectie van Simplenet omvat een strikte controle van het aanvalsoppervlak voor netwerkcommunicatie door middel van preventieve maatregelen zoals firewalls, het gebruik van intelligente detectiecontroles op gegevensinvoerpunten en het gebruik van technologieën die automatisch bepaalde gevaarlijke situaties verhelpen.

Reactie op incidenten

Simplenet onderhoudt beleid en procedures voor het beheer van beveiligingsincidenten en bewaakt een verscheidenheid aan communicatiekanalen voor beveiligingsincidenten. Het personeel van Simplenet zal onmiddellijk reageren op bekende incidenten en zal de Klant onmiddellijk op de hoogte stellen indien Simplenet zich bewust wordt van een daadwerkelijke of redelijkerwijs vermoede ongeoorloofde openbaarmaking van Persoonsgegevens.

Systeemlogboeken

Simplenet zorgt ervoor dat de verwerkingssystemen die worden gebruikt om klantgegevens op te slaan, loggegevens opslaan in hun respectieve systeemlogboekfaciliteit. Logboekvermeldingen worden bijgehouden voor het geval er een vermoeden bestaat van ongepaste toegang en een analyse vereist is. De logboekregistratie wordt veilig bewaard om manipulatie te voorkomen.

Betrouwbaarheid en back-up

Voor de Diensten zorgt Simplenet ervoor dat er regelmatig back-ups worden gemaakt. Back-ups worden beveiligd met een combinatie van technische en fysieke controles. 

Simplenet zorgt ervoor dat de systemen waarop klantgegevens worden opgeslagen een noodherstelfaciliteit hebben en onder een noodherstelplan vallen. In het geval dat productiefaciliteiten onbeschikbaar worden, zal Simplenet herstelplannen uitvoeren om de werking tijdig te herstellen. Simplenet heeft zijn noodherstelplannen ontworpen, plant en test deze regelmatig.

Gegevensvernietiging

Wanneer klanten gegevens verwijderen of de Dienst verlaten, zorgt Simplenet ervoor dat de gegevens worden verwijderd volgens de voorwaarden in de toepasselijke Overeenkomst. Voor bepaalde schijven volgt Simplenet strikte, strenge normen die vereisen dat opslagbronnen worden overschreven voordat ze opnieuw worden gebruikt, en dat buiten gebruik gestelde hardware fysiek wordt afgevoerd. De productiedatacentra van Simplenet Sub-processor maken gebruik van strikte procedures voor hergebruik, herimplementatie, gegevensvernietiging en buitengebruikstelling van schijven en hardware.

Beveiliging van subverwerkers

Voordat Subverwerkers worden ingeschakeld, voert Simplenet een audit uit van de beveiligings- en privacypraktijken van Subverwerkers om ervoor te zorgen dat Subverwerkers een niveau van beveiliging en privacy bieden dat past bij hun toegang tot gegevens en de reikwijdte van de diensten die zij moeten leveren. De Subverwerker is verplicht om passende contractvoorwaarden op het gebied van beveiliging, vertrouwelijkheid en privacy aan te gaan.

Systeemwijzigingen en verbeteringen

Simplenet kan gedurende de looptijd van de Overeenkomst wijzigingen in de Diensten verbeteren en doorvoeren. Beveiligingscontroles, procedures, beleid en functies kunnen veranderen of worden toegevoegd. Simplenet zal beveiligingscontroles bieden die een niveau van beveiligingsbescherming bieden dat niet wezenlijk lager is dan het niveau dat vanaf de Ingangsdatum wordt geboden.


Bijlage 3: Lijst van Subverwerkers

Beschikbaar op aanvraag.

Engels