Gegevensverwerking & Privacy

ARTIKEL 1. INLEIDING

1.1. Deze bepalingen regelen de voorwaarden voor de verwerking en veiligheid van Klantgegevens onder de Overeenkomst.

ARTIKEL 2. DEFINITIES

2.1. Woorden / termen die niet worden gedefinieerd in deze bepalingen, hebben de betekenis die in de Overeenkomst is uiteengezet.

2.1.1. Aanvullende beveiligingsmaatregelen: Beveiligingsbronnen, functies, functionaliteit en / of besturingselementen die de Klant mag gebruiken naar eigen goeddunken en andere functies en / of functionaliteit van de Diensten, zoals versleuteling, logregistratie en bewaking, identiteits- en toegangsbeheer, beveiligingsscans en firewalls.

2.1.2. Overeengekomen aansprakelijkheidsbeperking: Het maximale bedrag waarbij de aansprakelijkheid van een partij wordt beperkt in het kader van de Overeenkomst, ofwel per periode of gebeurtenis die aanleiding geeft tot aansprakelijkheid.

2.1.3. Alternatieve overdrachtsoplossing: Een oplossing, anders dan de modelcontractbepalingen, die de wettige overdracht van persoonsgegevens naar een derde land mogelijk maakt in overeenstemming met artikel 45 of 46 van de AVG.

2.1.4. Klantgegevens: Deze hebben de betekenis die wordt gegeven in de Overeenkomst met de Klant of, als een dergelijke betekenis niet wordt gegeven, zijn dit gegevens die worden verstrekt door of namens de Klant of Eindgebruiker.

2.1.5. Eindgebruiker: Heeft de betekenis die wordt gegeven in de Overeenkomst met de Klant of, indien die betekenis niet wordt gegeven, is dit de Klant, de natuurlijke persoon of rechtspersoon die als eindgebruiker met Weepee de Overeenkomst sluit.

2.1.6. Persoonsgegevens: Dit zijn alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

2.1.7. Gegevensincident: Een inbreuk op de beveiliging van Weepee en/of haar Leveranciers die leidt tot de accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Klantgegevens op systemen die worden beheerd door of anderszins gecontroleerd door Weepee (en/of haar Leveranciers). “Gegevensincidenten” omvatten geen mislukte pogingen of activiteiten die de veiligheid van Klantgegevens niet in gevaar brengen, waaronder onsuccesvolle inlogpogingen, pings, poortscans, denial of service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.

2.1.8. EER: De Europese Economische Ruimte.

2.1.9. Europese wetgeving inzake gegevensbescherming: Voor zover van toepassing:

(a) AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming, ook wel GDPR);

(b) Privacywet: De Wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

2.1.10. Modelcontractbepalingen: Modelcontractbepalingen (MCC’s) zijn de standaardbepalingen inzake gegevensbescherming voor de doorgifte van persoonsgegevens aan verwerkers die zijn gevestigd in derde landen en die niet zorgen voor een passend niveau van gegevensbescherming, zoals beschreven in artikel 46 van de AVG.

2.1.11. Niet-Europese wetgeving inzake gegevensbescherming: (Privacy)wetgeving anders dan de Europese wetgeving inzake gegevensbescherming.

2.1.12. E-mail: Het e-mailadres dat door de Klant is opgegeven voor het gebruik van de Diensten en waarop de Klant bepaalde meldingen van Weepee kan ontvangen.

2.1.13. Beveiligingsmaatregelen: De betekenis die wordt gegeven in artikel 7.1.

2.1.14. Sub verwerkers: Derde partijen die op grond van deze Voorwaarden geautoriseerd zijn om toegang te hebben tot Klantgegevens en deze te verwerken teneinde de Diensten te kunnen leveren.

2.1.15. Termijn van de Overeenkomst: De periode vanaf de ingangsdatum van de Overeenkomst tot het einde van de levering van de Diensten door Weepee, inclusief, indien van toepassing, een periode waarin de levering van de Diensten kan worden opgeschort en enige periode na afloop waarin Weepee de Diensten kan blijven leveren voor overgangsdoeleinden.

2.2. De termen “persoonlijke gegevens / Persoonsgegevens”, “betrokkene”, “verwerking”, “verantwoordelijke”, “verwerker” en “toezichthoudende autoriteit” zoals gebruikt in deze bepalingen hebben de betekenis zoals aangegeven in de AVG, en de termen “gegevensimporteur” en “Gegevensexporteur” hebben de betekenis die wordt gegeven in de modelcontractbepalingen, ongeacht of de Europese wetgeving inzake gegevensbescherming of de niet-Europese wetgeving inzake gegevensbescherming van toepassing is.

ARTIKEL 3. DUUR VAN DEZE BEPALINGEN

3.1. Deze bepalingen blijven van kracht, ondanks het verstrijken van de afgesproken termijn van de Diensten en vervallen automatisch na het verwijderen van alle Klantgegevens door Weepee zoals beschreven in deze bepalingen.

ARTIKEL 4. TOEPASSINGSGEBIED WETGEVING INZAKE GEGEVENSBESCHERMING

4.1. De partijen erkennen en stemmen ermee in dat de Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van persoonsgegevens van de Klant, in het geval:

(a) De verwerking wordt uitgevoerd in het kader van de activiteiten van een vestiging van de Klant op het grondgebied van de EER; en / of

(b) De persoonsgegevens van de Klant betreffen betrokkenen die zich in de EER bevinden en de verwerking heeft betrekking op het aanbieden aan hen van goederen of diensten in de EER of het monitoren van deze in de EER.

4.2. De partijen erkennen en stemmen ermee in dat niet-Europese wetgeving inzake gegevensbescherming ook van toepassing kan zijn op de verwerking van persoonsgegevens van de Klant.

4.3. Behalve in de mate waarin deze bepalingen iets anders voorschrijven, zijn deze bepalingen van toepassing ongeacht of de Europese wetgeving voor gegevensbescherming of niet-Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van persoonsgegevens van de Klant.

ARTIKEL 5. GEGEVENSVERWERKING

5.1. Rollen en naleving van wet- en regelgeving.

5.1.1. Als de Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van persoonsgegevens van de Klant, erkennen de partijen en komen zij overeen dat:

(a) Het onderwerp en de details van de verwerking worden beschreven in Bijlage 1;

(b) Weepee een verwerker van de persoonsgegevens van de Klant is volgens de Europese wetgeving inzake gegevensbescherming;

(c) De Klant een verwerkingsverantwoordelijke of verwerker, naargelang van toepassing, is van die persoonsgegevens van de Klant volgens de Europese Wetgeving inzake gegevensbescherming; en

(d) Elke partij zal voldoen aan de verplichtingen die op haar rusten krachtens de Europese wetgeving inzake gegevensbescherming met betrekking tot de verwerking van die persoonsgegevens van de Klant.

5.1.2. Als de Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van persoonsgegevens van de Klant en de Klant is een verwerker, dan garandeert de Klant aan Weepee dat de instructies en acties van de Klant met betrekking tot de persoonsgegevens van die Klant, inclusief de benoeming van Weepee als een andere verwerker, zijn toegestaan door de relevante verwerkingsverantwoordelijke.

5.1.3. Als niet-Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking door beide partijen van persoonsgegevens van de Klant, erkennen en accepteren de partijen dat de betreffende partij voldoet aan alle verplichtingen die krachtens die wetgeving op haar rusten met betrekking tot de verwerking van de persoonsgegevens van de Klant.

5.2. Omvang van de verwerking.

5.2.1. Via deze bepalingen geeft de Klant aan Weepee de opdracht om persoonsgegevens van de Klant alleen te verwerken in overeenstemming met de toepasselijke wetgeving: (a) om de Diensten te verlenen; (b) zoals verder gespecificeerd door het gebruik van de Diensten door de Klant (inclusief alle functionaliteiten van de Diensten); (c) zoals gedocumenteerd in de Overeenkomst, inclusief deze bepalingen; en (d) zoals verder gedocumenteerd in andere schriftelijke instructies door de Klant en door Weepee erkend als instructies in de zin van deze bepalingen.

5.2.2. Weepee zal voldoen aan de instructies die worden beschreven in bepaling 5.2.1 tenzij EU-wetgeving of nationale wetgeving waaraan Weepee is onderworpen, een andere verwerking van persoonsgegevens van de Klant door Weepee vereist, in welk geval Weepee de Klant (tenzij de wet Weepee verbiedt dit te doen om belangrijke redenen van openbaar belang) op de hoogte zal brengen via het e-mailadres dat werd opgegeven door de Klant voor het gebruik van de Diensten.

ARTIKEL 6. VERWIJDEREN VAN GEGEVENS

6.1. Verwijdering door de Klant. Weepee stelt de Klant in staat om Klantgegevens tijdens de duur van de Overeenkomst te verwijderen op een manier die consistent is met de functionaliteit van de Diensten. Als de Klant de Diensten gebruikt om de Klantgegevens tijdens de duur van de Overeenkomst te verwijderen en deze Klantgegevens kunnen niet door de Klant worden hersteld, dan vormt dit gebruik een instructie aan Weepee om de relevante Klantgegevens uit de systemen van Weepee te verwijderen in overeenstemming met de toepasselijke wetgeving. Weepee zal deze instructies, zo snel als redelijkerwijs mogelijk is, naleven en dit binnen een periode van maximaal 180 dagen, tenzij EU-wetgeving of nationale wetgeving opslag vereist.

6.2. Verwijderen bij beëindiging. Na het verstrijken van de duur van de Overeenkomst geeft de Klant Weepee de opdracht om alle Klantgegevens (inclusief bestaande kopieën) uit de systemen van Weepee te verwijderen in overeenstemming met de toepasselijke wetgeving. Weepee zal, na een recovery termijn van maximaal 30 dagen, deze instructie zo snel als redelijkerwijs haalbaar en binnen een periode van maximaal 180 dagen naleven, tenzij EU-wetgeving of nationale wetgeving opslag vereist. Zonder afbreuk te doen aan artikel 9, erkent de Klant en stemt deze ermee in dat de Klant verantwoordelijk zal zijn voor het exporteren, voor het verstrijken van voornoemde termijnen, van Klantgegevens die hij achteraf wenst te behouden.

ARTIKEL 7. BEVEILIGING VAN GEGEVENS

7.1. Beveiligingsmaatregelen, controles en ondersteuning van Weepee.

7.1.1. Weepee zal technische en organisatorische maatregelen implementeren en handhaven om Klantgegevens te beschermen tegen onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of toegang zoals beschreven in Bijlage 2. Zoals beschreven in bijlage 2, bevatten de beveiligingsmaatregelen maatregelen om persoonsgegevens te versleutelen; om te zorgen voor permanente vertrouwelijkheid, integriteit, beschikbaarheid en flexibiliteit van de systemen en Diensten van Weepee; om te helpen bij het herstellen van tijdige toegang tot persoonsgegevens na een incident; en het regelmatig testen van de effectiviteit van deze maatregelen. Weepee kan de beveiligingsmaatregelen van tijd tot tijd bijwerken of wijzigen op voorwaarde dat dergelijke updates en wijzigingen niet leiden tot verlaging van de algehele beveiliging van de Diensten.

7.1.2. Weepee neemt passende maatregelen om ervoor te zorgen dat de beveiligingsmaatregelen van haar werknemers, leveranciers en sub-verwerkers worden nageleefd voor zover dit van toepassing is op hun prestaties, met inbegrip van het garanderen dat alle personen die gemachtigd zijn om persoonsgegevens van Klanten te verwerken zich hebben verplicht tot geheimhouding of wettelijke verplichting tot vertrouwelijkheid.

7.1.3. De Klant gaat ermee akkoord dat Weepee (rekening houdend met de aard van de verwerking van de persoonsgegevens van de Klant en de informatie die beschikbaar is voor Weepee) de Klant helpt bij het nakomen van de verplichtingen van de Klant met betrekking tot de beveiliging van persoonsgegevens en inbreuken op persoonsgegevens, inclusief (indien van toepassing) de verplichtingen van de Klant uit hoofde van de artikelen 32 tot en met 34 van de AVG, door:

(a) Het implementeren en onderhouden van de beveiligingsmaatregelen in overeenstemming met bepaling 7.1.1.;

(b) Voldoen aan de voorwaarden van artikel 7.2; en

(c) De Klant Beveiligingsdocumentatie verstrekken in overeenstemming met artikel 7.5. en de informatie vervat in de Overeenkomst inclusief deze bepalingen.

7.2. Gegevensincidenten.

7.2.1. Als Weepee een gegevensincident ontdekt, zal Weepee: (a) de Klant onmiddellijk en zonder onnodige vertraging op de hoogte stellen van het gegevensincident nadat zij op de hoogte was van het gegevensincident; en (b) onmiddellijk alle redelijke stappen ondernemen om de schade te beperken en Klantgegevens te beveiligen.

7.2.2. Kennisgevingen die worden gedaan in overeenstemming met deze bepalingen onder artikel 7.2. beschrijven, voor zover mogelijk, details over het gegevensincident, inclusief de stappen die zijn genomen om de potentiële risico’s te beperken en stappen die Weepee aanbeveelt aan de Klant om het gegevensincident aan te pakken.

7.2.3. Meldingen van elk gegevensincident zullen worden afgeleverd op het e-mailadres dat werd opgegeven door de Klant voor het gebruik van de Diensten of, naar keuze van Weepee, door directe communicatie (bijvoorbeeld via een telefoongesprek of een persoonlijk gesprek). De Klant is als enige verantwoordelijk voor het garanderen dat het e-mailadres voor het gebruik van de Diensten (dat voor deze meldingen wordt gebruikt) actueel en geldig is.

7.2.4. Weepee gaat niet na of de inhoud van Klantgegevens onderworpen is aan specifieke wettelijke vereisten. De Klant is als enige verantwoordelijk voor het naleven van de wetgeving inzake kennisgeving van incidenten die van toepassing is op de Klant en voor het nakomen van kennisgevingsverplichtingen van of aan derden met betrekking tot een of meer gegevensincidenten.

7.2.5. Kennisgeving van Weepee betreffende een gegevensincident onder deze bepalingen van artikel 7.2. zal niet worden opgevat als een bevestiging door Weepee van enige fout of aansprakelijkheid met betrekking tot het gegevensincident.

7.3. Veiligheidsverantwoordelijkheden van de Klant.

7.3.1. De Klant gaat ermee akkoord dat, onverminderd de verplichtingen van Weepee op grond van de bepalingen onder 7.1. en 7.2.:

(a) De Klant als enige verantwoordelijk is voor zijn gebruik van de Diensten, waaronder:

(i) Passend gebruik maken van de Diensten en beveiligingsmaatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico met betrekking tot de Klantgegevens;

(ii) Het beveiligen van de authenticatiegegevens, systemen en apparaten die de Klant gebruikt om toegang te krijgen tot de Diensten;

(iii) Een back-up maken van zijn Klantgegevens; en

(b) Weepee is niet verplicht die Klantgegevens te beschermen die de Klant opslaat of overdraagt buiten het systeem van Weepee (bijvoorbeeld offline of lokale opslag).

7.3.2. Beveiligingsbeoordeling door de Klant.

(a) De Klant is als enige verantwoordelijk voor het controleren van de Beveiligingsdocumentatie en het zelf beoordelen of de Diensten, de Beveiligingsmaatregelen en de toezeggingen van Weepee onder artikel 7 zullen voldoen aan de behoeften van de Klant (inclusief eventuele beveiligingsverplichtingen van de Klant onder de Europese wetgeving inzake gegevensbescherming en / of nationale wetgeving inzake gegevensbescherming.

(b) De Klant erkent en stemt ermee in (rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking van persoonsgegevens van de Klant, alsook de risico’s voor individuen) dat de beveiligingsmaatregelen geïmplementeerd en onderhouden door Weepee zoals uiteengezet in artikel 7.1.1. een beveiligingsniveau bieden dat is afgestemd op het risico met betrekking tot de Klantgegevens.

7.4. Weepee’s Datacenter Leveranciers zullen, om de voortdurende effectiviteit van de beveiligingsmaatregelen te evalueren en te helpen garanderen, zorgen voor het behoud van de ISO 27001-certificering, ISO 27017-certificering en ISO 27018-certificering.

7.5. Beoordeling en audit.

7.5.1. Controlerechten van de klant.

(a) Als de Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van persoonsgegevens van de Klant, zal Weepee de Klant of een door de Klant aangewezen onafhankelijke controleur toestaan om een controle uit te voeren om na te gaan of Weepee voldoet aan haar verplichtingen onder deze bepalingen in overeenstemming met artikel 7.5.3. Weepee zal bijdragen aan dergelijke controles zoals beschreven in dit artikel 7.5.

(b) Als de Klant modelcontractbepalingen heeft gesloten zoals beschreven in artikel 10.2. (Overdracht van gegevens uit de EER), zal Weepee, onverminderd de controlerechten van een toezichthoudende autoriteit krachtens dergelijke modelcontractbepalingen, de Klant of een door hem aangestelde onafhankelijke controleur toestaan om controles uit te voeren zoals beschreven in de Modelcontractbepalingen in overeenstemming met artikel 7.5.3.

7.5.3. Aanvullende voorwaarden voor beoordelingen en controles.

(a) De Klant moet een aanvraag voor een audit onder artikel 7.5.2. (a) of 7.5.2. (b) verzenden naar Weepee zoals beschreven in artikel 12.

(b) Na ontvangst door Weepee van een verzoek op grond van artikel 7.5.3 (a), zullen Weepee en de Klant van tevoren bespreken en het eens zijn over de redelijke startdatum, reikwijdte en duur van beveiligings- en vertrouwelijkheidscontroles die van toepassing zijn op elke audit krachtens artikel 7.5.2. (a) of 7.5.2. (b).

(c) Weepee kan kosten in rekening brengen (op basis van de redelijke kosten die worden gemaakt door Weepee) voor elke audit onder artikel 7.5.2. (a) of 7.5.2. (b). Weepee zal de Klant verdere informatie verstrekken over eventuele toepasselijke kosten, en de basis voor de berekening, voorafgaand aan een dergelijke beoordeling of controle. De Klant is verantwoordelijk voor alle kosten die in rekening worden gebracht door een controleur die door de Klant is aangesteld om een dergelijke controle uit te voeren.

(d) Weepee kan schriftelijk bezwaar maken tegen een door de Klant aangewezen controleur om een controle uit hoofde van Paragraaf 7.5.2. (a) of 7.5.2. (b) uit te voeren als de controleur naar het redelijk oordeel van Weepee niet voldoende gekwalificeerd of onafhankelijk is, een concurrent van Weepee is of anderszins kennelijk ongeschikt is. Voor elk bezwaar van Weepee is vereist dat de Klant een andere controleur benoemt of de controle zelf uitvoert.

7.5.4. Niets in dit artikel 7.5. wijzigt eventuele rechten of verplichtingen van de Klant of Weepee volgens enige Modelcontractbepalingen die kunnen zijn aangegaan zoals beschreven in artikel 10.2.

ARTIKEL 8. GEGEVENSBESCHERMINGSEFFECTBEOORDELINGEN

8.1. De Klant gaat ermee akkoord dat Weepee (rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor Weepee) de Klant helpt bij het nakomen van de verplichtingen van de Klant met betrekking tot gegevensbeschermingseffectbeoordelingen overeenkomstig artikels 35 en 36 van de AVG, door het verstrekken van de informatie vervat in de Overeenkomst inclusief deze bepalingen.

ARTIKEL 9. RECHTEN VAN BETROKKENEN

9.1. Gedurende de Looptijd van de Overeenkomst zal Weepee, op een wijze die consistent is met de functionaliteit van de Diensten, de Klant in staat stellen de Klantgegevens te openen, te corrigeren en de verwerking ervan te beperken, inclusief het verwijderen ervan zoals beschreven in artikel 6. Ook dient de Klant de mogelijkheid te hebben om deze Klantgegevens te exporteren.

9.2. Verzoeken van betrokkenen.

9.2.1. Als Weepee gedurende de looptijd van de Overeenkomst een verzoek ontvangt van een betrokkene met betrekking tot persoonsgegevens van de Klant, zal Weepee de betrokkene adviseren om zijn verzoek bij de Klant in te dienen en is de Klant verantwoordelijk voor het reageren op een dergelijk verzoek.

9.2.2. De Klant gaat ermee akkoord dat Weepee de Klant helpt bij het voldoen aan de verplichting om te reageren op verzoeken van betrokkenen, inclusief de verplichting van de Klant om te reageren op verzoeken van een betrokkene zoals bepaald in hoofdstuk III van de AVG, door het nakomen van de toezeggingen uiteengezet in artikel 9.1. en artikel 9.2.1.

ARTIKEL 10. OVERDRACHT VAN GEGEVENS

10.1. Overdracht van gegevens buiten de EER.

10.1.1. Als de opslag en / of verwerking van persoonsgegevens van de Klant gepaard gaat met overdracht van Klantgegevens uit de EER, en de Europese gegevensbeschermingswetgeving van toepassing is op de overdracht van dergelijke gegevens, zal Weepee:

(a) Indien de Klant hierom verzoekt, ervoor zorgen dat Weepee als de gegevensimporteur van de Overgedragen Persoonsgegevens modelcontractclausules aangaat met de Klant als gegevensexporteur van dergelijke gegevens, en dat de overdracht plaatsvindt in overeenstemming met dergelijke modelcontractbepalingen; en / of

(b) Een alternatieve overdrachtsoplossing bieden, zorgen dat de overdracht plaatsvindt in overeenstemming met dergelijke alternatieve overdrachtsoplossing en informatie beschikbaar stellen aan de Klant over dergelijke alternatieve overdrachtsoplossing.

10.1.2. Met betrekking tot Overgedragen persoonsgegevens gaat de Klant ermee akkoord dat:

(a) Indien als gevolg van de Europese wetgeving inzake gegevensbescherming Weepee redelijkerwijs vereist dat de Klant Modelcontractbepalingen met betrekking tot dergelijke overdrachten aangaat, zal de Klant dit doen; en

(b) Als krachtens de Europese wetgeving inzake gegevensbescherming Weepee redelijkerwijs van de Klant kan eisen dat hij een door Weepee aangeboden alternatieve overdrachtsoplossing gebruikt en redelijkerwijs verzoekt dat de Klant actie onderneemt (inclusief de uitvoering van documenten) die strikt vereist is om een dergelijke oplossing uitvoering te geven, dan zal de klant dit doen.

10.2. Een overzicht van de door Weepee en haar leveranciers gebruikte Datacenter locaties wordt gegeven in Bijlage 3. Deze bijlage kan van tijd tot tijd aangepast worden door Weepee.

10.3. Als de Klant Modelcontractbepalingen heeft gesloten zoals beschreven in artikel 10.1., zal Weepee, niettegenstaande enige andersluidende bepaling in de Overeenkomst, ervoor zorgen dat elke openbaarmaking van de vertrouwelijke informatie van de Klant die Persoonsgegevens bevat en kennisgevingen met betrekking tot dergelijke onthullingen, zullen worden gedaan in overeenstemming met dergelijke Modelcontractbepalingen.

ARTIKEL 11. VERWERKING DOOR WEEPEE PARTNERS EN LEVERANCIERS

11.1. De Klant geeft specifiek toestemming dat Weepee Partners en leveranciers gegevens kunnen verwerken als sub-verwerkers. Bovendien geeft de Klant de toestemming voor het inschakelen van andere derden als sub-verwerkers. Als de klant Modelcontractbepalingen heeft gesloten zoals beschreven in artikel 10.1., worden de aldaar door de Klant gegeven toestemmingen gezien als voorafgaande schriftelijke toestemming van de Klant voor de uitbesteding door Weepee van de verwerking van Klantgegevens als een dergelijke toestemming vereist is krachtens de Modelcontractbepalingen.

11.2. Een overzicht van de Leveranciers van Weepee die kunnen fungeren als sub-verwerker is beschikbaar in Bijlage 3 bij deze bepalingen. Deze bijlage kan van tijd tot tijd aangepast worden door Weepee.

11.3. Bij het inschakelen van een sub-verwerker, zal Weepee verzekeren dat, indien de AVG van toepassing is op de verwerking van persoonsgegevens van de Klant, de verplichtingen inzake gegevensbescherming uiteengezet in Artikel 28 (3) van de AVG, zoals beschreven in deze Voorwaarden, worden opgelegd aan de sub-verwerker. Weepee zal aansprakelijk blijven voor alle verplichtingen uitbesteed aan, en alle handelingen en nalatigheden van de sub-verwerker.

ARTIKEL 12. VERWERKING EN BIJHOUDEN VAN DATA

12.1. De Klant erkent dat Weepee krachtens de AVG verplicht is (a) Gegevens over bepaalde informatie te verzamelen en bij te houden, inclusief de naam en contactgegevens van elke verwerker en / of verwerkingsverantwoordelijke namens welke Weepee handelt en, waar van toepassing, van die verwerkers of de plaatselijke vertegenwoordiger van de verwerkingsverantwoordelijke en data protection officer; en (b) Deze informatie ter beschikking te stellen van de toezichthoudende overheid. Als de AVG van toepassing is op de verwerking van persoonsgegevens van de Klant, zal de Klant desgewenst dergelijke informatie aan Weepee verstrekken via de wijze die door Weepee wordt aangeleverd, en zal hij ervoor zorgen dat alle de verstrekte informatie accuraat en actueel wordt gehouden.

ARTIKEL 13. AANSPRAKELIJKHEID

13.1. Niets in deze bepalingen heeft invloed op de overige bepalingen in de Overeenkomst met betrekking tot aansprakelijkheid

ARTIKEL 14. DIVERSE BEPALINGEN

14.1. Indien een van deze bepalingen of de toepassing ervan voor om het even welke Partij of omstandigheid, op gelijk welk niveau onuitvoerbaar zou worden of zijn, zal dat aan de Overeenkomst met de Klant geen afbreuk doen.

14.2. In het geval van een discrepantie tussen deze bepalingen en de Overeenkomst zullen, wat de verwerking van Persoonsgegevens betreft, deze bepalingen primeren. Voor het overige zal steeds de Overeenkomst met de Klant primeren volgens hetgeen daarin werd bepaald.

BIJLAGE 1. ONDERWERP EN DETAILS VAN DE GEGEVENSVERWERKING

Onderwerp: Weepee’s levering van de Diensten aan de Klant.

Duur van de verwerking: De duur van de Overeenkomst plus de periode vanaf het verstrijken van de duur van de Overeenkomst tot het verwijderen van alle Klantgegevens door Weepee in overeenstemming met de Overeenkomst, deze bepalingen en wettelijke bepalingen.

Aard en doel van de gegevensverwerking: Weepee zal persoonsgegevens van de Klant verwerken met het doel de Diensten aan de Klant te leveren in overeenstemming met de Overeenkomst.

Gegevenscategorieën: Gegevens met betrekking tot personen die aan Weepee worden geleverd via de Diensten, door (of op aansturen van) de Klant of door Eindgebruikers van de Klant.

Gegevens betrokkenen: Betrokkenen omvatten de personen waarover gegevens aan Weepee worden verstrekt via de Diensten door (of op aansturen van) de Klant of door Eindgebruikers van de Klant.

BIJLAGE 2. BEVEILIGINGSMAATREGELEN

Weepee zal de beveiligingsmaatregelen zoals uiteengezet in deze bijlage 2 implementeren en handhaven. Weepee kan dergelijke beveiligingsmaatregelen van tijd tot tijd bijwerken of wijzigen op voorwaarde dat dergelijke wijzigingen niet leiden tot verslechtering van de algehele beveiliging van de Diensten.

1. Datacenter en netwerkbeveiliging

(a) Datacenters

Weepee’s Datacenter Leveranciers onderhouden geografisch verspreide datacenters. Weepee slaat via haar Datacenter Leveranciers alle productiegegevens op in fysiek beveiligde datacenters.

De Infrastructuursystemen zijn ontworpen om single points of failure zo veel als mogelijk te elimineren en de impact van verwachte risico’s te minimaliseren. De Diensten zijn zo ontworpen dat Weepee in staat is bepaalde soorten preventief en correctief onderhoud uit te voeren zonder onderbreking. Preventief en correctief onderhoud van de datacenter apparatuur wordt gepland volgens een standaard veranderingsproces en volgens de gedocumenteerde procedures van Weepee’s Datacenter Leveranciers.

De datacenters zijn voorzien van elektrische systemen die ontworpen zijn om redundant werkend te blijven, 24 uur per dag, 7 dagen per week. In de meeste gevallen wordt een primaire en een alternatieve voedingsbron, elk met dezelfde capaciteit, geleverd voor kritieke infrastructuurcomponenten in het datacenter. Back-up stroom wordt geleverd door verschillende mechanismen, zoals UPS-batterijen (uninterruptible power supplies) en dieselgeneratoren, die consistente betrouwbare stroombeveiliging bieden tijdens brownouts, black-outs, overspanning, onderspanning, …

Weepee systemen gebruiken een op Linux gebaseerde implementatie die is aangepast aan de toepassingsomgeving. Gegevens worden opgeslagen met behulp van eigen algoritmen van Weepee en haar Leveranciers om gegevensbeveiliging en redundantie te verbeteren.

Weepee en haar Datacenter Leveranciers kopiëren gegevens over meerdere systemen om te helpen beschermen tegen onbedoelde vernietiging of verlies. Weepee beschikt tevens over een disaster recovery plan voor noodherstel van de vitale systemen.

(b) Netwerken

De Datacenters zijn verbonden via het internet alsook via afgescheiden koppelingen om een veilige en snelle gegevensoverdracht tussen de datacenters te garanderen. Dit is bedoeld om te voorkomen dat gegevens worden gelezen, gekopieerd, gewijzigd of verwijderd zonder toestemming tijdens elektronische overdracht of transport of tijdens het opslaan op gegevensopslagmedia. Weepee draagt gegevens over via standaard internetprotocollen.

Weepee en haar Leveranciers gebruiken meerdere lagen netwerkapparatuur en inbraakdetectie om de gebruikte systemen te beschermen. Weepee en haar Leveranciers maken gebruik van onder andere HTTPS-codering (ook wel SSL- of TLS-verbinding genoemd) en andere beveiligingsmethoden om het verkeer te beschermen en de impact van een cryptografische inbraak (of poging tot) te minimaliseren.

2. Toegangsbeheer

Weepee’s Datacenter Leveranciers onderhouden een on-site beveiliging die 24 uur per dag, 7 dagen per week die verantwoordelijk is voor de fysieke datacenterbeveiliging. Het beveiligingspersoneel op locatie monitort via camera’s en alarmsystemen, ook voeren zij regelmatig interne en externe patrouilles in en rond de datacenters uit.

Weepee’s Datacenter Leveranciers onderhouden formele toegangsprocedures voor fysieke toegang tot de datacenters. De datacenters zijn ondergebracht in gebouwen die toegang via elektronische kaartsleutels vereisen, met alarmen die gekoppeld zijn aan de on-site beveiligingssystemen. Alle bezoekers in het datacenter moeten zichzelf identificeren en identiteitsbewijzen voorleggen. Alleen geautoriseerde werknemers, aannemers en bezoekers hebben toegang tot de datacenters.

Weepee’s Datacenter Leveranciers gebruiken een elektronische kaartsleutel en in sommige gevallen ook een biometrisch toegangscontrolesysteem dat is gekoppeld aan de alarmsystemen. Het toegangscontrolesysteem registreert van elke persoon waar en wanneer deze toegang krijgt tot bepaalde deuren en zones. Ongeautoriseerde activiteit en mislukte toegangspogingen worden geregistreerd door het toegangscontrolesysteem en onderzocht, indien van toepassing.

Weepee’s Datacenter Leveranciers hebben een beveiligingsbeleid voor hun personeel en onderhouden dit.

De interne gegevenstoegangsprocessen en -beleid van Weepee’s Datacenter Leveranciers zijn ontworpen om te voorkomen dat ongeautoriseerde personen en / of systemen toegang krijgen tot systemen die worden gebruikt voor het verwerken van persoonsgegevens. Weepee ontwerpt haar systemen om (i) geautoriseerde personen alleen toegang te geven tot gegevens waartoe ze toegang dienen te hebben; en (ii) ervoor te zorgen dat persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder toestemming tijdens de verwerking, het gebruik en na de opname. De systemen zijn ontworpen om ongepaste toegang te detecteren.

3. Gegevens

De gegevens- en bestandssysteemarchitectuur wordt gerepliceerd tussen meerdere geografisch verspreide datacenters. Schijven die gegevens bevatten, kunnen prestatieproblemen, fouten of hardware fouten ondervinden die ertoe leiden dat ze buiten bedrijf worden gesteld. Elke buiten bedrijf gestelde schijf is onderhevig aan een reeks gegevensvernietigingsprocessen voordat ze de gebouwen van Weepee’s Datacenter Leveranciers verlaten voor hergebruik of vernietiging. Buiten bedrijf gestelde schijven worden in een meerstappenproces gewist en volledig geverifieerd. De wisresultaten worden vastgelegd door het serienummer van de ontmantelde schijf. Ten slotte wordt de gewiste buiten bedrijf gestelde schijf vrijgegeven voor inventaris voor hergebruik en herschikking. Als de uit bedrijf genomen schijf niet kan worden gewist als gevolg van hardware fouten, wordt deze veilig opgeslagen totdat deze kan worden vernietigd. Elke faciliteit van Weepee’s Datacenter Leveranciers wordt regelmatig gecontroleerd om na te gaan of het schijfverwijderingsbeleid wordt nageleefd.

4. Personeelsbeveiliging

Het personeel van Weepee is verplicht zich te gedragen op een manier die in overeenstemming is met de richtlijnen van het bedrijf met betrekking tot vertrouwelijkheid, zakelijke ethiek en professionele normen.

Het personeel van Weepee kent het vertrouwelijkheids- en privacy beleid van Weepee en bevestigt dit. Het personeel dat omgaat met persoonsgegevens wordt bovendien vooraf gescreend door de Belgische staatsveiligheid. Weepee personeel verwerkt geen Klantgegevens zonder toestemming.

BIJLAGE 3. DATACENTER LOCATIES EN SUB-VERWERKERS

Datacenter locaties

Sub-verwerker Overzicht:

Google, 1600 Amphitheatre Parkway Mountain View, CA 94043 US. | Zendesk, 1019 Market St San Francisco, CA 94103 US. Amazon, 410 Terry Ave. North, Seattle, WA, 98109-5210 US. | Github, 88 Colin P Kelly Jr St San Francisco, CA 94107 US. Cogent Communications, 2450 N Street NW Washington, DC 20037, US. | GTT Communications, 7900 Tysons One Pl #1450, McLean, VA 22102, US. NL-ix, Laan Copes van Cattenburch 73 2585 EW Den Haag, NL. | Centurylink, 100 CenturyLink Drive Monroe, LA 71203, US. Verixi, Rue André Dumont 9, 1435 Mont-Saint-Guibert, BE. | Colt Technology Services, 20 Great Eastern St, London EC2A 3EH, UK. British Telecom, Providence Row Durham DH98 1BT, UK. | Voxbone, Avenue Louise 489 6th Floor B-1050 Brussels, BE.