Gegevensverwerkingsovereenkomst (GDPR conform)


Van kracht per 1 mei 2018

1. Toepassingsgebied en onderwerp van de overeenkomst

Deze gegevensverwerking ("DPA") weerspiegelt de overeenkomst tussen de partijen met betrekking tot de voorwaarden voor de verwerking van persoonsgegevens volgens de Servicevoorwaarden van IBANCOM (de "TOS"). Deze DPA is een wijziging van de Servicevoorwaarden en is van kracht vanaf het moment waarop deze in de Servicevoorwaarden is opgenomen, waarbij opname kan worden gespecificeerd in een Order of een uitgevoerde wijziging van de Servicevoorwaarden. Bij de opname in de Servicevoorwaarden zal de DPA deel uitmaken van de Servicevoorwaarden.

2. Definities

In deze overeenkomst:

(a) «Diensten»: de diensten die onder de Servicevoorwaarden aan de Klant worden geleverd;
(b) «Persoonlijke gegevens»: alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon ('gegevenssubject');
(c) "Klant", "verantwoordelijke" of "u": de natuurlijke of rechtspersoon, overheidsinstantie, agentschap of andere instantie die, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens bepaalt;
(d) «Bewerker», «IBANCOM» of «wij» betekent een natuurlijke persoon of rechtspersoon, overheidsinstantie, agentschap of andere instantie die persoonsgegevens namens de verantwoordelijke voor de verwerking verwerkt; (e) «Verwerken / verwerken»: elke bewerking of reeks handelingen die wordt uitgevoerd op persoonlijke gegevens of op verzamelingen persoonlijke gegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, registratie, organisatie, structurering, opslag, aanpassing of wijziging , opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, aanpassing of combinatie, beperking, wissing of vernietiging;
(f) «Subverwerker» of «Onderaannemer»: een onderaannemer van een derde partij die door de verwerker is aangesteld en die als onderdeel van de rol van onderaannemer de diensten levert, persoonsgegevens van de klant verwerkt;
(g) «technische en organisatorische beveiligingsmaatregelen»: maatregelen die gericht zijn op het waarborgen van een passend beveiligingsniveau, onder meer het pseudonimiseren en coderen van persoonsgegevens, het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerking te waarborgen systemen en diensten, de mogelijkheid om de beschikbaarheid en toegang tot persoonlijke gegevens tijdig te herstellen in geval van een fysiek of technisch incident, een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking.
(h) "Wetten op gegevensbescherming": alle wetten en voorschriften, inclusief wetten en regels van de Europese Unie, de Europese Economische Ruimte en hun lidstaten, van toepassing op de verwerking van persoonsgegevens in het kader van de overeenkomst.

3. Toepassing van deze overeenkomst

Deze overeenkomst is van toepassing op:
a) alle gegevens die vanaf de datum van deze overeenkomst door de klant zijn verzonden naar IBANCOM voor verwerking;
b) alle gegevens waartoe de IBANCOM op verzoek van de klant toegang heeft voor verwerking vanaf de datum van deze overeenkomst; en verkopen c) alle Gegevens die anderszins door IBANCOM voor verwerking in opdracht van de Klant zijn ontvangen;
met betrekking tot de Services.

4. Categorieën van persoonlijke gegevens en doel van de verwerking van persoonsgegevens

Om de Overeenkomst uit te voeren en in het bijzonder om de Services namens de Klant uit te voeren, machtigt de Klant en verzoekt deze IBANCOM de volgende Persoonsgegevens te verwerken: Klantinformatie: informatie die we kunnen verzamelen van uw gebruik van de IBANCOM-websites en uw interacties bij ons offline zoals:

• Contactgegevens: naam, thuisadres, telefoonnummer of mobiel nummer, e-mailadres en wachtwoorden.
• Financiële informatie: creditcardnummer en factuurgegevens (btw-nummer, nummer van de betaler BTW, factuuradres, factureringsmail, waar facturen worden verzonden); Het creditcardnummer wordt afgehandeld door Avangate (onze betalingsgateway), via Paypal of andere betaalmethoden; IBANCOM rekent alleen uw creditcard aan voor betalingen.
• Zakelijke Contactgegevens waaronder: naam van de werkgever, functie en functie van het bedrijf, contactgegevens van het bedrijf; IBANCOM gaat over klantinformatie volgens de voorwaarden van ons algemene privacybeleid.

Services-gegevens: gegevens die zich bevinden op IBANCOM, klant- of externe systemen waaraan IBANCOM toegang heeft verleend om diensten te verlenen.

• Gegevens die zijn opgeslagen en verwerkt door gebruikers, zoals: gegevens die zijn verzonden voor verwerking, de geschiedenis van bewerkingen die door gebruikers worden uitgevoerd.
• Logbestandinformatie: drie soorten logboeken worden opgeslagen door het systeem van IBANCOM: verbindingslogboeken die in essentie logboeken zijn van elk verzoek naar elke toepassing. Deze verbindingslogboeken kunnen informatie bevatten zoals het webverzoek, Internet Protocol ("IP") adres, browsertype, verwijzende / exitpagina's en URL's, aantal klikken, domeinnamen, bestemmingspagina's, bekeken pagina's en andere dergelijke informatie. Het tweede type logs zijn applicatielogboeken, die door onze software worden geproduceerd tijdens de gegevensverwerking. Logboeken van toepassingslogboeken zijn een record van alle invoergegevens die voor verwerking naar onze servers zijn verzonden en waarmee IBANCOM de bron van huidige systeemproblemen kan identificeren en diagnosticeren en toekomstige problemen kan helpen voorspellen.
IBANCOM verwerkt klantinformatie volgens de voorwaarden van zijn Privacybeleid en behandelt services-gegevens als vertrouwelijk in overeenstemming met de voorwaarden van uw bestelling voor services

Categorieën van gegevensonderwerpen: betrokkenen zijn onder meer vertegenwoordigers van de klant en eindgebruikers, zoals werknemers, sollicitanten, contractanten, medewerkers, partners en klanten van de klant. Betrokkenen kunnen ook personen zijn die proberen om te communiceren of persoonlijke gegevens over te dragen aan gebruikers van de Services.

5. Verantwoordelijkheid van IBANCOM

IBANCOM zal Persoonlijke gegevens uitsluitend verwerken voor de levering van de Services en stemt ermee in om:

• (a) Persoonlijke gegevens te verwerken en te gebruiken voor de doeleinden uiteengezet in deze Overeenkomst of alleen op nadrukkelijke instructies van de Klant en voor geen ander doel, behalve met de uitdrukkelijke voorafgaande schriftelijke toestemming van de Klant, of
• (b) gegevens niet aan derden bekend te maken, behalve aan die van haar werknemers, agenten en onderaannemers die zich bezighouden met de verwerking van de gegevens en die onderworpen zijn aan de bindende verplichtingen of, tenzij anders vereist door wet of regelgeving;
• (c) passende technische en organisatorische maatregelen nemen om de gegevens tegen ongeautoriseerde of onwettige verwerking of accidenteel verlies, vernietiging of beschadiging te beschermen, en dat gezien de staat van technologische ontwikkeling en de kosten van de uitvoering van maatregelen, dergelijke maatregelen een garantie bieden voor beveiligingsniveau dat geschikt is voor de schade die kan voortvloeien uit ongeoorloofde of onwettige verwerking of onopzettelijk verlies, vernietiging of beschadiging en de aard van de te beschermen gegevens;
• (d) De Klant zo snel mogelijk informeren in het geval dat Data Subjects zijn rechten uit hoofde van de gegevensbeschermingswetgeving met betrekking tot de Gegevens uitoefent en, indien nodig, de Klant helpt bij het naleven van de verplichting om reageren op die verzoeken met inachtneming van de toezeggingen voorzien in artikel 7;
• (e) De gegevens niet verwerken of overdragen buiten de Europese Unie, behalve met de uitdrukkelijke voorafgaande schriftelijke toestemming van de klant en ervoor zorgen dat dergelijke overdrachten worden uitgevoerd in overeenstemming met de toepasselijke.

6. Verantwoordelijkheid van de Klant

De serviceklant, als verantwoordelijke voor de verwerking van gegevens, moet de verantwoordelijkheid aanvaarden om zich te houden aan de toepasselijke wetgeving inzake gegevensbescherming. Met name is de klant verplicht om de rechtmatigheid van de verwerking van persoonlijke gegevens die op het platform zijn opgeslagen te beoordelen
De Klant gaat ermee akkoord dat hij te allen tijde zorgt voor de naleving van de toepasselijke wetgeving inzake gegevensbescherming en dat de Klant er met name voor zorgt dat openbaarmaking van Persoonsgegevens door hem aan IBANCOM wordt gedaan met toestemming van de betrokkene of op andere wijze wettig is. Het beheer van Persoonsgegevens blijft bij de Klant en, tussen Klant en IBANCOM, blijft de Klant te allen tijde de Gegevensbeheerder voor de doeleinden van de Services, de Servicevoorwaarden en deze Overeenkomst voor gegevensverwerking. De Klant is verantwoordelijk voor de naleving van zijn verplichtingen als Gegevensbeheerder onder de toepasselijke wetgeving inzake gegevensbescherming, in het bijzonder voor de rechtvaardiging van elke overdracht van Persoonsgegevens aan IBANCOM (inclusief het verstrekken van vereiste kennisgevingen en het verkrijgen van vereiste toestemmingen), en voor zijn beslissingen met betrekking tot de Verwerking en gebruik van de gegevens.

7. Rechten van de Datasubject

IBANCOM verleent de klant elektronische toegang tot de platformomgeving met persoonlijke gegevens om de klant toe te staan om de toegang tot specifieke persoonsgegevens te verwijderen, vrij te geven, te corrigeren of te blokkeren, of, als dat niet mogelijk is en voor zover toegestaan door de toepasselijke wetgeving, volgt u de gedetailleerde schriftelijke informatie van de klant. instructies voor het verwijderen, vrijgeven, corrigeren of blokkeren van toegang tot persoonlijke gegevens.

IBANCOM zal aan de Klant alle verzoeken doorgeven van een individuele gegevenssubject voor het verwijderen, vrijgeven, corrigeren of blokkeren van Persoonsgegevens verwerkt onder de Overeenkomst.

8. Grensoverschrijdende en verdere gegevensoverdracht

IBANCOM behandelt alle persoonlijke gegevens op een manier die in overeenstemming is met de vereisten van de toepasselijke wetgeving voor gegevensbescherming en deze overeenkomst voor gegevensverwerking op alle locaties wereldwijd.

Gegevens worden door IBANCOM opgeslagen in datacenters in Duitsland, beheerd door onderaannemer Hetzner Online GmbH

Industriestr. 25
91710 Gunzenhausen
Duitsland
Tel.: +49 (0)9831 505-0*
Fax: +49 (0)9831 505-3

Datacentra zijn gelegen in
Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein


Met betrekking tot persoonlijke gegevens die zijn opgeslagen door IBANCOM in datacenters in de EER, moet de Subprocessors voldoen aan de vereisten van de toepasselijke wetgeving inzake gegevensbescherming als volgt:
• (i) IBANCOM heeft contracten afgesloten met Subprocessors die bepalen dat de Subprocessor gegevensbeschermings- en vertrouwelijkheidsverplichtingen zal nakomen in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming;
• (ii) Verder, waar een Subverwerker Persoonsgegevens verwerkt in of uit een land dat geen "adequaatheid" -bevinding heeft ontvangen, zal IBANCOM de Subprocessor verplichten Modelclausules uit te voeren die beveiligingsvereisten bevatten die consistent zijn met die van deze DPA.

9. Subprocessing

IBANCOM zal geen van haar verwerkingen die namens de Klant zijn uitgevoerd in het kader van de Overeenkomst en de Servicevoorwaarden uitbesteden zonder voorafgaande schriftelijke toestemming van de Klant.

Indien IBANCOM zijn verplichtingen uit hoofde van de Overeenkomst subcontracteert, met toestemming van de Klant, zal dit alleen gebeuren door middel van een schriftelijke overeenkomst met de subverwerker die dezelfde verplichtingen oplegt aan de subverwerker als opgelegd aan IBANCOM in het kader van de Overeenkomst. Indien de subverwerker zijn verplichtingen inzake gegevensbescherming krachtens deze schriftelijke overeenkomst niet nakomt, blijft IBANCOM volledig aansprakelijk jegens de Klant voor de nakoming van de verplichtingen van de subverwerker krachtens die overeenkomst.
De klant als verantwoordelijke voor de verwerking kan verzoeken dat IBANCOM de subverwerker auditeert of een bevestiging verstrekt dat een dergelijke audit heeft plaatsgevonden (of, indien beschikbaar, verkrijgen of assisteren van de verantwoordelijke voor het verkrijgen van een auditrapport van derden met betrekking tot de activiteiten van Subprocessor) om de naleving van dergelijke verplichtingen te waarborgen . De Controller heeft ook het recht om op schriftelijk verzoek kopieën te ontvangen van de relevante voorwaarden van de overeenkomst van IBANCOM met Subprocessors die Persoonsgegevens mogen verwerken, tenzij de overeenkomst vertrouwelijke informatie bevat, in welk geval de IBANCOM een geredigeerde versie van de overeenkomst kan verstrekken.

De bepalingen betreffende gegevensbeschermingsaspecten voor subverwerking van het in lid 1 bedoelde contract worden beheerst door het recht van de lidstaat waarin de klant is gevestigd.

10. Technische en Organisatorische Maatregelen

Bij het verwerken van persoonlijke gegevens namens de klant in verband met de services, zorgt IBANCOM ervoor dat het de naleving van passende technische en organisatorische beveiligingsmaatregelen voor de verwerking van dergelijke gegevens implementeert en onderhoudt. IBANCOM zal daarom de volgende maatregelen implementeren:

• a) Om te voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkingssystemen waarin persoonsgegevens worden verwerkt (fysieke toegangscontrole), moet IBANCOM maatregelen nemen om fysieke toegang te voorkomen, zoals beveiligingspersoneel en beveiligde gebouwen en fabrieksterreinen.
• b) Om te voorkomen dat gegevensverwerkingssystemen zonder toestemming worden gebruikt (systeemtoegangscontrole), kan het volgende, naast andere besturingselementen, worden toegepast afhankelijk van de specifieke bestelde Services: authenticatie via wachtwoorden en logboekregistratie van toegang op verschillende niveaus.
Voor API-services gehost op de IBANCOM: (i) logische toegang tot de datacenters is beperkt en beschermd door firewall / VLAN; en (ii) de volgende beveiligingsprocessen worden toegepast: gecentraliseerd loggen en waarschuwen, en (iii) firewalls.
• c) Om ervoor te zorgen dat personen die gerechtigd zijn om een ​​gegevensverwerkingssysteem te gebruiken, alleen toegang hebben tot de persoonlijke gegevens waartoe zij toegang hebben, en dat persoonlijke gegevens tijdens de verwerking en zonder toestemming niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd. / of na opslag (beheer van gegevenstoegang), zijn persoonlijke gegevens alleen toegankelijk en beheersbaar door correct geautoriseerd personeel, is directe databaserequentietoegang beperkt en worden toegangsrechten voor toepassingen vastgesteld en gehandhaafd.

Naast de bovenstaande toegangscontroleregels, implementeert IBANCOM een toegangsbeleid waaronder de Data Controller de toegang tot zijn API Services-omgeving en tot Persoonlijke gegevens en andere gegevens door zijn geautoriseerde personeel controleert.

• d) Om ervoor te zorgen dat persoonlijke gegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder toestemming tijdens elektronische verzending of transport, en dat het mogelijk is om te controleren en vast te stellen aan welke entiteiten de overdracht van persoonsgegevens door middel van datatransmissiefaciliteiten wordt overwogen (transmissiecontrole), zal IBANCOM voldoen aan de volgende vereisten: Tenzij anders gespecificeerd voor de API Services, worden gegevensoverdrachten buiten de Service-omgeving versleuteld (HTTPS). De inhoud van de communicatie (inclusief adressen van verzender en ontvanger) die via sommige e-mail- of berichtenservices wordt verzonden, is mogelijk niet gecodeerd nadat deze via dergelijke services is ontvangen. Gegevenscontroller is als enige verantwoordelijk voor de resultaten van zijn beslissing om niet-gecodeerde communicatie of transmissies te gebruiken.
• e) Om ervoor te zorgen dat het mogelijk is om te controleren en vast te stellen of en door wie persoonlijke gegevens zijn ingevoerd in gegevensverwerkingssystemen, gewijzigd of verwijderd (invoercontrole), voldoet IBANCOM aan de volgende vereisten: Persoonlijke gegevensbron is onder controle van de klant en de integratie van persoonlijke gegevens in het systeem wordt beheerd door beveiligde bestandsoverdracht (dwz via webservices of ingevoerd in de toepassing) van de klant.
• f) Om ervoor te zorgen dat Persoonsgegevens beschermd zijn tegen accidentele vernietiging of verlies: er worden regelmatig back-ups gemaakt; back-ups zijn gecodeerd en beveiligd.
• g) Om ervoor te zorgen dat persoonlijke gegevens die voor verschillende doeleinden worden verzameld, afzonderlijk kunnen worden verwerkt, worden gegevens uit de verschillende omgevingen van de gegevenscontrollers logischerwijs gescheiden op de systemen van IBANCOM.

11. Auditrechten

De klant kan de naleving door IBANCOM van de voorwaarden van de overeenkomst en deze gegevensverwerkingsovereenkomst tot eenmaal per jaar controleren
De Klant kan frequenter audits uitvoeren op de Service-computersystemen die Persoonsgegevens verwerken voor zover vereist door de wetgeving die van toepassing is op de Klant. Als een derde de audit moet uitvoeren, moet de derde partij door beide partijen onderling worden overeengekomen en moet een schriftelijke vertrouwelijkheidsovereenkomst uitvoeren die aanvaardbaar is voor IBANCOM voordat de audit wordt uitgevoerd.

Om een ​​audit aan te vragen, dient de klant een gedetailleerd auditplan in te dienen minstens 4 weken voorafgaand aan de voorgestelde auditdatum, met vermelding van de voorgestelde reikwijdte, duur en startdatum van de audit. IBANCOM zal het auditplan beoordelen en de verantwoordelijke voor de verwerking van eventuele zorgen of vragen stellen (bijvoorbeeld elk verzoek om informatie dat de beveiliging, privacy of het werkgelegenheidsbeleid van IBANCOM in gevaar zou kunnen brengen).

De auditrapporten zijn vertrouwelijke informatie van de partijen onder de voorwaarden van de overeenkomst. Alle audits zijn voor rekening van de gegevensbeheerder.

Elke aanvraag voor IBANCOM om assistentie bij een audit te verlenen, wordt als een afzonderlijke service beschouwd als voor dergelijke controle-assistentie andere of aanvullende hulpmiddelen nodig zijn. IBANCOM zal de schriftelijke goedkeuring en toestemming van de verantwoordelijke voor de verwerking vragen om alle gerelateerde vergoedingen te betalen voordat dergelijke controle-assistentie wordt uitgevoerd.

12. Incidentbeheer en melding van schending

IBANCOM evalueert en reageert op incidenten die een vermoeden van ongeautoriseerde toegang tot of verwerking van persoonlijke gegevens veroorzaken.

De klant wordt op de hoogte gebracht van dergelijke incidenten en definieert, afhankelijk van de aard van de activiteit, escalatiepaden en reactieteams om die incidenten aan te pakken. IBANCOM zal samenwerken met de klant, met de juiste technische teams en, waar nodig, met externe wetshandhaving om te reageren op het incident. Het doel van de reactie op incidenten is het herstellen van de vertrouwelijkheid, integriteit en beschikbaarheid van de Services-omgeving en het vaststellen van grondoorzaken en herstelstappen.

Operators van IBANCOM worden geïnstrueerd over het reageren op incidenten waarbij ongeautoriseerde verwerking van persoonlijke gegevens mogelijk is.

IBANCOM zal de klant onverwijld op de hoogte brengen na kennis te hebben genomen van een inbreuk in verband met persoonsgegevens. IBANCOM zal onmiddellijk een beveiligingsinbreuk onderzoeken en redelijke maatregelen nemen om de oorzaak (en) te achterhalen en herhaling te voorkomen. Naarmate informatie wordt verzameld of anderszins beschikbaar wordt, zal IBANCOM, tenzij dit wettelijk verboden is, een beschrijving van de inbreuk op de beveiliging, het type gegevens dat het onderwerp van de inbreuk was, en andere informatie die door Data Controller redelijkerwijs kan worden gevraagd met betrekking tot de getroffen persoon, aan Data Controller ter beschikking stellen. personen. De partijen komen overeen om te goeder trouw te coördineren bij het ontwikkelen van de inhoud van eventuele gerelateerde publieke verklaringen of vereiste mededelingen voor de getroffen personen.

13. Wettelijk vereiste informatieverschaffing

Tenzij anderszins vereist door de wet, zal IBANCOM de Klant onmiddellijk op de hoogte brengen van elke dagvaarding, gerechtelijke, administratieve of scheidsrechterlijke beslissing van een uitvoerende of administratieve instantie of andere overheidsinstantie ("vordering") die zij ontvangt en die betrekking heeft op de Persoonlijke gegevens IBANCOM is Verwerking namens de klant. Op verzoek van de Klant zal IBANCOM redelijke informatie in haar bezit verstrekken die mogelijk op de vraag reageert en alle assistentie die redelijkerwijs vereist is opdat de Klant tijdig op de vraag zou kunnen reageren. De Klant erkent dat IBANCOM niet verantwoordelijk is voor directe interactie met de entiteit die de vraag doet.

14. Verplichting na beëindiging van de verwerking van persoonsgegevens

De partijen komen overeen dat IBANCOM bij beëindiging van de levering van gegevensverwerkingsdiensten de persoonlijke gegevens van de klant die zijn opgeslagen in de platformomgeving, zal ophalen of anderszins zal teruggeven, tenzij de wetgeving die aan de partijen wordt opgelegd, voorkomt dat deze geheel of gedeeltelijk wordt vernietigd of vernietigd. de overgedragen persoonsgegevens. In dat geval garanderen de partijen dat het de vertrouwelijkheid van de doorgegeven persoonsgegevens zal waarborgen en de doorgevoerde persoonsgegevens niet actief zullen verwerken.

15. Toepasselijk Recht

Deze overeenkomst wordt beheerst door het recht van de lidstaat waarin de klant is gevestigd.