Prozessorvereinbarung 2021

Inhalt

  1. Definitionen
  2. Einrichtung, Dauer und Beendigung dieses Verarbeitungsvertrags
  3. Verarbeitung personenbezogener Daten
  4. Sicherung personenbezogener Daten
  5. Exportieren Sie persönliche Daten
  6. Vertraulichkeit
  7. Datenverletzungen
  8. Haftung
  9. Rückgabe personenbezogener Daten und Aufbewahrungsfrist
  10. Schlussbestimmungen.

Anhang 1: Überblick über die Verarbeitung personenbezogener Daten und Verarbeitungszwecke
Anhang 2: Übersicht über Sicherheitsmaßnahmen
Anhang 3: Verfahren zur Meldung von Datenlecks und der bereitzustellenden Informationen

Prozessorvereinbarung

Diese Verarbeitervereinbarung gilt für alle Formen der Verarbeitung personenbezogener Daten, die Highbiza BV, registriert bei der Handelskammer unter der Nummer 74654306, im Folgenden als "Datenverarbeiter" bezeichnet, im Auftrag einer Gegenpartei ausführt, für die sie Dienstleistungen erbringt, im Folgenden als "Datenverantwortlicher" bezeichnet. 'und ist wie die Allgemeinen Geschäftsbedingungen ein wesentlicher Bestandteil jeder Vereinbarung zwischen Highbiza und seiner Gegenpartei. Datenprozessor und Datencontroller werden im Folgenden zusammenfassend als "Parteien" bezeichnet.

Berücksichtigt man Folgendes:

Die Parteien haben eine Vereinbarung über die Bereitstellung digitaler Dienste geschlossen. Personenbezogene Daten werden zur Umsetzung dieser Vereinbarung verarbeitet. Der für die Verarbeitung Verantwortliche legt großen Wert auf den Schutz personenbezogener Daten, weshalb in dieser Verarbeitungssitzung eine Reihe diesbezüglicher Vereinbarungen getroffen wurden

1. Definitionen

Die unten und oben verwendeten Begriffe ergeben sich aus der Allgemeinen Datenschutzverordnung und haben folgende Bedeutung:
1.1. Personenbezogene Daten: Alle Informationen über eine identifizierte oder identifizierbare natürliche Person ("betroffene Person"). Eine identifizierbare Person ist eine natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere unter Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder ein oder mehrere Elemente, die für die physische, physiologische, genetische, psychologische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person.
1.2. Verarbeitung: eine Operation oder eine Reihe von Operationen, die sich auf personenbezogene Daten oder eine Reihe von personenbezogenen Daten beziehen, unabhängig davon, ob sie über automatisierte Prozesse wie Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Aktualisieren oder Ändern, Anfordern, Beraten, Verwenden, Bereitstellen ausgeführt werden oder nicht durch Weiterleiten, Verteilen oder anderweitiges Bereitstellen, Ausrichten oder Kombinieren, Abschirmen, Löschen oder Zerstören von Daten.
1.3. Verantwortlicher: eine natürliche oder juristische Person, eine Behörde, ein Dienst oder eine andere Einrichtung, die allein oder zusammen mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Wenn die Zwecke und Mittel für diese Verarbeitung im Recht der Europäischen Union oder der Mitgliedstaaten festgelegt sind, können sie bestimmen, wer der für die Verarbeitung Verantwortliche ist oder nach welchen Kriterien er benannt wird ("für die Verarbeitung Verantwortlicher").
1.4. Verarbeiter: eine natürliche Person oder juristische Person, eine Regierungsbehörde, ein Dienst oder eine andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen ("Verarbeiter") verarbeitet.
1.5. Betroffene Person: identifizierte oder identifizierbare natürliche Person, auf die sich die verarbeiteten personenbezogenen Daten beziehen.
1.6. Prozessorvereinbarung: Diese Vereinbarung einschließlich der Anhänge ("Prozessorvereinbarung").
1.7. Vereinbarung: Die Hauptvereinbarung, aus der diese Prozessorvereinbarung hervorgeht.
1.8. Verletzung personenbezogener Daten: eine Sicherheitsverletzung, die versehentlich oder rechtswidrig zur Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Offenlegung oder zum unbefugten Zugriff auf, weitergeleitete, gespeicherte oder anderweitig verarbeitete Daten führt ("Datenverletzung") .
1.9. Datenschutz-Folgenabschätzung: Vor Durchführung der Verarbeitung wird eine Bewertung der Auswirkungen der beabsichtigten Verarbeitungstätigkeiten auf den Schutz personenbezogener Daten durchgeführt.
1.10. Aufsichtsbehörde: Eine unabhängige Regierungsbehörde, die für die Überwachung der Einhaltung der Gesetze im Zusammenhang mit der Verarbeitung personenbezogener Daten verantwortlich ist, d. H. Die niederländische Datenschutzbehörde.

2. Begründung, Dauer und Beendigung dieses Verarbeitungsvertrags

2.1. Diese Verarbeitervereinbarung ist Teil der Vereinbarung zwischen Highbiza und seinem Kunden und gilt so lange, wie die Vereinbarung gültig ist.
2.2. Wenn die Vereinbarung endet, endet diese Prozessorvereinbarung automatisch. Der Prozessorvertrag kann nicht separat gekündigt werden.
2.3. Nach Beendigung dieser Prozessorvereinbarung bleiben die aktuellen Verpflichtungen für den Datenverarbeiter bestehen, z. B. die Meldung von Datenlecks, die die personenbezogenen Daten des für die Verarbeitung Verantwortlichen betreffen, und die Geheimhaltungspflicht.

3. Verarbeitung personenbezogener Daten

3.1 Der Datenverarbeiter verarbeitet personenbezogene Daten nur im Auftrag des für die Verarbeitung Verantwortlichen und hat keine Kontrolle über die personenbezogenen Daten. Der Datenverarbeiter befolgt diesbezüglich die Anweisungen des für die Verarbeitung Verantwortlichen und darf die personenbezogenen Daten nicht auf andere Weise verarbeiten, es sei denn, der für die Verarbeitung Verantwortliche gibt zuvor seine Zustimmung oder Anweisungen.
3.2. In Anhang 1 ist aufgeführt, welche personenbezogenen Daten der Datenverarbeiter zu welchen Verarbeitungszwecken verarbeiten wird.
3.3. Der Datenverarbeiter hält sich an das Gesetz und verarbeitet die Daten ordnungsgemäß, sorgfältig und transparent.
3.4. Der Datenverarbeiter wird ohne vorherige schriftliche Genehmigung keine anderen Personen oder Organisationen mit der Verarbeitung der personenbezogenen Daten des für die Verarbeitung Verantwortlichen beauftragen, es sei denn, dies ist für die Zuweisung erforderlich, z. B. für Hosting, Verwaltung, Wartung und Überwachung.
3.5. Wenn der Datenverarbeiter andere Organisationen mit Erlaubnis beauftragt, müssen sie die in dieser Prozessorvereinbarung enthaltenen Anforderungen erfüllen.
3.6. Wenn der für die Verarbeitung Verantwortliche eine Anfrage von einer betroffenen Person erhält, die ihre Datenschutzrechte ausüben möchte, arbeitet der Datenverarbeiter zusammen. Diese Rechte bestehen aus einer Aufforderung zum Zugriff, zur Korrektur, Hinzufügung, Löschung oder Sperrung, Einspruch gegen die Verarbeitung personenbezogener Daten und einer Aufforderung zur Portabilität Ihrer eigenen personenbezogenen Daten.
3.7. Wenn ein für die Datenverarbeitung Verantwortlicher Informationen anfordert, stellt der Datenverarbeiter die Informationen bereit, die zur Durchführung einer Datenschutz-Folgenabschätzung erforderlich sind. Dies kann erforderlich sein, um das Risiko der vom Datenverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitung abzuschätzen.

4. Sicherung personenbezogener Daten

4.1. Der Datenverarbeiter sorgt dafür, dass die personenbezogenen Daten ausreichend gesichert sind. Der Datenverarbeiter ergreift geeignete technische und organisatorische Maßnahmen, um Verlust und rechtswidrige Verarbeitung zu verhindern.
4.2. Diese Maßnahmen sind auf das Verarbeitungsrisiko zugeschnitten. Eine Übersicht über diese Maßnahmen und ihre Politik finden Sie in Anhang 2.
4.3. Der für die Datenverarbeitung Verantwortliche kann einen Bericht anfordern, in dem die ergriffenen Sicherheitsmaßnahmen und mögliche Punkte für Aufmerksamkeit und / oder Verbesserung aufgeführt sind. Die Kosten hierfür gehen zu Lasten des für die Datenverarbeitung Verantwortlichen.
4.4. Der für die Verarbeitung Verantwortliche kann in der Organisation des Datenverarbeiters eine Inspektion oder ein Audit durchführen lassen, um festzustellen, ob die Verarbeitung der personenbezogenen Daten dem Gesetz und den Vereinbarungen aus dieser Verarbeitungsvereinbarung entspricht. Der Datenverarbeiter wird dabei zusammenarbeiten, einschließlich der Gewährung des Zugangs zu Gebäuden und Datenbanken und der Bereitstellung aller relevanten Informationen, sofern dies angemessen und fair ist und die Rechte anderer nicht beeinträchtigt.
4.5. Wenn eine der Parteien der Ansicht ist, dass eine Änderung der zu treffenden Sicherheitsmaßnahmen erforderlich ist, werden die Parteien die Änderung konsultieren.

5. Exportieren Sie persönliche Daten

5.1. Der Datenverarbeiter lässt personenbezogene Daten ohne vorherige schriftliche Genehmigung des für die Verarbeitung Verantwortlichen nicht von anderen Personen oder Organisationen außerhalb des Europäischen Wirtschaftsraums verarbeiten, es sei denn, dies ist für die Arbeiten erforderlich.

6. Vertraulichkeit

6.1. Der Datenverarbeiter wird die ihm zur Verfügung gestellten personenbezogenen Daten geheim halten, es sei denn, dies ist aufgrund einer gesetzlichen Verpflichtung nicht möglich.
6.2. Der Datenverarbeiter stellt sicher, dass seine Mitarbeiter und engagierten Hilfspersonen diese Vertraulichkeit ebenfalls einhalten, indem er eine Vertraulichkeitspflicht in die (Arbeits-) Verträge aufnimmt.

7. Datenschutzverletzungen

7.1. Im Falle einer Feststellung eines möglichen Datenverstoßes informiert der Datenverarbeiter den für die Verarbeitung Verantwortlichen innerhalb von 24 Stunden und stellt die in Anhang 3 angegebenen Informationen zur Verfügung, damit der für die Verarbeitung Verantwortliche bei Bedarf der Aufsichtsbehörde Bericht erstatten kann.
7.2. Nach der Meldung eines Datenverstoßes werden sich die Parteien gegenseitig über neue Entwicklungen im Zusammenhang mit dem Datenverstoß und die Maßnahmen informieren, die ergriffen werden, um seinen Umfang einzuschränken und zu beenden und zu versuchen, einen ähnlichen Vorfall in Zukunft zu verhindern.
7.3. Der Datenverarbeiter selbst meldet dem Datenverantwortlichen und / oder den betroffenen Personen keinen Datenverstoß, für den der für die Verarbeitung Verantwortliche verantwortlich ist.
7.4. Alle Kosten, die anfallen, um einen Datenverstoß zu beheben und ihn in Zukunft zu verhindern, trägt der für die Datenverarbeitung Verantwortliche.

8. Haftung

8.1. Wenn eine der Parteien die Bestimmungen dieser Verarbeitervereinbarung nicht einhält, kann die andere Partei diese Partei dafür haftbar machen.
8.2 Folgeschäden oder Geldbußen können vom Datenverarbeiter nicht erstattet werden.
8.3. Die Parteien haften nicht für Ansprüche der Beteiligten oder anderer Personen und Organisationen im Falle höherer Gewalt.

9. Rückgabe personenbezogener Daten und Aufbewahrungsfrist

9.1. Nach Beendigung dieser Prozessorvereinbarung gibt der Datenverarbeiter die personenbezogenen Daten zurück, wobei verbleibende personenbezogene Daten auf vorsichtige und sichere Weise vernichtet werden.
9.2. Die gemäß dieser Verarbeitungsvereinbarung verarbeiteten personenbezogenen Daten werden nach Ablauf der gesetzlichen Aufbewahrungsfrist und / oder auf Antrag des für die Verarbeitung Verantwortlichen vernichtet. Eine gesetzliche Aufbewahrungsfrist liegt beispielsweise vor, wenn der Datenverarbeiter die personenbezogenen Daten aus steuerlichen Gründen aufbewahren muss.

10. Schlussbestimmungen

10.1. Diese Prozessorvereinbarung ist Teil der geschlossenen Vereinbarung. Alle Rechte und Pflichten aus der Vereinbarung gelten daher auch für die Verarbeitervereinbarung.
10.2. Im Falle von Widersprüchen zwischen den Bestimmungen des Verarbeitervertrags und dem Vertrag gelten die Bestimmungen dieses Verarbeitervertrags.
10.3. Abweichungen von dieser Verarbeitervereinbarung sind nur gültig, wenn die Parteien dies schriftlich vereinbaren.
10.4. Für diese Verarbeitervereinbarung und die Aktivitäten gilt niederländisches Recht.
Deventer, 30. Dezember 2020

Anhang 1: Überblick über die Verarbeitung personenbezogener Daten und Verarbeitungszwecke

Beschreibung der Verarbeitungsaktivitäten durch den Verarbeiter

  • Als digitaler Berater und Lieferant für Kunden im weitesten Sinne des Wortes fungieren
  • Einschließlich der Erstellung von Websites und Apps, einschließlich Webanwendungen wie Konfiguratoren, E-Learning, E-Commerce-Systemen, Datenabrufsystemen, Middleware usw.
  • Hosten, Verwalten, Verwalten und Überwachen dieser Websites, Apps und Webanwendungen.

Verarbeitungszwecke

  • Das technische und inhaltliche Funktionieren digitaler Lösungen für Kunden.

Regler

  • Highbiza, Herr Geert Jan Hoogeslag, Direktor.

Verarbeitete personenbezogene Daten

  • Alle Daten, die der Kunde anfordert und / oder die für die Verarbeitungsaktivitäten und / oder Verarbeitungszwecke erforderlich sind, werden verarbeitet.

Ort der Verarbeitung

  • Die Arbeit wird in der Regel von Deventer oder anderen Orten aus ausgeführt, an denen Mitarbeiter oder Lieferanten aktiv sind.

Aufbewahrungsfrist

  • Die Daten werden aus technischen und / oder organisatorischen Gründen und / oder zur Ausführung (erwarteter) Arbeiten für den Kunden so lange aufbewahrt, wie dies erforderlich ist

Anhang 2: Übersicht über Sicherheitsmaßnahmen

Technische Sicherheitsmaßnahmen

  • Arbeiten mit modernsten Frameworks und Systemen wie Django Python und Oscar
  • Arbeiten von Repository-Systemen mit Pull-Anforderungen
  • Sichere Internetverbindungen
  • SSL-Zertifikate
  • Sichere Backups: stündlich, täglich, mit einer einmonatigen Aufbewahrung in separaten Umgebungen, die nicht live sind
  • Eindeutige Login-Codes und Passwörter (die regelmäßig aktualisiert werden)
  • Verschlüsselte E-Mail
  • Zwei-Faktor-Authentifizierungssystem für Zugriffskennwörter mit htaccess und / oder Google Authenticator App
  • Unterstützung für Verschlüsselungsmethoden wie SHA2
  • Ping-System für die Verfügbarkeit (eine Überprüfung alle 2 Minuten) mit Rückmeldung, welche Art von Ausfallzeit gegebenenfalls vorliegt, wie z. B. SSL-Fehler,
  • Serverfehler usw.
  • Optionen für dediziertes Hosting und Shared Hosting.

Organisatorische Sicherheitsmaßnahmen

  • Clean Desk Policy
  • Keine unbemannten Computer
  • Computer mit Benutzername und Passwort gesperrt
  • Datenschutzbestimmungen in Arbeitnehmerverträgen
  • Verweigern Sie den Zugriff auf Systeme, wenn Mitarbeiter das Unternehmen verlassen

Anhang 3: Verfahren zur Meldung von Datenlecks und der bereitzustellenden Informationen

Eine Datenverletzung ist ein Sicherheitsvorfall, bei dem personenbezogene Daten verloren gegangen sind oder von Dritten versehentlich abgerufen wurden. Dies betrifft Daten, die mit diesen Personen verknüpft werden können, wie z. B. Namen, Adressen, Telefonnummern, E-Mail-Adressen, Anmeldedaten, Cookies, IP-Adressen oder Identifizierungsdaten von Computern oder Telefonen.

Wo wird ein Sicherheitsvorfall gemeldet?

Wenn Highbiza einen Sicherheitsvorfall entdeckt, wird es sofort den zuständigen Beamten des Kunden kontaktieren.
Die Informationen, die hiermit so weit wie möglich vorliegen, werden auch zugunsten der niederländischen Datenschutzbehörde gemeldet:

  • Eine Zusammenfassung der Sicherheitsanfälligkeit / des Sicherheitsvorfalls / der Datenverletzung (was ist passiert?) Einschließlich der Namen der betroffenen Systeme.
  • Die Arten von personenbezogenen Daten, die an dem Sicherheitsvorfall beteiligt sind. Wie, ohne darauf beschränkt zu sein, Name, Adresse, E-Mail-Adresse, IP-Nummer, Sozialversicherungsnummer, Passfoto und andere Informationen, die auf eine Person zurückgeführt werden können.
  • Die Anzahl der Personen, deren personenbezogene Daten an dem Sicherheitsvorfall beteiligt sind. Eine Schätzung der minimalen und maximalen Anzahl von Personen.
  • Beschreibung der Personengruppe, deren Daten betroffen sind. Mögliche Abgrenzung der betroffenen Gruppe unter besonderer Berücksichtigung von Daten über schutzbedürftige (Gruppen von) Personen.
  • Ob die Kontaktdaten der beteiligten Personen bekannt sind oder nicht. Die Möglichkeit, betroffene Personen über den Datenschutzverstoß zu informieren.
  • Die Ursache (Grundursache) des Sicherheitsvorfalls. Schätzung der Ursache des Sicherheitsvorfalls.
  • Das Datum oder der Zeitraum, an dem / in dem der Sicherheitsvorfall aufgetreten ist.
Demosite Klanten