AVG/GPDR
Partijen
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens door, Beyond.nl, een intellectueel eigendom van Interaqtion Holding B.V., uitgevoerd onder contractuele overeenkomst door Virtio ICT B.V., ingeschreven bij de Kamer van Koophandel onder nummer 76181553, (hierna: “verwerker”), ten behoeve van een verwerkingsverantwoordelijke aan wie zij diensten levert (hierna: “verwerkingsverantwoordelijke”). Verwerkingsverantwoordelijke en verwerker worden gezamenlijk aangeduid als de “partijen”.
Artikel 1. – Definities
In deze verwerkersovereenkomst wordt verstaan onder: a. Persoonsgegeven: Elke informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; b. Verwerken of Verwerking: Elke handeling of reeks handelingen met betrekking tot persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van ter beschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; c. Datalek: Een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt, en waarbij het waarschijnlijk is dat dit leidt tot een risico voor de rechten en vrijheden van betrokkenen; d. Betrokkene: De natuurlijke persoon op wie de persoonsgegevens betrekking hebben; e. AP: De Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet is aangewezen als toezichthoudende autoriteit voor de verwerking van persoonsgegevens; f. AVG: De Algemene Verordening Gegevensbescherming; g. Verwerkersovereenkomst: Deze verwerkersovereenkomst.
Artikel 2. – Toepassing van de verwerkersovereenkomt
2.1 Deze verwerkersovereenkomst is van toepassing op de verwerking van persoonsgegevens door verwerker ten behoeve van verwerkingsverantwoordelijke, zoals geregeld in de tussen partijen gesloten dienstverleningsovereenkomst en/of de Algemene Voorwaarden van Virtio ICT B.V.
2.2 Onder andere valt het verwerken van persoonsgegevens door verwerker ten behoeve van verwerkingsverantwoordelijke in de zin van het vorige artikel, wanneer verwerkingsverantwoordelijke persoonsgegevens opslaat in de ‘cloud’ als onderdeel van het gebruik van de diensten van verwerker. Partijen bevestigen dat verwerkingsverantwoordelijke volledig verantwoordelijk is voor het doel en de middelen van de verwerking van persoonsgegevens in dit geval. Verwerker kan doorgaans niet bepalen welke persoonsgegevens verwerkingsverantwoordelijke opslaat en met welk doel, en kan haar diensten daar niet op afstemmen. Het is de verantwoordelijkheid van de verwerkingsverantwoordelijke om te bepalen of zij de persoonsgegevens onder de overeengekomen voorwaarden bij verwerker kan opslaan.
2.3 Partijen erkennen dat verwerker ook persoonsgegevens verwerkt in het kader van de dienstverlening waarbij zij zelf het doel en de middelen bepaalt. Dit is bijvoorbeeld het geval bij persoonsgegevens van contactpersonen van de verwerkingsverantwoordelijke. Voor de verwerking van deze persoonsgegevens, die moet voldoen aan de AVG, is deze verwerkersovereenkomst niet van toepassing.
2.4 De verwerking van persoonsgegevens onder deze verwerkersovereenkomst houdt geen overdracht van intellectuele eigendomsrechten of andere rechten op de persoonsgegevens aan verwerker in, en beoogt evenmin de rechten van betrokkenen op enigerlei wijze te beperken.
Artikel 3. – Verplichtingen van de verwerker
3.1 Verwerker zal de persoonsgegevens uitsluitend verwerken ten behoeve van de verwerkingsverantwoordelijke en alleen voor zover noodzakelijk voor de dienstverlening van verwerker aan verwerkingsverantwoordelijke, evenals voor daarmee samenhangende doeleinden of doeleinden die schriftelijk tussen partijen zijn overeengekomen. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan wat is vastgesteld door de verwerkingsverantwoordelijke.
3.2 Verwerker zal de verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen indien een instructie van de verwerkingsverantwoordelijke naar haar mening in strijd is met de AVG of andere relevante wet- en regelgeving.
3.3 Verwerker zal ervoor zorgen dat haar verplichtingen onder deze verwerkersovereenkomst worden opgelegd aan degenen die persoonsgegevens verwerken onder het gezag van verwerker, inclusief maar niet beperkt tot werknemers.
3.4 Verwerker zal, voor zover redelijkerwijs mogelijk, bijstand verlenen aan de verwerkingsverantwoordelijke bij het nakomen van haar verplichtingen:
i) Om verzoeken van betrokkenen met betrekking tot hun rechten onder de AVG te beantwoorden; ii) Met betrekking tot de beveiliging van de verwerking van persoonsgegevens, de melding van datalekken aan de AP en betrokkenen; iii) Met betrekking tot eventueel vereiste gegevensbeschermingseffectbeoordelingen (‘Privacy Impact Assessments’) en voorafgaande raadpleging van de AP.
Eventuele kosten verbonden aan deze bijstand zijn niet inbegrepen in de overeengekomen prijzen en vergoedingen van verwerker. Verwerker is gerechtigd redelijke kosten voor het verlenen van deze bijstand aan de verwerkingsverantwoordelijke in rekening te brengen. Indien er kosten zijn, zal verwerker dit indien mogelijk vooraf aangeven.
3.5 In het geval dat een betrokkene een verzoek indient om zijn/haar wettelijke rechten uit te oefenen bij verwerker, zal verwerker het verzoek doorsturen naar de verwerkingsverantwoordelijke, die het verzoek verder zal afhandelen, onverminderd het bepaalde in artikel 3.4.i). Verwerker kan de betrokkene hiervan op de hoogte stellen.
Artikel 4. – Verplichtingen van de verwerkingsverantwoordelijke
4.1 Verwerkingsverantwoordelijke zal verwerker op de hoogte stellen van de identiteit van haar functionaris voor gegevensbescherming en/of vertegenwoordiger, indien zij deze heeft aangesteld. Eventuele wijzigingen dienen onverwijld aan verwerker te worden doorgegeven. Indien verwerkingsverantwoordelijke geen functionaris of vertegenwoordiger opgeeft, gaat verwerker ervan uit dat er geen aangesteld is.
4.2 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot verwerking van persoonsgegevens zoals bedoeld in deze verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
Artikel 5. – Inzet van onderaannamers
5.1 Verwerker mag in het kader van deze verwerkersovereenkomst gebruik maken van derden. Een actuele lijst van onderaannemers die door verwerker worden ingeschakeld bij de verwerking van persoonsgegevens onder deze overeenkomst is op verzoek beschikbaar. Verwerkingsverantwoordelijke verklaart dat zij, indien nodig, kennis heeft genomen van de huidige lijst van onderaannemers en daarmee akkoord gaat.
5.2 Bij het inschakelen van een nieuwe onderaannemer zal verwerker dit ten minste twee weken van tevoren melden aan de verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke kan bezwaar maken indien het gebruik van een specifieke gemelde derde voor haar onaanvaardbaar is. Indien mogelijk en redelijk zal verwerker met verwerkingsverantwoordelijke in overleg treden over mogelijke alternatieven.
5.3 Verwerker zal ervoor zorgen dat onderaannemers schriftelijk ten minste dezelfde verplichtingen op zich nemen jegens verwerker als tussen verwerkingsverantwoordelijke en verwerker zijn overeengekomen in deze verwerkersovereenkomst. Verwerker staat jegens verwerkingsverantwoordelijke garant voor de juiste naleving van deze verplichtingen door haar onderaannemers. Verwerker is aansprakelijk voor eventuele fouten van deze onderaannemers jegens verwerkingsverantwoordelijke alsof zij zelf de fout(en) heeft begaan, tenzij relevante uitsluitingen zijn opgenomen in de algemene voorwaarden van Virtio ICT B.V.
Artikel 6. – Doorgifte van persoonsgegevens
6.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (EER). Doorgifte van persoonsgegevens naar landen buiten de EER is zonder toestemming van de verwerkingsverantwoordelijke verboden.
Artikel 7. – Beveiliging
7.1 Verwerker zal passende technische en organisatorische maatregelen nemen met betrekking tot de verwerking van persoonsgegevens, rekening houdend met de stand van de techniek, de uitvoeringskosten en de risico’s van de verwerking. Deze maatregelen zijn gericht op het voorkomen van verlies of enige vorm van onrechtmatige verwerking, zoals onbevoegde toegang tot, ongeoorloofde wijziging of verstrekking van de persoonsgegevens.
7.2 Verwerker heeft reeds de maatregelen genomen zoals vermeld in het beveiligingsprotocol dat als bijlage is toegevoegd (Bijlage A). Onverminderd haar verplichtingen zoals vermeld in het voorgaande lid, behoudt verwerker zich het recht voor om het beveiligingsprotocol unilateraal aan te passen. Verwerker zal verwerkingsverantwoordelijke op de hoogte stellen van dergelijke aanpassingen. De meest recente versie van het beveiligingsprotocol is op verzoek beschikbaar en kan worden ingezien via de website van de verwerker. Verwerkingsverantwoordelijke zal geheimhouding betrachten ten aanzien van het beveiligingsprotocol conform artikel 9.
7.3 Verwerker werkt volgens de standaarden die geacht worden te voldoen aan de beveiligingseisen, rekening houdend met de stand van de techniek. Deze standaarden worden nader beschreven in Bijlage A.
7.4 Verwerker zorgt ervoor dat periodiek (minimaal jaarlijks) een auditrapport wordt opgesteld door een gekwalificeerde derde partij, waarin een beoordeling wordt gegeven van de getroffen beveiligingsmaatregelen in het kader van deze verwerkersovereenkomst en de toegepaste standaarden. Dit auditrapport wordt op verzoek kosteloos ter beschikking gesteld aan de verwerkingsverantwoordelijke, zodat deze objectief kan vaststellen of aan de vereisten van dit artikel wordt voldaan.
Indien de uitvoering van de diensten wordt uitbesteed aan gekwalificeerde derden, zal verwerker ervoor zorgen dat deze derden ook periodiek worden onderworpen aan audits om de naleving van de beveiligingsmaatregelen te controleren. De resultaten van deze audits zullen eveneens op verzoek aan de verwerkingsverantwoordelijke ter beschikking worden gesteld.
Artikel 8. – Meldplicht
8.1 Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het wettelijk vereiste melden van een datalek aan de AP en/of betrokkenen.
8.2 Om verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke verplichting te voldoen, zal verwerker de verwerkingsverantwoordelijke onverwijld en indien mogelijk binnen 24 uur nadat een datalek is vastgesteld, op de hoogte stellen van het eventuele datalek. De melding zal worden gedaan via de contactgegevens die bij ons bekend zijn of via de gebruikelijke communicatiekanalen tussen partijen.
8.3 De melding door verwerker zal ten minste de volgende informatie bevatten:
De aard van het datalek, inclusief, indien mogelijk, de categorieën van betrokkenen en een schatting van de duur en omvang van het datalek.
De naam en contactgegevens van de functionaris voor gegevensbescherming van verwerker of een ander contactpunt waar meer informatie kan worden verkregen.
De waarschijnlijke gevolgen van het datalek.
De maatregelen die verwerker heeft voorgesteld of genomen om het datalek aan te pakken, inclusief eventuele maatregelen ter beperking van de mogelijke nadelige gevolgen daarvan.
Artikel 9. – Geheimhouding en vertrouwlijkheid
9.1 Op alle persoonsgegevens die verwerker van verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze verwerkersovereenkomst rust een geheimhoudingsplicht ten opzichte van derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor deze is verkregen.
9.2 Deze geheimhoudingsplicht is niet van toepassing indien verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verstrekken, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de opdracht en de uitvoering van deze verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
9.3 Indien verwerker op grond van een wettelijke verplichting persoonsgegevens aan een derde moet verstrekken, zal verwerker verwerkingsverantwoordelijke hiervan vooraf op de hoogte stellen, tenzij dit verboden is onder de toepasselijke wetgeving.
Artikel 10. – Audit
10.1 Verwerkingsverantwoordelijke heeft het recht om het in artikel 7.4 genoemde auditrapport op te vragen. Indien verwerkingsverantwoordelijke, in het kader van haar verantwoordingsplicht, redelijkerwijs aanvullende zekerheden nodig acht naast dit auditrapport, zal verwerker hieraan meewerken en zullen partijen in overleg treden over de nadere invulling en uitwerking daarvan. Verwerker is gerechtigd alle kosten die hiermee gepaard gaan, in rekening te brengen bij verwerkingsverantwoordelijke.
10.2 Verwerkingsverantwoordelijke heeft het recht om audits te laten uitvoeren op de naleving van deze verwerkersovereenkomst door of namens een wettelijke toezichthouder (“recht op controle/recht op audit”) op basis van een wettelijke bevoegdheid tot controle van de naleving van de AVG of andere toepasselijke wet- en regelgeving. Verwerkingsverantwoordelijke dient op verzoek van verwerker aan te tonen dat er sprake is van een dergelijke wettelijke bevoegdheid.
10.3 Verwerker zal meewerken aan de audit zoals genoemd in het voorgaande lid en zal tijdig alle relevante gegevens en medewerkers ter beschikking stellen die redelijkerwijs relevant zijn voor de audit.
10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen aan verwerker ter beschikking worden gesteld en door verwerker worden beoordeeld. Naar eigen goeddunken van verwerker en op de wijze die verwerker bepaalt, kunnen deze bevindingen worden geïmplementeerd door verwerker.
10.5 Alle kosten in verband met de audit komen voor rekening van verwerkingsverantwoordelijke. Eventuele kosten die verwerker maakt voor medewerking worden niet gedekt door de overeengekomen prijzen en vergoedingen van verwerker. Verwerker is gerechtigd redelijke kosten voor het verlenen van medewerking aan verwerkingsverantwoordelijke in rekening te brengen. Indien er sprake is van dergelijke kosten, zal verwerker dit zo mogelijk van tevoren aangeven.
10.6 Alle kosten dienen door verwerkingsverantwoordelijke voorafgaand aan de uitvoering te worden voldaan. Verwerker behoudt zich het recht voor om de uitvoering op te schorten indien de in rekening gebrachte kosten (nog) niet zijn voldaan door verwerkingsverantwoordelijke.
10.7 Verwerker is gerechtigd om tussentijds een herziening van kosten toe te passen indien er wijzigingen zijn in de uitvoering die hiertoe aanleiding geven.
Artikel 11. – Aansprakelijkheid
11.1. De aansprakelijkheid van verwerker jegens verwerkingsverantwoordelijke voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of betrokkenen, en alle daarmee verband houdende kosten) als gevolg van een toerekenbare tekortkoming door verwerker in de nakoming van zijn verplichtingen onder deze verwerkersovereenkomst, de AVG, dan wel uit onrechtmatige daad of anderszins, is beperkt zoals beschreven in artikel 10 van de toepasselijke Algemene Voorwaarden van Virtio ICT B.V.
11.2. Verwerkingsverantwoordelijke vrijwaart verwerker voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of betrokkenen, en alle daarmee verband houdende kosten), indien deze aanspraak voortvloeit uit een toerekenbare tekortkoming van verwerkingsverantwoordelijke in de nakoming van haar verplichtingen onder deze verwerkersovereenkomst of de AVG.
Artikel 12. Duur en beëindiging
12.1. Deze verwerkersovereenkomst komt tot stand door middel van ondertekening door beide partijen op de datum van de laatste ondertekening, ofwel door actieve en ondubbelzinnige toestemming via het webportaal van verwerker op de datum waarop deze toestemming is gegeven.
12.2.
Deze verwerkersovereenkomst is geldig voor de duur zoals bepaald in de hoofdovereenkomst tussen partijen, en bij gebreke daarvan geldig gedurende de samenwerking, oftewel zolang verwerkingsverantwoordelijke gebruikmaakt van de dienstverlening van verwerker waarbij persoonsgegevens worden verwerkt.
12.3. Bij beëindiging van de verwerkersovereenkomst, ongeacht de reden en wijze van beëindiging, zal verwerker verwerkingsverantwoordelijke een redelijke gelegenheid bieden om een elektronische kopie te maken van alle persoonsgegevens die verwerker in haar bezit heeft. Verwerker zal zo spoedig mogelijk na het beëindigen van de verwerkersovereenkomst alle resterende kopieën van de persoonsgegevens wissen.
Artikel 13. – Overige bepalingen
13.1. Deze verwerkersovereenkomst vormt de volledige en enige afspraak tussen verwerkingsverantwoordelijke en verwerker met betrekking tot de verwerking van persoonsgegevens door verwerker, en komt in de plaats van alle voorgaande verwerkersovereenkomsten, schriftelijke en mondelinge afspraken en correspondentie met betrekking tot dit onderwerp.
13.2. In geval van strijdigheid tussen de bepalingen van deze verwerkersovereenkomst en de algemene voorwaarden van Virtio ICT B.V., hebben de bepalingen van deze verwerkersovereenkomst voorrang.
13.3. Mededelingen met betrekking tot deze verwerkersovereenkomst dienen schriftelijk te worden gedaan.
13.4. Deze verwerkersovereenkomst is tot stand gekomen om te voldoen aan de vereisten van de AVG met betrekking tot de verwerking van persoonsgegevens door verwerker ten behoeve van verwerkingsverantwoordelijke. Indien wettelijke vereisten wijzigingen vereisen in deze verwerkersovereenkomst, kunnen beide partijen een wijzigingsvoorstel doen. Vervolgens zullen de partijen te goeder trouw onderhandelen om tot overeenstemming te komen en de naleving van de geldende wetgeving te waarborgen.
13.5. Verwerker behoudt zich het recht voor om deze verwerkersovereenkomst eenzijdig te wijzigen. Verwerker zal verwerkingsverantwoordelijke ten minste één maand van tevoren op de hoogte stellen van dergelijke wijzigingen. Indien verwerkingsverantwoordelijke niet akkoord kan gaan met de wijzigingen, kan zij de overeenkomst opzeggen tegen het einde van deze maand. Een akkoord met de gewijzigde voorwaarden kan elektronisch worden gegeven. Indien verwerkingsverantwoordelijke een maand na de aankondiging van de gewijzigde voorwaarden gebruik blijft maken van de diensten van verwerker die onder deze verwerkersovereenkomst vallen, wordt dit beschouwd als instemming met de gewijzigde voorwaarden.
13.6. In geval van onduidelijkheid over bepalingen binnen deze overeenkomst en de algemene voorwaarden van Virtio ICT B.V., is de interpretatie van Virtio ICT B.V. doorslaggevend.
Artikel 14. – Toepasselijk recht en geschillenbeslechting
14.1. Deze verwerkersovereenkomst en de uitvoering daarvan worden beheerst door het Nederlands recht.
14.2. Alle geschillen die voortvloeien uit of verband houden met deze verwerkersovereenkomst zullen worden voorgelegd aan de bevoegde rechter van het arrondissement waarin verwerker is gevestigd.
Opmerking betreffende bijlage(n)
De maatregelen die worden beschreven in bijlage A bieden geen absolute garantie of zekerheid dat elke vorm van ongeautoriseerde toegang, gebruik of ongewenst verlies van persoonsgegevens volledig zal worden voorkomen. Daarom kunnen hieraan geen rechten worden ontleend.
Bijlage A. – Beveiligingsprotocol
In deze Bijlage worden de technische en organisatorische maatregelen ter beveiliging van de Verwerking van Persoonsgegevens nader beschreven.
Standaarden voor informatiebeveiliging
Beyond.nl en haar onderaannemers werken conform ISO 27001 en NEN 7510, welke standaarden worden geacht te voldoen aan de beveiligingseisen rekening houdend met de stand van de techniek. Indien een specifiek onderdeel en/of onderaannemer en/of ketenpartner niet conform de bovengenoemde ISO-normering is gecertificeerd, zorgt Beyond.nl ervoor dat de gebruikte procedures een vergelijkbaar equivalent bieden.
Fysieke toegangscontrole tot bedrijfsterreinen en -gebouwen
• Beyond.nl hanteert fysieke beveiligingssystemen bij alle datacenterlocaties die worden gebruikt ten behoeve van de verwerking;
• Er is fysieke toegangscontrole geïmplementeerd voor alle datacenters;
• Ongeautoriseerde toegang wordt voorkomen met behulp van beveiligingspersoneel ter plaatse en de inzet van beveiligingscamera’s (24 uur per dag, zeven dagen per week);
• Beyond.nl hanteert procedures voor het verstrekken van identificatiebadges om personeel te autoriseren en fysieke toegang tot systemen te beheren;
• Voordat werknemers een datacenterlocatie van Beyond.nl mogen betreden, moeten ze een geldig identiteitsbewijs presenteren en zich identificeren met een identificatiebadge;
• Bezoekers moeten goedkeuring ontvangen van Beyond.nl medewerkers voordat ze een datacenter kunnen bezoeken;
• Bezoekers moeten zich bij aanmelding identificeren, het gastenboek tekenen en worden te allen tijde begeleid wanneer ze zich in het datacenter bevinden.
Digitale toegangscontrole tot systemen
• Toegang wordt verleend aan medewerkers volgens gedocumenteerde procedures voor toegangsverzoeken. Hun operationeel managers moeten deze verzoeken goedkeuren voordat aanvullende toegang wordt verleend;
• Toegang tot (klant)systemen die persoonlijk identificeerbare informatie verwerken, is gerelateerd aan de taken van de medewerker;
• Toegangscontrole is ingeschakeld op besturingssystemen, databases en applicaties;
• Elke unieke eindgebruiker krijgt een enkelvoudig account, zodat altijd traceerbaar en aantoonbaar is wie specifieke handelingen heeft uitgevoerd. Het delen van accounts is niet toegestaan.
Toegangscontrole tot persoonsgegevens
• Gebruikers worden, na authenticatie, alleen geautoriseerd voor toegangsniveaus die passen bij hun functies;
• Beyond.nl zal onmiddellijk de toegang van medewerkers of derden intrekken bij beëindiging van de arbeidsrelatie of het contract, en na waarneming van inactiviteit van de gebruikers of langdurige afwezigheid.
Invoercontrole
• Beyond.nl houdt logs bij van toegang tot persoonsgegevens die onder de beheerverantwoordelijkheid van Beyond.nl vallen. Deze logbestanden worden, waar mogelijk, op een gecentraliseerde locatie opgeslagen om ongeautoriseerde aanpassingen door derden te voorkomen;
• De systemen van Beyond.nl zijn geconfigureerd om event logging bij te houden, zodat beveiligingsinbreuken achteraf kunnen worden vastgesteld;
• Beyond.nl neemt maatregelen om deze logbestanden te beschermen tegen ongeautoriseerde toegang of wijziging. De klant zorgt ervoor dat invoercontrolemaatregelen worden toegepast op hun eigen systemen en, indien relevant, op die van hun klanten voor zover deze worden ingezet voor toegang tot en verwerking van persoonsgegevens.
Maatregelen met betrekking tot personeel
• Relevant personeel is opgeleid om systemen en applicaties die worden gebruikt voor de verwerking van persoonsgegevens op een adequate manier te configureren en te beheren;
• Alle medewerkers hebben schriftelijk geheimhoudingsovereenkomsten getekend als onderdeel van hun arbeidscontract;
• Indien van toepassing, zijn functiescheidingen geïmplementeerd om toegang tot ontwikkel-, test- en productieomgevingen te scheiden en alleen de juiste medewerkers toegang te verlenen tot de juiste systemen en informatie.
Maatregelen met betrekking tot beschikbaarheid
• Computersystemen zijn beschermd door anti-malware oplossingen die regelmatig updates ontvangen van nieuwe definities;
• Indien er malware wordt gedetecteerd, onderneemt Beyond.nl direct actie om de verspreiding en mogelijke impact van de malware te minimaliseren door de dreiging uit te schakelen;
• Beschikbaarheid van kritieke infrastructuurcomponenten die door Beyond.nl voor beheerdoeleinden worden gebruikt, wordt gewaarborgd door middel van maatregelen zoals redundantie, high availability en geografische spreiding van datacenters.