Handvest inzake privacywetgeving

Datum – Uitgebracht op 01/01/2020

Laatst gewijzigd op – 12/06/2023

toepasbaarheid:

Dit document (“Vereisten”) vormt een integraal en juridisch bindend onderdeel van elke Hoofdovereenkomst voor Diensten, Werkomschrijving of ander contract (“Overeenkomst”) tussen Shaip (“Bedrijf”) en de dienstverlener (“Leverancier/freelancer/consultants”).

1. Definities

Voor de toepassing van deze vereisten hebben de volgende termen de hieronder vermelde betekenis:

  • “Toepasselijke wetten inzake gegevensbescherming” betekent alle internationale, federale, staats- en lokale wetten, regels en voorschriften die van toepassing zijn op de verwerking van persoonsgegevens, met inbegrip van maar niet beperkt tot de AVG, de Britse AVG, CCPA/CPRA, HIPAA, PIPEDA en LGPD.
  • “Bedrijfsgegevens” betekent alle gegevens, informatie en materialen, in welke vorm of op welk medium dan ook, die door of namens het Bedrijf aan Leverancier worden verstrekt, of die door Leverancier namens het Bedrijf worden verzameld, gegenereerd, afgeleid, gepseudonimiseerd, geanonimiseerd (indien omkeerbaarheid mogelijk is) of verwerkt. Dit omvat projectgegevens en alle Persoonsgegevens.
  • “Datalek” betekent elke daadwerkelijke of vermoedelijke inbreuk op de beveiliging die leidt tot de onbedoelde of onrechtmatige vernietiging, het verlies, de wijziging, de ongeautoriseerde openbaarmaking van of de ongeoorloofde toegang tot Bedrijfsgegevens.
  • "Het BBP is" betekent de Algemene Verordening Gegevensbescherming (EU) 2016/679.
  • "Persoonlijke gegevens" betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (“Betrokkene”) die is opgenomen in de Bedrijfsgegevens.
  • “Gevoelige persoonlijke gegevens” betekent elke categorie gegevens die als gevoelig wordt beschouwd krachtens de toepasselijke wetgeving inzake gegevensbescherming, met inbegrip van maar niet beperkt tot gegevens over ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over de gezondheid of gegevens betreffende het seksleven of de seksuele geaardheid van een natuurlijke persoon.
  • "Verwerken" betekent elke handeling die wordt uitgevoerd op Bedrijfsgegevens, zoals het verzamelen, vastleggen, ordenen, opslaan, aanpassen, opvragen, gebruiken, openbaar maken, verspreiden of vernietigen.
  • “Projectgegevens” betekent de specifieke gegevens (bijvoorbeeld stem, afbeelding, tekst) die door de Verkoper worden verzameld of gecreëerd als onderdeel van de diensten die aan het Bedrijf worden geleverd.
  • “Sub-verwerker” betekent elke derde partij die door de Leverancier is ingeschakeld om Bedrijfsgegevens te Verwerken.

2. Rol en verplichtingen van de leverancier

2.1 Rol als verwerker/subverwerker. De Leverancier erkent dat hij bij de Verwerking van Bedrijfsgegevens optreedt als "Verwerker" of "Subverwerker" namens het Bedrijf. De Leverancier heeft geen eigendomsrechten of onafhankelijke rechten op de Bedrijfsgegevens.

2.2 Verwerking op instructie. Leverancier zal Bedrijfsgegevens uitsluitend verwerken in overeenstemming met de gedocumenteerde, rechtmatige instructies van het Bedrijf, inclusief de instructies zoals uiteengezet in de Overeenkomst en relevante Werkomschrijvingen. Het is Leverancier uitdrukkelijk verboden Bedrijfsgegevens te verwerken voor eigen doeleinden of voor doeleinden die niet expliciet door het Bedrijf zijn opgedragen. Instructies omvatten vereisten inzake gegevensbewaring en -verwijdering. Indien Leverancier van mening is dat een instructie in strijd is met de Toepasselijke Wetgeving inzake Gegevensbescherming, dient Leverancier het Bedrijf onmiddellijk te informeren.

2.3 Naleving van wetten. De Leverancier garandeert en verklaart dat hij bij de uitvoering van de Overeenkomst alle Toepasselijke Wetgeving inzake Gegevensbescherming zal naleven en dat hij het Bedrijf onmiddellijk op de hoogte zal stellen indien een wet de naleving verhindert of openbaarmaking van Bedrijfsgegevens vereist (bijvoorbeeld verzoeken om toegang door de overheid).

3. Technische en organisatorische beveiligingsmaatregelen

3.1 Beveiligingsnormen. Leverancier implementeert en onderhoudt passende technische en organisatorische beveiligingsmaatregelen om Bedrijfsgegevens te beschermen tegen datalekken. Deze maatregelen zijn afgestemd op het risiconiveau en de aard van de gegevens en omvatten ten minste:

  1. encryptie: Versleuteling van alle bedrijfsgegevens, zowel opgeslagen als onderweg.
  2. Toegangscontrole: Strikte toegangscontrole op basis van minimale privileges, zodat alleen geautoriseerd personeel toegang heeft tot bedrijfsgegevens.
  3. Gegevensminimalisatie: Alleen de minimale hoeveelheid Persoonsgegevens verzamelen en verwerken die noodzakelijk is voor het specifieke project.
  4. Veilige omgevingen: Zorgt ervoor dat alle systemen die worden gebruikt voor de verwerking van bedrijfsgegevens, veilig zijn geconfigureerd, gepatcht, geregistreerd en bewaakt.
  5. Veilig verwijderen: Het implementeren van processen voor het veilig en permanent verwijderen van Bedrijfsgegevens op instructie van het Bedrijf, inclusief verwijdering uit back-ups.
  6. Fysieke bewaking: Beveiliging van alle fysieke locaties en apparaten waar bedrijfsgegevens worden opgeslagen of geraadpleegd.
  7. Testen en monitoren: Regelmatige penetratietests, kwetsbaarheidsbeoordelingen en continue monitoring.
  8. Bedrijfscontinuïteit: Onderhouden van incidentrespons-, rampenherstel- en bedrijfscontinuïteitsplannen.

4. Subverwerking

4.1 Voorafgaande toestemming vereist. De Leverancier mag geen Subverwerker inschakelen om Bedrijfsgegevens te Verwerken zonder de voorafgaande, specifieke schriftelijke toestemming van het Bedrijf.

4.2 Doorstroming van verplichtingen. Indien toestemming wordt verleend, moet de Leverancier een schriftelijke overeenkomst sluiten met de Subverwerker waarin aan de Subverwerker dezelfde of strengere verplichtingen inzake gegevensbescherming worden opgelegd als die welke aan de Leverancier worden opgelegd door deze Vereisten.

4.3 Lijst van subverwerkers. Leverancier houdt een actuele lijst van subverwerkers bij en verstrekt deze op verzoek aan het Bedrijf. Het Bedrijf behoudt zich het recht voor om te allen tijde bezwaar te maken tegen een subverwerker.

4.4 Volledige aansprakelijkheid. De Leverancier blijft volledig aansprakelijk jegens het Bedrijf voor de nakoming van de verplichtingen van de Subverwerker en voor elke handeling of omissie van de Subverwerker.

5. Melding en beheer van datalekken

5.1 Onmiddellijke kennisgeving. De Leverancier dient het Bedrijf onverwijld en in geen geval later dan vierentwintig (24) uur nadat hij voor het eerst kennis heeft genomen van een Datalek, schriftelijk op de hoogte te stellen.

5.2 Gegevens over de inbreuk. De melding moet minimaal het volgende bevatten:

  1. Beschrijf de aard van het datalek, inclusief de categorieën en het geschatte aantal betrokkenen en betrokken gegevensrecords.
  2. Geef de naam en de contactgegevens van de functionaris voor gegevensbescherming van de leverancier of een ander relevant contactpunt.
  3. Beschrijf de waarschijnlijke gevolgen van het datalek.
  4. Beschrijf de maatregelen die de Leverancier heeft genomen of voorstelt te nemen om het Datalek aan te pakken en de gevolgen ervan te beperken.

5.3 Doorlopende updates. De Verkoper verstrekt regelmatig updates totdat het incident volledig is opgelost.

5.4 Samenwerking. Leverancier verleent volledige medewerking aan het Bedrijf bij het onderzoeken, verhelpen en melden van een datalek. Leverancier draagt ​​alle kosten die verband houden met een datalek voor zover deze voortvloeien uit een schending van deze vereisten.

6. Internationale gegevensoverdrachten

6.1 Leverancier mag geen Bedrijfsgegevens over internationale grenzen doorgeven zonder voorafgaande schriftelijke toestemming van Leverancier. Leverancier moet alle landen specificeren waarin hij Bedrijfsgegevens zal Verwerken.

6.2 Indien vereist, stemt de Leverancier ermee in om Standaard Contractuele Bepalingen (SCC's), Bindende Bedrijfsvoorschriften (BCR's), het Britse Addendum of enig ander door het Bedrijf voorgeschreven mechanisme te accepteren om rechtmatige gegevensoverdracht te waarborgen.

6.3 Leverancier dient, indien van toepassing, te voldoen aan de lokale vereisten voor gegevensresidentie.

7. Audits en inspecties

Het Bedrijf, of de door haar aangewezen externe accountant, heeft het recht om op eigen kosten audits uit te voeren om de naleving van deze vereisten door de Leverancier te verifiëren. De Leverancier dient alle benodigde informatie, documentatie en toegang tot faciliteiten en personeel te verstrekken.

De Leverancier dient zich regelmatig te laten certificeren door derden (bijvoorbeeld ISO 27001, SOC 2) en/of zelf een evaluatie uit te voeren. Tevens dient de Leverancier eventuele tekortkomingen die tijdens audits of beoordelingen aan het licht zijn gekomen, binnen een onderling overeengekomen tijdsbestek te verhelpen.

8. Hulp bij de rechten van betrokkenen

De Leverancier dient het Bedrijf onverwijld, en in geen geval later dan achtenveertig (48) uur, op de hoogte te stellen van elk verzoek van een Betrokkene om zijn/haar rechten uit te oefenen (bijvoorbeeld toegang, rectificatie, verwijdering, overdraagbaarheid). De Leverancier zal niet rechtstreeks op dergelijke verzoeken reageren, tenzij het Bedrijf daartoe opdracht geeft, en zal alle nodige assistentie verlenen om het Bedrijf in staat te stellen te reageren.

9. Gegevensretourneren en verwijderen

Bij beëindiging van de Overeenkomst of op verzoek van het Bedrijf zal de Leverancier, naar keuze van het Bedrijf, alle Bedrijfsgegevens binnen dertig (30) dagen veilig verwijderen of retourneren. De Leverancier zal zorgdragen voor verwijdering uit back-ups en een schriftelijke verklaring van deze verwijdering overleggen.

10. Bijzondere categorieën gegevens

10.1 Gezondheidszorggegevens (HIPAA): Indien Leverancier Beschermde Gezondheidsinformatie (PHI) verwerkt, erkent Leverancier dat hij een "Zakenpartner" (of onderaannemer van een Zakenpartner) is onder HIPAA. Leverancier moet voldoen aan de HIPAA-vereisten en de Business Associate Agreement (BAA) van het Bedrijf ondertekenen.

10.2 Andere gevoelige gegevens: Voor projecten waarbij gevoelige persoonsgegevens (waaronder biometrische gegevens of gegevens van kinderen) betrokken zijn, moet Leverancier goedkeuring van het Bedrijf verkrijgen en zich houden aan de strengere beveiligings- en verwerkingsprotocollen zoals gespecificeerd door het Bedrijf.

11. Schadeloosstelling en aansprakelijkheid

De Leverancier stemt ermee in om het Bedrijf, haar filialen, functionarissen en klanten te verdedigen, schadeloos te stellen en te vrijwaren van alle claims, aansprakelijkheden, schade, verliezen, boetes, straffen en kosten (inclusief redelijke advocaatkosten) die voortvloeien uit of verband houden met enige schending van deze Vereisten door de Leverancier, haar werknemers of haar Onderverwerkers.

De aansprakelijkheid is niet beperkt tot inbreuken die verband houden met datalekken, boetes van overheidswege, opzettelijk wangedrag of fraude.

12. Algemene bepalingen

12.1 Voorrang. Indien er sprake is van een conflict tussen de voorwaarden van de Overeenkomst en deze Vereisten, prevaleren deze Vereisten met betrekking tot gegevensbescherming.

12.2 Wijziging. Deze vereisten kunnen alleen worden gewijzigd door middel van een schriftelijke wijziging, ondertekend door bevoegde vertegenwoordigers van beide partijen.

12.3 Overleven. Verplichtingen met betrekking tot vertrouwelijkheid, verwijdering van gegevens, aansprakelijkheid en controlerechten blijven ook na beëindiging van de Overeenkomst van kracht.

12.4 Toepasselijk recht. Deze vereisten worden beheerst door en uitgelegd in overeenstemming met het toepasselijke recht zoals uiteengezet in de Overeenkomst.