The eCloud Company – Gegevensverwerkersverklaring
Laatste update: oktober 2023
In het kader van het Contract Verwerkt The eCloud Company Persoonsgegevens ten behoeve van de Klant. The eCloud Company is in dat kader de Verwerker van de Klant (die zelf optreedt als Verwerkingsverantwoordelijke). Deze gegevensverwerkersverklaring ("Gegevensverwerkersverklaring") zet daarom uiteen (i) hoe The eCloud Company, als Verwerker, de Persoonsgegevens zal beheren, Verwerken en beveiligen; alsook (ii) de verplichtingen van alle partijen onder de Privacywetgeving (zoals hieronder gedefinieerd).
De Gegevensverwerkersverklaring is in diverse talen beschikbaar. In geval van een verschil in interpretatie tussen verscheidene versies heeft de Nederlandstalige versie voorrang.
1 DEFINITIES
1.1 Gekapitaliseerde termen in deze Gegevensverwerkersverklaring die niet worden gedefinieerd, zullen dezelfde definitie hebben als in het Contract, Terms Of Use en/of de Privacyverklaring. Bijkomend gelden volgende definities:
|
Verbonden Onderneming: |
tenzij anders gedefinieerd in het Contract, een rechtspersoon die (in)direct zeggenschap uitoefent over, onder zeggenschap staat van of onder gezamenlijke zeggenschap staat (d.w.z. het rechtstreeks bezitten van meer dan 50% van het stemgerechtigde aandelenkapitaal van een rechtspersoon) met een dergelijke partij; |
|
Betrokkene: |
De natuurlijke persoon op wie de Persoonsgegevens betrekking hebben, zoals omschreven in Bijlage I; |
|
Privacywetgeving |
(i) de Algemene Verordening Gegevensbescherming 2016/679 van 27 april 2016 ("AVG"); (ii) de Belgische Privacywet van 30 juli 2018; (iii) de ePrivacy Richtlijn 2002/58/EG van 12 juli 2002, met inbegrip van toekomstige wijzigingen en herzieningen daarvan; en/of (iv) (toekomstige) nationale wetgeving met betrekking tot de implementatie van de AVG |
1.2 De begrippen "Verwerkingsverantwoordelijke", "Persoonsgegevens", "Inbreuk in verband met persoonsgegevens", "Verwerking", "Verwerken", "Verwerker" hebben dezelfde betekenis als in de Privacywetgeving.
2 ROL VAN DE PARTIJEN
2.1 De partijen erkennen dat met betrekking tot de Verwerking van Persoonsgegevens op grond van het Contract, de Klant zal worden beschouwd als de "Verwerkingsverantwoordelijke" en The eCloud Company als "Verwerker. Verder kan The eCloud Company (een) Sub-Verwerker(s) inschakelen overeenkomstig Artikel 7 van deze Gegevensverwerkingsverklaring.
2.2 Elke partij komt haar respectieve verplichtingen krachtens de Privacywetgeving met betrekking tot de Verwerking van de Persoonsgegevens na.
3 ONDERWERP
3.1 De Klant erkent dat zij door gebruik te maken van izibill en de izi Hardware zoals omschreven op de Website, inclusief bijhorende online diensten (zoals de iziportal en izibill App) (“Dienst”), zoals overeengekomen in het Contract, (bepaalde) Persoonsgegevens aan The eCloud Company dient te verstrekken voor Verwerking. De aard en het doel van deze Verwerking, alsmede een beschrijving van de Persoonsgegevens en categorieën van Betrokkenen die worden Verwerkt, worden gespecificeerd in Bijlage I.
3.2 The eCloud Company zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze Verwerken, in overeenstemming met de Privacywetgeving en andere toepasselijke regels/best-practices betreffende de Verwerking van Persoonsgegevens.
3.3 Meer in het bijzonder zal The eCloud Company
❑ tijdens de uitvoering van het Contract al haar knowhow / kennis ter beschikking stellen om de Verwerking volgens de regels van de kunst uit te voeren, zoals het een zorgvuldige en “goede” Verwerker betaamt; en
❑ zal naar beste vermogen de nodige veiligheidsmaatregelen treffen (cfr. Bijlage II) en al haar knowhow / kennis ter beschikking stellen om de Dienst uit te voeren zoals bepaald in Artikel 4.
3.4 De Klant behoudt volledige controle over het volgende: (i) de wijze waarop de Persoonsgegevens door The eCloud Company moet worden Verwerkt; (ii) de soorten Persoonsgegevens die worden Verwerkt; (iii) de categorieën van Betrokkenen van wie de Persoonsgegevens worden verwerkt; (iv) het doel van de Verwerking; en (v) het feit of deze Verwerking proportioneel is met het vooraf gestelde doel.
3.5 Deze Gegevensverwerkersverklaring doet geen afbreuk aan de bepalingen in de Algemene Voorwaarden, Privacyverklaring of Terms Of Use van The eCloud Company met betrekking tot "gegevensbescherming".
4 INSTRUCTIES / VERANTWOORDELIJKHEID VAN DE KLANT
4.1 Instructies. The eCloud Company zal de Persoonsgegevens slechts Verwerken op verzoek van en in overeenstemming met de rechtmatige instructies van de Klant in Bijlage I, tenzij enige wettelijke verplichting anders bepaalt. The eCloud Company zal de Klant informeren indien de instructies, naar haar mening, in strijd zijn met de Privacywetgeving. Indien de Klant vervolgens niet kan instaan voor de rechtmatigheid van de instructie, dan wel nalaat of weigert de onrechtmatige instructie zodanig te wijzigen dat deze niet langer in strijd is met de Privacywetgeving, is The eCloud Company gerechtigd om de uitvoering van genoemde instructie op te schorten/te weigeren en, naar haar keuze, ofwel (i) de Persoonsgegevens te blijven Verwerken in overeenstemming met eerder gegeven instructies, ofwel (ii) de Verwerking geheel te staken, totdat de Klant haar instructie zodanig heeft herzien dat deze niet langer in strijd is met de Privacywetgeving.
4.2 Verantwoordelijkheden. Voorts erkent de Klant dat zij verantwoordelijk is voor:
❑ de juistheid, kwaliteit en rechtmatigheid van (de verzameling en overdracht van) de Persoonsgegevens;
❑ het naleven van alle transparantie- en rechtmatigheidsvereisten onder de Privacywetgeving voor het verzamelen en Verwerken van de Persoonsgegevens en de doorgifte daarvan aan The eCloud Company;
❑ de naleving van haar instructies (cfr. Bijlage I) overeenkomstig de Privacywetgeving; en,
❑ The eCloud Company zonder onnodige vertraging te informeren indien zij niet in staat is te voldoen aan haar verantwoordelijkheden onder dit Artikel of de Privacywetgeving.
5 GEBRUIK VAN DE DIENST
5.1 Met betrekking tot (de Verwerking van) de Persoonsgegevens erkent de Klant dat:
❑ The eCloud Company optreedt als facilitator van de Dienst. De Klant is dus verantwoordelijk voor de wijze waarop en de mate waarin zij daarvan gebruik maakt;
❑ zij verantwoordelijk is voor de handelingen van Eindgebruikers (d.w.z. in het geval de Eindgebruikers (niet) voldoende maatregelen nemen om hun account in de izibill App of het iziportal te beschermen);
❑ The eCloud Company de Klant in staat stelt aanpassingen en/of wijzigingen aan te brengen betreffende de Persoonsgegevens in het iziportal en deze Persoonsgegevens nooit zelf zal raadplegen of aanpassen, tenzij de Klant The eCloud Company daarom verzoekt;
❑ zij verantwoordelijk is voor de Persoonsgegevens verstrekt door de Betrokkenen. De Klant is als Verwerkingsverantwoordelijke verantwoordelijk voor de naleving van de Privacywetgeving en/of enige andere regelgeving met betrekking tot hiervoor vermelde Persoonsgegevens;
❑ zij zich zal houden aan alle wet- en regelgeving (zoals, maar niet beperkt tot: met betrekking tot de bewaartermijn of rechten van de Betrokkene) die op haar van toepassing zijn door gebruik te maken / in het kader van de Dienst.
5.2 In geval van misbruik van de Dienst door de Klant of enige van haar werknemers met betrekking tot de Persoonsgegevens en/of op grond van deze Gegevensverwerkersverklaring of de Privacywetgeving, kan The eCloud Company hiervoor nooit aansprakelijk worden gesteld, noch voor enige schade die zou ontstaan ten gevolge van een dergelijk misbruik.
5.3 De Klant zal elk misbruik van de Dienst en het iziportal of de izibill App met betrekking tot de Persoonsgegevens en/of op grond van deze Gegevensverwerkersverklaring of de Privacywetgeving vermijden. De Klant zal dus The eCloud Company vrijwaren wanneer dergelijk misbruik zich voordoet, alsmede voor elke vordering van een Betrokkene en/of derde als gevolg van dergelijk misbruik.
6 BEVEILIGING
6.1 The eCloud Company neemt de beveiliging van de Persoonsgegevens zeer ernstig. The eCloud Company heeft met betrekking tot de Dienst passende technische en organisatorische maatregelen geïmplementeerd, zoals uiteengezet in Bijlage II, om naar beste vermogen de bescherming te waarborgen van (i) de Persoonsgegevens - waaronder bescherming tegen onzorgvuldig, oneigenlijk, ongeoorloofd of onrechtmatig gebruik en/of Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging; en (ii) de vertrouwelijkheid en integriteit van de Persoonsgegevens. Bij de implementatie van deze maatregelen heeft The eCloud Company rekening gehouden met de stand van de techniek, de kosten van de uitvoering en de aard, omvang, context en doeleinden van de Verwerking, alsmede met het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.
7 SUB-VERWERKERS
7.1 Goedkeuring van Sub-Verwerkers
7.1.1 De Klant erkent en stemt ermee in dat The eCloud Company Sub-Verwerkers kan inschakelen bij de uitvoering van het Contract. In dat geval zorgt The eCloud Company er voor dat de Sub-Verwerkers ten minste verbonden zijn aan dezelfde verplichtingen als deze waartoe The eCloud Company zich onder deze Gegevensverwerkersverklaring heeft verbonden.
7.1.2 The eCloud Company heeft momenteel de derde partijen zoals vermeld in Bijlage III aangesteld als Sub-Verwerkers.
7.1.3 The eCloud Company is aansprakelijk voor het handelen en nalaten van haar Sub-Verwerkers in dezelfde mate als wanneer zij het Contract/ de Verwerking van de Persoonsgegevens zelf zou uitvoeren, rechtstreeks onder de voorwaarden van deze Gegevensverwerkersverklaring.
7.2 Update van de Sub-Verwerker lijst
7.2.1 The eCloud Company zal:
❑ de lijst bijwerken telkens wanneer een Sub-Verwerker wordt gewijzigd (bv. een nieuwe Sub-Verwerker is toegevoegd, een Sub-Verwerker is vervangen, enz;)
❑ de wijzigingen in de lijst duidelijk aangeven; en
❑ een tijdstempel toevoegen die aangeeft (i) wanneer de lijst is bijgewerkt, en (ii) wanneer de wijziging van de Sub-Verwerker van kracht is geworden of zal worden
7.2.2 The eCloud Company zal de Klant op de hoogte stellen (bv. op de Website, via het iziportal of de izibill App) wanneer wijzigingen in de lijst worden aangebracht.
7.3 Bezwaar
7.3.1 Indien de Klant bezwaar wenst te maken tegen een nieuwe Sub-Verwerker, dient zij The eCloud Company daarvan schriftelijk (cfr. Artikel 15) en binnen dertig (30) dagen na de kennisgeving in kennis te stellen. Het bezwaar moet steeds gegrond zijn op redelijke gronden. Indien de Klant geen bezwaar maakt binnen voornoemde termijn, of de gronden tot bezwaar niet aangeeft, wordt zij geacht afstand te hebben gedaan van haar recht op bezwaar en The eCloud Company toestemming te hebben gegeven de nieuwe Sub-Verwerker in te schakelen.
7.3.2 In het geval voornoemd bezwaar niet onredelijk wordt geacht, zullen partijen de bezwaren van de Klant bespreken om tot een redelijke oplossing te komen. Een dergelijke oplossing kan, naar keuze van The eCloud Company, inhouden: (i) het aan de Klant ter beschikking stellen van een wijziging in de Dienst; of (ii) het aanbevelen van een commercieel redelijke wijziging in het gebruik van de Dienst door de Klant om de Verwerking van de Persoonsgegevens door de gewraakte nieuwe Sub-Verwerker te voorkomen zonder de Klant onredelijk te belasten.
7.3.3 Indien partijen er echter niet in slagen om binnen een redelijke termijn (die niet langer zal zijn dan dertig (30) dagen na het bezwaar van de Klant) tot een redelijke oplossing te komen, kan de Klant het Contract (geheel of gedeeltelijk) beëindigen indien:
❑ de Klant geen gebruik kan maken van de Dienst zonder een beroep te doen op de gewraakte nieuwe Sub-Verwerker; of,
❑ deze beëindiging uitsluitend betrekking heeft op dat deel van de Dienst dat niet door The eCloud Company kan worden geleverd zonder een beroep te doen op de gewraakte nieuwe Sub-Verwerker;
en wel door The eCloud Company hiervan binnen een redelijke termijn schriftelijk in kennis te stellen (cfr. Artikel 15).
7.3.4 Beëindiging van het Contract in de zin van artikel 7.3.3 geschiedt zonder aansprakelijkheid jegens een der partijen (doch onverminderd eventuele door de Klant vóór de opschorting of beëindiging van de Dienst gemaakte kosten).
8 DOORGIFTE VAN PERSOONSGEGEVENS AAN DERDE LANDEN
8.1 De Persoonsgegevens zullen hoofdzakelijk worden Verwerkt binnen de Europese Economische Ruimte ("EER").
8.2 De Klant erkent dat The eCloud Company gerechtigd is de Persoonsgegevens door te geven aan en op te slaan in landen buiten de EER ten behoeve van het verlenen van de Dienst en het nakomen van haar verplichtingen onder het Contract, en op voorwaarde dat deze overdracht/opslag geschiedt in overeenstemming met de Privacywetgeving betreffende aanvullende waarborgen. In het bijzonder zal elke doorgifte van Persoonsgegevens buiten de EER door The eCloud Company aan een derde partij waarvan de woonplaats of statutaire zetel zich in een land bevindt dat niet valt onder een adequaatheidsbesluit van de Europese Commissie (d.i. een derde land), aanvullend onderworpen zijn aan één of meer van de opgesomde door de EU goedgekeurde waarborgen:
❑ het sluiten van een overeenkomst inzake gegevensoverdracht met de gegevensimporteur in het derde land, die de standaardcontractbepalingen bevat, zoals bedoeld in het "Uitvoeringsbesluit van de Europese Commissie van 4 juni 2021 (Besluit (EU) 2021/914) betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad", met inbegrip van het uitvoeren van een effectbeoordeling van de gegevensdoorgifte. Voordat de doorgifte plaatsvindt, moet de importeur van de Persoonsgegevens/SubVerwerker van The eCloud Company in het derde land The eCloud Company garanderen dat in dit derde land een adequaat niveau van gegevensbescherming is gewaarborgd; en/of
❑ bindende bedrijfsvoorschriften. Zoals het geval is voor standaard contractuele clausules, moet de gegevensimporteur van de Persoonsgegevens/Sub-Verwerker van The eCloud Company in het derde land The eCloud Company garanderen dat een adequaat niveau van gegevensbescherming is gewaarborgd in het land van de derde partij; en/of,
❑ certificeringsmechanismen.
8.3 Bij elke doorgifte naar een derde land dat of een internationale organisatie die niet valt onder een adequaatheidsbesluit, zal The eCloud Company nagaan of er wetgeving of gebruiken in dat derde land bestaan / aanwezig zijn die een inbreuk kunnen maken op de noodzakelijke beveiligingsvoorschriften (zoals hierboven gedefinieerd).
Indien dit overeenkomstig bovenstaande beoordeling noodzakelijk wordt geacht, zal The eCloud Company alle geschikte bijkomende maatregelen nemen om effectiviteit van de standaardcontractbepalingen, de bindende bedrijfsvoorschriften en/of certificeringsmechanismen te verzekeren.
8.4 Voorts zal The eCloud Company alle redelijke maatregelen nemen om er voor te zorgen dat de gegevensimporteur voldoende waarborgen en maatregelen implementeert om bescherming van Persoonsgegevens te beschermen.
8.5 In het geval een gegevensimporteur niet in overeenstemming is met de Privacywetgeving, of de bescherming in een derde land niet afdoende is, zal The eCloud Company – naar eigen inzicht – ofwel:
❑ De doorgifte van de Persoonsgegevens opschorten, tot het probleem bij de gegevensimporteur / het derde land opgelost is; of,
❑ De doorgifte van Persoonsgegevens aan de gegevensimporteur / derde land beëindigen en de derde partij verzoeken de persoonsgegevens die zij in haar bezit heef te verwijderen.
8.6 In het geval de doorgifte (of openbaarmaking) van de Persoonsgegevens aan een derde land verplicht is op grond van EU-wetgeving of EU-lidstaat wetgeving waaraan The eCloud Company is onderworpen, zal The eCloud Company de Klant op de hoogte stellen van die wettelijke verplichting vóór de doorgifte/openbaarmaking, tenzij die wet dergelijke mededeling verbiedt op grond van zwaarwichtige redenen van algemeen belang.
9 VERTROUWELIJKHEID
9.1 The eCloud Company zal de Persoonsgegevens vertrouwelijk behandelen en dus niet openbaar maken of overdragen aan derden, zonder toestemming van de Klant, tenzij deze openbaarmaking en/of overdracht wordt vereist door de wet of door een rechterlijke of andere overheidsbeslissing (van welke aard dan ook). In dat geval zal The eCloud Company, voorafgaand aan dergelijke openbaarmaking, de Klant in volledige transparantie informeren over de omvang en wijze van openbaarmaking / overdracht.
9.2 The eCloud Company verzekert de Klant dat personen die betrokken zijn bij de uitvoering van de Dienst (zoals, personeel, vertegenwoordigers, functionarissen, directeuren, agenten, adviseurs, verbonden ondernemingen en adviseurs) (i) op de hoogte zijn van het vertrouwelijke karakter van de Persoonsgegevens; (ii) zich bewust zijn van hun verantwoordelijkheden; en (iii) gebonden zijn aan schriftelijke geheimhoudingsverklaringen. The eCloud Company zorgt ervoor dat deze geheimhoudingsverplichtingen ook na beëindiging van hun arbeids- of dienstenovereenkomst blijven bestaan.
9.3 The eCloud Company verzekert de Klant dat de toegang van haar personeel tot de Persoonsgegevens beperkt is op een “need to know” basis.
10 KENNISGEVINGSVERPLICHTINGEN EN BIJSTAND
10.1 Kennisgeving. The eCloud Company zal zich naar best vermogen inspannen om de Klant zo spoedig als redelijkerwijs mogelijk te informeren wanneer zij:
❑ een verzoek om informatie, een dagvaarding of een verzoek om inspectie of controle ontvangt van een bevoegde overheidsinstantie (met inbegrip van een toezichthoudende autoriteit) in verband met de Verwerking van de Persoonsgegevens;
❑ een verzoek ontvangt van een Betrokkene die zich beroept op diens rechten krachtens de Privacywetgeving (cfr. Artikel 10.3);
❑ het voornemens heeft Persoonsgegevens bekend te maken aan een bevoegde overheidsinstantie (incl. toezichthoudende autoriteit); of
❑ vaststelt of redelijkerwijs vermoedt dat zich een Inbreuk in verband met persoonsgegevens heeft voorgedaan.
10.2 Inbreuk in verband met persoonsgegevens. In het geval van een Inbreuk in verband met persoonsgegevens, zal The eCloud Company:
❑ de Klant zonder onnodige vertraging nadat zij kennis heeft genomen van deze Inbreuk in verband met persoonsgegevens hiervan op de hoogte stellen en, voor zover mogelijk, de informatie verstrekken zoals vereist door de Privacywetgeving (bv. artikel 33.3 AVG). The eCloud Company zal op verzoek van de Klant - voor zover mogelijk - bijstand verlenen met betrekking tot de meldingsplicht van de Klant op grond van de Privacywetgeving;
❑ zich verplichten om - zo spoedig als redelijkerwijs mogelijk is - passende herstelmaatregelen te nemen om een einde te maken aan de inbreuk in verband met persoonsgegevens (indien deze onder haar verantwoordelijkheid heeft plaatsgevonden) en om eventuele toekomstige inbreuken in verband met persoonsgegevens te voorkomen en/of te beperken.
10.3 Rechten van Betrokkenen
10.3.1 The eCloud Company zal de Klant onverwijld op de hoogte stellen indien zij een verzoek ontvangt van een Betrokkene die zich beroept op diens privacy rechten onder de Privacywetgeving. The eCloud Company zal niet reageren op een dergelijk verzoek van een Betrokkene zonder voorafgaande schriftelijke toestemming van de Klant, behalve om te bevestigen dat het verzoek betrekking heeft op de Klant, waartoe de Klant bij deze instemt.
10.3.2 Indien een Betrokkene verzoekt om diens rechten uit te oefenen, is het de verantwoordelijkheid van de Klant om de Betrokkene bij te staan in diens verzoek. Alleen als de Klant niet de mogelijkheid heeft om de Persoonsgegevens te corrigeren, aan te passen, te blokkeren of te verwijderen (zoals vereist door de Privacywetgeving), zal The eCloud Company de Klant bijstaan (zolang als commercieel redelijk is).
10.3.3 Niettegenstaande het voorgaande, blijft de Klant verantwoordelijk voor de naleving van dergelijke verzoeken van Betrokkenen.
10.4 Gegevensbeschermingseffectbeoordeling. Rekening houdend met de aard van de Verwerking en voor zover (i) een gegevensbeschermingseffectbeoordeling vereist is onder de Privacywetgeving en (ii) de vereiste informatie redelijkerwijs beschikbaar is voor The eCloud Company en de Klant anderszins geen toegang heeft tot deze informatie, zal The eCloud Company - op verzoek van de Klant - redelijke bijstand verlenen aan de Klant bij het uitvoeren van een gegevensbeschermingseffectbeoordeling en eventueel voorafgaand overleg met de bevoegde toezichthoudende autoriteiten. Voor zover de Privacywetgeving dit toelaat, zal de Klant verantwoordelijk zijn voor alle kosten die voortvloeien uit het verlenen van dergelijke bijstand door The eCloud Company.
11 AANSPRAKELIJKHEID
11.1 Beide partijen zijn als enige aansprakelijk voor alle schade en/of vorderingen van de andere partij of Betrokkenen en boetes van bevoegde toezichthoudende autoriteiten die het gevolg zijn van een eigen inbreuk op of niet-naleving van (i) de bepalingen van deze Gegevensverwerkersverklaring, en (ii) de Privacywetgeving of andere toepasselijke regels inzake Persoonsgegevens. Elke partij vrijwaart de andere partij in dit verband.
11.2 In geval van een bewezen schending door The eCloud Company van haar verplichtingen onder deze Gegevensverwerkersverklaring of onder de Privacy Wetgeving, zal The eCloud Company:
❑ aansprakelijk zijn voor de bewezen directe schade die de Klant lijdt;
❑ niet aansprakelijk te zijn voor indirecte, immateriële en/of gevolgschade, waaronder (maar niet beperkt tot: gederfde winst, gemiste kansen, verlies van en/of schade aan gegevens, reputatieschade, sancties, en niet voorzienbare schade).
De aansprakelijkheid van The eCloud Company jegens de Klant is in ieder geval beperkt tot het totale bedrag dat de Klant in de laatste twaalf (12) maanden uit hoofde van het Contract aan The eCloud Company heeft betaald.
12 DUUR
12.1 De totale looptijd van deze Gegevensverwerkersverklaring is gelijk aan de looptijd van het Contract. Indien geen looptijd is bepaald, blijft deze Gegevensverwerkersverklaring van kracht zolang de Dienst niet is geëindigd.
13 BEWARING, TERUGGAVE EN VERWIJDERING VAN PERSOONSGEGEVENS
13.1 The eCloud Company zal de Persoonsgegevens slechts zolang bewaren als nodig is om de Dienst te verlenen of voor de duur van het Contract (cfr. Artikel 12). De Klant aanvaardt dat The eCloud Company back-ups kan maken van de Persoonsgegevens die zijn opgeslagen op in de izibill App of het iziportal.
13.2 Bij beëindiging van de Dienst of het Contract is het volgende van toepassing:
❑ de Dienst en izibill Master Subscription worden gedeactiveerd. Eventuele Persoonsgegevens, opgeslagen in de izibill App of het iziportal zullen vanaf dat moment niet langer beschikbaar zijn voor de Klant;
❑ de Klant kan binnen twee (2) maanden na het einde van het Contract verzoeken om teruggave van de Persoonsgegevens ('export'), waarop The eCloud Company zal beoordelen of deze export technisch mogelijk is. In ieder geval kan The eCloud Company naar eigen goeddunken het formaat van de export bepalen. The eCloud Company behoudt zich het recht voor om eventuele kosten in verband met dergelijke exporten aan de Klant in rekening te brengen.
❑ na genoemde periode van twee (2) maanden zullen de Persoonsgegevens in de izibill App of het iziportal binnen één (1) maand worden verwijderd, tenzij het op grond van toepasselijk recht verplicht is de Persoonsgegevens te bewaren.
❑ de Persoonsgegevens kunnen aanwezig zijn op back-ups. De Persoonsgegevens zullen worden verwijderd zodra de laatste back-up die de Persoonsgegevens bevat is geroteerd.
13.3 Gegevens of materiaal die door de Klant tijdens het gebruik van de Dienst aan The eCloud Company zijn verstrekt en die geen Persoonsgegevens bevatten, kunnen door The eCloud Company verder worden opgeslagen na beëindiging van het Contract of de Dienst.
14 COMPLIANCE / INSPECTIES
14.1 Compliance. The eCloud Company zal op verzoek van de Klant aan laatstgenoemde alle informatie ter beschikking stellen die nodig is en in de mate als door de wet wordt vereist om aan te tonen dat zij haar verplichtingen uit hoofde van deze Gegevensverwerkersverklaring nakomt.
14.2 Inspecties
14.2.1 The eCloud Company zal de Klant (of een derde namens haar) toestaan inspecties uit te voeren - zoals bijvoorbeeld, maar niet beperkt tot: een audit - en zal daarbij de nodige assistentie verlenen.
14.2.2 De Klant zal haar initiatieven tot het uitvoeren van een inspectie echter beperken tot maximaal eenmaal per jaar. De Klant dient The eCloud Company ten minste dertig (30) werkdagen van tevoren op de hoogte te stellen. Het uitvoeren van inspecties mag in ieder geval niet leiden tot vertraging in de uitvoering van de Dienst door The eCloud Company.
14.2.3 De Klant zal voldoende geheimhoudingsverplichtingen opleggen aan haar (interne/externe) controleurs. Ter waarborging van de geheimhouding van andere The eCloud Company klanten, heeft The eCloud Company het recht van de Klant en haar werknemers te verlangen dat zij voor aanvang van de inspectie een geheimhoudingsverklaring ondertekenen.
14.2.4 Alle inspectiekosten zijn uitsluitend voor rekening van de Klant, behalve indien (en voor zover) tijdens de inspectie een ernstig beveiligingsincident/inbreuk in verband met persoonsgegevens (bij The eCloud Company/onder verantwoordelijkheid van The eCloud Company) of een overtreding van deze Gegevensverwerkersverklaring wordt vastgesteld.
15 KENNISGEVING / CONTACT THE ECLOUD COMPANY
15.1 Kennisgevingen door de Klant in het kader van deze Gegevensverwerkersverklaring en/of vragen of opmerkingen met betrekking tot de bepalingen van deze Gegevensverwerkersverklaring dienen te worden gericht aan info@ecloudcompany.eu.
16 Update
16.1 Deze Gegevensverwerkersverklaring kan van tijd tot tijd door The eCloud Company worden bijgewerkt, in welk geval The eCloud Company de Klant daarvan op de hoogte zal stellen via haar Website, het iziportal en/of de izibill App. In ieder geval kan de meest recente versie van deze Gegevensverwerkersverklaring altijd geraadpleegd worden op de Website, alsmede op het iziportal en de izibill App.
17 TOEPASSELIJK RECHT EN JURISDICTIE
17.1 Deze Gegevensverwerkersverklaring, met inbegrip van de Bijlagen, wordt beheerst door het recht en is onderworpen aan de bevoegdheidsclausule zoals bepaald in het Contract.
Bijlage I – Verwerking
1 OVERZICHT VAN DE PERSOONSGEGEVENS
|
Betrokkenen – Categorie 1 |
|
|
❑ Naam |
❑ Functie |
|
❑ Voornaam |
❑ Onderneming / werkgever |
|
❑ Account ID |
❑ E-mailadres |
|
❑ Telefoonnummer |
❑ Alle andere persoonsgegevens die door de Klant of Eindgebruiker van het iziportal worden ingevuld in een vrij formulierveld |
|
Betrokkenen – Categorie 2 |
|
|
❑ Voornaam |
❑ E-mailadres |
|
❑ Achternaam |
❑ Taalvoorkeur |
|
❑ Functie (werkgever) |
❑ Account ID / izibox ID of nummer |
|
❑ Telefoonnummer |
❑ Nummerplaat EV Driver |
|
❑ Adres / (geo)locatie EV Driver |
❑ Kenmerken wagen (model, merk) EV Driver |
|
❑ Vrijwillig verstrekte informatie |
|
2 OVERZICHT VAN DE BETROKKENEN
|
Categorie 1 |
|
|
❑ Medewerkers van de Klant die Master Account aanmaken |
|
|
Categorie 2 |
|
|
❑ EV-Driver (werknemer van de Klant) |
|
3 AARD VAN DE VERWERKING
|
❑ Verzamelen |
❑ Raadplegen |
|
❑ Sorteren |
❑ Vergelijken |
|
❑ Structureren |
❑ Onderling verbinden |
|
❑ Wijzigen |
❑ Communiceren |
|
❑ Opslaan |
❑ Beperken |
|
❑ Overdragen |
❑ Verwijderen |
4 MIDDELEN VOOR VERWERKING
|
❑ Via het iziportal |
❑ via de izibill App |
|
❑ Microsoft |
|
5 DOEL VAN DE VERWERKING
Het verlenen van de Dienst en toegang tot/gebruik van het The eCloud Company Platform op grond van het Contract.
6 DUURTIJD
Gedurende de looptijd van het
Contract (cfr. The eCloud Company’s Algemene Voorwaarden van toepassing op de
Klant). Bij beëindiging van het Contract (om welke reden dan ook), zal de
toegang tot het iziportal en de izibill App worden gedeactiveerd en zullen de
Persoonsgegevens worden verwijderd of worden teruggegeven aan de Klant zoals
bepaald in Artikel 13.
Bijlage II – Beveiliging
1 MANAGEMENT RICHTLIJNEN VOOR INFORMATIEBEVEILIGING
i. The eCloud Company heeft een passend informatiebeveiligingsbeleid ingevoerd.
ii. The eCloud Company beschikt over voldoende gekwalificeerde specialisten inzake informatiebeveiliging, die worden ondersteund door de bedrijfsleiding van The eCloud Company.
iii. Het management van The eCloud Company legt aan werknemers en externe onderaannemers die toegang hebben tot Persoonsgegevens middels een schriftelijke overeenkomst een vertrouwelijkheids- en privacyverplichting op wat deze gegevens betreft. Deze verplichting blijft bestaan na wijziging of beëindiging van de tewerkstelling of de verbintenis.
2 PERSONEELSVEILIGHEID
i. The eCloud Company maakt haar werknemers en betrokken externe onderaannemers bewust op het vlak van informatiebeveiliging.
3 TOEGANGSCONTROLE
3.1 Beheer gebruikerstoegang
i. The eCloud Company implementeert beleidslijnen inzake toegangscontrole die het aanmaken, wijzigen en verwijderen ondersteunen van gebruikersaccounts voor systemen of applicaties die Persoonsgegevens bevatten of die de toegang tot Persoonsgegevens mogelijk maken.
ii. The eCloud Company implementeert een procedure voor het toekennen van Master Accounts en toegang om toegangsrechten tot het iziportal en de izibill App te geven en in te trekken.
iii. Het gebruik van "generieke" of "gedeelde" accounts is verboden indien er geen systeemcontroles zijn ingeschakeld waarmee de toegang van specifieke gebruikers kan worden opgevolgd en het delen van wachtwoorden kan worden voorkomen.
iv. The eCloud Company controleert en beperkt de toegang tot hulpprogramma's die kunnen worden gebruikt om beveiligingscontroles op het niveau van het systeem of van applicaties, te omzeilen.
v. De toegang van gebruikers tot systemen en applicaties die Persoonsgegevens bevatten of toegang tot Persoonsgegevens mogelijk maken, wordt beheerst door middel van een veilige inlogprocedure.
3.2 Beheer fysieke toegang
i. De fysieke toegang tot plaatsen waar Persoonsgegevens worden opgeslagen of verwerkt, wordt beveiligd overeenkomstig de praktijken die in de sector de norm zijn.
4 COMMUNICATIEBEVEILIGING
4.1 Netwerkbeveiliging
i. Persoonsgegevens worden door The eCloud Company logisch gescheiden binnen een shared-serviceomgeving.
ii. The eCloud Company beveiligt netwerksegmenten tegen externe toegangspunten waar Persoonsgegevens toegankelijk zijn.
iii. Externe netwerkperimeters zijn beveiligd en geconfigureerd om niet-geautoriseerd verkeer te voorkomen.
iv. In- en uitgaande punten worden beveiligd door firewalls en inbraakbeveiligingsystemen (IDS). Poorten en protocollen worden gelimiteerd tot deze waarvoor specifieke zakelijke doeleinden bestaan.
v. The eCloud Company synchroniseert systeemklokken op netwerkservers met een universele tijdsbron (bijv. UTC) of een NTP-server (Network Time Protocol).
4.2 Cryptografische controlemaatregelen
i. Persoonsgegevens worden in rust versleuteld.
4.3 Controlemaatregelen cloudopslag
i. The eCloud Company versleutelt gegevens tijdens de transmissie tussen elke applicatielaag en tussen gekoppelde applicaties.
5 OPERATIONELE BEVEILIGING
5.1 Servicemanagement
i. The eCloud Company heeft formele operationele procedures uitgevoerd voor systeemprocessen die van invloed zijn op Persoonsgegevens. Kennisgeving kan plaatsvinden via algemene wijzigingslogboeken. Procedures moeten de auteur, de revisiedatum en het versienummer bijhouden, en moeten worden goedgekeurd door het management.
ii. The eCloud Company houdt toezicht op de beschikbaarheid van de dienst.
5.2 Vulnerability management
i. The eCloud Company voert jaarlijks penetratietesten uit op systemen en applicaties die gegevens van de Klant (inclusief persoonsgegevens) opslaan of de toegang tot deze gegevens mogelijk maken. Geïdentificeerde problemen moeten binnen een redelijke termijn worden verholpen.
ii. The eCloud Company heeft een proces geïmplementeerd voor het beheer van patches en beveiligingsproblemen, om kwetsbaarheden te identificeren, te rapporteren en te verhelpen door:
❑ regelmatige uitvoering van een veiligheidsbeoordeling van de applicatie en de onderliggende infrastructuur;
❑ patches of oplossingen van leveranciers te implementeren; en
❑ een herstelplan voor kritieke beveiligingsproblemen te ontwikkelen.
iii. The eCloud Company heeft controles geïmplementeerd om malware, kwaadaardige code en niet-geautoriseerde uitvoering van code te detecteren en te voorkomen. De controles moeten regelmatig worden bijgewerkt met gebruik van de meest recente beschikbare technologie (bijv. door de meest recente handtekeningen en definities te gebruiken).
5.3 Logboekregistratie en opvolging
i. The eCloud Company genereert beheerlogbestanden en gebeurtenislogbestanden voor systemen en applicaties die gegevens van de Klant opslaan of de toegang tot deze gegevens mogelijk maken.
ii. The eCloud Company controleert systeemlogbestanden regelmatig om systeemfouten, storingen of potentiële beveiligingsincidenten die van invloed zijn op Persoonsgegevens, te identificeren.
6 BEHEER EXTERNE LEVERANCIERS
i. De contractuele overeenkomsten van The eCloud Company met externe partijen die omgaan met Persoonsgegevens moeten passende eisen bevatten inzake informatiebeveiliging, vertrouwelijkheid, en gegevensbescherming, zoals beschreven in het Contract. Overeenkomsten met dergelijke partijen worden regelmatig herzien om te bevestigen dat de eisen inzake informatiebeveiliging en gegevensbescherming nog voldoen.
ii. The eCloud Company evalueert regelmatig de controles inzake informatiebeveiliging van de externe partijen waarmee zij samenwerkt, en gaat na of deze controles afdoende zijn in het licht van de risico's die voortkomen uit het behandelen van Persoonsgegevens door de derde partij, rekening houdend met de stand van de techniek en de kosten van implementatie.
iii. The eCloud Company beperkt de toegang van externe partijen tot Persoonsgegevens, waaronder persoonsgegevens.
iv. The eCloud Company verstrekt de Klant op diens verzoek een lijst van externe partijen die toegang moeten hebben tot Persoonsgegevens, waaronder persoonsgegevens.
v. The eCloud Company staat toegang tot Persoonsgegevens (waaronder persoonsgegevens) alleen toe voor zover dat noodzakelijk is voor het uitvoeren van de prestaties waartoe de externe partij contractueel gehouden is.
7 WEERBAARHEID
i. The eCloud Company voert risicobeoordelingen inzake bedrijfscontinuïteit uit om relevante risico's, bedreigingen, gevolgen, waarschijnlijkheid en vereiste controles en procedures te bepalen.
ii. Op basis van de resultaten van risicobeoordelingen documenteert, implementeert, test en evalueert The eCloud Company jaarlijks haar "Business Continuity and Disaster Recovery" -plannen (BC/DR) om het vermogen te beoordelen om bij een fysiek of technisch incident dat resulteert in het verlies of de beschadiging van Persoonsgegevens, de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen.
8 AUDIT EN COMPLIANCE
i. The eCloud Company evalueert regelmatig of haar systemen en apparatuur die Persoonsgegevens (met inbegrip van persoonsgegevens) opslaan of de toegang tot deze gegevens mogelijk maken, voldoen aan de wet- en regelgeving en aan de contractuele verplichtingen tegenover de Klant.
ii. The eCloud Company houdt een actuele onafhankelijke verificatie aan van de doeltreffendheid van haar technische en organisatorische beveiligingsmaatregelen (bv. ISO certificering). De onafhankelijke toetsing van de informatiebeveiliging wordt minstens jaarlijks uitgevoerd.
The eCloud Company schakelt de volgende Sub-Verwerkers in om te helpen bij het verlenen van de Dienst zoals beschreven in het Contract:
|
Naam |
Aard van de Verwerking |
Territorium |
|
Odoo |
Provider IT services voor iziportal |
EER |
|
Appwise |
Provider IT services voor izibill App |
EER |
|
Microsoft (Office 365) |
It suite |
EER |