Algemene Verwerkersvoorwaarden Wisenose B.V.

Standaard Verwerkersvoorwaarden van Wisenose B.V.

1. De besloten vennootschap met beperkte aansprakelijkheid Wisenose B.V. statutair gevestigd te ‘s-Hertogenbosch en kantoorhoudende te (5223ZN) ‘s-Hertogenbosch aan Concordialaan 96, ingeschreven in het handelsregister onder nummer: 17207441, te dezen rechtsgeldig vertegenwoordigd door de heer M.J.P. Gruben in de functie van operationeel directeur, hierna te noemen “Verwerker”;en
2. De klant (zoals gedefinieerd in de algemene voorwaarden en zoals omschreven in de (Partner)aanmelding, aanmelding, offerte, opdrachtbevestiging of vergelijkbare overeenkomst) zijnde de (rechts)persoon of organisatie die digitaal dan wel schriftelijk opdracht heeft verstrekt aan Verwerker voor het leveren van Programmatuur, diensten of overige zaken, hierna te noemen “Verantwoordelijke”;

Gezamenlijk aan te duiden als “Partij(en)”;   Overwegende dat:

• Verantwoordelijke bepaalde vormen van verwerkingen wil laten verrichten door Verwerker, waarbij Verantwoordelijke het doel en de middelen aanwijst;
• Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming en aanverwante regelgeving en gedragscodes na te komen;
• Partijen een of meerdere overeenkomsten (“Overeenkomst(en)”) hebben gesloten waarin het verwerken van persoonsgegevens onderdeel uitmaakt van de dienstverlening;
• Partijen mede gelet op het vereisten uit artikel 28 derde lid van de AVG hun rechten en plichten wensen vast te leggen in deze Verwerkersvoorwaarden;
• Waar in deze Verwerkersvoorwaarden termen worden gebruikt die overeenstemmen met definities uit artikel 4 AVG, wordt aan deze termen de betekenis van de definities uit de AVG toegekend.

Verantwoordelijke en Verwerker komen samen overeen:

1. Definities

1.1 Bijlagen: aanhangsels bij deze Verwerkersvoorwaarden die deel uitmaken van deze Verwerkersvoorwaarden.

1.2.Toezichthouder: de Autoriteit Persoonsgegevens (AP) is het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op het verwerken van persoonsgegevens.

1.3. Verantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

1.4. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van Verantwoordelijke persoonsgegevens verwerkt. Degene die ten behoeve van Verantwoordelijke persoonsgegevens verwerkt, in opdracht van Verwerker, is een sub-Verwerker.

2. Ingangsdatum en duur

2.1. Deze Verwerkersvoorwaarden gaan in op het moment van het aangaan van de Overeenkomst en duren voort zolang Verwerker als Verwerker van persoonsgegevens optreedt in het kader van de door Verantwoordelijke ter beschikking gestelde persoonsgegevens voor verwerking op het platform van Verwerker.

3. Onderwerp van deze Verwerkersvoorwaarden

3.1. Verwerker verwerkt de door of via Verantwoordelijke ter beschikking gestelde persoonsgegevens uitsluitend in opdracht van Verantwoordelijke in het kader van de uitvoering van de hoofdovereenkomst. De door Verwerker uit te voeren werkzaamheden waar deze Verwerkersvoorwaarden betrekking op hebben, worden nader omschreven in bijlage 2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken, behoudens afwijkende wettelijke verplichtingen.

3.2. Verwerker verbindt zich om in het kader van die werkzaamheden de door of via Verantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.

4. Verplichtingen Verwerker en Verantwoordelijke

4.1. Verwerker verwerkt gegevens ten behoeve van Verantwoordelijke, in overeenstemming met diens (schriftelijke) instructies.

4.2. Verantwoordelijke garandeert Verwerker dat de verwerking van persoonsgegevens rechtmatig geschiedt. Indien Verwerker van mening is dat Verantwoordelijke in strijd handelt met de AVG, stelt Verwerker Verantwoordelijke daarvan op de hoogte.

4.3. Verwerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze Verwerkersvoorwaarden komt nimmer bij Verwerker te berusten.

4.4. Verwerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 3 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens. Verwerker zal alle redelijke instructies van (de contactpersoon van) Verantwoordelijke opvolgen, behoudens afwijkende wettelijke verplichtingen. Indien deze afwijkende wettelijke verplichtingen er zijn wordt Verantwoordelijke hiervan, voorafgaand aan de verwerking, schriftelijk op de hoogte gebracht door Verwerker.

4.5. Verwerker stelt Verantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. De redelijkerwijs daarmee gepaard gaande kosten komen voor rekening van Verantwoordelijke.

4.6. Verwerker werkt op verzoek van Verantwoordelijke te allen tijde mee aan een gegevensbeschermings-effectbeoordeling ((D)PIA). De redelijkerwijs daarmee gepaard gaande kosten komen voor rekening van Verantwoordelijke.

5. Geheimhoudingsplicht

5.1. Personen in dienst van, dan wel werkzaam ten behoeve van Verwerker, evenals Verwerker zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht. De medewerkers van Verwerker is hiertoe geheimhouding opgelegd.

5.2. Indien Verwerker op grond van een wettelijke verplichting gegevens aan een derde dient te verstrekken, zal Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Verwerker Verantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren, tenzij wettelijke bepalingen dit verbieden.

6. Meldplicht datalekken en beveiligingsincidenten

6.1. Verwerker zal Verantwoordelijke zo spoedig mogelijk -afgezet tegen de termijn die geldt voor een eventuele meldingsplicht van Verantwoordelijke- informeren over alle relevante inbreuken op de beveiliging, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken. Daarbij verschaft Verwerker, zo mogelijk, de informatie aan Verantwoordelijke zoals omschreven in bijlage 3.

6.2. Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken en zal Verantwoordelijke, op diens verzoek, inzage verschaffen in het plan.

6.3. Verwerker is niet verplicht tot het doen van een melding aan de Toezichthouder. Deze verantwoordelijkheid berust bij Verantwoordelijke.

6.4. Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de Toezichthouder en/of betrokkene(n). Daarbij verschaft Verwerker in ieder geval de informatie, zoals beschreven in bijlage 3, aan Verantwoordelijke.

6.5. Verwerker houdt een overzicht bij van alle (vermoedens van) inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen.

7. Beveiligingsmaatregelen en controle

7.1. Verwerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van Verantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onrechtmatige verwerking. De wijze van beveiliging wordt nader omschreven in bijlage 1.

7.2. Verantwoordelijke is gerechtigd de verwerking van persoonsgegevens door onafhankelijke en onder geheimhouding werkende deskundigen te (doen) controleren, doch maximaal één maal per jaar.

7.3. Verantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan Verwerker en nadat bestaande rapporten van Verwerker als onvoldoende zijn beoordeeld.

7.4. Verwerker zal binnen een redelijke termijn, van minimaal twee weken, Verantwoordelijke, of de door Verantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan Verantwoordelijke, of de door Verantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door Verwerker van deze Verwerkersvoorwaarden. Verantwoordelijke, of de door Verantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.

7.5. Verwerker staat ervoor in, de door Verantwoordelijke of ingeschakelde derde, aangegeven passende maatregelen ter verbetering binnen de daartoe door Verantwoordelijke te bepalen redelijke termijn uit te voeren.

7.6. Naast rapportages van Verwerker en controles door Verantwoordelijke of controlerende instantie in opdracht van Verantwoordelijke, kunnen beide partijen ook overeenkomen gebruik te maken van een ISO 27001 certificering opgesteld door een onafhankelijke externe deskundige.

7.7. De kosten van de controle worden gedragen door de partij die de kosten maakt.

8. Inschakeling derden

8.1. Verwerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaand informeren van Verantwoordelijke, of voor zover bij deze Verwerkersvoorwaarden is overeengekomen.

8.2. Verwerker garandeert dat deze derden schriftelijk voldoende plichten op zich nemen als tussen Verantwoordelijke en Verwerker is overeengekomen en zal Verantwoordelijke, op diens verzoek, inzage verschaffen in de overeenkomsten met deze derden waarin deze plichten zijn opgenomen.

8.3. Verwerker mag de persoonsgegevens uitsluitend verwerken binnen de Europese Economische Ruimte (EER). Doorgifte naar andere landen buiten de EER is uitsluitend toegestaan na voorafgaande schriftelijke toestemming van Verantwoordelijke en met inachtneming van de toepasselijke wet- en regelgeving.

8.4. Verwerker houdt een actueel register bij van de door hem ingeschakelde derden en onderaannemers waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de derden of onderaannemers zijn opgenomen, alsmede eventuele door Verantwoordelijke gestelde aanvullende voorwaarden. Dit register zal als bijlage 4 aan deze Verwerkersvoorwaarden worden toegevoegd en zal door Verwerker actueel worden gehouden.

9. Wijziging en beëindigen Verwerkersvoorwaarden

9.1. Verwerker is gerechtigd wijzigingen in Verwerkersvoorwaarden door te voeren. Verantwoordelijke heeft daarna dertig dagen de tijd om aan te geven dat hij niet akkoord is. Zonder tegenbericht van Verantwoordelijke zijn de wijzigingen door Verantwoordelijke geaccepteerd.

9.2. Zodra de samenwerking is beëindigd, zal Verwerker naar keuze van Verantwoordelijke (i) alle van haar in het kader van deze Verwerkersvoorwaarden ter beschikking gestelde persoonsgegevens aan Verantwoordelijke ter beschikking stellen (ii) de persoonsgegevens die hij van Verantwoordelijke heeft ontvangen op alle locaties vernietigen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. Deze werkzaamheden moeten, binnen nader overeen te komen redelijke termijn, uitgevoerd worden. De daarmee gepaard gaande redelijke kosten komen voor rekening van Verwerker.

9.3. Verwerker zal te allen tijde de in het vorig lid beschreven recht op overdraagbaarheid van gegevens conform artikel 20 AVG waarborgen, zodanig dat er geen sprake is van verlies van (delen van) de gegevens.

9.4. Verwerker zal Verantwoordelijke tijdig informeren over wijzigingen in deze Verwerkersvoorwaarden, als een wijziging in regelgeving of een wijziging in de uitleg van regelgeving daartoe aanleiding geeft.

9.5. Indien een Partij tekortschiet in de nakoming van een overeengekomen verplichting, kan de andere Partij haar in gebreke stellen waarbij de nalatige partij alsnog een redelijke termijn voor de nakoming wordt gegund. Blijft nakoming ook dan uit dan is de nalatige partij in verzuim. Ingebrekestelling is niet nodig wanneer voor de nakoming een fatale termijn geldt, nakoming blijvend onmogelijk is of indien uit een mededeling dan wel de houding van de andere partij moet worden afgeleid dat deze in de nakoming van haar verplichting zal tekortschieten.

9.6. Verantwoordelijke is gerechtigd, onverminderd hetgeen daartoe bepaald is in Verwerkersvoorwaarden en de daarmee samenhangende hoofdovereenkomst, en onverminderd hetgeen overigens in de wet is bepaald, de uitvoering van deze Verwerkersvoorwaarden door middel van een aangetekend schrijven op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang geheel of gedeeltelijk te ontbinden, nadat Verantwoordelijke constateert dat:

• Verwerker (voorlopige) surseance van betaling aanvraagt; of
• Verwerker zijn faillissement aanvraagt of in staat van faillissement wordt verklaard; of
• de onderneming van Verwerker wordt ontbonden; of
• Verwerker zijn onderneming staakt; of
• sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de onderneming van Verwerker die maakt dat het in alle redelijkheid niet van Verantwoordelijke kan worden verwacht dat zij Verwerkersvoorwaarden in stand houdt; of
• op een aanmerkelijk deel van het vermogen van Verwerker beslag wordt gelegd (anders dan door verantwoordelijke); of
• de Verwerker tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersvoorwaarden en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling dan wel een van de overige situaties bedoeld in artikel 9.5 zich voordoet.

9.7. Indien de Overeenkomst(en) voortijdig wordt beëindigd zijn artikel 9 lid 2 en 3 van overeenkomstige toepassing.

10. Aansprakelijkheid

10.1. Verwerker is aansprakelijk op grond van het bepaalde in artikel 82 AVG, voor directe schade voortvloeiende uit het niet nakomen van deze Verwerkersvoorwaarden, daaronder begrepen wanneer bij de verwerking niet wordt voldaan aan de specifiek tot Verwerker gerichte verplichtingen van de AVG, of indien buiten de rechtmatige instructies van Verantwoordelijke is gehandeld.

10.2. Verwerker is slechts aansprakelijk voor directe schade voor zover deze is ontstaan door werkzaamheid van Verwerker. De eventuele aansprakelijkheid van Wisenose is per gebeurtenis, waarbij een samenhangende reeks van gebeurtenissen als één gebeurtenis geldt, beperkt tot het bedrag dat door de bedrijfsaansprakelijkheidsverzekeraar van Wisenose wordt uitgekeerd. Keert de verzekeraar om welke reden dan ook niet uit, dan is de aansprakelijkheid van Wisenose per gebeurtenis, waarbij een samenhangende reeks van gebeurtenissen als één gebeurtenis geldt, beperkt tot het bedrag gelijk aan de prijs voor de Opdracht, welke gefactureerd is in het tijdvak van 12 maanden direct voorafgaande aan het schadeveroorzakende voorval. Onder directe schade worden limitatief verstaan de schadeposten zoals opgenomen in de polisbladen van de bedriifsaansprakelijkheidsverzekering van Wisenose.

10.3. Aansprakelijkheid voor bedrijfsschade, waaronder schade wegens gederfde winst of niet gerealiseerde besparingen, reputatieschade of andere indirecte of gevolgschade is uitgesloten. Eveneens is uitgesloten de aansprakelijkheid van Wisenose verband houdende met verminking, vernietiging of verlies van gegevens of documenten, bijvoorbeeld bij een beveiligingsincident en/of datalek, of de voorkoming of beperking hiervan.

10.4. Bovenstaande beperkingen van de aansprakelijkheid vervallen in het geval van opzet of grove schuld van Wisenose en/of van haar tot de directie en/of bedrijfsleiding behorende leidinggevende ondergeschikten.

10.5. Indien Verwerker de in artikel 6 lid 1 van deze Verwerkersvoorwaarden neergelegde verplichting niet of niet-tijdig nakomt en de Toezichthouder Verantwoordelijke dientengevolge een bestuurlijke boete oplegt, is Verwerker aansprakelijk en zal Verantwoordelijke een contractuele boete ter hoogte van hetzelfde bedrag opleggen aan Verwerker. Deze boete is niet vatbaar voor verrekening en opschorting en laat de rechten van Verantwoordelijken op nakoming en schadevergoeding onverlet.

10.6. Indien Verwerker een sanctie krijgt opgelegd door de Toezichthouder of schade dient te vergoeden aan een betrokkene, ten gevolge van handelen of nalaten van Verantwoordelijke, vrijwaart Verantwoordelijke Verwerker en stelt deze op eerste verzoek schadeloos voor deze sanctie of schade, waaronder mede begrepen de (juridische) kosten.

11. Toepasselijk recht

11.1. Op deze Verwerkersvoorwaarden en op alle geschillen die daaruit voortvloeien of daarmee samenhangen, is uitsluitend Nederlands recht van toepassing.

11.2. Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst waarvan de Algemene Voorwaarden van Wisenose B.V. deel uitmaken.

Bijlage 1: Beschrijving beveiligingsmaatregelen

Ter uitwerking van artikel 7 lid 1

Bijlage 2: Omschrijving werkzaamheden Verwerker

Ter uitwerking van artikel 3 lid 1

Bijlage 3: Inlichtingen om incidenten te beoordelen

Ter uitwerking van artikel 6 lid 1 en 5

Bijlage 4: Subverwerkersregister

Ter uitwerking van artikel 8 lid 4

Bijlage 1: Beschrijving beveiligingsmaatregelen

In dit document worden de organisatorische en technische beveiligingsmaatregelen van Wisenose ForceFlow gedetailleerd verklaard. Nadruk ligt voornamelijk op de maatregelen die zijn gericht op de continuïteit, integriteit en beschikbaarheid van het ForceFlow platform. Aangezien in Wisenose ForceFlow persoonsgegevens worden verwerkt, zijn deze maatregelen van groot belang om een juiste mate van beveiliging te creëren zoals de AVG dit aan gegevensverwerkers voorschrijft (AVG Artikel 28).

Organisatorische maatregelen

EU-wetgeving

Zowel Wisenose als alle opslaglocaties en partners die samen het ForceFlow platform aanbieden zijn voldoen geheel aan de EU-wetgeving voor gegevensbescherming.

Rapportage

Wisenose deelt via nieuwsberichten in de applicatie, en via e-mail berichten specifiek aan de veiligheidsfunctionaris, informatie aangaande de maatregelen en resultaten van audits en pentests met betrekking tot informatieveiligheid.

Partners

Wisenose benut een selecte groep aan subverwerkers welke een gelijk belang aan beschikbaarheid, integriteit en vertrouwelijkheid hechten als Wisenose. Afspraken zijn bindend vastgelegd in verwerkersovereenkomsten en service level agreements. Aan subverwerkers worden aan haar organisatie en haar personeel gelijke eisen opgelegd m.b.t. informatieveiligheid.

Verantwoordelijkheden

Alle medewerkers van Wisenose hebben een geheimhoudingsverklaring getekend t.a.v. alle informatie waarvan zij kennisnemen en specifiek voor de bescherming van persoonsgegevens. Van alle medewerkers is en wordt periodiek een Verklaring Omtrent het Gedrag (VOG) opgevraagd voor de in hun functie toepasselijke rollen. Periodiek worden alle medewerkers geïnformeerd over de verantwoordelijkheden ten aanzien van de informatie veiligheid. Medewerkers bezitten slechts de minimale toegangsrechten benodigd voor uitvoering van hun taken.

Ontwikkeling

Beveiligingsaspecten (beschikbaarheid, integriteit en vertrouwelijkheid) zijn integraal onderdeel van de ontwikkeling bij o.a. design, development en tests. Wijzigingen worden gecontroleerd doorgevoerd in de verschillende omgevingen.

Technische maatregelen

Internetconnecties

De connectie tussen de Wisenose ForceFlow omgeving in het datacenter en het Internet is redundant uitgevoerd. Vanuit het datacenter zijn connecties opgezet naar meerdere internetknooppunten in Europa.

Firewall

Firewalls worden gebruikt om de toegang tot systemen van externe netwerken en tussen systemen intern te beperken. Standaard wordt alle toegang geweigerd en zijn alleen expliciet toegestane poorten en protocollen toegestaan op basis van zakelijke behoeften. Elk systeem wordt toegewezen aan een firewallbeveiligingsgroep op basis van de systeemfunctie. Beveiligingsgroepen beperken de toegang tot alleen de poorten en protocollen die nodig zijn voor de specifieke functie van een systeem om het risico te beperken. Hostgebaseerde firewalls voorkomen dat klantapplicaties localhost-verbindingen tot stand brengen via de loopback-netwerkinterface om klantapplicaties verder te isoleren. Hostgebaseerde firewalls bieden ook de mogelijkheid om inkomende en uitgaande verbindingen naar behoefte verder te beperken.

Loadbalancer

Om de verkeerstromen en zo ook de “load” op de servers optimaal te verdelen, wordt het verkeer naar de webservers via een loadbalancer gestuurd. Zodra een webserver niet langer beschikbaar is, zorgt de loadbalancer dat de gebruiker de sessie kan voortzetten op een van de andere webservers. De loadbalancer verdeelt het verkeer voor de applicatie (app.forceflow.nl) over meerdere frontend servers en het verkeer voor de api’s (o.a. api.forceflow.nl) over meerdere backend servers.

DDos Protectie

Indien er een DDos aanval op de IP-nummers/websites van Wisenose ForceFlow wordt uitgevoerd dan is er een DDos protectie systeem ingericht.

Infrastructuur

De infrastructuur in het datacenter is geheel redundant uitgevoerd. Alle connecties zowel aan de publieke (internet) zijde als aan de lokale beheerzijde zijn dubbel uitgevoerd. Ook de gekoppelde netwerkcomponenten als netwerk switches, firewalls en loadbalancers zijn redundant uitgevoerd. De verschillende omgevingen voor ontwikkeling, test, acceptatie en productie omgeving zijn geheel gescheiden opgezet.

Backups

Verwerker maakt dagelijks incrementele en volledige backups van je gegevens. Deze worden ook op fysiek gescheiden locaties opgeslagen.

E-mail

Alle in- en uitgaande e-mail wordt door anti-spam/antivirus filters geleid om ongewenste berichten te voorkomen/te stoppen. Wisenose monitort het mail verkeer nauwgezet. Hiervoor wordt het mail platform van Postmark ingezet.

Communicatie

Gegevens worden uitsluitend uitgewisseld via cryptografisch beveiligde verbindingen. Alle communicatie tussen clients (gebruikers) en de servers wordt middels SSL versleuteld. Wisenose benut SSL-certificaten van Let’s Encrypt certificaten met een SSL 4096 bits SHA 265 encryptie.

Penetratietest

Minimaal 1 keer per jaar wordt het ForceFlow platform uitgebreid getest op kwetsbaarheden. Een zogenaamde black- en grey penetratietest kan worden uitgevoerd door een onafhankelijke instantie op basis van de OWASP best practices.

Toegangsbeveiliging

Toegang voor gebruikers is mogelijk op basis van complexe wachtwoorden en optionele 2-factor authenticatie. We slaan wachtwoorden van gebruikers niet op. Wisenose gebruikt onomkeerbare encryptie, waardoor wachtwoorden meteen worden omgezet in een code (hash), die niet door derden kan worden ontcijferd. Bij mislukte inlogpogingen vindt er een vertraging van het aanmelden plaats, zodat niemand eindeloos lang een wachtwoord kan proberen te kraken. Applicatie beheerders kunnen aanvullend in de applicatie instellingen IP-adressen opgeven, waarvandaan er ingelogd kan én mag worden. Toegang tot de gegevens voor Wisenose is beperkt tot door de klant aangewezen supportmedewerkers en de systeembeheerders van Wisenose. Medewerkers van Wisenose zullen nooit per e-mail of telefoon vragen om vertrouwelijke gegevens zoals wachtwoord gegevens.

Monitoring

Het ForceFlow platform wordt continue gemonitord om onderhoud, storingsherstel, capaciteit beheer, etc. adequaat en tijdig uit te kunnen voeren.

Logging

In de applicatie worden uitgebreide auditlog’s aangelegd m.b.t. gegevenswijzigingen en systeemwijziging door gebruikers en beheerders. De log’s kunnen niet aangepast of gemanipuleerd worden door gebruiker en/of beheerder.

Bijlage 2: Omschrijving werkzaamheden Verwerker

Voor de definitie van de gebruikte termen wordt verwezen naar de verwerkersvoorwaarden van Wisenose.

1. Verwerkingen

Dit verwerkingsregister benoemt twee verwerkingen in het kader van de overeenkomst tussen Verwerker en Verantwoordelijke.

1.1. Verwerking gebruikersgegevens

De volgende Persoonsgegevens zullen in het kader van de Overeenkomst worden verwerkt:

• Naam, email, en organisatie (indirect afleidbaar).

Verwerker verwerkt op de volgende wijzen persoonsgegevens voor Verantwoordelijke:

• Gebruikersgegevens worden opgeslagen ten behoeve van beheer door Verantwoordelijke ten aanzien van de toegangscontrole van de Applicatie Programmatuur.
• Gebruikersgegevens worden gebruikt om Verantwoordelijke en betrokkenen te informeren over wijzigingen en/of incidenten in de Applicatie Programmatuur zoals Verwerker die aanbiedt.

Verantwoordelijke bepaalt welke Persoonsgegevens worden verwerkt.

1.2. Aanbieden Applicatie Programmatuur

De Applicatie Programmatuur biedt in het kader van de overeenkomst de mogelijkheid om persoonsgegevens te verwerken. Wisenose gaat uit van de volgende persoonsgegevens en heeft hier haar beveiligingsmaatregelen op afgestemd:

• Naam (roep-/voor-/achternaam en tussenvoegsels), geslacht, e-mail, website, telefoonnummers (mobiel, vast, skype en fax), adresgegevens (straat, huisnummer, postcode, plaats en land) en werkgever.

Verwerker verwerkt op de volgende wijzen persoonsgegevens voor Verantwoordelijke:

• Gebruikersgegevens worden opgeslagen ten behoeve van relatiebeheer door Verantwoordelijke als ondersteuning in de uitvoering van haar bedrijfsprocessen.
• Gegevens worden opgeslagen, onderhouden en geback-upt op het platform zodanig dat deze voor Verantwoordelijke toegankelijk zijn, bij/na updates beschikbaar zijn en in geval van calamiteiten te herstellen zijn.
• Wisenose verspreidt geen enkel persoonsgegeven binnen haar platform aan derden.

Verantwoordelijke bepaalt welke persoonsgegevens worden verwerkt en/of de geboden beveiligingsmaatregelen afdoende zijn voor haar verwerkingen.

Bijlage 3: Inlichtingen om incidenten te beoordelen

Voor de definitie van de gebruikte termen wordt verwezen naar de verwerkersvoorwaarden Wisenose.

Meldplicht datalekken en beveiligingsincidenten

De Verwerker zal alle inlichtingen verschaffen die de verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de volgende informatie aan de verwerkingsverantwoordelijke:

• wat de (vermeende) oorzaak is van de inbreuk;
• wat het (vooralsnog bekende en/of te verwachten) gevolg is;
• wat de (voorgestelde) oplossing is;
• contactgegevens voor de opvolging van de melding;
• aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk);
• een omschrijving van de groep personen van wie gegevens betrokken zijn bij de inbreuk;
• het soort of de soorten persoonsgegevens die betrokken zijn bij de inbreuk;
• de datum waarop de inbreuk heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen de inbreuk heeft plaatsgevonden);
• de datum en het tijdstip waarop de inbreuk bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer;
• of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
• wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken.

Bijlage 4: Subverwerkersregister

Verwerker maakt bij de uitvoering van de overeenkomst gebruik van de subverwerkers die in deze bijlage zijn vermeld. De Verwerker zal deze bijlage conform artikel 8 van deze verwerkersvoorwaarden bijwerken indien er wijzigingen plaatsvinden in de ingeschakelde subverwerkers en deze lijst onverwijld ter beschikking stellen aan de verwerkingsverantwoordelijke. Voor de definitie van de gebruikte termen wordt verwezen naar de verwerkersvoorwaarden Wisenose.