Verwerkers-overeenkomst


Ingangsdatum: 18 maart 2024

Laatst gewijzigd: 17 april 2024

Verantwoordelijke en Verwerker zijn een Overeenkomst aangegaan. Verwerker zal ter uitvoering van de Overeenkomst persoonsgegevens gaan verwerken ten behoeve van Verantwoordelijke.

Partijen willen, mede gelet op het bepaalde in artikel 28 lid 3 Algemene Verordening Gegevensbescherming (AVG), in deze Verwerkers-overeenkomst hun wederzijdse rechten en verplichtingen op basis van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, vastleggen.

Deze Verwerkers-overeenkomst vormt een integraal en onlosmakelijk onderdeel van de Overeenkomst en Algemene voorwaarden en Algemene voorwaarden aanbieders.

1. Definities

In deze Verwerkers-overeenkomst wordt verstaan onder: Betrokkene, Verwerker, Derde, Persoonsgegevens, Verwerking, en Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG;

  • Verwerkers-overeenkomst: deze overeenkomst, inclusief Bijlagen, tussen Verantwoordelijke en Verwerker waarin hun wederzijdse rechten en plichten met betrekking tot de Verwerking van Persoonsgegevens zijn vastgelegd;
  • Bijlage: een bijlage bij deze Verwerkers-overeenkomst, welke daarvan een onlosmakelijk deel uitmaakt;
  • Datalek: een Inbreuk in verband met Persoonsgegevens, zoals bedoeld in artikel 4, onder 12, AVG;
  • Subverwerker: de partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van de (verdere) Verwerking van de Persoonsgegevens in het kader van deze Verwerkers-overeenkomst;
  • AVG: de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG) (PbEU 2016, L 119);
  • Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de AVG en andere toepasselijke (Unierechtelijke en lidstaatrechtelijke) wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet;
  • Schriftelijk: op schrift gesteld of langs de elektronische weg, zoals bedoeld in artikel 6:227a Burgerlijk Wetboek.

2. Verwerkers-overeenkomst

Deze Verwerkers-overeenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Overeenkomst.

Verantwoordelijke verstrekt aan Verwerker de opdracht en instructies tot Verwerking van Persoonsgegevens namens Verantwoordelijke ten behoeve van de uitvoering van de Overeenkomst. De instructies van Verantwoordelijke zijn nader omschreven in deze Verwerkers-overeenkomst en de Overeenkomst.

De bepalingen uit de Verwerkers-overeenkomst gelden voor alle Verwerkingen die plaatsvinden ter uitvoering van de Overeenkomst. Verwerker brengt Verantwoordelijke onverwijld op de hoogte indien Verwerker reden heeft om aan te nemen dat Verwerker niet langer aan de Verwerkers-overeenkomst kan voldoen.

3. Rolverdeling

  1. Verantwoordelijke is ten aanzien van de in diens opdracht uit te voeren Verwerking van Persoonsgegevens de Verwerkingsverantwoordelijke in de zin van de AVG. Verwerker is verwerker in de zin van de AVG. Verantwoordelijke heeft en houdt zelfstandige zeggenschap over het bepalen van het doel en de middelen van de Verwerking van de Persoonsgegevens.
  2. Verwerker draagt er zorg voor dat Verantwoordelijke voorafgaande aan het sluiten van deze Verwerkers-overeenkomst toereikend wordt geïnformeerd over de dienst(en) die de Verwerker verleent en de uit te voeren Verwerkingen. De gegeven informatie stelt Verantwoordelijke in staat om te doorgronden welke Verwerkingen zijn verbonden met een aangeboden dienst.
  3. Verwerker informeert voorafgaand aan het sluiten van deze Verwerkers-overeenkomst Verantwoordelijke in Bijlage 1 over de in lid 2 bedoelde diensten en de Verwerkingen die in dat kader plaatsvinden.
  4. De in Bijlage 1 opgenomen informatie moet in begrijpelijke taal zijn beschreven, waardoor Verantwoordelijke geïnformeerd akkoord kan gaan met de afname van deze dienst(en) en de uitvoering van de bijbehorende Verwerkingen.
  5. Verantwoordelijke neemt de in lid 2 van dit artikel genoemde Verwerking van de Persoonsgegevens op in een register van de verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvindt.
  6. Voor zover artikel 30 lid 5 AVG daartoe verplicht, houdt Verwerker conform artikel 30, lid 2 AVG een register bij van alle categorieën van verwerkingsactiviteiten die Verwerker ten behoeve van Verantwoordelijke verricht.
  7. Verantwoordelijke en Verwerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens mogelijk te maken.

4. Gebruik persoonsgegevens

  1. Verwerker verplicht zich om de van Verantwoordelijke verkregen Persoonsgegevens niet voor andere doelen en/of met behulp van andere middelen te verwerken, dan voor het doel. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door Verantwoordelijke aan Verwerker in het kader van de uitvoering van de Overeenkomst zijn opgedragen, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot Verwerking verplicht. In dat geval stelt Verwerker Verantwoordelijke voorafgaand aan de Verwerking schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
  2. Een overzicht van onder meer de categorieën Persoonsgegevens en het doel waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in onze bijsluiter (Bijlage 1).
  3. Verwerker onthoudt zich van Verstrekking van Persoonsgegevens aan een Derde, tenzij deze Verstrekking plaatsvindt in opdracht van Verantwoordelijke of noodzakelijk is om te voldoen aan een op Verwerker rustende wettelijke verplichting.

5. Vertrouwelijkheid

  1. Verwerker zorgt ervoor dat een ieder(waaronder haar werknemers, vertegenwoordigers en/of Subverwerkers) die betrokken is bij de Verwerking van de Persoonsgegevens, deze Persoonsgegevens als vertrouwelijk behandelt. Verwerker waarborgt dat met de door Verwerker voor het Verwerken van de Persoonsgegevens geautoriseerde personen, een geheimhoudings-overeenkomst of –beding is gesloten, of dat deze door een wettelijke verplichting tot geheimhouding zijn gebonden.
  2. De in dit artikel bedoelde geheimhoudingsplicht voor Verwerker geldt niet voor zover: a. Verantwoordelijke uitdrukkelijk Schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, b. indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Verwerker aan Verantwoordelijke te verlenen diensten; of, c. indien een dwingend rechtelijk wettelijk voorschrift of rechterlijke uitspraak Partijen tot bekendmaking en/of verstrekking van die Persoonsgegevens verplicht, zoals Unierechtelijke of lidstaatrechtelijke bepalingen op grond waarvan Verwerker tot verstrekking verplicht is.

6. Beveiliging en toezicht

  1. Verwerker garandeert dat zij passende technische en organisatorische maatregelen treft als bedoeld in artikel 32 AVG om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
  2. De in artikel 7.1 van deze Verwerkers-overeenkomst bedoelde maatregelen dienen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, evenals de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, een op het risico afgestemd beveiligingsniveau te verzekeren. Bij de beoordeling of sprake is van een passend beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
  3. Verwerker zal de door haar getroffen informatie en beveiligingsmaatregelen periodiek evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
  4. De Verwerker stelt Verantwoordelijke in staat om te kunnen voldoen aan haar wettelijke verplichting om toezicht te houden op de naleving van deze Verwerkers-overeenkomst door de Verwerker, met name van de technische en organisatorische beveiligingsmaatregelen en de in artikel 8 van deze Verwerkers-overeenkomst genoemde verplichtingen ten aanzien van Datalekken.
  5. In aanvulling op de voorgaande leden heeft Verantwoordelijke te allen tijde het recht om, in overleg met Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Overeenkomst en deze Verwerkers-overeenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige. Verantwoordelijke gaat ermee akkoord dat de kosten van deze audit voor haar eigen rekening komen. Indien uit de audit grote gebreken blijken die aan Verwerker kunnen worden toegerekend, dan zullen Verwerker en Verantwoordelijke in overleg treden over een verdeling van de kosten van deze audit.

7. Datalekken

  1. Verwerker en Verantwoordelijke hebben een passend beleid voor de omgang met Datalekken.
  2. Indien Verwerker een Datalek vaststelt, zal deze Verantwoordelijke daarover zonder onredelijke vertraging na kennisneming informeren. Verwerker verstrekt ingeval van een Datalek alle relevante informatie aan Verantwoordelijke met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek en de maatregelen die de Verwerker treft om de gevolgen van het Datalek te beperken.
  3. Verwerker informeert Verantwoordelijke onverwijld indien de inbreuk op de beveiliging waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34 lid 1, AVG.
  4. Verwerker stelt bij een Datalek Verantwoordelijke in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking van Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, te voorkomen of te beperken.
  5. In geval van een Datalek, zal Verantwoordelijke voldoen aan eventuele wettelijke meldingsplichten aan de Autoriteit Persoonsgegevens en Betrokkenen. Verwerker onthoudt zich van het doen van dergelijke meldingen, tenzij Schriftelijk anders is overeengekomen met Verantwoordelijke.

8. Bijstand

  1. Verwerker verleent Verantwoordelijke bijstand bij het doen nakomen van de op Verantwoordelijke rustende verplichtingen op grond van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zoals met betrekking – maar niet beperkt – tot: a. het voor zover redelijkerwijs mogelijk vervullen van de plicht van Verantwoordelijke om tijdig aan verzoeken van de in hoofdstuk III van de AVG vastgelegde rechten van de Betrokkene te voldoen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens; b. het uitvoeren van controles en audits zoals bedoeld in artikel 6 van deze Verwerkers-overeenkomst; c. het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en een eventuele daaruit voortkomende verplichte voorafgaande raadpleging van de Autoriteit Persoonsgegevens; d. het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andere overheidsinstantie; e. het melden van Datalekken zoals bedoeld in artikel 8 van deze Verwerkers-overeenkomst.
  2. Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de Autoriteit Persoonsgegevens met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Verwerker, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naar Verantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek.

9. Doorgifte aan een derde land of int. organisatie

  1. Verwerker is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land (landen buiten de Europese Economische Ruimte) of internationale organisatie indien Verantwoordelijke daarvoor specifieke Schriftelijke toestemming heeft gegeven, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot Verwerking verplicht. In dat geval stelt Verwerker Verantwoordelijke voorafgaand aan de Verwerking Schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
  2. Indien na toestemming van Verantwoordelijke Persoonsgegevens worden doorgegeven aan derde landen of een internationale organisatie zoals bedoeld in artikel 4 onder 26 AVG, dan zien Partijen er op toe dat dit alleen plaatsvindt conform wettelijke voorschriften en eventuele verplichtingen die in dit verband op Verantwoordelijke rusten. Indien Persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, dan wordt dit in Bijlage 1 bij deze Verwerkers-overeenkomst aangegeven.

10. Inschakeling subverwerker

  1. Verantwoordelijke geeft Verwerker toestemming tot het inschakelen van Subverwerkers, van wie de identiteit en vestigingsgegevens zijn opgenomen in Bijlage 1: privacy bijsluiter communicatie platform.
  2. Verwerker verstrekt op eerste verzoek van Verantwoordelijke aan deze een overzicht van de door Verwerker ingeschakelde Subverwerkers.
  3. Verwerker is verplicht iedere Subverwerker via een overeenkomst of andere rechtshandeling minimaal dezelfde verplichtingen inzake gegevensbescherming op te leggen als in deze Verwerkers-overeenkomst aan Verwerker zijn opgelegd. Hieronder vallen onder meer de verplichting om de Persoonsgegevens niet te Verwerken anders dan in het kader van deze Verwerkers-overeenkomst is overeengekomen en de verplichting tot het nakomen van de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen met betrekking tot de Verwerking van Persoonsgegevens zoals in deze Verwerkers-overeenkomst vastgelegd.
  4. Verantwoordelijke kan de Schriftelijke toestemming voor het inschakelen van een Subverwerker intrekken, indien Verwerker niet of niet langer voldoet aan de verplichtingen uit de Verwerkers-overeenkomst, de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
  5. Verwerker blijft, niet tegenstaande de Schriftelijke toestemming van Verantwoordelijke als genoemd in artikel 11 lid 1, steeds verantwoordelijk en aansprakelijk voor het handelen van de door Verwerker ingeschakelde Subverwerkers.

11. Bewaartermijnen en vernietiging persoonsgegevens

  1. Verantwoordelijke zal Verwerker adequaat informeren over wettelijke bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker. Verwerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.
  2. Verantwoordelijke verplicht Verwerker om de in opdracht van Verantwoordelijke Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkers-overeenkomst te vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van wettelijke verplichtingen, dan wel op verzoek van Verantwoordelijke. Verantwoordelijke kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.

12. Tegenstrijdigheid en wijziging overeenkomst

  1. De Verwerkers-overeenkomst vormt een aanvulling op de Overeenkomst en vervangt eventuele eerder gemaakte afspraken tussen Partijen ten aanzien van de Verwerking van Persoonsgegevens. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkers-overeenkomst en de bepalingen van de Overeenkomst, zullen de bepalingen van deze Verwerkers-overeenkomst leidend zijn.
  2. Indien en zodra gedurende de looptijd van de Verwerkers-overeenkomst de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens wijzigt, zullen de bepalingen van deze Verwerkers-overeenkomst zoveel als mogelijk naar de strekking van deze wijzigingen worden uitgelegd.
  3. Wijzigingen van en aanvullingen op deze Verwerkers-overeenkomst zijn alleen geldig indien zij Schriftelijk zijn vastgelegd en beide Partijen uitdrukkelijk en Schriftelijk te kennen hebben gegeven met de wijzigingen c.q. aanvullingen in te stemmen.
  4. In het geval enige bepaling van deze Verwerkers-overeenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkers-overeenkomst volledig van kracht. Partijen zullen in dat geval zo spoedig mogelijk met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen Partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.

13. Aansprakelijkheid

Verantwoordelijke vrijwaart Verantwoordelijke voor alle aanspraken, behoudens opzet en/of grove schuld door Verwerker respectievelijk Verantwoordelijke, bij schending van het gestelde bij of krachtens wet- en regelgeving aangaande gegevensbescherming of de uitvoering van deze overeenkomst.

14. Duur en beëindiging

  1. De looptijd van deze Verwerkers-overeenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Overeenkomst, inclusief eventuele verlengingen daarvan.
  2. Deze Verwerkers-overeenkomst eindigt van rechtswege in geval de Overeenkomst is geëindigd, en de Persoonsgegevens conform artikel 11 van deze overeenkomst zijn vernietigd, zonder dat voorafgaande opzegging daarvan vereist is.
  3. De beëindiging van deze Verwerkers-overeenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkers-overeenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.

15. Rechtsmacht en toepasselijk recht

Op deze Verwerkers-overeenkomst, alsmede op alle rechtsbetrekkingen tussen Verantwoordelijke en Verwerker is uitsluitend Nederlands recht van toepassing. De bevoegde rechter is de rechter die bevoegd is op basis van de hoofdovereenkomst.



Bijlage 1: Privacy bijsluiter Communicatie Platform

Gebruik van deze Privacy bijsluiter Communicatie Platform helpt om goed te begrijpen wat de werking van de dienst inhoudt en welke gegevens daarvoor worden uitgewisseld. De Privacy bijsluiter omvat de Instructies voor de Verwerking van Persoonsgegevens van Verantwoordelijke aan de Verwerker.

A. Algemene informatie

Systematix Media BV
Middelerf 14
3851 SP Ermelo
Nederland

Verantwoordelijke levert een service waarbij Dienstverleners (aanbieders, consulenten, agenten) interactief via diverse communicatiekanalen (telefonie, video, chat en messaging) contact kunnen onderhouden met klanten (cliënten e.d.).

Verwerker biedt Verantwoordelijke een set aan communicatietools (bereikbaarheid via mail en berichten) waarmee, al dan niet tegen betaling, contact en communicatie op gang kan komen en onderhouden kan worden. Verantwoordelijke heeft hierbij inzage en controle over dit communicatie-verkeer middels een online portal die door Verwerker 24 uur per dag en 7 dagen per week ter beschikking wordt gesteld.

Voor een meer gedetailleerde beschrijving van deze mogelijkheden en functionaliteiten die Verantwoordelijke ter beschikking krijgt, verwijzen wij naar diverse (altijd up to date zijnde) pagina’s binnen de website van Yohello.

Indien er behoefte ontstaat en/of bovenstaande en beschikbare webpagina’s niet voldoende informatie verschaffen over de werking ervan, dan kan Verantwoordelijke meer informatie verkrijgen via het mailadres: support@yohello.nl.

B. Gegevensverwerking

  • Bedrijfsnamen, bedrijfsnummers, BTW-nummers, adresgegevens, telefoonnummers, IBAN-nummers, BIC-codes, banknamen van Verantwoordelijke.
  • E-mailadressen,, gebruikersnamen, (versleutelde) wachtwoorden, IP- adressen, tegoeden, uitgaven, berichten, bezoekerinteractielog, gespreksopnamen (optioneel) van Gebruikers en Bezoekers.
  • E-mailadressen, gebruikersnamen, (versleutelde) wachtwoorden, IP- adressen, verdiensten, berichten, dienstverlenersinteractielog, gespreksopnamen (optioneel) van Dienstverleners (aanbieders, consulenten, agenten).

C. Categorieën persoongsgegevens

  • Categorie: Authenticatie persoonsgegevens
    • Gegevens waarmee personen kunnen worden geauthentiseerd, om toegang tot systemen te kunnen verkrijgen. Onder andere loginnamen en wachtwoorden van gebruikers.
  • Categorie: Vertrouwelijke communicatie klantgegevens
    • Communicatie van klantgegevens, waaronder persoonlijke gegevens, gevoerde gesprekken (berichten / e-mail).
  • Categorie: Vertrouwelijke specifieke klantgegevens
    • Direct of indirect geregistreerd (onder andere: bedrijfsnaam, bedrijfsnummer, bedrijfsuittreksel, BTW-nummer, adresgegevens, telefoonnummer(s), IBAN-nummer, BIC-code, banknaam, offerte(n), legitimatiebewijs.
  • Categorie: Niet vertrouwelijke klantgegevens
    • Klantgegevens ter configuratie van de dienstverlening, waaronder audiobestanden t.b.v. bescript(s), rechten binnen de klant-omgeving van aanbieders en gebruikers en rapportages van bezoekgedrag weergegeven in logs en dashboardpagina(‘s).

D. Bewaartermijnen

Systematix Media bewaart vertrouwelijke gegevens niet langer dan strikt noodzakelijk om genoemde doeleinden t.b.v. een optimale dienstverlening te bereiken. Gegevens zullen nooit langer worden bewaard dan wettelijk is toegestaan. Bewaartermijnen verschillen per type persoonsgegevens.

E. Opslag en verwerking persoonsgegevens

Equinix AM5 - Schepenbergweg 42 - 1105 AT Amsterdam – Nederland

F. Subverwerkers verwerker:

Verwerker maakt gebruik van de volgende subverwerkers:

  • Equinix AM5 - Schepenbergweg 42 - 1105 AT Amsterdam - Nederland: Servers t.b.v. hosting, opslag en registraties.
  • Ziggo - Boven Vredenburgpassage 128, 3511 WR Utrecht - Nederland: Implementatie van telefoonnummers en doorgifte van telefoonverkeer (aan en naar Systematix Media).
  • Global Premium Telecom - Mr. Treublaan 7 1097 TX Amsterdam - Nederland: Implementatie van servicenummers en doorgifte van telefoonverkeer (aan en naar Systematix Media).
  • Pay - Kopersteden 10 7547 TK Enschede Nederland: Verwerking van online betalingen t.b.v tegoeden voor gebruik van diensten Verantwoordelijke.
  • Mollie - Keizersgracht 126, 1015 CW Amsterdam - Nederland: Verwerking van online betalingen t.b.v tegoeden voor gebruik van diensten Verantwoordelijke.
  • PayPal(Europe) - 22 - 24 Boulevard RoyalL-2449, Luxemburg: Verwerking van online betalingen t.b.v tegoeden voor gebruik van diensten Verantwoordelijke.

G. Contact

Stuur een e-mailbericht naar: support@yohello.nl



Bijlage 2: Beveiligingsbijlage

De Verwerker is overeenkomstig de AVG en artikel 6 en 7 van de Verwerkers-overeenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens en die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.

A. Normen-informatie-beveiliging

Verwerker heeft voldoende technische en organisatorische maatregelen genomen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Zoals logische toegangscontrole voor het gebouw en kantoor, gebruik makend van sleutel, camera's en verificatie door personeel.

Systematix Media hanteert de ISO 27001:2013 standaarden als basis voor het inrichten en onderhouden van een stelsel van maatregelen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en informatiesystemen. Systematix Media voldoet aan alle, van toepassing zijnde, wet- en regelgeving. In dit verband worden genoemd:

  • Archiefwet
  • Telecommunicatiewet
  • Algemene Verordening Gegevensbescherming (AVG)
  • Wet Computercriminaliteit II

B. Minimale beveiligingsmaatregelen en aantoonbaarheid

De data is redundant opgeslagen bij onze Subverwerker Equinix, welke SOC2, PCI-DSS en ISO 27001 gecertificeerd zijn. Er is beveiliging van netwerkverbindingen via Transport Layer Security technologie.

Het beheer van onze servers zijn alleen via bepaalde IP adressen te benaderen. Wij hebben steekproefsgewijze controle op naleving van het beleid met behulp van een Verwerkers Checklist voor beveiligingsmaatregelen. Uiteraard kijkende naar de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten gebruiken wij encryptie (versleuteling) van digitale bestanden.

Alleen na overleg staan wij toe dat Verantwoordelijke audits laat uitvoeren om vast te stellen of aan alle beveiligingseisen wordt voldaan.

Verantwoordelijke stelt alleen persoonsgegevens aan Systematix Media ter beschikking voor verwerking indien zij zich ervan heeft verzekerd dat de volgende vereiste beveiligingsmaatregelen zijn getroffen:

  • Een classificatie van het product of de dienst op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid;
  • Een beschrijving in welke mate aan de hieronder genoemde minimale beveiligingsmaatregelen in het kader van artikel 32 AVG wordt voldaan;
  • Verwerker heeft een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast;
  • Verwerker heeft de Persoonsgegevens die worden verwerkt geclassificeerd op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid en heeft op basis van die classificatie beveiligingsmaatregelen genomen om de risico’s voor de Verwerking van Persoonsgegevens te beperken;
  • Verwerker neemt maatregelen zodat via een systeem van autorisatie enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de Verwerking van Persoonsgegevens in het kader van de Verwerkers-overeenkomst. Hierbij heeft Verwerker procedures vastgesteld en gedeeld met Verantwoordelijke voor de identificatie, autorisatie en authenticatie van medewerkers alsmede rondom de registratie, aanmelding en afmelding van de medewerkers;
  • Verwerker zorgt dat de toegang tot het product of de dienst beveiligd is door middel van een passend beleid voor wachtwoorden dat aansluit bij de stand van de techniek;
  • Verwerker heeft procedures voor het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering). Verantwoordelijke wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren;
  • Verwerker heeft maatregelen genomen om de Persoonsgegevens te beschermen tegen verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
  • Verwerker maakt bij de beveiliging van de Verwerking van Persoonsgegevens gebruik van een (inter)nationale beveiligingsnorm;
  • Verwerker heeft maatregelen genomen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verantwoordelijke.
  • Een toetsing van getroffen maatregelen aan (inter)nationaal erkende normen en standaarden voor informatiebeveiliging.

C. Beveiligingsincidentenen of datalekken:

Bij vermoedens van het minste geringste beveiligingsincident dient Verantwoordelijke direct contact op te nemen met de support afdeling van Systematix Media: support@systematix.solutions.

D. Informeren datalekken en beveiligingsincidenten

Wanneer Systematix Media een datalek ontdekt, zal het Verantwoordelijke zo snel mogelijk (binnen 48 uur) op de hoogte stellen met de volgende informatie:,

  • Het soort incident.
  • Een samenvatting van het incident.
  • Wanneer het incident plaatsvond bij een sub-verwerker.
  • Indien bekend het aantal personen die betrokken zijn.
  • Indien bekend een omschrijving van de groep mensen die betrokken zijn.
  • Datum, tijd en duur (indien bekend).
  • Aard van de inbreuk zoals lezen, kopiëren, wijzigen, verwijderen, vernietigen, ontvreemding.
  • Type persoonsgegevens zoals telefoonnummers, e-mailadressen of andere adressen voor elektronische communicatie, toegangsgegevens, identificatiegegevens, financiële gegevens.
  • Gevolgen van de inbreuk voor de persoonlijke levenssfeer van betrokkenen.
  • mschrijven welke technische en organisatorische maatregelen zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen.

Systematix Media zal Verantwoordelijke ondersteunen bij het meldproces aan de Autoriteit Persoonsgegevens in Nederland. Het wel of niet melden blijft te allen tijde de verantwoordelijkheid van Verantwoordelijke.

Wanneer Systematix Media een lek ontdekt, zal de werking van het platform om schade te voorkomen, eventueel zonder overleg met Verantwoordelijke direct worden gestopt. Het stoppen van het datalek kan zijn door het blokkeren van gebruikersaccounts, het verplaatsen van data naar een veilige locatie, het uitschakelen van het systeem, het isoleren van een indringer van buitenaf, het aanpassen van firewall-configuraties, het wijzigen van beheer- en onderhoudswachtwoorden, het installeren van afleidingssystemen, of zelfs het tijdelijk stopzetten van diensten. Systematix Media zal direct professionele hulp inschakelen wanneer blijkt dat het lek niet eigenhandig onder controle kan worden gebracht.



Mede mogelijk gemaakt door Systematix Solutions © 2002 - 2024