Privacy verklaring (AGV) Verwerking overeenkomst

 

Via de website worden privacygevoelige gegevens oftewel persoonsgegevens verstrekt.bedrijf www.inktnodig.nl acht een zorgvuldige omgang met persoonsgegevens van groot belang.persoonlijke gegevens worden door ons dan ook zorgvuldig verwerkt en beveiligd.

Bij onze verwerking houden wij ons aan de eisen die de wet persoonsgegevens (wbp)stelt.

Dat betekent onder andere dat :

Wij duidelijk vermelden met welke doeleinde wij persoonsgegevens verwerken.dat doen wij met deze privacyverklaring.

Wij u eerst vragen om uitdrukkelijke toestemming om uw persoonsgegevens te verwerken in alle gevallen waarin uw toestemming is vereist.

Wij uw recht respecteren om uw persoonsgegevens op uw aanvraag ter inzage te bieden.te corrigeren of te verwijderen 

Bedrijf www.inktnodig.nl is de verantwoordelijke voor de gegevensverwerking.in deze privacyverklaring leggen wij uit welke persoonsgegevens wij verzamelen en gebruiken en met welk doel.wij raden u aan deze zorgvuldig te lezen

Deze privacyverklaring is voor het laatst aangepast op 03-05-2018.

Gebruik van persoonsgegevens.

Door het gebruiken van onze dienst laat u bepaalde gegevens bij ons achter.dat kunnen persoonsgegevens zijn.wij bewaren en gebruiken uitsluitend de persoonsgegevens die rechtstreeks door u worden opgegeven,in het kader van de door u gevraagde dienst,of waarvan bij opgave duidelijk is dat ze aan ons worden versterkt om te verwerken.

Wij gebruiken de volgende gegevens voor de  in deze privacyverklaring genoemde doelen

  • NAW gegevens
  • Telefoonnummer
  • Emailadres
  • IP-Adres

Afhandelen Bestelling

Wanneer u bij ons een bestelling plaatst,maken wij voor de afhandeling daarvan gebruik van uw persoonsgegevens. indien dat nodig is voor een goede afhandeling kunnen wij uw persoonsgegevens ook aan derden verstrekken,dit alleen met u toestemming.

Reclame

Wij kunnen u ,naast de informatie op onze website,op de hoogte brengen van onze nieuwe producten en diensten.

Contactformulier

Als u een contactformulier op de website invult,of ons een e-mail stuurt,dan worden de gegevens,die u door stuurt bewaard zolang als naar de aard van het formulier of de inhoud van uw e.mail nodig is voor de volledige beantwoording en afhandeling daarvan.

Publicatie

Wij publiceren uw klant gegevens niet.

Beveiliging Wij nemen beveiligingsmaatregelen om misbruik van en ongeautoriseerde toegang tot persoon gegevens te beperken

Wijzigingen in deze privacyverklaring

Wij behouden ons het recht voor om wijzigingen aan te brengen in deze privacyverklaring,Het verdient aanbeveling om deze privacyverklaring geregeld te raadplegen.zodat u van deze wijzigingen op de hoogte bent

Inzage en wijzigingen van uw gegevens

Voor vragen over ons privacybeleid of vragen omtrent inzage en wijzigingen in (of verwijdering van)uw persoonsgegevens kunt u ten allen tijde contact met ons opnemen via onderstaande gegevens

Contactgegevens 

Inktnodig.nl

Tussenbeeksweg 3

1971NA  IJmuiden

inktnodig@planet.nl

0255-530624 en/of 06-13835328

Verwerkingovereenkomst

Versie april 2018

VERWERKERSOVEREENKOMST

DEZE VERWERKERSOVEREENKOMST (“OVEREENKOMST”) IS EEN JURIDISCH BINDENDE OVEREENKOMST WELKE ONLOSMAKELIJK DEEL UITMAAKT VAN EN GELDT IN AANVULLING OP DE BESTAANDE LIGHTSPEED DIENSTENOVEREENKOMST (“DIENSTENOVEREENKOMST”) AANGEGAAN TUSSEN LIGHTSPEED EN DE KLANT (BEIDE ZOALS GEDEFINIEERD IN DE DIENSTENOVEREENKOMST) EN HEEFT BETREKKING OP DE LEVERING VAN DIENSTEN WELKE DIVERSE VERWERKINGSACTIVITEITEN VAN PERSOONSGEGEVENS VOOR DE KLANT BEVATTEN (“DIENSTEN”).

  1. LIGHTSPEED KAN OP IEDER MOMENT IMMATERIELE WIJZIGINGEN AAN DEZE OVEREENKOMST MAKEN. LIGHTSPEED ZAL IN DAT GEVAL DE KLANT INFORMEREN OVER DERGELIJKE WIJZIGINGEN.
  2. Tenzij expliciet anders bepaald zullen in deze Overeenkomst gebruikte begrippen dezelfde betekenis hebben die daaraan is toegekend in de Dienstenovereenkomst. In het geval van een conflict of verschil tussen de Dienstenovereenkomst en deze Overeenkomst zullen de bepalingen van deze Overeenkomst voorrang hebben.
  3. Bij het uitvoeren van de Diensten kan Lightspeed toegang krijgen tot of op andere wijze informatie verkrijgen of verwerken met betrekking tot geïdentificeerde of identificeerbare individuen (“Persoonsgegevens”). De gebruikte verwerkers, het onderwerp, de duur, de aard en de doeleinden van het verwerken alsmede de soorten van Persoonsgegevens die worden verwerkt en categorieën van individuen van wie de gegevens worden verwerkt zijn omschreven in Annex 1, welke Annex onlosmakelijk verbonden is aan deze Overeenkomst.
  4. Lightspeed mag uitsluitend Persoonsgegevens verwerken namens de Klant en uitsluitend voor de doeleinden zoals omschreven in deze Overeenkomst
  5. Het is Lightspeed toegestaan om verwerkers zoals omschreven in Annex 1 en andere verwerkers in te schakelen om Persoonsgegevens namens de Klant te verwerken. Lightspeed zal de klant informeren over voorgenomen wijzigingen inzake de toevoeging of vervanging van (onder)verwerkers die Persoonsgegevens van de Klant zullen verwerken en zal de Klant de mogelijkheid bieden om bezwaar te maken tegen dergelijke veranderingen.
  6. Lightspeed zal ervoor zorgen dat iedere vorm van verwerking behoorlijk en rechtmatig geschiedt in overeenstemming met Lightspeed’s verplichtingen onder deze Overeenkomst en overeenkomstig de toepasselijke wetgeving inzake de bescherming van persoonsgegevens. Lightspeed zal, in het bijzonder, ervoor zorgen dat iedere persoon die namens Lightspeed betrokken is bij het verlenen van de diensten:
  1. Persoonsgegevens uitsluitend zal verwerken op basis van vastgelegde instructies van de Klant. Indien Lightspeed verplicht is om Persoonsgegevens te verwerken in overeenstemming met een Europese wet of een wet van een lidstaat van de Europese Unie die van toepassing is op Lightspeed, dan zal Lightspeed de Klant voorafgaand aan de verwerking informeren over dergelijke wettelijke voorschriften, tenzij de betreffende wet die van toepassing is op Lightspeed dit verbiedt;
  2. een passende beveiliging van de Persoonsgegevens waarborgt ter voorkoming van een inbreuk die per ongeluk of op onrechtmatige wijze leidt tot het verlies, de vernietiging, de wijziging of de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot Persoonsgegevens, met name waar de verwerking een verzending van Persoonsgegevens over een netwerk betreft, alsmede tegen alle andere onrechtmatige vormen van verwerken.
  3. voldoet aan de beveiligingsvereisten zoals omschreven in Annex 2, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de doeleinden van verwerking;
  4. de Klant bijstaat in het voldoen aan de verplichtingen met betrekking tot beveiligingsmaatregelen en het uitvoeren van een gegevensbeschermingseffectbeoordeling, voor zover noodzakelijk op basis van artikelen 32 tot en met 36 van de Algemene Verordening Gegevensbescherming, Nr. 2016/679;
  5. geen Persoonsgegevens openbaar te maken aan derden tenzij de Klant haar voorafgaande schriftelijke toestemming heeft gegeven met betrekking tot een dergelijke verstrekking en met inachtneming van artikel 6 van deze Overeenkomst.
  6. strikte geheimhouding betrachten met betrekking tot de Persoonsgegevens en werknemers en andere personen die onder diens gezag staan en die toegang hebben tot of anderszins Persoonsgegevens verwerken verplichten om dezelfde geheimhouding te betrachten in overeenstemming met de verplichtingen van deze Overeenkomst (inclusief gedurende de duur van de arbeid of opdracht alsmede daarna);
  7. onmiddellijk de Klant informeren indien het een verzoek van een individu ontvangt met betrekking tot Persoonsgegevens, waaronder begrepen, doch niet uitsluitend, een verzoek tot informatie, toegang tot, rectificatie, beperking, verwijdering of overdracht van Persoonsgegevens en Lightspeed zal niet reageren op een dergelijk verzoek tenzij dit uitdrukkelijk is toegestaan door de Klant of tenzij Lightspeed hiertoe verplicht is op grond van een toepasselijke wet van de Europese Unie of van een lidstaat van de Europese Unie. Lightspeed zal er tevens voor zorgen dat zij de nodige technische en organisatorische maatregelen heeft genomen om de Klant te assisteren bij het voldoen aan haar verplichtingen om te reageren op dergelijk verzoeken van een individu met betrekking tot het verwerken van Persoonsgegevens;
  8. onmiddellijk de Klant informeren indien Lightspeed meent dat een instructie zoals gegeven door de Klant een inbreuk maakt op toepasselijke wet- en regelgeving, waaronder begrepen wetgeving met betrekking tot bescherming van persoonsgegevens, of indien het aannemelijk is dat een wijziging in toepasselijke wet- en regelgeving een materieel negatief effect heeft op haar mogelijkheid om te voldoen aan de verplichtingen onder deze Overeenkomst;
  9. onmiddellijk (en in ieder geval binnen zesendertig (36) uur) na bekendwording, de Klant informeren over iedere aan Lightspeed bekende feiten die betrekking hebben op een daadwerkelijke of vermoedelijke onopzettelijke of ongeoorloofde toegang tot, openbaarmaking of gebruik van, dan wel onopzettelijk of ongeoorloofd verlies, beschadiging of vernietiging van Persoonsgegevens door een huidige of voormalige werknemer, opdrachtnemer of agent van Lightspeed dan wel door een andere persoon of derde;
  10. haar volledige medewerking verlenen aan de Klant in het geval van een onopzettelijke of ongeoorloofde toegang tot, openbaarmaking of gebruik van, dan wel onopzettelijk of ongeoorloofd verlies, beschadiging of vernietiging van Persoonsgegevens door een ander persoon of een derde, om de ongeoorloofde openbaarmaking of gebruik te beperken, de teruggave van Persoonsgegevens na te streven en te assisteren in het melden aan de toezichthoudende autoriteit en aan de betrokkenen indien verzocht door de Klant;
  11. onverwijld en behoorlijk omgaan met aanvragen en verzoeken van de Klant met betrekking tot het verwerken van Persoonsgegevens onder deze Overeenkomst en overige redelijke assistentie en ondersteuning verlenen;
  12. de Klant assisteren en ondersteunen in het geval dat een onderzoek door een autoriteit persoonsgegevens of een vergelijkbare autoriteit wordt uitgevoerd, indien en voor zover een dergelijk onderzoek betrekking heeft op het verwerken van Persoonsgegevens onder deze Overeenkomst;
  1. In het geval van beëindiging of afloop van de Diensten, ongeacht de aanleiding, of op verzoek daartoe van de Klant zal Lightspeed onmiddellijk de verwerking van Persoonsgegevens beëindigen en zal onmiddellijk aan de Klant alle Persoonsgegevens retourneren dan wel deze verwijderen, in overeenstemming met de instructie die de Klant daartoe mag geven, tenzij het verplicht is om de Persoonsgegevens te bewaren op grond van een Europese wet of een wet van een lidstaat van de Europese Unie die van toepassing is op Lightspeed of tenzij expliciet anders overeengekomen met de Klant. De verplichtingen zoals omschreven in dit artikel zullen in stand blijven ongeacht de beëindiging of afloop van deze Overeenkomst.
  2. Lightspeed zal ervoor zorgen dat alle werknemers, agenten, opdrachtnemers of andere personen die betrokken zijn bij de uitvoering van de Diensten en die toegang hebben tot Persoonsgegevens van de Klant, zullen voldoen aan alle wetten en regelgeving op het gebied van informatiebescherming en persoonsgegevens (inclusief alle wijzigingen of vernieuwingen van deze wet en regelgeving) die van toepassing is op Lightspeed.
  3. Het is Lightspeed uitsluitend toegestaan om haar diensten geheel of gedeeltelijk uit te besteden aan derden (inclusief Lightspeed’s vestigingen buiten de EER) indien Lightspeed kan bewerkstelligen dat een dergelijke derde partij schriftelijk gebonden is aan dezelfde verplichtingen en de Klant dezelfde rechten heeft ten opzichte van deze derde partij zoals vastgelegd in deze Overeenkomst.
  4. In het geval dat (i) Lightspeed niet kan voldoen aan haar materiële verplichtingen zoals beschreven in deze Overeenkomst, waarbij een wettelijke verplichting (inclusief, maar niet beperkt tot artikel 28 van de Algemene Verordening Gegevensbescherming, Nr. 2016/679) als materieel wordt gezien, of (ii) Lightspeed zich bewust wordt van een omstandigheid of verandering in toepasselijke wetgeving op het gebied van bescherming van persoonsgegevens dat hoogstwaarschijnlijk een materieel negatief effect heeft op Lightspeed’s mogelijkheid om haar verplichtingen onder deze Overeenkomst na te komen, zal Lightspeed onmiddellijk de Klant daarvan op de hoogte stellen en de Klant zal in dat geval gerechtigd zijn om, naar keuze, (i) alle overdrachten van Persoonsgegevens op te schorten tot de niet-naleving is opgelost, (ii) Lightspeed te verplichten om het verwerken van de Persoonsgegevens te staken totdat de niet-naleving is opgelost en/of (iii) deze Overeenkomst onmiddellijk te beëindigen.
  5. Lightspeed zal aan de Klant alle informatie verstrekken die noodzakelijk is om naleving aan te tonen van de verplichtingen met betrekking tot het verwerken van Persoonsgegevens verstrekt aan Lightspeed in haar hoedanigheid van een verwerker.
  6. Audits en naleving.
  1. Lightspeed zal alle verwerkingssystemen, faciliteiten en ondersteunende documentatie relevant voor het verwerken van Persoonsgegevens beschikbaar stellen voor een audit door de Klant of door een gekwalificeerde onafhankelijke auditor geselecteerd door de Klant en zal alle ondersteuning verlenen die de Klant redelijkerwijs nodig heeft voor de audit. Indien op basis van de audit blijkt dat Lightspeed enige verplichting onder de Overeenkomst heeft geschaad zal zij die inbreuk onmiddellijk herstellen;
  2. In het geval van een inspectie of een audit door een bevoegde overheidsinstantie met betrekking tot het verwerken van Persoonsgegevens, zal Lightspeed alle relevante verwerkingssystemen, faciliteiten en ondersteunende documentatie beschikbaar stellen aan de relevante bevoegde overheidsinstantie voor de inspectie of de audit indien dit noodzakelijk is om te voldoen aan toepasselijke wetgeving. In het geval van een inspectie of een audit zal iedere partij al haar redelijke ondersteuning verlenen aan de andere partij bij de inspectie of audit. In het geval dat een bevoegde overheidsinstantie de verwerking van Persoonsgegevens met betrekking tot deze Overeenkomst onrechtmatig vindt, dan zullen partijen onmiddellijk alle maatregelen nemen om te bewerkstelligen dat zij in het vervolg voldoen aan toepasselijke wetgeving op het gebied van bescherming van persoonsgegevens.
  3. Lightspeed zal de Klant onverwijld informeren in het geval dat: (i) er een onderzoek plaatsvindt of zij een dagvaarding of verzoek tot inspectie of audit van een bevoegde overheidsinstantie ontvangt met betrekking tot het verwerken van Persoonsgegevens onder deze Overeenkomst, tenzij het Lightspeed wettelijk verboden is om dergelijke informatie te verstrekken; of (ii) zij de intentie heeft om Persoonsgegevens aan een bevoegde overheidsinstantie te verstrekken.

 

Annex 1: Beschrijving van de verwerkingsactiviteiten van Lightspeed

Details van de verwerkingen

Lightspeed levert diensten die bestaan uit software as a service voor kassasystemen voor de retail en restaurant industrie en webwinkel software voor ondernemers. Lightspeed zal Persoonsgegevens namens de klant verwerken om de diensten aan de klant te kunnen verlenen op basis van de Dienstenovereenkomst en voor iedere additionele doeleinden waartoe de Klant bij het gebruiken van de Diensten aan Lightspeed de opdracht geeft.

 

Soorten Persoonsgegevens

Afhankelijk van hoe de Klant ervoor kiest om de Diensten te gebruiken, kan Lightspeed de volgende soorten persoonsgegevens verwerken:

  • Voornaam, achternaam
  • Contactgegevens (e-mailadreshuisadres, telefoonnummer)
  • Taal
  • Geslacht
  • Geboortedatum
  • IP Adres
  • Locatiegegevens
  • Burgerservicenummer
  • Bankgegevens

 

Duur (bewaartermijnen)

Ieder vorm van persoonsgegevens wordt verwijderd na ontvangst van een opdracht daartoe van de Klant.

 

Categorieën van individuen van wie de persoonsgegevens worden verwerkt

  • Personen die gebruik maken van de diensten van de Klant.
  • Werknemers en andere personen die toestemming hebben van de Klant voor de toegang tot en gebruiken van de Diensten.

 

Annex 2: Beschrijving van de beveiligingsmaatregelen

Lightspeed heeft een passende en voldoende technische en organisatorische maatregelen genomen ter beveiliging van de Persoonsgegevens ter voorkoming van een inbreuk die per ongeluk of op onrechtmatige wijze leidt tot het verlies, de vernietiging, de wijziging of de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot Persoonsgegevens, met name waar de verwerking een verzending van Persoonsgegevens over een netwerk betreft, alsmede tegen alle andere onrechtmatige vormen van verwerken.

De volgende beschrijving geeft een overzicht weer van de geïmplementeerde technische en organisatorische beveiligingsmaatregelen. Dergelijke maatregelen omvatten, maar zijn niet beperkt tot:

Gegevensbescherming

Lightspeed verwerkt de Persoonsgegevens als een Gegevensverwerker, uitsluitend met het doel om de Diensten te leveren in overeenstemming met gedocumenteerde instructies van de Klant (op voorwaarde dat dergelijke instructies in overeenstemming zijn met de functionaliteiten van de Diensten) en zoals met u is afgesproken.

Lightspeed implementeert en onderhoudt gepaste technische en organisatorische maatregelen om Persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging, beschadiging, diefstal, wijziging of openbaarmaking.

Lightspeed zorgt ervoor dat de werknemers die toegang hebben tot Persoonsgegevens gebonden zijn aan geheimhoudingsverplichtingen die hun mogelijkheden om de Persoonsgegevens openbaar te maken beperken.

In transit: Lightspeed maakt HTTPS-codering beschikbaar op alle inlog interfaces en op elke klanten website die wordt gehost op de Lightspeed-producten. De HTTPS-implementatie van Lightspeed maakt gebruik van standaard algoritmen en -certificaten.

In rust: Lightspeed slaat gebruikerswachtwoorden op volgens de industriestandaard gebruiken voor beveiliging.

Controle op toegang

1. Ongeautoriseerde toegang tot producten voorkomen

Verwerking door derden: Lightspeed host zijn services op externe hosting infrastructuur in de vorm van datacenters en Infrastructure-as-a-Service (IaaS). Daarnaast onderhoudt Lightspeed contractuele relaties met leveranciers om de service te leveren in overeenstemming met onze gegevensverwerking overeenkomst. Lightspeed vertrouwt op contractuele overeenkomsten, privacybeleid en leveranciers compliance programma's om gegevens te beschermen die door deze leveranciers worden verwerkt of opgeslagen.

Fysieke en omgevingsbeveiliging: Lightspeed host zijn product infrastructuur met multi-tenant, uitbestede infrastructuur providers. De fysieke en omgeving beveiligingscontroles worden gecontroleerd op onder meer SOC 2 Type II, ISO 27001 en PCI DSS-conformiteit.

Authenticatie: Lightspeed heeft een uniform wachtwoordbeleid voor zijn producten geïmplementeerd. Alle gebruikers die via elke interface met de producten moeten communiceren, moeten zich verifiëren voordat ze toegang krijgen tot niet-openbare klantgegevens.

Autorisatie: Klantgegevens worden opgeslagen in multi-tenant opslagsystemen die voor klanten toegankelijk zijn uitsluitend via gebruikersinterfaces en de API. Klanten hebben geen directe toegang tot de onderliggende applicatie-infrastructuur. Het autorisatiemodel in elk product van Lightspeed is ontworpen om ervoor te zorgen dat alleen de daartoe aangewezen personen toegang hebben tot relevante functies, weergaven en aanpassingsmogelijkheden. Autorisatie voor gegevenssets wordt uitgevoerd door de machtigingen van de gebruiker te valideren ten opzichte van de kenmerken die aan elke dataset zijn gekoppeld.

2. Ongeautoriseerd gebruik van het product voorkomen

Toegangscontroles: Toegangscontrolemechanismen voor het netwerk zijn ontworpen om te voorkomen dat netwerkverkeer door ongeautoriseerde protocollen de product infrastructuur bereikt. De geïmplementeerde technische maatregelen verschillen per infrastructuur aanbieder en omvatten Virtual Private Cloud (VPC) -implementaties, toewijzing van beveiligingsgroepen en traditionele firewallregels.

Indringerdetectie en -preventie: Lightspeed heeft een WAF-oplossing (Web Application Firewall) geïmplementeerd om gehoste websites van klanten en andere voor internet toegankelijke applicaties te beschermen. De WAF is ontworpen om aanvallen op openbaar beschikbare services te identificeren en te voorkomen.

Kwetsbaarheid van beveiligingslekken: Lightspeed scant regelmatig zijn infrastructuur en webservices op bekende kwetsbaarheden en lost deze tijdig op.

3. Beperkingen van privilege & autorisatie vereisten

Product toegang: Een deel van de werknemers van Lightspeed heeft via gecontroleerde interfaces toegang tot de producten en tot klantgegevens. De bedoeling om toegang te bieden aan een groep van medewerkers is om effectieve ondersteuning te bieden, mogelijke problemen op te lossen, beveiligingsincidenten te detecteren en erop te reageren en gegevensbeveiliging te implementeren. Medewerkers krijgen toegang per rol. Toegang tot gegevens of verwerkingssystemen worden vastgelegd.

Database toegang: Klantgegevens zijn alleen toegankelijk voor daartoe bevoegde medewerkers. Directe database toegang is beperkt en toegangsrechten zijn vastgesteld en nageleefd.

Incident Management Control

Detectie: Lightspeed heeft zijn infrastructuur ontworpen om uitgebreide informatie over het systeem, ontvangen dataverkeer, systeem verificatie en andere verzoeken te loggen. Interne systemen verzamelen gegevens en waarschuwen bevoegde medewerkers van kwaadwillende, onbedoelde of abnormale activiteiten. Het personeel van Lightspeed, inclusief beveiliging, operations en support, zal reageren op bekend geworden incidenten.

Respons en tracking: Lightspeed houdt een register bij van bekende beveiligingsincidenten met beschrijvingen, data en tijden van relevante activiteiten en incidenten. Verdachte en bevestigde beveiligingsincidenten worden onderzocht door beveiliging, operations of support en passende stappen worden geïdentificeerd en gedocumenteerd. Voor alle bevestigde incidenten neemt Lightspeed passende maatregelen om schade aan producten en klanten of ongeautoriseerde openbaarmaking te minimaliseren.

Communicatie: Als Lightspeed kennis krijgt van onrechtmatige toegang tot klantgegevens die zijn opgeslagen in haar producten, zal Lightspeed: de betrokken klanten informeren over het incident; een beschrijving van de stappen die Lightspeed neemt om het incident op te lossen delen; status-updates met de klant delen, indien en voor zover zij dit nodig acht of hiertoe verplicht is. Kennisgeving van eventuele incidenten wordt aan een of meer contactpersonen van de Klant geleverd in een vorm die door Lightspeed wordt geselecteerd, mogelijk via e-mail of telefoon.