Verwerkersovereenkomst oypo
VERWERKERSOVEREENKOMST OYPO
- OpDeFoto.EU, gevestigd te Doetinchem, te dezen vertegenwoordigd door Robert Biesen, hierna te noemen “Fotograaf”.
- FUJIFILM IMAGING PRODUCTS & SOLUTIONS B.V., h.o.d.n. Oypo, gevestigd aan de Franseweg 65 (4651 GE) te Steenbergen, met KvK-nummer 20040567, te dezen vertegenwoordigd door Drs. A. Nuiten, Managing Director Fujifilm Imaging Products & Solutions, hierna te noemen “Oypo”.
Hierna gezamenlijk aangeduid als “Partijen”
Definities
- AVG: Algemene Verordening Gegevensbescherming.
- Betrokkene: geïdentificeerde of identificeerbare natuurlijke persoon op wie een persoonsgegeven betrekking heeft.
- Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
- Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde Betrokkene, noch Fotograaf, noch Oypo, noch de personen die onder rechtstreeks gezag van Fotograaf of Oypo gemachtigd zijn om persoonsgegevens te verwerken.
- EER: de Europese Economische Ruimte.
- DPIA: een gegevensbeschermingseffectbeoordeling, die wordt uitgevoerd voorafgaand aan het uitvoeren van een verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
- Dienst: de hoofdovereenkomst tussen partijen, waaronder Oypo haar diensten levert aan Fotograaf en bepaalde verwerkingen en werkzaamheden uitvoert ten behoeve van Fotograaf en waaruit deze Verwerkersovereenkomst voortvloeit.
- Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4(1) AVG.
- Subverwerker: een niet-ondergeschikte derde partij die door Oypo is betrokken bij de verwerking van persoonsgegevens in het kader van de Dienst, niet zijnde personeelsleden van Oypo.
- Toezichthouder: de Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet is aangesteld als toezichthouder voor het toezicht op verwerkingen van persoonsgegevens.
- Verwerker: Oypo, de partij die ten behoeve van Fotograaf persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
- Verwerkersovereenkomst: deze overeenkomst inclusief de bijgevoegde bijlagen.
- Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op een andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
- Verwerkingsverantwoordelijke: Fotograaf, de partij die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
OVERWEGENDE DAT
- Fotograaf foto’s aanlevert aan Oypo, zodat deze online aangeboden kunnen worden aan de afnemers van de Fotograaf en hiertoe een dienst bij Oypo afneemt (hierna: de “Dienst”).
- Oypo bij het uitvoeren van de Dienst gegevens zal verwerken waarvoor Fotograaf verantwoordelijk is en blijft. Tot die gegevens behoren persoonsgegevens in de zin van de AVG.
- Fotograaf aangemerkt kan worden als verwerkingsverantwoordelijke in de zin van artikel 4(7) AVG.
- Oypo aangemerkt kan worden als verwerker in de zin van artikel 4(8) AVG.
- Fotograaf op grond van artikel 28 en 32 AVG verplicht is een overeenkomst met Oypo aan te gaan en te zorgen dat Oypo voldoende waarborgen biedt ten aanzien van de beveiliging van persoonsgegevens.
- Partijen wensen hun afspraken vast te leggen in deze Verwerkersovereenkomst.
KOMEN ALS VOLGT OVEREEN
Artikel 1 – Totstandkoming, duur en beëindiging
- Deze Verwerkersovereenkomst vangt aan op het moment van ondertekening.
- Deze Verwerkersovereenkomst is onderdeel van de Dienst en zal gelden gedurende de tijd dat Fotograaf gebruik maakt van de Dienst. Wanneer het gebruik van de Dienst door Fotograaf wordt beëindigd, eindigt ook deze Verwerkersovereenkomst automatisch. Partijen kunnen de Verwerkersovereenkomst niet apart van de Dienst beëindigen.
- Bij beëindiging van de Dienst, verplichten Partijen zich te blijven houden aan het bepaalde in de Verwerkersovereenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na het einde van de Dienst voort te duren.
Artikel 2 – Uitvoering van de verwerking
- De bepalingen uit de Verwerkersovereenkomst gelden voor alle verwerkingen die plaatsvinden bij de uitvoering van de Dienst. Wanneer Oypo reden heeft om aan te nemen dat hij niet langer aan de Verwerkersovereenkomst kan voldoen, brengt Oypo Fotograaf onmiddellijk daarvan op de hoogte.
- De door Oypo te verwerken persoonsgegevens en de daarop van toepassing zijnde verwerkingsdoeleinden, waar deze Verwerkersovereenkomst betrekking op heeft, worden nader omschreven in bijlage 1.
- Oypo gaat bij de uitvoering van de Dienst op zorgvuldige, behoorlijke en transparante wijze met persoonsgegevens om en verwerkt persoonsgegevens alleen in opdracht van Fotograaf in het kader van de uitvoering van de Dienst.
- Oypo verwerkt de persoonsgegevens alleen conform de schriftelijke instructies van Fotograaf en conform deze Verwerkersovereenkomst. Oypo heeft daarbij zelf geen zeggenschap over de persoonsgegevens.
- Oypo verwerkt de persoonsgegevens niet voor eigen doeleinden, de doeleinden van Derden en/of voor andere doeleinden die niet door Fotograaf zijn bepaald, tenzij Oypo daartoe verplicht is onder toepasselijke wetgeving. In dat geval stelt Oypo Fotograaf vooraf schriftelijk van die verplichting op de hoogte, voor zover toegestaan onder de toepasselijke wetgeving.
- Partijen zullen persoonsgegevens verwerken in overeenstemming met de toepasselijke wet- en regelgeving op het gebied van bescherming van persoonsgegevens, waaronder de voorschriften van de AVG. Oypo licht Fotograaf in als, naar mening van Oypo, een instructie van Fotograaf inbreuk oplevert op de AVG en/of de andere toepasselijke wet- en regelgeving.
- Oypo verleent aan Fotograaf de nodige bijstand en medewerking bij het doen nakomen van de op Partijen rustende verplichtingen op grond van de AVG en andere toepasselijke wet- en regelgeving. Dit omvat onder andere medewerking met betrekking tot de beveiliging van persoonsgegevens, het uitvoeren van controles en audits, het uitvoeren van een DPIA, voorafgaande raadpleging van de Toezichthouder, het voldoen aan verzoeken van de Toezichthouder of een andere overheidsinstantie, het voldoen aan verzoeken van Betrokkenen en aan het melden van een datalek.
Artikel 3 – Verzoeken van Betrokkenen
- Oypo neemt redelijke maatregelen om ervoor te zorgen dat Betrokkene zijn rechten kan uitoefenen, zoals een verzoek om inzage, verbetering, aanvulling of verwijdering van persoonsgegevens, het maken van bezwaar tegen of het beperken van de verwerking en een verzoek tot het overdraagbaar maken van de persoonsgegevens.
- Wanneer Fotograaf een verzoek krijgt van een Betrokkene die zijn of haar rechten wenst uit te oefenen, spant Oypo zich in om daaraan binnen een termijn van 14 dagen zijn medewerking te verlenen. Oypo stelt Fotograaf in staat om binnen de wettelijke termijnen te voldoen aan bovengenoemde verzoeken.
- Wanneer een Betrokkene aan Oypo een verzoek, als vermeld in bovengenoemd lid doet, verwijst Oypo dit verzoek door aan Fotograaf en zal Fotograaf dit behandelen. Oypo mag Betrokkene van de verwijzing op de hoogte stellen.
Artikel 4 – Toegang tot persoonsgegevens
- Oypo geeft Subverwerkers, Derden en eventuele andere ontvangers van persoonsgegevens geen ruimere toegang dan noodzakelijk.
- De verplichtingen van Oypo die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Oypo. Oypo staat er verder voor in dat personen en gecontracteerde partijen die handelen onder zijn gezag de persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze Verwerkersovereenkomst en de AVG zullen verwerken.
- Oypo geeft Subverwerkers geen toegang tot persoonsgegevens zonder vooraf daarvoor toestemming te hebben gekregen van Fotograaf, zoals uitgewerkt in bijlage 1.
- Oypo licht Fotograaf uiterlijk twee weken voorafgaand aan een beoogde toevoeging, vervanging of wijziging van Subverwerker(s) schriftelijk in. Oypo biedt vervolgens Fotograaf de mogelijkheid om tegen deze veranderingen bezwaar te maken. In geval van bezwaar treden Partijen in onderhandeling over een oplossing.
- Oypo verstrekt aan Fotograaf op diens verzoek een overzicht van de door Oypo ingeschakelde Subverwerkers.
- Oypo blijft, in de gevallen dat werkzaamheden deels of geheel worden uitbesteed aan Subverwerkers, zelf aansprakelijk en verantwoordelijk voor de naleving van de bepalingen uit de Verwerkersovereenkomst. Oypo zorgt dat de Subverwerkers schriftelijk minimaal dezelfde verplichtingen op zich nemen als overeengekomen tussen Oypo en Fotograaf. Ook geeft Oypo Fotograaf, op verzoek, inzage in de overeenkomsten met Subverwerkers waarin deze verplichtingen zijn opgenomen.
- Oypo licht Fotograaf onmiddellijk in wanneer Oypo en/of door Oypo ingeschakelde andere partijen, waaronder maar niet beperkt tot medewerkers en/of Subverwerkers, in strijd handelen met de Verwerkersovereenkomst.
Artikel 5 – Geheimhouding en vertrouwelijkheid
- Alle persoonsgegevens die Oypo ten behoeve van de Dienst en op basis van deze Verwerkersovereenkomst ontvangt dienen als vertrouwelijk behandeld te worden.
- Oypo zal de persoonsgegevens niet zonder toestemming van Fotograaf aan Derden verstrekken, kopiëren, of anderszins verveelvoudigen of openbaar maken.
- Personen in dienst van of werkzaam onder het gezag van Oypo hebben een geheimhoudingsplicht ten opzichte van de persoonsgegevens, waarvoor een geheimhoudingsverklaring getekend wordt.
- Als Oypo van een Derde een inzageverzoek voor de persoonsgegevens ontvangt op grond van een vermeende (wettelijke) verplichting, dan informeert Oypo Fotograaf daarover eerst schriftelijk voordat hij die Derde inzage in de persoonsgegevens geeft. Het is vervolgens aan Fotograaf om te beoordelen of dit verzoek gegrond is.
Artikel 6 – Beveiliging
- Oypo neemt passende technische en organisatorische maatregelen, houdt deze in stand en past deze indien nodig aan om de persoonsgegevens te beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking.
- Deze maatregelen garanderen een passend beveiligingsniveau, waarbij rekening wordt gehouden met de stand van de techniek, de kosten van de tenuitvoerlegging en waarbij wordt gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er ook op gericht om onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Een overzicht van deze maatregelen is opgenomen in bijlage 2.
- Oypo informeert Fotograaf, op verzoek, over de genomen (beveiligings)maatregelen om aan de verplichtingen op grond van de AVG, deze Verwerkersovereenkomst en de overige instructies van Fotograaf te voldoen.
Artikel 7 – Controle en audit
- Oypo stuurt op verzoek van Fotograaf een rapportage, waarin de genomen maatregelen, een overzicht van de werking daarvan en eventuele verbeter- en/of aandachtspunten worden opgenomen. Oypo kan hiervoor kosten in rekening brengen bij Fotograaf.
- Fotograaf is, na voorafgaande schriftelijke melding, gerechtigd die maatregelen te treffen die noodzakelijk zijn om te onderzoeken of Oypo adequate technische en organisatorische maatregelen heeft getroffen. Oypo verleent daarbij redelijkerwijs toegang aan de Fotograaf of de onder geheimhouding controlerende partij, die in opdracht van Fotograaf controleert. Oypo is ook verplicht medewerking te verlenen aan de daadwerkelijke uitvoering van de controle, waaronder het ter beschikking stellen van relevante informatie.
- De kosten van de controle worden gedragen door Fotograaf, tenzij uit de controle blijkt dat Oypo deze Verwerkersovereenkomst, de AVG en/of andere toepasselijke wet- en regelgeving niet heeft nageleefd. In dat geval komen de kosten van de controle voor rekening van Oypo.
- Als tijdens een controle wordt vastgesteld dat Oypo niet voldoet aan het bepaalde deze Verwerkersovereenkomst, de AVG en/of andere toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens, neemt Oypo binnen 4 weken alle redelijkerwijs noodzakelijke maatregelen om ervoor te zorgen dat Oypo hieraan alsnog voldoet. De kosten daarvoor komen voor rekening van Oypo.
Artikel 8 – Datalek
- Oypo informeert Fotograaf in geval van ontdekking van een mogelijk datalek zo snel mogelijk, in ieder geval uiterlijk binnen 48 uur na ontdekking, over alle (vermoedelijke) inbreuken op de beveiliging en alle andere incidenten die op grond van wetgeving moeten worden gemeld aan Toezichthouder of Betrokkenen. Oypo heeft vervolgens de verplichting om de gevolgen van de inbreuken en/of incidenten zo snel mogelijk ongedaan te maken, dan wel te beperken.
- Op verzoek verschaft Oypo aan Fotograaf alle inlichtingen die Fotograaf noodzakelijk acht om het incident te kunnen beoordelen. Daarbij zal Oypo in ieder geval de informatie verschaffen zoals omschreven in bijlage 3. Oypo zorgt daarbij dat de verstrekte informatie volledig, correct en accuraat is.
- Als het voor Oypo niet mogelijk is om alle informatie vermeld in bijlage 3gelijktijdig te verstrekken, dan verstrekt Oypo de informatie in stappen, zo spoedig mogelijk en uiterlijk binnen 72 uur na ontdekking van het datalek.
- Na de melding van een datalek aan Fotograaf, houdt Oypo Fotograaf op de hoogte van nieuwe ontwikkelingen met betrekking tot het datalek en de maatregelen getroffen door Oypo om het datalek te beperken en te beëindigen en om een soortgelijk incident in de toekomst te voorkomen.
- Fotograaf besluit conform artikel 33 en 34 AVG of zij het datalek onmiddellijk aan de Toezichthouder meldt en/of de Betrokkene(n) onmiddellijk informeert. Oypo laat het doen van meldingen aan de Toezichthouder en het informeren van Betrokkene(n) over aan Fotograaf.
- Waar nodig, verleent Oypo zo snel mogelijk zijn medewerking aan Fotograaf voor het tijdig en adequaat informeren van de Betrokkene(n) en/of de Toezichthouder over een datalek.
- Oypo heeft passende maatregelen genomen om datalekken in een zo vroeg mogelijk stadium te ontdekken, Fotograaf tijdig te informeren, om adequaat op het datalek te reageren, het datalek te beperken en herhaling te voorkomen. Ook houdt Oypo een schriftelijk register bij van alle datalekken. Op verzoek van Fotograaf geeft Oypo informatie over en inzage in zijn beleid en procedures omtrent datalekken.
Artikel 9 – Doorgifte persoonsgegevens buiten de EER
- Doorgifte naar derde landen of internationale organisaties buiten de EER door Oypo is alleen toegestaan na voorafgaande schriftelijke toestemming van Fotograaf en conform de toepasselijke wet- en regelgeving, tenzij voor Oypo een wettelijke verplichting tot de doorgifte bestaat. In dat laatste geval stelt Oypo Fotograaf vooraf schriftelijk op de hoogte, tenzij die wetgeving deze kennisgeving verbiedt.
- Fotograaf heeft schriftelijke toestemming gegeven voor de doorgiften vermeld in bijlage 1.
- Fotograaf kan alleen toestemming aan Oypo verlenen voor een doorgifte van Persoonsgegevens aan derde landen of internationale organisaties buiten de EER indien aan een van de volgende voorwaarden is voldaan:
- Er is ten aanzien van het derde land of de internationale organisatie een adequaatheidsbesluit genomen, conform artikel 45(3) AVG;
- Er zijn passende waarborgen getroffen, conform artikel 46 AVG;
- Er is voldaan aan een van de voorwaarden uit artikel 49(1) AVG.
Artikel 10 – Aansprakelijkheid en schade
- Oypo is alleen aansprakelijk voor de schade die voortvloeit uit het niet nakomen van de AVG of andere toepasselijke wet- en regelgeving en de bepalingen uit deze Verwerkersovereenkomst voor zover deze schade is ontstaan door de uitvoering van werkzaamheden door Oypo, maar nimmer voor een bedrag hoger dan de door Fotograaf verschuldigde tarieven voor de Dienst in de voorgaande 6 maanden. Deze beperking van de aansprakelijkheid komt te vervallen indien en voor zover de schade het gevolg is van opzet of grove schuld van Oypo.
- Fotograaf staat ervoor in dat de verwerking van persoonsgegevens op basis van deze Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
- Oypo is niet aansprakelijk voor schade die het gevolg is van het door Fotograaf niet naleven van de AVG of andere wet- of regelgeving. Fotograaf vrijwaart Oypo voor aanspraken op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Betrokkene(n) of andere Derden hebben geleden, maar ook voor de kosten die Oypo in verband daarmee heeft moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Oypo worden opgelegd ten gevolge van het handelen of nalaten van Fotograaf.
- Oypo is niet aansprakelijk voor indirecte schade, waaronder mede begrepen stagnatie in de geregelde gang van zaken in de onderneming, gederfde winst, gemiste besparingen en gevolgschade, geleden door de Fotograaf verband houdend met, dan wel veroorzaakt door de uitvoering van de werkzaamheden ten behoeve van deze Verwerkersovereenkomst door Oypo.
Artikel 11 – Wijzigingen
- Oypo informeert Fotograaf tijdig over voorgenomen wijzigingen met betrekking tot de verwerking van persoonsgegevens, waaronder over wijzigingen die invloed (kunnen) hebben op de (categorieën) persoonsgegevens die worden verwerkt, verandering van Subverwerker(s) en wijzigingen in de doorgifte van persoonsgegevens aan landen buiten de EER en/of internationale organisaties.
- Wanneer een dergelijke wijziging daartoe aanleiding geeft, zullen partijen in overleg treden over het aanpassen van de Verwerkersovereenkomst en/of de daarbij gevoegde bijlagen.
- Oypo zal geen wijzigingen doorvoeren die tot gevolg hebben dat hetgeen vermeld in bijlage 1 aangepast dient te worden, tenzij Fotograaf daarvoor schriftelijk toestemming heeft gegeven.
Artikel 12 – Teruggave persoonsgegevens en bewaartermijnen
- De persoonsgegevens die Oypo verwerkt conform de Verwerkersovereenkomst, zullen vernietigd worden op verzoek van Fotograaf, na verstrijken van de overeengekomen bewaartermijnen, dan wel na het verstrijken van een wettelijke bewaartermijn.
- Bij beëindiging van de Dienst, zal Oypo binnen 4 weken alle persoonsgegevens die op basis van deze Verwerkersovereenkomst bij Oypo aanwezig zijn vernietigen. Oypo zorgt dat alle bestaande (overige) kopieën van persoonsgegevens, die bij Oypo en/of bij partijen ingeschakeld door Oypo bevinden, vervolgens permanent verwijderd worden, tenzij opslag van de persoonsgegevens wettelijk verplicht is. De kosten voor vernietiging van de persoonsgegevens komen voor rekening van Fotograaf.
- Oypo bevestigt op verzoek van Fotograaf schriftelijk dat aan de verplichtingen uit dit artikel is voldaan.
Artikel 13 – Overige bepalingen
- Op deze Verwerkersovereenkomst is Nederlands recht exclusief van toepassing. Geschillen zullen worden voorgelegd aan de bevoegde rechter in het arrondissement Zeeland-West-Brabant.
- Afwijking van deze Verwerkersovereenkomst is slechts geldig wanneer Partijen dit schriftelijk overeenkomen.
- Wanneer een deel van de Verwerkersovereenkomst nietig of vernietigbaar is, blijven de overige bepalingen uit de Verwerkersovereenkomst in stand. Partijen zullen dan in redelijk overleg tot een vervangende bepaling komen die zoveel mogelijk de inhoud van de nietige of vernietigbare bepaling volgt.
——
Bijlage 1 – Overzicht verwerkingen van persoonsgegevens en verwerkingsdoeleinden
Versienummer 1, datum laatste aanpassing: Mei 2018
Onderwerp van de verwerking: Online verkoop fotoproducten
Omschrijving van werkzaamheden uitgevoerd door Oypo
- Het verwerken van alle foto’s, zodat deze door Fotograaf online aangeboden kunnen worden.
De persoonsgegevens worden door Oypo verwerkt voor de volgende doeleinden:
- De online verkoop van fotoproducten.
Categorieën van betrokkenen:
- Afnemers van Fotograaf.
Categorieën van persoonsgegevens:
- (Portret)foto’s.
- Naam school.
- Naam leerlingen.
- Leerling-groep.
Bewaartermijnen van de persoonsgegevens:
De aangeleverde gegevens (bestanden met o.a. foto’s) worden uiterlijk vier weken na het einde van de Dienst gewist.
Subverwerkers
Verwerkingsverantwoordelijke geeft Verwerker algemene toestemming voor het inschakelen van Subverwerkers binnen de volgende categorieën:
Subverwerker | Soort Verwerking | Locatie van Verwerking | Vestigingsland Subverwerker |
Serverbeheerder | Opslag van (portretfoto’s) op externe servers | Verenigd Koninkrijk | Verenigd Koninkrijk |
Aanbieder CRM-systeem | CRM-systeem van Oypo | Nederland | Nederland |
Aanbieder e-mailmarketing | Extern mailingprogramma voor het opslaan van mailinglijsten en het versturen van nieuwsbrieven. | Verenigde Staten | Verenigde Staten |
Online Magazine | De Fotograaf heeft de mogelijkheid om online een magazine te bekijken. Hiervoor geven zij naam/email/telefoonnummer door. Deze gegevens worden door Fuji/Oypo bewaard. | Nederland | Nederland |
Domeinnaamregistrar | De website waar de domeinnamen van Oypo staan geregistreerd.
Ontvangen alle domeinnamen. |
Verenigde Staten | Verenigde Staten |
Aanbieders producten | Partijen die fotobestanden verwerken tot een product en deze versturen. | Nederland | Nederland |
Drukkerij | Een partij die inlogkaartjes aanmaakt, met daarop een foto van het kind, naam, naam school, groep en de code met het wachtwoord. Deze kaartjes worden rechtstreeks naar de Fotograaf gestuurd of het adres wat de Fotograaf zelf invult. | Nederland | Nederland |
Betalingsdiensten | Regelen de betalingen van Afnemers van Fotograaf in de webwinkel van Oypo (Nederland en België). | Nederland, België | Nederland, België en Verenigde Staten |
Serverbeheerder | Beheert de servers van Oypo. Deze machines staan in het datacentrum. Zij hebben verder geen toegang tot de servers en de persoonsgegevens. | Nederland | Nederland |
Doorgifte aan derde land
Fotograaf geeft aan Oypo toestemming voor de volgende doorgiften aan derde landen en/of internationale organisaties:
Beschrijving doorgifte | Land |
Aanbieder e-mailmarketing (Mailchimp) | Verenigde Staten, op grond van een adequaatheidsbesluit, namelijk het EU-VS Privacy Shield Framework. |
Betalingsdienst (Mastercard) | Verenigde Staten, op grond van Binding Corporate Rules, hier te vinden. |
Bijlage 2 – Overzicht beveiligingsmaatregelen
Versienummer 1, datum laatste aanpassing: Mei 2018
Omschrijving van de door Oypo getroffen beveiligingsmaatregelen:
- Up-to-date virusprogramma
- Beveiligde USB-sticks.
- Beveiliging van telefoons van medewerkers met ten minste een wachtwoord.
- Unieke inlogcode en wachtwoord (die regelmatig veranderen).
- Geen gegevens opslaan op privé laptops.
- Versleuteling van e-mail.
- Geen onbeveiligde externe harde schijven of andere back-ups.
- Een clean desk policy.
- Laptops niet onbemand achterlaten.
- Training m.b.t. informatiebeveiliging zijn door alle medewerkers gevolgd.
- Oude documenten vernietigen.
Bijlage 3 – Proces omtrent het melden van een datalek en de te verstrekken informatie
Indien Oypo een beveiligingsincident ontdekt, neemt Oypo direct contact op met de aan hem verstrekte contactgegevens van Fotograaf (telefoonnummer en/of e-mailadres).
Oypo verstrekt hierbij de volgende informatie, die gelijk is aan de informatie die aan de Toezichthouder moet worden verstrekt.
- Een samenvatting van het datalek:
Oypo vermeldt hierbij tevens de naam van het betrokken systeem.
- Welke soorten persoonsgegevens zijn betrokken bij het beveiligingsincident?
Bijvoorbeeld, naam, adres, e-mailadres, IP-nummer, BSN-nummer, portretfoto en alle andere tot een natuurlijk persoon te herleiden gegevens.
- Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident?
Oypo zal proberen een minimum- en maximumaantal personen te vermelden.
- Omschrijving van de groep personen om wiens gegevens het gaat.
Bijvoorbeeld gegevens van medewerkers of van klanten. Bijzondere aandacht moet gegeven worden aan gegevens van een kwetsbare groepen personen, zoals kinderen.
- Wanneer mogelijk de contactgegevens van de betrokken personen.
Het kan immers zijn dat betrokkenen geïnformeerd moeten worden over het datalek.
- Waar mogelijk de oorzaak van het datalek.
Bijvoorbeeld kopiëren, diefstal, verlies, et cetera.
- De datum of periode waarin het beveiligingsincident heeft plaatsgevonden, zo specifiek mogelijk.