Countr's Verwerkersovereenkomst

ENGELS VERSIE
DEZE GEGEVENSVERWERKINGSOVEREENKOMST ("OVEREENKOMST”) IS EEN WETTELIJKE OVEREENKOMST DIE EEN INTEGRAAL ONDERDEEL VORMT VAN EN VAN TOEPASSING IS IN AANVULLING OP DE BESTAANDE LANDEN INTERNATIONALE DIENSTENOVEREENKOMST (“SERVICEOVEREENKOMST”) GESLOTEN DOOR EN TUSSEN DE KLANT EN COUNTR INTERNATIONAL (BEIDE ZOALS GEDEFINIEERD IN DE DIENSTENOVEREENKOMST) IN VERBAND MET DE LEVERING VAN DIENSTEN DIE VERSCHILLENDE GEGEVENSVERWERKENDE DIENSTEN AAN DE KLANT BEVATTEN (“DIENSTEN").

  1. COUNTR INTERNATIONAL KAN TE ALLEN TIJDE EN NAAR UITSLUITEND BESLUIT VAN COUNTR INTERNATIONAL IMTREFFENDE WIJZIGINGEN AANBRENGEN IN DEZE OVEREENKOMST. COUNTR INTERNATIONAL ZAL DE KLANT INFORMEREN OVER DERGELIJKE WIJZIGINGEN.
  2. De termen die in deze overeenkomst worden gebruikt, hebben dezelfde betekenis als de termen die in de serviceovereenkomst worden gebruikt, tenzij uitdrukkelijk anders is bepaald. Als er conflicten of inconsistenties zijn tussen de Serviceovereenkomst en deze Overeenkomst, prevaleert deze Overeenkomst.
  3. Bij het uitvoeren van de Diensten kan COUNTR INTERNATIONAL toegang krijgen tot of anderszins verkrijgen of verwerken van informatie met betrekking tot geïdentificeerde of identificeerbare personen (“Persoonsgegevens”). De betrokken verwerkers, het onderwerp, de duur, de aard en de doeleinden van de verwerking, evenals het type Persoonsgegevens en categorieën van personen van wie de gegevens worden verwerkt, worden uiteengezet in Bijlage 1, dat een integraal onderdeel vormt van de Overeenkomst.
  4. COUNTR INTERNATIONAL mag alleen persoonlijke gegevens verwerken namens de klant en uitsluitend voor de doeleinden die in deze overeenkomst worden vermeld.
  5. COUNTR INTERNATIONAL kan de in Bijlage 1en alle andere verwerkers om Persoonsgegevens namens de Klant te verwerken. COUNTR INTERNATIONAL zal Klant informeren over voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van (sub)verwerkers die Persoonsgegevens van Klant verwerken en Klant in de gelegenheid stellen om bezwaar te maken tegen dergelijke wijzigingen.
  6. COUNTR INTERNATIONAL zal ervoor zorgen dat elke verwerking eerlijk, wettig en in overeenstemming is met de verplichtingen van COUNTR INTERNATIONAL onder deze Overeenkomst en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming. COUNTR INTERNATIONAL zorgt er in het bijzonder voor dat elke persoon die namens haar de Diensten levert:
  7. Persoonsgegevens alleen verwerken in de gedocumenteerde instructies van de Klant; Indien COUNTR INTERNATIONAL verplicht is om Persoonsgegevens te verwerken in overeenstemming met een wet van de Europese Unie of een lidstaat waaraan COUNTR INTERNATIONAL onderworpen is, zal zij de Klant informeren over een dergelijke wettelijke vereiste voorafgaand aan een dergelijke verwerking, tenzij een wet van de Europese Unie of een lidstaat waaraan COUNTR INTERNATIONAL onderworpen is, verbiedt het dit te doen;
  8. zorgen voor een passende bescherming van Persoonsgegevens tegen onbedoelde of onwettige vernietiging of onbedoeld verlies, wijziging, ongeoorloofde openbaarmaking of toegang, in het bijzonder wanneer de verwerking een overdracht van Persoonsgegevens via een netwerk inhoudt, en tegen alle andere onwettige vormen van verwerking;
  9. voldoen aan de veiligheidsvereisten uiteengezet in Bijlage 2,rekening houdend met de stand van de techniek, de implementatiekosten en de aard, omvang, context en doeleinden van de verwerking;
  10. de Klant bijstaan ​​bij het waarborgen van de naleving van de verplichtingen met betrekking tot beveiligingsmaatregelen en het uitvoeren van gegevensbeschermingseffectbeoordelingen, waar nodig op grond van de artikelen 32-36 van de Algemene Verordening Gegevensbescherming, 2016/679;
  11. geen Persoonsgegevens bekendmaken aan derden of onbevoegde personen, tenzij de Klant zijn voorafgaande schriftelijke toestemming heeft gegeven voor een dergelijke openbaarmaking en onder de voorwaarden die zijn vastgelegd in sectie 6 van deze Overeenkomst;
  12. Persoonsgegevens strikt vertrouwelijk houden en eisen dat werknemers en elke andere persoon onder haar gezag die toegang krijgt tot Persoonsgegevens of anderszins zal verwerken, op hetzelfde niveau van vertrouwelijkheid worden gehouden in overeenstemming met de vereisten van de Overeenkomst (ook tijdens de looptijd van hun dienstverband of betrokkenheid en daarna);
  13. de Klant onmiddellijk op de hoogte stellen als hij een verzoek ontvangt van een persoon met betrekking tot Persoonsgegevens, met inbegrip van maar niet beperkt tot verzoeken om toegang tot informatie, verzoeken tot rectificatie van informatie, verzoeken om blokkering, verwijdering of overdraagbaarheid van Persoonsgegevens, en zal niet op dergelijke verzoeken reageren, tenzij uitdrukkelijk gemachtigd om dit te doen door de Klant of tenzij vereist door een wet van de Europese Unie of een lidstaat waaraan COUNTR INTERNATIONAL onderworpen is; Bovendien zal COUNTR INTERNATIONAL ervoor zorgen dat het technische en organisatorische maatregelen heeft geïmplementeerd om de Klant te helpen voldoen aan zijn verplichting om te reageren op dergelijke verzoeken van een persoon met betrekking tot verwerkte Persoonsgegevens;
  14. de Klant onmiddellijk op de hoogte stellen als naar de mening van COUNTR INTERNATIONAL een door de Klant gegeven instructie in strijd is met toepasselijke wet- en regelgeving, met inbegrip van gegevensbeschermingswetten, of een wijziging in de toepasselijke wet- en regelgeving waarschijnlijk een aanzienlijk nadelig effect zal hebben op zijn vermogen om te voldoen aan zijn verplichtingen onder deze overeenkomst;
  15. onverwijld (en in ieder geval binnen zesendertig (36) uur) nadat u hiervan op de hoogte bent, de Klant op de hoogte stellen van alle feiten die bekend zijn bij COUNTR INTERNATIONAL met betrekking tot feitelijke of vermoedelijke onbedoelde of onbevoegde toegang, openbaarmaking of gebruik, of onbedoeld of onbevoegd verlies, schade of vernietiging van Persoonsgegevens door een huidige of voormalige werknemer, contractant of agent van COUNTR INTERNATIONAL of door een andere persoon of derde partij;
  16. volledig samenwerken met de Klant in het geval van onbedoelde of onbevoegde toegang, openbaarmaking of gebruik, of onbedoeld of onbevoegd verlies, beschadiging of vernietiging van Persoonsgegevens door een huidige of voormalige werknemer, contractant of agent van COUNTR INTERNATIONAL of door een andere persoon of derde partij, om de ongeoorloofde openbaarmaking of het ongeoorloofde gebruik te beperken, de teruggave van Persoonsgegevens te vragen en te helpen bij het verstrekken van kennisgeving aan bevoegde regelgevers en betrokken personen op verzoek van de Klant;
  17. vragen en verzoeken van de Klant met betrekking tot de verwerking van Persoonsgegevens onder deze Overeenkomst onmiddellijk en correct afhandelen en andere redelijke hulp en ondersteuning bieden;
  18. de Klant bijstaan ​​en ondersteunen in het geval van een onderzoek door een toezichthouder voor gegevensbescherming of een soortgelijke autoriteit, indien en voor zover dat onderzoek betrekking heeft op de verwerking van Persoonsgegevens onder deze Overeenkomst;
  19. Bij beëindiging of afloop van de Diensten om welke reden dan ook, of op verzoek van de Klant, zal COUNTR INTERNATIONAL onmiddellijk stoppen met het verwerken van Persoonsgegevens en zal COUNTR INTERNATIONAL onmiddellijk al deze Persoonsgegevens teruggeven aan de Klant, of deze verwijderen, in overeenstemming met de instructies die mogelijk zijn door de Klant op dat moment verstrekt, tenzij het verplicht is om de Persoonsgegevens op te slaan op grond van een wet van de Europese Unie of een lidstaat waaraan COUNTR INTERNATIONAL onderworpen is of tenzij uitdrukkelijk anders is overeengekomen met de Klant. De verplichtingen uiteengezet in deze sectie blijven van kracht, niettegenstaande beëindiging of afloop van deze Overeenkomst.
  20. COUNTR INTERNATIONAL zal ervoor zorgen dat elke werknemer, agent, onafhankelijke contractant of andere persoon die betrokken is bij de levering van de Diensten en die toegang heeft tot de Persoonsgegevens van de Klant, zal voldoen aan alle wet- en regelgeving op het gebied van informatiebescherming en privacy (inclusief alle wet- en/of regelgevende wijzigingen of opvolgers daarvan), van toepassing op COUNTR INTERNATIONAL.
  21. COUNTR INTERNATIONAL mag (een deel van de) Diensten alleen uitbesteden aan derden (inclusief vestigingen van COUNTR INTERNATIONAL buiten de EER) als COUNTR INTERNATIONAL ervoor zorgt dat deze derden schriftelijk aan dezelfde verplichtingen zijn gebonden en dat de Klant dezelfde rechten krijgt als vermeld in deze Overeenkomst met betrekking tot dergelijke derden.
  22. In het geval dat (i) COUNTR INTERNATIONAL niet in staat is om te voldoen aan de materiële verplichtingen vermeld in deze Overeenkomst, indien enige verplichting vereist door de wet (inclusief, maar niet beperkt tot, Artikel 28 van de Algemene Verordening Gegevensbescherming, nr. 2016/679 ) als materieel wordt beschouwd, of (ii) COUNTR INTERNATIONAL kennis krijgt van een omstandigheid of wijziging in de toepasselijke wetgeving inzake gegevensbescherming die waarschijnlijk een aanzienlijk nadelig effect zal hebben op het vermogen van COUNTR INTERNATIONAL om aan zijn verplichtingen onder de Overeenkomst te voldoen, zal COUNTR INTERNATIONAL de Klant onmiddellijk op de hoogte stellen hiertoe heeft de Klant het recht om (i) alle overdrachten van Persoonsgegevens op te schorten totdat de niet-naleving is verholpen, (ii) te eisen dat COUNTR INTERNATIONAL stopt met het verwerken van relevante Persoonsgegevens totdat een dergelijke tijd dat de niet-naleving is verholpen, en/of (iii) deze Overeenkomst onmiddellijk beëindigen.
  23. COUNTR INTERNATIONAL stelt de Klant alle informatie ter beschikking die nodig is om de naleving van de verplichtingen met betrekking tot de verwerking van Persoonsgegevens die aan COUNTR INTERNATIONAL als gegevensverwerker zijn verstrekt, aan te tonen.
  24. Audit en naleving.
  25. COUNTR INTERNATIONAL zal de verwerkingssystemen, faciliteiten en ondersteunende documentatie die relevant zijn voor de verwerking van Persoonsgegevens beschikbaar stellen voor een audit door de Klant of een gekwalificeerde onafhankelijke beoordelaar die door de Klant is geselecteerd en alle assistentie verlenen die de Klant redelijkerwijs nodig heeft voor de audit. Indien uit de audit blijkt dat COUNTR INTERNATIONAL enige verplichting onder de Overeenkomst heeft geschonden, zal COUNTR INTERNATIONAL die schending onmiddellijk herstellen;
  26. In het geval van inspectie of audits door een bevoegde overheidsinstantie met betrekking tot de verwerking van persoonsgegevens, zal COUNTR INTERNATIONAL zijn relevante verwerkingssystemen, faciliteiten en ondersteunende documentatie beschikbaar stellen aan de relevante bevoegde overheidsinstantie voor een inspectie of audit indien dit nodig is om te voldoen aan met toepasselijke wetten. In het geval van een inspectie of audit, zal elke partij alle redelijke medewerking verlenen aan de andere partij bij het reageren op die inspectie of audit. Als een bevoegde overheidsinstantie de verwerking van Persoonsgegevens op grond van deze Overeenkomst onwettig acht, zullen de partijen onmiddellijk actie ondernemen om toekomstige naleving van de toepasselijke wetgeving inzake gegevensbescherming te verzekeren;
  27. COUNTR INTERNATIONAL zal de Klant onmiddellijk informeren indien: (i) hij een onderzoek, een dagvaarding of een verzoek om inspectie of audit ontvangt van een bevoegde overheidsinstantie met betrekking tot de verwerking van Persoonsgegevens onder deze Overeenkomst, behalve wanneer COUNTR INTERNATIONAL anderszins bij wet verboden is van het doen van een dergelijke openbaarmaking; of (ii) het voornemens is om Persoonsgegevens bekend te maken aan een bevoegde overheidsinstantie.

 

Bijlage 1: Beschrijving van de verwerkingsactiviteiten van COUNTR INTERNATIONAL

Details van de verwerking

COUNTR INTERNATIONAL is een aanbieder van software als een service voor point-of-sale-oplossingen voor de detailhandel en horeca, evenals de aanbieder van een online platform dat kan worden gebruikt voor eCommerce-doeleinden. COUNTR INTERNATIONAL zal Persoonsgegevens namens de Klant verwerken om deze diensten aan de Klant te leveren in overeenstemming met de Serviceovereenkomst en eventuele aanvullende doeleinden zoals geïnstrueerd door de Klant bij het gebruik van de Diensten.

Type persoonlijke gegevens

Afhankelijk van hoe de Klant ervoor kiest om de Diensten te gebruiken, kan COUNTR INTERNATIONAL de volgende soorten persoonsgegevens verwerken:

    • Voornaam Achternaam
    • Zakelijke informatie (e-mailadres, zakelijk adres, registratienummer, fiscaal registratienummer)
    • Contactgegevens (e-mailadres, huisadres, telefoonnummer)
    • Taal
    • Geslacht
    • Geboortedatum
    • IP-adres
    • Geografische gegevens
    • Zakelijke bankrekeninggegevens

 

Duur (bewaartermijnen)

Elk type persoonsgegevens wordt verwijderd na ontvangst van een instructie daartoe van de Klant

Categorieën van personen van wie de gegevens worden verwerkt

    • Personen die gebruik maken van de diensten van de Klant.
    • Medewerkers en andere door de Klant geautoriseerde personen die toegang hebben tot en gebruik maken van de Services.

 

(Sub-) verwerkers

Klant geeft COUNTR INTERNATIONAL hierbij toestemming om namens COUNTR INTERNATIONAL de volgende (sub)verwerkers in te schakelen:

 

Soort diensten Naam (sub) verwerker Beschrijving van de verwerking Land van vestiging
Alle services Intercom, Inc. Het opslaan van persoonlijke gegevens die van de klant zijn ontvangen om klantenservice te verlenen Ierland
Alle services Suburbia, BV Analyse van niet-persoonlijke gegevens voor statistische doeleinden. Nederland
Alle services Compose.io Opslaan van persoonlijke gegevens in datacenter Verenigde Staten
Alle services Amazon Web Services, Inc. Opslaan van persoonlijke gegevens op cloudservers Verenigde Staten
Alle services Hotjar Limited Gedragsanalyse van onze klant uitvoeren bij het gebruik van onze diensten. Malta
Alle services Mixpanel, Inc. Gedragsanalyse van onze klant uitvoeren bij het gebruik van onze diensten. Verenigde Staten
Alle services Segment.io Gedragsanalyse van onze klant uitvoeren bij het gebruik van onze diensten. Verenigde Staten
Alle services MailChimp Verzenden van e-mailbevestigingen namens winkeliers naar klanten Verenigde Staten
Alle services Keen.io Gedragsanalyse van onze klant uitvoeren bij het gebruik van onze diensten. Verenigde Staten

 

Bijlage 2: Beschrijving van de beveiligingsmaatregelen van COUNTR INTERNATIONAL

COUNTR INTERNATIONAL heeft passende en voldoende technische en organisatorische veiligheidsmaatregelen genomen om de Persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, in het bijzonder wanneer de verwerking een overdracht van Persoonsgegevens over een netwerk inhoudt, en tegen alle andere onrechtmatige vormen van verwerking.

Onderstaande beschrijving geeft een overzicht van de getroffen technische en organisatorische beveiligingsmaatregelen. Dergelijke maatregelen omvatten, maar zijn niet beperkt tot:

 

Data Protection

COUNTR INTERNATIONAL zal de Persoonsgegevens verwerken als een gegevensverwerker, alleen met het doel de Diensten te leveren in overeenstemming met de gedocumenteerde instructies van de Klant (op voorwaarde dat dergelijke instructies in overeenstemming zijn met de functionaliteiten van de Diensten), en zoals kan worden overeengekomen met u.

COUNTR INTERNATIONAL implementeert en handhaaft passende technische en organisatorische maatregelen om de Persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging, beschadiging, diefstal, wijziging of openbaarmaking.

COUNTR INTERNATIONAL zorgt ervoor dat het personeel dat toegang heeft tot de Persoonsgegevens onderworpen is aan vertrouwelijkheidsverplichtingen die hun vermogen om de Persoonsgegevens bekend te maken beperken.

Onderweg: COUNTR INTERNATIONAL stelt HTTPS-codering beschikbaar op elk van zijn login-interfaces en op elke klantensite die wordt gehost op de COUNTR INTERNATIONAL-producten. De HTTPS-implementatie van COUNTR INTERNATIONAL maakt gebruik van industriestandaard algoritmen en certificaten.

In rust: COUNTR INTERNATIONAL slaat gebruikerswachtwoorden op volgens industriestandaardpraktijken voor beveiliging.

Toegangscontrole

  1. Ongeautoriseerde producttoegang voorkomen

Uitbestede verwerking: COUNTR INTERNATIONAL host haar diensten op Hostinginfrastructuur van derden in de vorm van datacenters en Infrastructure-as-a-Service (IaaS). Daarnaast onderhoudt COUNTR INTERNATIONAL contractuele relaties met leveranciers om de service te verlenen in overeenstemming met onze gegevensverwerkingsovereenkomst. COUNTR INTERNATIONAL vertrouwt op contractuele overeenkomsten, privacybeleid en nalevingsprogramma's van leveranciers om gegevens te beschermen die door deze leveranciers worden verwerkt of opgeslagen.

Fysieke en omgevingsbeveiliging: COUNTR INTERNATIONAL host zijn productinfrastructuur bij multi-tenant, uitbestede infrastructuuraanbieders. De fysieke en omgevingsbeveiligingscontroles worden onder meer gecontroleerd op SOC 2 Type II, ISO 27001 en PCI DSS-compliance.

authenticatie: COUNTR INTERNATIONAL implementeerde een uniform wachtwoordbeleid voor zijn klantenproducten. Alle gebruikers die via een interface met de producten moeten communiceren, moeten zich verifiëren voordat ze toegang krijgen tot niet-openbare klantgegevens.

autorisatie: Klantgegevens worden opgeslagen in multi-tenant opslagsystemen die toegankelijk zijn voor Klanten via alleen applicatiegebruikersinterfaces en applicatieprogrammeerinterfaces. Klanten hebben geen directe toegang tot de onderliggende applicatie-infrastructuur. Het autorisatiemodel in elk product van COUNTR INTERNATIONAL is ontworpen om ervoor te zorgen dat alleen de juiste toegewezen personen toegang hebben tot relevante functies, weergaven en aanpassingsopties. Autorisatie voor datasets wordt uitgevoerd door de gebruikersrechten te valideren op basis van de attributen die aan elke dataset zijn gekoppeld.

  1. Ongeautoriseerd gebruik van producten voorkomen

Toegangscontrole: Controlemechanismen voor netwerktoegang zijn ontworpen om te voorkomen dat netwerkverkeer dat gebruikmaakt van ongeautoriseerde protocollen de productinfrastructuur bereikt. De geïmplementeerde technische maatregelen verschillen per infrastructuurprovider en omvatten Virtual Private Cloud-implementaties (VPC), toewijzing van beveiligingsgroepen en traditionele firewallregels.

Inbraakdetectie en -preventie: COUNTR INTERNATIONAL implementeerde een Web Application Firewall (WAF)-oplossing om gehoste websites van klanten en andere internettoegankelijke applicaties te beschermen. De WAF is ontworpen om aanvallen op openbaar beschikbare diensten te identificeren en te voorkomen.

Scannen op kwetsbaarheden: COUNTR INTERNATIONAL scant regelmatig zijn infrastructuur en webservices op bekende kwetsbaarheden en lost deze tijdig op.

  1. Beperkingen van privilege- en autorisatievereisten

Producttoegang: Een deel van de medewerkers van COUNTR INTERNATIONAL heeft via gecontroleerde interfaces toegang tot de producten en tot klantgegevens. De bedoeling van het verlenen van toegang aan een subset van medewerkers is het bieden van effectieve ondersteuning, het oplossen van mogelijke problemen, het detecteren van en reageren op beveiligingsincidenten en het implementeren van gegevensbeveiliging. Medewerkers krijgen toegang per rol. Logins op dataopslag- of verwerkingssystemen worden gelogd.

Database toegang: Klantgegevens zijn alleen toegankelijk en beheersbaar door goed geautoriseerd personeel. Directe toegang tot databasequery's is beperkt en toegangsrechten voor toepassingen worden ingesteld en afgedwongen.

Beheer van incidenten

Opsporing: COUNTR INTERNATIONAL heeft zijn infrastructuur ontworpen om uitgebreide informatie te loggen over het systeemgedrag, ontvangen verkeer, systeemauthenticatie en andere applicatieverzoeken. Interne systemen verzamelden loggegevens en waarschuwen de juiste medewerkers voor kwaadaardige, onbedoelde of afwijkende activiteiten. Het personeel van COUNTR INTERNATIONAL, inclusief beveiligings-, operatie- en ondersteunend personeel, reageert op bekende incidenten.

Reactie en tracking: COUNTR INTERNATIONAL houdt een register bij van bekende beveiligingsincidenten met beschrijvingen, datums en tijden van relevante activiteiten en het oplossen van incidenten. Vermoedelijke en bevestigde beveiligingsincidenten worden onderzocht door beveiligings-, operatie- of ondersteunend personeel, en passende oplossingsstappen worden geïdentificeerd en gedocumenteerd. Bij bevestigde incidenten zal COUNTR INTERNATIONAL passende maatregelen nemen om schade aan producten en klanten of ongeoorloofde openbaarmaking tot een minimum te beperken.

mededeling: Als COUNTR INTERNATIONAL zich bewust wordt van onwettige toegang tot klantgegevens die in zijn producten zijn opgeslagen, zal COUNTR INTERNATIONAL: de getroffen klanten op de hoogte stellen van het incident; Geef een beschrijving van de stappen die COUNTR INTERNATIONAL onderneemt om het incident op te lossen; Verstrekken van statusupdates aan de Klantcontactpersoon, zoals hij dit nodig acht of wettelijk verplicht is. Melding van eventuele incidenten wordt bezorgd aan een of meer van de contactpersonen van de Klant in een vorm die COUNTR INTERNATIONAL kiest, mogelijk via e-mail of telefoon.

Neem voor meer informatie over de laatste stand van de techniek rechtstreeks contact met ons op.