Deze overeenkomst is opgenomen door middel van verwijzing (indien van toepassing en behoudens uitdrukkelijke andersluidende overeenkomst) in overeenkomsten voor de levering van diensten waarbij ASK4 Solutions Limited, ASK4 Business Limited of ASK4 Data Centres Limited, zoals gedetailleerd in uw overeenkomst of bestelling voor de levering van diensten, ("ASK4") optreden als een Verwerker.
Deze overeenkomst is niet van toepassing wanneer ASK4 Limited of andere ASK4 groepsmaatschappijen residentiële of beheerde internetdiensten leveren die optreden als de Controller.
Definities
"Verantwoordelijke", "Betrokkene", "Persoonsgegevens", "Verwerker" en "Subverwerker" hebben elk de betekenis die daaraan wordt gegeven onder de toepasselijke Privacy- en Gegevensbeschermingswetgeving;
"Klant" betekent de persoon die met ASK4 is gecontracteerd voor de levering van de Diensten;
"Persoonsgegevens van de Klant" heeft de betekenis die eraan wordt gegeven in paragraaf 2.1 van deze overeenkomst;
"Bijlage Verwerking" betekent de bijlage bij deze overeenkomst waarin de details van de Verwerking in het kader van de levering van de Diensten worden vastgesteld;
"Privacy- en gegevensbeschermingswetgeving" betekent de toepasselijke wetgeving ter bescherming van de persoonsgegevens en privacy van natuurlijke personen, waaronder in het bijzonder de GDPR in het Verenigd Koninkrijk, de Data Protection Act 2018 en de Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2426/2003), samen met alle toepasselijke bindende richtlijnen en praktijkcodes die van tijd tot tijd door relevante toezichthoudende autoriteiten worden uitgevaardigd;
"Beveiligingsincident" betekent een inbreuk op ASK4's beveiliging die leidt tot de onopzettelijke of onwettige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van of toegang tot Persoonsgegevens van de Klant;
"Diensten" betekent de IT-ondersteuning, hosting, datacenter colocatie, telecommunicatie of dergelijke andere diensten die door ASK4 aan de Klant worden geleverd;
"GDPR VK" heeft de betekenis die eraan wordt gegeven in artikel 3, lid 10 (zoals aangevuld door artikel 205, lid 4) van de Data Protection Act 2018; en
"Onsuccesvol Beveiligingsincident" betekent een incident dat niet resulteert in ongeautoriseerde toegang tot Persoonlijke Gegevens van de Klant en kan, zonder beperking, pings en andere broadcastaanvallen op firewalls of edge servers, poortscans, mislukte inlogpogingen, denial of service-aanvallen, packet sniffing (of andere ongeautoriseerde toegang tot verkeersgegevens die niet resulteert in toegang voorbij headers) of soortgelijke incidenten omvatten.
1. Reikwijdte en Rollen
1.1 Deze overeenkomst is alleen van toepassing wanneer Persoonsgegevens worden verwerkt als onderdeel van de levering van de Diensten door de Klant ("Persoonsgegevens van de Klant").
1.2 ASK4 treedt op als Verwerker of Subverwerker voor de Klant die kan optreden als Verwerkingsverantwoordelijke of Verwerker met betrekking tot Persoonsgegevens van de Klant.
2. Gegevensverwerking
2.1 Deze overeenkomst en de Verwerkingsbijlage vormen de schriftelijke instructies van de Klant aan ASK4 voor de Verwerking van Persoonsgegevens, die voor alle duidelijkheid beperkt zijn tot de Verwerking die noodzakelijk is voor het verlenen van de Diensten ("Verwerkingsinstructies").
2.2 De Klant zal geen aanvullende of alternatieve Verwerkingsinstructies geven om de reikwijdte van deze overeenkomst te wijzigen, tenzij anders overeengekomen met ASK4.
2.3 De Klant garandeert dat: (a) de Verwerkingsinstructies; (b) het verzamelen van Klant Persoonsgegevens; en (c) onder voorbehoud van naleving van deze overeenkomst door ASK4, de Verwerking van de Klant Persoonsgegevens elk voldoen aan Privacy en Gegevensbeschermingswetten. De Klant is als enige verantwoordelijk voor het verstrekken van informatie over eerlijke verwerking door ASK4 aan haar werknemers of andere relevante Betrokkenen.
3. Vertrouwelijkheid van Persoonlijke Gegevens van Klant
3.1 ASK4 zal Persoonlijke Gegevens van Klant vertrouwelijk houden en zal Persoonlijke Gegevens van Klant niet openen of gebruiken, of bekendmaken aan een derde partij, behalve, in elk geval, als dat nodig is om de Diensten te onderhouden of te leveren, of als dat nodig is om te voldoen aan de wet of een geldig en bindend bevel van een wetshandhavings-, overheids- of gerechtelijke instantie (zoals een dagvaarding of gerechtelijk bevel). Als een overheidsinstantie ASK4 vraagt om Persoonsgegevens van de Klant, zal ASK4 proberen de overheidsinstantie om te leiden om die gegevens rechtstreeks bij de Klant op te vragen. Als onderdeel van deze inspanning kan ASK4 de basis contactgegevens van de Klant aan de overheidsinstantie verstrekken. Als ASK4 wordt gedwongen om Persoonsgegevens van de Klant aan een overheidsinstantie te verstrekken, dan zal ASK4 (indien wettelijk toegestaan) de Klant redelijkerwijs op de hoogte stellen van het verzoek, zodat de Klant een beschermingsbevel of een ander passend rechtsmiddel kan aanvragen.
4. Beveiliging van Gegevensverwerking
4.1 ASK4 biedt voldoende garanties dat zij alle noodzakelijke of passende technische en organisatorische maatregelen heeft genomen om een op het risico afgestemd beveiligingsniveau te waarborgen.
4.2 Partijen erkennen en komen overeen dat de Klant gehouden is mee te werken aan de beveiligingsmaatregelen van ASK4 en geen van de beveiligingsprocessen van ASK4 zal omzeilen of niet zal volgen.
4.3 Aangezien ASK4 geen, of beperkte kennis heeft van de Persoonsgegevens van de Klant, is de Klant als enige verantwoordelijk voor: (a) pseudonimisering en versleuteling om een passend beveiligingsniveau te waarborgen; (b) maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht te waarborgen van de verwerkingssystemen en -diensten die door de Klant worden geëxploiteerd; (c) maatregelen om de Klant in staat te stellen op passende wijze back-ups te maken en te archiveren, zodat de beschikbaarheid van en toegang tot Persoonsgegevens van de Klant tijdig kan worden hersteld in het geval van een fysiek of technisch incident; en (d) processen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van de technische en organisatorische maatregelen die de Klant heeft geïmplementeerd (maar ASK4 zal ervoor zorgen dat zij de effectiviteit van haar beveiligingsmaatregelen regelmatig test).
5. Subverwerking
5.1 De Klant stemt ermee in dat ASK4 voor de uitvoering van haar contractuele verplichtingen voor het verlenen van de Diensten gebruik kan maken van Subverwerkers die zijn opgenomen in de Bijlage Verwerking.
5.2 Indien ASK4 een nieuwe Subverwerker inschakelt om namens de Klant verwerkingsactiviteiten uit te voeren met betrekking tot Persoonsgegevens van de Klant, zal ASK4 de Klant op de hoogte stellen of voorzien van een mechanisme om kennisgeving van die update te verkrijgen. Als de Klant binnen 14 dagen na de kennisgeving door ASK4 bezwaar maakt tegen een nieuwe Subverwerker, dan zullen de Klant en ASK4 te goeder trouw overleggen om de bezwaren van de Klant weg te nemen, met dien verstande dat als de Klant redelijke gronden voor bezwaar heeft die niet door ASK4 kunnen worden weggenomen binnen een redelijke termijn vanaf de datum van het bezwaar, hij de overeenkomst voor de Diensten kan beëindigen met inachtneming van een schriftelijke opzegtermijn van 14 dagen aan ASK4. Behalve zoals bepaald in deze overeenkomst, in het geval van een noodsituatie, of zoals de Klant anderszins kan toestaan, zal ASK4 geen Subverwerker toestaan om verwerkingsactiviteiten uit te voeren met betrekking tot Persoonsgegevens van de Klant namens de Klant.
5.3 ASK4 zal de toegang van alle Subverwerkers tot Persoonsgegevens van de Klant beperken tot de mate die nodig is om de Diensten te onderhouden of om de Diensten aan de Klant te verlenen en ASK4 zal Subverwerkers verbieden om toegang te krijgen tot Persoonsgegevens van de Klant voor enig ander doel.
5.4 ASK4 zal een schriftelijke overeenkomst aangaan met de Subverwerker en, voor zover de Subverwerker dezelfde gegevensverwerkingsdiensten uitvoert die door ASK4 krachtens deze overeenkomst worden verleend, zal ASK4 aan de Subverwerker de gelijkwaardige contractuele verplichtingen opleggen die ASK4 krachtens deze overeenkomst heeft en ASK4 blijft verantwoordelijk voor de naleving van de verplichtingen van deze overeenkomst en voor enig handelen of nalaten van de Subverwerkers waardoor ASK4 inbreuk maakt op enige verplichting van ASK4 krachtens deze overeenkomst.
6. Rechten van Betrokkenen
6.1 Rekening houdend met de aard van de Diensten, adviseert ASK4 dat de Klant zijn eigen processen opzet om ervoor te zorgen dat hij kan voldoen aan zijn verplichtingen jegens Betrokkenen. ASK4 zal een Klant op schriftelijk verzoek assisteren bij zijn verplichtingen jegens Betrokkenen, rekening houdend met de aard van de verwerking en de informatie die ASK4 ter beschikking staat, met dien verstande dat de verplichtingen van ASK4 jegens de Klant met betrekking tot verzoeken om toegang voor een Betrokkene beperkt zijn tot de minimale omvang die vereist is onder de Privacywetgeving en de Gegevensbeschermingswetgeving en dat alle aansprakelijkheid en verantwoordelijkheid voor verzoeken om toegang voor een Betrokkene bij de Klant blijft.
6.2 Indien een Betrokkene contact opneemt met ASK4 met betrekking tot correctie of verwijdering van zijn Persoonsgegevens, zal ASK4 commercieel redelijke inspanningen verrichten om dergelijke verzoeken door te sturen naar de Klant.
7. Kennisgeving Beveiligingsincident
7.1 ASK4 zal: (a) de Klant zonder onnodige vertraging op de hoogte stellen van een Beveiligingsincident nadat zij zich bewust is geworden van het Beveiligingsincident; en (b) redelijke stappen ondernemen om de gevolgen te beperken en eventuele schade als gevolg van het Beveiligingsincident te minimaliseren.
7.2 De Klant stemt ermee in dat een Niet-Succesvol Beveiligingsincident niet onder deze paragraaf 8 valt..2 De Klant stemt ermee in dat een Niet Geslaagd Beveiligingsincident niet onder deze paragraaf 8 valt.
7.3 De verplichting van ASK4 om een Beveiligingsincident te rapporteren of erop te reageren onder deze paragraaf 8 is niet en zal niet worden opgevat als een erkenning door ASK4 van enige fout of aansprakelijkheid van ASK4 met betrekking tot het Beveiligingsincident.
7.4 Om de Klant te helpen met betrekking tot kennisgevingen van inbreuken op Persoonsgegevens die de Klant moet doen onder toepasselijke Privacy- en Gegevensbeschermingswetten, zal ASK4 in de kennisgeving onder paragraaf 1 die informatie over het Beveiligingsincident opnemen die ASK4 redelijkerwijs aan de Klant kan bekendmaken, rekening houdend met de aard van de Diensten, de informatie waarover ASK4 beschikt en eventuele beperkingen op het bekendmaken van de informatie, zoals vertrouwelijkheid.
8. ASK4 Certificeringen en Audits
8.1 ASK4 stelt haar ISO 27001 certificering op verzoek beschikbaar.
8.2 ASK4 maakt gebruik van externe auditors om de toereikendheid van haar beveiligingsmaatregelen te verifiëren. Deze audit: (a) wordt ten minste jaarlijks uitgevoerd; (b) wordt uitgevoerd volgens de ISO 27001-normen of andere alternatieve normen die wezenlijk gelijkwaardig zijn aan ISO 27001; (c) wordt uitgevoerd door onafhankelijke derde beveiligingsprofessionals naar keuze en op kosten van ASK4; en (d) resulteert in het genereren van een auditrapport ("Rapport"), dat vertrouwelijke informatie van ASK4 zal zijn.
8.3 Op schriftelijk verzoek van de Klant zal ASK4 (op voorwaarde dat de partijen een toepasselijke geheimhoudingsovereenkomst hebben) naar eigen goeddunken: (a) de Klant een kopie van het Rapport verstrekken zodat de Klant redelijkerwijs kan controleren of ASK4 voldoet aan haar verplichtingen onder deze overeenkomst; of (b) de Klant, na redelijke aankondiging en niet meer dan eenmaal per periode van 12 maanden, toestaan een audit onder toezicht uit te voeren.
9. Privacy Impact Assessment en Voorafgaande Consultatie
9.1 Rekening houdend met de aard van de Diensten en de informatie waarover ASK4 beschikt, zal ASK4 de Klant redelijke bijstand verlenen waar nodig voor de Klant om te voldoen aan alle verplichtingen met betrekking tot gegevensbeschermingseffectbeoordelingen en voorafgaande consultaties die vereist zijn op grond van toepasselijke Privacy- en Gegevensbeschermingswetten.
10. Overdrachten
10.1 Elke overdracht van gegevens naar buiten het Verenigd Koninkrijk zal plaatsvinden in overeenstemming met de GDPR van het Verenigd Koninkrijk, zodat ASK4 ervoor zal zorgen dat het land waarnaar de gegevens worden overgedragen een passend beschermingsniveau waarborgt of ASK4 zal standaard contractuele clausules gebruiken om een passend beschermingsniveau te waarborgen.
11. Teruggave of verwijdering van Persoonsgegevens van de Klant
11.1 De Diensten bieden de Klant in het algemeen ofwel: (a) controles die de Klant kan gebruiken om de Persoonsgegevens van de Klant op te halen of te verwijderen; of (b) de Klant de controle te laten behouden over zijn toegang tot en verwijdering van Persoonsgegevens van de Klant. ASK4 zal op schriftelijk verzoek commercieel redelijke inspanningen verrichten om de Klant te helpen bij het opvragen of verwijderen van Persoonsgegevens van de Klant.
11.2 ASK4 zal de verwerking van de Persoonsgegevens van de Klant staken, onmiddellijk na beëindiging of afloop van de levering van de Diensten en (tenzij ASK4 een rechtmatig belang heeft om Persoonsgegevens van de Klant te bewaren of wettelijk verplicht is om Persoonsgegevens van de Klant te bewaren) naar keuze van de Klant ofwel de Persoonsgegevens van de Klant retourneren, ofwel de Persoonsgegevens van de Klant veilig verwijderen.
VERWERKINGSBIJLAGE
Onderwerp: Het onderwerp van de gegevensverwerking onder deze overeenkomst zijn de Persoonsgegevens van de Klant.
Duur van de verwerking: Tussen ASK4 en de Klant is de duur van de gegevensverwerking de duur dat de Diensten worden geleverd.
Doel: Het doel van de Verwerking is de levering van de Diensten die van tijd tot tijd door de Klant worden geïnitieerd. Het is de verantwoordelijkheid van de Klant om ASK4 op de hoogte te stellen van eventuele andere doeleinden van de Verwerking en van wijzigingen in deze aard of dit doel.
Aard van de verwerking: Compute, opslag, IT-ondersteuning en dergelijke andere Diensten zoals beschreven in de bestelling van de Klant of van tijd tot tijd geïnitieerd door de Klant.
Type Persoonsgegevens Klant: Naam van de medewerker, contactgegevens, rol (inclusief machtigingen) en technische informatie (zoals informatie over ondersteuningsvragen die al dan niet persoonsgegevens kunnen zijn) met betrekking tot de geleverde Dienst. De Persoonsgegevens van de Klant die naar de Services worden geüpload wanneer hosting- of opslagdiensten worden geleverd. Wanneer dergelijke Diensten worden geleverd, is het de verantwoordelijkheid van de Klant om ASK4 te informeren over de soorten Persoonsgegevens van de Klant die worden Verwerkt en over eventuele wijzigingen in deze soorten gegevens.
Categorieën van betrokkenen: De Betrokkenen kunnen klanten, werknemers, leveranciers en eindgebruikers van de Klant zijn. Het is de verantwoordelijkheid van de Klant om ASK4 te informeren over alle andere categorieën van Betrokkenen op wie de Persoonsgegevens van de Klant betrekking hebben, en over eventuele wijzigingen in deze categorieën.
Subverwerkers:
- DRD Communications Ltd (als koper van Inclarity Communications Limited (gevestigd in het Verenigd Koninkrijk) - waar VoiP Services worden geleverd
- Gamma Telecomm Limited (gevestigd in het Verenigd Koninkrijk) - waar VoiP Services worden geleverd
- De aanbieder van telecommunicatielijnen op groothandelsniveau - waar leaselijndiensten worden geleverd (dit wordt bij de bestelling of op verzoek verstrekt)
- Formagrid, Inc. levert Airtable, dat we gebruiken als software voor bedrijfsprocessen.
- Aspire Community Enterprise (Sheffield) Ltd - voor de veilige vernietiging van elektrische apparatuur
- Utopi Limited - waar we slimme meters en bijbehorende ESG-rapportage leveren via het Utopi-platform en apparatuur
OPMERKING: ASK4 kan softwareoplossingen doorverkopen die door derden worden geleverd als onderdeel van de diensten (bijvoorbeeld Microsoft-producten). De relevante EULA/klantenovereenkomst (en alle daarin opgenomen bijlagen voor gegevensverwerking of iets vergelijkbaars) tussen de Klant en de Aanbieder is van toepassing op de verwerking van persoonsgegevens, niet deze overeenkomst.