KENNISGEVING OVER HET ARBITRAGEPROCES: JE BENT GEBONDEN AAN DE BEPALING OVER HET ARBITRAGEPROCES ZOALS UITEENGEZET IN DE VOORWAARDEN VOOR ZAKELIJKE DIENSTEN. ALS JE EEN OVEREENKOMST SLUIT MET SNAP INC., DAN DOEN ZOWEL JIJZELF ALS SNAP INC. AFSTAND VAN HET RECHT TOT DEELNAME AAN COLLECTIEVE GERECHTELIJKE PROCESSEN (CLASS-ACTION) OF COLLECTIEVE ARBITRAGE (CLASS-WIDE ARBITRATION).

Deze overeenkomst voor gegevensverwerking ("overeenkomst") vormt een wettelijk bindend contract tussen jou en Snap. Dit is van toepassing voor zover Snap de persoonsgegevens van klanten namens jou verwerkt wanneer je de gegevenscontroller bent en is opgenomen in de voorwaarden voor zakelijke diensten. Sommige voorwaarden die in deze overeenkomst worden gebruikt, worden gedefinieerd in de voorwaarden voor zakelijke diensten.

'Persoonlijke gegevens van klanten' betekent de persoonsgegevens van de EER-, Zwitserland-, Britse en Braziliaanse gegevenssubjecten die door jou of namens jou aan Snap worden verstrekt wanneer je de gegevenscontroller bent.

'Gegevenscontroller' betekent een controller zoals gedefinieerd in de AVG, de Britse AVG of de LGPD, indien van toepassing, die alleen of samen met anderen de doeleinden en de wijze van verwerking van persoonsgegevens van klanten vaststelt.

'Wet inzake gegevensbescherming' betekent de wetten inzake gegevensbescherming van de EER, Zwitserland, het VK en de Braziliaanse wet inzake gegevensbescherming die van toepassing is op de verwerking van persoonsgegevens van klanten onder deze overeenkomst, inclusief de AVG, de wetten inzake gegevensbescherming van het Verenigd Koninkrijk en de LGPD.

'EER' staat voor de Europese Economische Ruimte.

'AVG' betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

'LGPD' staat voor de Braziliaanse algemene wet inzake gegevensbescherming (Lei Geral de Proteção de Dados Pessoais).

'Inbreuk op persoonsgegevens' betekent de onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens van klanten op systemen die worden beheerd of beheerd door Snap.

'Sub-processors' zijn derde partijen die onder deze overeenkomst zijn gemachtigd om toegang te krijgen tot en te verwerken van persoonsgegevens van klanten om gedeelten van de zakelijke diensten te kunnen bieden.

'VK' betekent het Verenigd Koninkrijk.

'Britse wetten voor gegevensbescherming' betekent de AVG zoals deze deel uitmaakt van de wet van Engeland en Wales, Schotland en Noord-Ierland op grond van sectie 3 van de Europese Unie (intrekkings) Act 2018 in het Verenigd Koninkrijk ('Britse AVG') en de Wet voor gegevensbescherming 2018.

De termen 'persoonsgegevens', 'gegevenssubject', 'verwerking', 'controller', 'processor', 'vertegenwoordiger' en 'toezichthoudende autoriteit', elk zoals gebruikt in deze overeenkomst, hebben de betekenis die wordt gegeven in de AVG, de Britse AVG of de LGPD, indien van toepassing, in elk geval, ongeacht of de wet inzake gegevensbescherming van toepassing is.

a. Rollen van de partijen. Snap verwerkt persoonlijke klantgegevens namens en in opdracht van de gegevenscontroller volgens artikel 28 (1) van de AVG, de Britse AVG en de LGPD, voor zover van toepassing.

b. Benoeming. De gegevenscontroller wijst Snap aan om de persoonlijke klantgegevens namens de gegevenscontroller te verwerken, maar alleen voor zover dat nodig is om de zakelijke diensten te verlenen en zoals later schriftelijk door de partijen kan worden overeengekomen.

c. Rechtmatigheid van verwerking. De gegevenscontroller is verantwoordelijk voor een geldige rechtsgrondslag voor de verwerking van de persoonlijke klantgegevens.

d. Details van de verwerking. Het onderwerp en de details van de verwerking worden beschreven in bijlage 1 van deze overeenkomst.

e. Naleving van de wet. Elke partij stemt ermee in te voldoen aan haar verplichtingen volgens de Wet bescherming persoonsgegevens met betrekking tot persoonlijke klantgegevens die ze verwerkt onder of in verband met deze overeenkomst. Onverminderd het voorgaande zal Snap geen persoonlijke klantgegevens verwerken op een manier die zal of waarschijnlijk zal leiden dat de gegevenscontroller zijn verplichtingen onder de Wet bescherming persoonsgegevens niet nakomt. Snap zal de gegevenscontroller onmiddellijk informeren als Snap van mening is dat de instructie van de gegevenscontroller in strijd is met de Wet bescherming persoonsgegevens.

a. verwerking van persoonlijke gegevens van klanten. Snap zal alleen de Persoonsgegevens van klanten verwerken in overeenstemming met de voorwaarden voor zakelijke diensten en deze overeenkomst en zal geen Persoonsgegevens van klanten gebruiken of verwerken voor enig ander doel dan in zijn hoedanigheid van verwerker die door de gegevenscontroller is aangewezen.

b. Gegevensbeveiliging. In overeenstemming met artikel 32 van de AVG, de AVG van het VK en de LGPD, indien van toepassing, en zoals beschreven in Schema 2 van deze overeenkomst, zal Snap alle passende, technische, administratieve, en organisatorische maatregelen implementeren en handhaven die nodig zijn om: (i) een niveau van vertrouwelijkheid en veiligheid te verzekeren dat geschikt is voor de risico's die de verwerking en de aard van gegevens van klanten met zich meebrengen; en (ii) ongeoorloofde of onwettige verwerking van gegevens van klanten, onopzettelijk verlies, openbaarmaking of vernietiging van, of schade aan, persoonlijke gegevens van klanten voorkomen.

c. Niet-openbaarmaking. Snap (en hun personeel) zullen geen persoonlijke gegevens van klanten publiceren, bekend maken, of openbaar maken aan een derde partij, tenzij de gegevenscontroller zijn voorafgaande schriftelijke toestemming heeft gegeven.

d. Vertrouwelijkheid. Snap zal ervoor zorgen dat alleen personeel dat noodzakelijke ondersteuning moet bieden om te kunnen voldoen aan zijn plichten onder de Voorwaarden voor zakelijke dienstverlening of deze overeenkomst, toegang zal hebben tot persoonlijke gegevens van klanten en dat dergelijk personeel gebonden is aan passende verplichtingen van vertrouwelijkheid, en alle redelijke stappen ondernemen in overeenstemming met de beste praktijken uit de branche om de vertrouwelijkheid van de persoonlijke gegevens van klanten te garanderen.

e. Samenwerking. Snap zal redelijkerwijs samenwerken met en assistentie bieden aan de gegevenscontroller, zodat de gegevenscontroller kan voldoen aan zijn verplichtingen onder de artikelen 32 tot en met 36 van de AVG, de Britse AVG en de LGPD, indien van toepassing, inclusief met betrekking tot gegevensbeveiliging, datalekmelding, impactbeoordeling van gegevensbescherming, voorafgaand overleg met toezichthoudende autoriteiten, de vervulling van gegevensrechten van gegevenssubjecten, en elk verzoek, kennisgeving of onderzoek door een toezichthoudende autoriteit, zoals verder beschreven in deze overeenkomst.

f. Verzoeken van betrokkene en toezichthoudende autoriteit. Snap zal de gegevenscontroller onmiddellijk, en in elk geval binnen twee werkdagen, informeren over elk verzoek of elke klacht die Snap ontvangt van een gegevenssubject of toezichthoudende autoriteit met betrekking tot persoonlijke gegevens van klanten. Snap zal de gegevenscontroller helpen, voor zover dit commercieel redelijk is, om te voldoen aan de verplichting van de gegevenscontroller met betrekking tot het reageren op verzoeken van gegevenssubjecten en toezichthoudende autoriteiten zoals vereist door de Wet Bescherming Persoonsgegevens.

g. Effectbeoordeling van gegevensbescherming. Op verzoek zal Snap de gegevenscontroller commercieel redelijke informatie en assistentie verstrekken, rekening houdend met de aard van de verwerkingsactiviteit en de informatie waarover Snap beschikt, om de gegevenscontroller te helpen bij het uitvoeren van een impactbeoordeling voor gegevensbescherming zoals vereist door de Wet Bescherming Persoonsgegevens.

h. Het verstrekken van bewijs. Tijdens de duur van deze overeenkomst en voor een periode van één jaar daarna zal Snap beschikbaar maken aan de gegevenscontroller, of een internationaal erkend auditkantoor dat optreedt namens de gegevenscontroller, alle informatie die redelijkerwijs nodig is om aan te tonen dat Snap deze overeenkomst naleeft, en Snap zal toestemming geven voor en bijdragen aan audits die worden uitgevoerd door de gegevenscontroller of zijn vertegenwoordigers die gebonden zijn aan passende vertrouwelijkheidsplichten; indien: (i) de gegevenscontroller minstens tien werkdagen van tevoren een schriftelijke kennisgeving indient bij Snap; (ii) een dergelijke audit wordt uitgevoerd tijdens de normale kantooruren van Snap en op een manier die de normale bedrijfsactiviteiten van Snap niet onredelijk verstoort; (iii) een dergelijke audit in totaal niet langer duurt dan drie werkdagen; (iv) de gegevenscontroller (of, om twijfel te voorkomen, een bevoegde derde auditor) in geen geval het recht heeft op toegang tot of ontvangst van eigendoms- of vertrouwelijke informatie van Snap, behalve voor zover strikt noodzakelijk om naleving van deze overeenkomst aan te tonen; en (v) de gegevenscontroller verplicht is Snap de gedocumenteerde redelijke kosten van Snap te vergoeden als de audit vaststelt dat Snap deze overeenkomst naleeft. In het geval dat uit de audit blijkt dat Snap deze overeenkomst niet naleeft, is Snap verplicht alle redelijke kosten van een dergelijke audit te betalen.

i. Retourneren of vernietigen van persoonlijke gegevens van klanten. Na voltooiing van Snap's verplichtingen met betrekking tot de verwerking van persoonlijke gegevens van klanten onder deze overeenkomst of op verzoek van de gegevenscontroller op enig moment tijdens de looptijd van deze overeenkomst (en, indien de gegevenscontroller daarom verzoekt, met regelmatige tussenpozen die door de gegevenscontroller zijn vastgesteld), Snap zal ofwel: (i) alle of een deel van de Persoonsgegevens van de klant die in het bezit zijn van Snap retourneren aan de gegevenscontroller; (ii) alle of een deel van de Persoonsgegevens van de klant anonimiseren op een zodanige manier dat de gegevens niet langer persoonsgegevens inhouden; of (iii) alle of een deel van de Persoonsgegevens van de klant permanent verwijderen of onleesbaar maken. Op verzoek van de gegevenscontroller moet Snap de gegevenscontroller schriftelijk bevestigen dat de Persoonsgegevens van de klant zijn geanonimiseerd, geretourneerd en verwijderd.

j. Gehashte persoonlijke gegevens van klanten. Als Snap Persoonsgegevens van klanten ontvangt in gehasht of anderszins versluierd formaat, zal Snap: (i) niet proberen reverse-engineering toe te passen of anderszins proberen de gehashte of gecodeerde Persoonsgegevens van de gegevenscontroller opnieuw te identificeren, tenzij de gegevenscontroller de opdracht geeft aan Snap om dit te doen; en (ii) de Persoonsgegevens van de klant alleen delen in het formaat dat Snap van de gegevenscontroller heeft ontvangen.

a. Melding. In overeenstemming met artikel 33 van de AVG, de Britse AVG en de LGPD, indien van toepassing, zal Snap de gegevenscontroller zonder onnodige vertraging en, waar mogelijk, niet meer dan 72 uur na bewustwording van een datalek persoonsgegevens op de hoogte stellen. Snap zal de gegevenscontroller ook een beschrijving geven van het datalek persoonsgegevens, het soort gegevens die het onderwerp waren van het datalek persoonsgegevens, (voor zover bekend bij Snap) de categorieën gegevenssubjecten waarop gegevensbescherming van toepassing is en andere informatie die vereist is door de toepasselijke wetgeving inzake gegevensbescherming, zodra dergelijke informatie kan worden verzameld of anderszins beschikbaar wordt. Snap zal samenwerken met elk reëel verzoek van de gegevenscontroller met betrekking tot het datalek persoonsgegevens.

b. Onderzoek. Snap stemt ermee in om onmiddellijk actie te ondernemen om het datalek persoonsgegevens te onderzoeken, om de gevolgen van een dergelijke datalek persoonsgegevens te identificeren, te voorkomen en te beperken, en om met voorafgaande toestemming van de gegevenscontroller alle herstelacties of andere acties uit te voeren die nodig zijn om het datalek persoonsgegevens te verhelpen.

a. Bevoegde sub-processors. De gegevenscontroller geeft specifiek toestemming voor de betrokkenheid van de zusterbedrijven van Snap ter verwerking van de persoonsgegevens van klanten. De gegevenscontroller geeft in het algemeen toestemming voor de betrokkenheid van andere derden als sub-processors ter verwerking van de persoonsgegevens van klanten.

b. Plichten van de sub-processor. In overeenstemming met artikel 28 (4) van de AVG, de Britse AVG en de LGPD, indien van toepassing, zal Snap aan elke sub-processor juridisch bindende contractvoorwaarden opleggen die even beperkend zijn als de voorwaarden in deze overeenkomst.

c. Beperkte toegang. Snap zal ervoor zorgen dat elke sub-processor alleen toegang heeft tot de persoonsgegevens van klanten en deze mag gebruiken voor zover dit nodig is om de aan de sub-processor uitbestede verplichtingen uit te voeren en in overeenstemming met deze overeenkomst.

d. Updates van sub-processors. In overeenstemming met artikel 28 (2) van de AVG en de Britse AVG (indien van toepassing), is hier een actuele lijst van: (i) alle sub-processors die betrokken zijn bij de verwerking van de persoonsgegevens van klanten; (ii) de doeleinden waarvoor de sub-processors de persoonsgegevens van klanten verwerken; en (iii) de locatie van elke sub-processor. Snap zal de gegevenscontroller ten minste 30 dagen vóór het toevoegen van een nieuwe sub-processor hiervan op de hoogte stellen. 

e. Recht op bezwaar. De gegevenscontroller heeft het recht om bezwaar te maken tegen de toevoeging van een nieuwe sub-processor, zoals beschreven in deze paragraaf. In het geval dat de gegevenscontroller bezwaar maakt tegen de verwerking van de persoonsgegevens van klanten door een nieuw aangestelde sub-processor, zal deze Snap hiervan onmiddellijk op de hoogte stellen, waarna Snap ofwel: (i) de sub-processor zal instrueren om de verdere verwerking van de persoonsgegevens van klanten te staken, in welk geval deze overeenkomst onaangetast blijft; of (ii) de gegevenscontroller toestaan om deze overeenkomst per direct te beëindigen.

a. Als de gegevenscontroller is gevestigd in de EER, Zwitserland of het Verenigd Koninkrijk en persoonsgegevens overdraagt aan Snap Inc., dan zal de Overeenkomst inzake gegevensoverdracht:

(i) van toepassing zijn op dergelijke overdrachten;

(ii) voorrang hebben boven alle andere voorwaarden, waaronder de voorwaarden van deze overeenkomst, met betrekking tot dergelijke overdrachten;

(iii) een wettelijk bindend contract vormen tussen jou als de gegevensexporteur en Snap als of namens de gegevensimporteur; en

(iv) hierbij worden opgenomen in de Voorwaarden voor zakelijke diensten. 

b. Met betrekking tot persoonsgegevens van gegevenssubjecten in de EER, Zwitserland en het Verenigd Koninkrijk komen de gegevencontroller en Snap overeen dat Snap de persoonlijke klantgegevens mag verwerken buiten de EER, Zwitserland en het Verenigd Koninkrijk waar aan de vereisten van de Wet bescherming persoonsgegevens (inclusief, indien van toepassing, de artikelen 44 tot en met 47 van de AVG) is voldaan of een uitzondering (inclusief, indien van toepassing, die zijn vermeld in artikel 49 van de AVG) van toepassing is.

c. Met betrekking tot persoonsgegevens van Braziliaanse gegevenssubjecten stemt de gegevenscontroller ermee in dat Snap de persoonlijke klantgegevens buiten Brazilië mag verwerken en verklaart en garandeert dat een dergelijke overdracht van persoonlijke klantgegevens in overeenstemming is met de LGPD.

a. Vrijwaring. Snap stemt ermee in de gegevenscontroller te vrijwaren tegen alle klachten, aanklachten, claims, schadevergoedingen, verliezen, kosten, aansprakelijkheden en uitgaven van derden als gevolg van, voortvloeiend uit, of op enigerlei wijze verband houdend met de schending van deze overeenkomst door Snap.

b. Vrijwaringsproces. De gegevenscontroller zal Snap onmiddellijk schriftelijk op de hoogte stellen van elke vordering tot vrijwaring, maar het niet op de hoogte stellen van Snap ontheft Snap niet van enige aansprakelijkheid of verplichting tot vrijwaring, behalve voor zover Snap door die fout wezenlijk wordt geschaad. De gegevenscontroller zal redelijkerwijs met Snap samenwerken, op de kosten van Snap, in verband met de verdediging tegen elke schadeclaim, of bij het bereiken van een compromis of schikking. Snap zal op geen enkele manier een compromis sluiten of een regeling treffen voor een claim, noch een erkenning van aansprakelijkheid doen, zonder de voorafgaande schriftelijke toestemming van de gegevenscontroller, die de gegevenscontroller naar eigen goeddunken kan geven. De gegevenscontroller mag (op eigen kosten) deelnemen aan de verdediging, schikking en afwikkeling van de vordering, met raadsheren van eigen keuze.

c. Aansprakelijkheid van sub-processors. Snap erkent en stemt ermee in dat Snap aansprakelijk blijft jegens de gegevenscontroller voor een schending van de voorwaarden van deze overeenkomst door een sub-processor en alle daaropvolgende sub-processors van derden die door deze zijn aangesteld.

a. Beëindiging. Deze overeenkomst wordt automatisch beëindigd na beëindiging van de voorwaarden voor zakelijke diensten.

b. Overleving. De verplichtingen van Snap met betrekking tot het retourneren of verwijderen van de persoonsgegevens van klanten blijven van kracht na de beëindiging van de voorwaarden voor zakelijke diensten en deze overeenkomst totdat Snap de persoonsgegevens van klanten heeft geretourneerd of verwijderd in overeenstemming met deze overeenkomst.

De gegevensexporteur is de gegevenscontroller, zoals vastgelegd in deze overeenkomst, met de naam, het adres en contactgegevens zoals aan Snap is verstrekt via de zakelijke diensten. De activiteiten die relevant zijn voor de gegevens die onder deze clausules worden doorgegeven, omvatten het gebruik van de relevante zakelijke diensten in overeenstemming met de voorwaarden voor zakelijke diensten en toepasselijke aanvullende voorwaarden en beleid. De gegevensexporteur heeft de rol van gegevenscontroller. 

De gegevensimporteur is:

Snap Inc., gevestigd op 3000 31st St, Santa Monica, Californië 90405

De activiteiten die relevant zijn voor de gegevens die onder deze clausules worden doorgegeven, omvat de verstrekking van de relevante zakelijke diensten in overeenstemming met de voorwaarden voor zakelijke diensten en toepasselijke aanvullende voorwaarden en beleid. De gegevensimporteur heeft de rol van gegevensverwerker.

De gegevensverwerkingsactiviteiten die door Snap onder deze overeenkomst worden uitgevoerd, zijn de volgende:

De verstrekking van de zakelijke diensten door Snap aan de gegevenscontroller.

Voor de duur van deze overeenkomst plus de periode vanaf de vervaldag van deze overeenkomst tot aan de anonimisering, teruggave of verwijdering van gegevens in overeenstemming met deze overeenkomst.

Snap zal persoonsgegevens van klanten verwerken met het oog op het leveren van de zakelijke diensten aan de gegevenscontroller in overeenstemming met en zoals beschreven in de voorwaarden voor zakelijke diensten en deze overeenkomst.

Persoonsgegevens van klanten met betrekking tot personen die door (of op aanwijzing van) de gegevenscontroller aan Snap zijn verstrekt via de zakelijke diensten, waaronder:

• e-mailadres

• telefoonnummer

• mobiele advertentie-ID (IDFA/AAID)

• IP-adres

• cookienummer

• browser user agent

• acties en evenementen die worden ondernomen op websites en apps, inclusief bekeken pagina's, aankopen, zoekopdrachten, uitcheckevenementen, verlanglijstjes, installaties en methoden voor gebruikersregistratie

Niet van toepassing

Doorlopend

Gegevenssubjecten zijn onder meer personen in de EER, Zwitserland, het VK en Brazilië waarvan de persoonsgegevens aan Snap worden verstrekt via de zakelijke diensten door (of op aanwijzing van) de gegevenscontroller.

De bevoegde toezichthoudende autoriteit is de Nederlandse Autoriteit Persoonsgegevens (AP).

1. Het implementeren en naleven van een schriftelijk informatiebeveiligingsprogramma dat in overeenstemming is met gevestigde branchenormen en tevens administratieve, technische en fysieke veiligheidsmaatregelen bevat die passen bij de aard van de persoonlijke klantgegevens en ontworpen zijn om dergelijke informatie te beschermen tegen: ongeautoriseerde toegang, vernietiging, gebruik, wijziging of openbaarmaking; ongeautoriseerde toegang tot of gebruik dat zou kunnen leiden tot aanzienlijke schade of ongemak voor de gegevenscontroller, de klanten van de gegevenscontroller of de werknemers van de gegevenscontroller; en alle verwachte bedreigingen of gevaren voor de veiligheid of integriteit van dergelijke informatie.

2. Het aannemen en implementeren van verstandig beleid en normen met betrekking tot beveiliging.

3. Het toewijzen van verantwoordelijkheid voor informatiebeveiligingsbeheer.

4. Het inzetten van voldoende personeel voor informatiebeveiliging.

5. Het uitvoeren van verificatiecontroles op vast personeel dat toegang heeft tot de Persoonsgegevens van de Klant.

6. Het uitvoeren van passende achtergrondcontroles en het verplichten van werknemers, leveranciers en anderen met toegang tot de Persoonsgegevens van klanten om schriftelijke vertrouwelijkheidsovereenkomsten aan te gaan.

7. Het geven van trainingen om werknemers en anderen met toegang tot de Persoonsgegevens van de klant bewust te maken van de risico's voor informatiebeveiliging en om de naleving van het beleid en de normen van Snap met betrekking tot gegevensbescherming te verbeteren.

8. Het voorkomen van ongeautoriseerde toegang tot de Persoonsgegevens van klanten door, indien van toepassing, het gebruik van fysieke en logische (met wachtwoord vergrendelde) toegangscontroles, beveiligde gebieden voor gegevensverwerking, procedures voor het bewaken van het gebruik van gegevensverwerkingsfaciliteiten, ingebouwde systeemaudits, het gebruik van veilige wachtwoorden, netwerkinbraakdetectietechnologie, coderings- en authenticatietechnologie, veilige inlogprocedures en virusbescherming, en het voortdurend controleren van de naleving van het beleid en de normen van Snap met betrekking tot gegevensbescherming. In het bijzonder heeft Snap, waar van toepassing en zonder beperking, het volgende geïmplementeerd en voldoet het aan:

• Fysieke toegangscontrolemaatregelen om onbevoegde toegang tot gegevensverwerkende systemen te voorkomen (bijv. toegangspassen, kaartlezers, baliemedewerkers, alarmsystemen, bewegingsmelders, inbraakalarmen, videobewaking en buitenbeveiliging);

• Controlemaatregelen voor het weigeren van gebruik om ongeoorloofd gebruik van gegevensbeschermingssystemen te voorkomen (bijv. automatisch afgedwongen vereisten voor wachtwoordcomplexiteit en -wijziging en firewalls). ;

• Een op vereisten gebaseerd autorisatiesysteem en toegangsrechten, en monitoring en logging van systeemtoegang om ervoor te zorgen dat personen die gerechtigd zijn om een gegevensverwerkingssysteem te gebruiken, alleen toegang hebben tot de gegevens waartoe zij gerechtigd zijn, en dat de Persoonsgegevens van de klant niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd;

• Controlemaatregelen voor gegevensoverdracht om ervoor te zorgen dat de Persoonsgegevens van de klant niet ongeautoriseerd kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens elektronische overdracht, transport of opslag op gegevensdragers, en overdracht en ontvangst van archieven. In het bijzonder zal het informatiebeveiligingsprogramma van Snap worden ontwikkeld:

  • Om datasets in het bezit van Snap, inclusief gevoelige persoonlijke gegevens, in de opslag te versleutelen met behulp van geschikte versleutelingsniveaus op basis van toonaangevende versleutelingsstandaarden, waaronder AES -256, en gebruikersidentiteiten op het systeem op te slaan met behulp van sleutelwaardeparen zoals ghost_id om opslag van de daadwerkelijke gebruikers-ID te voorkomen; en

  • Om ervoor te zorgen dat alle gevoelige persoonsgegevens die elektronisch worden verzonden (anders dan per fax) naar een persoon buiten het IT-systeem van Snap of die via een openbaar netwerk worden verzonden, worden gecodeerd met behulp van de nieuwste ondersteunde versies van het TLS 1.2-protocol om de veiligheid van de overdracht te beschermen;

• Gegevensinvoercontrolemaatregelen te implementeren om ervoor te zorgen dat Snap kan controleren en vaststellen of en door wie de Persoonsgegevens van de klant in gegevensverwerkingssystemen zijn ingevoerd, gewijzigd of verwijderd;

• Voortdurende maatregelen te implementeren voor het testen van de beveiliging om ervoor te zorgen dat de informatiebeveiligingspraktijken relevant, effectief en actueel blijven, waaronder jaarlijkse penetratietests, een bug bounty-programma, het gebruik van systeemscantools, simulatietests, tests voor het herstellen van back-ups, failovers vóór de productie en het uitvoeren van post-mortems op echte incidenten om de relevante noodherstelplannen bij te werken;

• Toezichtsmaatregelen van sub-processors om ervoor te zorgen dat, als Snap is toegestaan om sub-processors te gebruiken, de Persoonsgegevens van de klant strikt worden verwerkt in overeenstemming met de instructies van de gegevenscontroller, waaronder, indien van toepassing:

  • Maatregelen om ervoor te zorgen dat de Persoonsgegevens van de klant worden beschermd tegen onopzettelijke vernietiging of verlies, inclusief, indien van toepassing en zonder beperking, beleid voor gegevensback-up, bewaring en veilige vernietiging; veilige offsite opslag van gegevens die voldoende is voor noodherstel; ononderbroken stroomvoorziening en noodherstelprogramma's; en

  • Maatregelen om ervoor te zorgen dat gegevens die voor verschillende doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt, inclusief, indien van toepassing, fysieke of adequate logische scheiding van Persoonsgegevens van klanten.

9. Het nemen van dergelijke andere stappen die in het kader van de situaties passend kunnen zijn.