Dette dokumentet er databehandleravtalen ("DPA") til SimplyBook.me Ltd, utarbeidet i henhold til artikkel 28 i EUs generelle databeskyttelsesforordning ("GDPR"). Det er en juridisk bindende avtale mellom SimplyBook.me Ltd og deg, brukeren av SimplyBook.me-programvareløsningen.
It is recommended that You read this document carefully, together with our:
Note 1
Du kan laste ned og få en signert
kopi av denne DPA-en.
Merknad 2
Du er innforstått med at vi kan gjøre rimelige endringer i bestemmelsene nedenfor for å gjenspeile endringer i GDPR eller andre relevante lover og/eller identitetsendringer i vår forretningsdrift, og vi vil varsle deg om eventuelle større endringer.
Merknad 3
Hvis du har spørsmål om denne DPA-en, kan du kontakte oss
Versjon: 2.3
Sist oppdatert: 11.01.2022 01/11/2022
Dato for ikrafttredelse: 01/11/2022
1.1. I tillegg til de begrepene som er definert andre steder i denne Avtalen og Hovedavtalen, skal begrepene i Vedlegg 1 ("Definisjonene") ha den betydningen som er angitt der, for alle formålene i denne Avtalen.
1.2. Partene er gjensidig enige om og innforstått med at alle definisjonene i de europeiske personvernlovene skal legges til grunn i denne avtalen.
2.1. I tråd med bestemmelsene i denne DPA-en og hovedavtalen er du som behandlingsansvarlig ansvarlig for å overholde alle krav som gjelder for din virksomhet i henhold til gjeldende personvernlovgivning, for behandling av personopplysninger.
2.2. Du samtykker i og erkjenner at, uten at det berører det generelle innholdet i det følgende; at du er ansvarlig for: (i) nøyaktigheten, kvaliteten og lovligheten av Personopplysningene du gir til Selskapet i forbindelse med Tjenestene, samt midlene og metodene for å innhente dem; (ii) overholdelse av alle nødvendige krav til åpenhet og lovlighet i henhold til gjeldende databeskyttelseslover, inkludert europeiske databeskyttelseslover; (iii) for innsamling og bruk av Personopplysningene, inkludert innhenting av nødvendige samtykker og autorisasjoner, særlig for bruk av Brukeren til markedsføringsformål; (iv) sørge for at du har rett til å overføre eller gi tilgang til personopplysningene til oss for behandling i samsvar med vilkårene i denne DPA-en og hovedavtalen; (v) sørge for at du overholder alle lover som gjelder for deg, inkludert, men ikke begrenset til, databeskyttelseslover, for alle e-poster eller annet innhold som opprettes, sendes eller på annen måte administreres gjennom våre tjenester.
2.3. Du bekrefter og samtykker herved til å informere selskapet omgående og uten unødig forsinkelse dersom du ikke er i stand til å overholde dine forpliktelser i henhold til dette dokumentet, og spesielt i henhold til gjeldende personvernlovgivning.
2.4. Du erkjenner og forstår herved at bestemmelsene heri og eventuelle relevante bestemmelser i Hovedavtalen og eventuelle ytterligere skriftlige forespørsler i egenskap av den registrerte skal utgjøre de fullstendige og endelige instruksjonene fra deg som behandlingsansvarlig i forbindelse med denne DPA-en for og i forhold til behandlingen av personopplysningene dine.
2.5.Du erkjenner, forstår og samtykker herved i at eventuelle tilleggsinstruksjoner utenfor omfanget av dette dokumentet krever en skriftlig forespørsel fra deg på forhånd.
3.1. Selskapet skal kun behandle personopplysninger for det formålet som er beskrevet i denne DPA-en og i tråd med vedlegg 2 ("Detaljer om behandling") eller som avtalt på annen måte innenfor rammen av dine lovlige instruksjoner, unntatt der og i den grad annet kreves av personvernlovene, inkludert, men ikke begrenset til, europeiske personvernlover og andre gjeldende lover og forskrifter som er relevante for partene.
3.2. Selskapet skal ikke holdes ansvarlig og ansvarlig for overholdelse av gjeldende databeskyttelseslover som bare gjelder for deg og / eller din bransje og ikke er juridisk gjeldende for SimplyBook.me Ltds virksomhet.
3.3. Selskapet skal varsle deg umiddelbart og uten unødig forsinkelse, i den grad loven tillater det, dersom det vurderes at selskapet ikke er i stand til å behandle personopplysninger i samsvar med bestemmelsene i denne DPA-en og på grunn av juridiske krav i gjeldende lover og/eller forskrifter.
3.4. Ved å ta hensyn til den nyeste kunnskapen, kostnadene ved å implementere og arten, omfanget, konteksten og formålene med behandlingen av personopplysninger i henhold til bestemmelsene i denne DPA, samt risikoen av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal selskapet implementere og opprettholde passende tekniske og organisatoriske tiltak for å sikre et passende sikkerhetsnivå for denne risikoen, i henhold til bestemmelsene i vedlegg 3 til denne DPA (samlet kalt "sikkerhetstiltakene").
3.5. Selskapet skal sørge for at sikkerhetstiltakene er en del av det implementerte styringssystemet for informasjonssikkerhet ("ISMS"), i tråd med ISO/IEC 27001:2013-standarden og et sertifikat utstedt av et akkreditert sertifiseringsorgan.
3.6. Uten hensyn til eventuelle bestemmelser om det motsatte, kan Selskapet endre eller oppdatere Sikkerhetstiltakene etter eget skjønn, forutsatt at en slik endring eller oppdatering ikke fører til en vesentlig forringelse av beskyttelsen som tilbys av Sikkerhetstiltakene og/eller er i samsvar med relevante lover og juridiske forpliktelser.
3.7. Selskapet sikrer herved at enhver ansatt eller utnevnt person som er autorisert til å behandle personopplysninger for og på våre vegne, er underlagt passende konfidensialitetsforpliktelser, kontraktsmessige og lovbestemte forpliktelser med hensyn til disse personopplysningene.
3.8. Selskapet forplikter seg herved til å varsle deg umiddelbart og uten unødig forsinkelse når det blir oppmerksom på brudd på personopplysninger, i henhold til bestemmelsene i gjeldende databeskyttelseslover, og om nødvendig gi deg informasjon etter hvert som den blir kjent eller med rimelighet blir bedt om av deg.
3.9. Selskapet forplikter seg herved til å gi deg rimelig assistanse som er nødvendig for å gjøre det mulig å varsle relevante brudd på personopplysningssikkerheten til kompetente myndigheter og/eller berørte registrerte, i henhold til gjeldende personvernlovgivning og på din skriftlige forespørsel.
3.10. Selskapet samtykker herved i å slette eller returnere til deg alle personopplysninger knyttet til Hovedavtalen og denne DPA-en, inkludert, men ikke begrenset til, kopier av personopplysninger som ble behandlet for formålet med denne DPA-en, ved oppsigelse eller utløp av tjenestene, i tråd med de relevante bestemmelsene i Hovedavtalen.
3.11. Kravet her skal utøves i henhold til enhver gjeldende lov som kan kreve å oppbevare noen eller alle Personopplysninger, med forbehold om ytterligere sikkerhetstiltak som isolering og beskyttelse mot videre Behandling.
4.1. Du erkjenner, samtykker og aksepterer herved at Selskapet skal gi deg kontroller i Programvaren som du kan bruke til å hente, korrigere, slette eller begrense Personopplysninger for å hjelpe deg i forbindelse med kravene i personvernlovgivningen.
4.2. Selskapet kan, etter skriftlig forespørsel fra deg, gi rimelig assistanse for å svare på eventuelle forespørsler fra registrerte eller forespørsler fra databeskyttelsesmyndigheter knyttet til behandling av personopplysninger i henhold til denne DPA, med forbehold om eventuell refusjon som anses nødvendig.
4.3. Du påtar deg hele, eksklusive og eneste ansvar for å svare på forespørsler fra registrerte eller annen kommunikasjon angående behandling av personopplysninger fra enkeltpersoner som er identifisert som din kunde og kan være adressert til selskapet, med forbehold om rask varsling om en slik forespørsel fra oss til deg.
5.1. Du erkjenner, godtar, aksepterer og autoriserer herved utnevnelsen av underdatabehandlere for behandling av personopplysninger i henhold til denne DPA og hovedavtalen som er inkludert i vedlegg 4, listen over underdatabehandlere.
5.2. Selskapet sørger herved for at når en underdatabehandler utnevnes, skal den relevante juridiske avtalen som skal inngås mellom disse, inneholde passende databeskyttelsesvilkår underlagt passende databeskyttelseslover og pålegge minst samme beskyttelsesnivå for personopplysninger som bestemmelsene i denne DPA, og der det anses som nødvendig, inkludere den siste versjonen av standard kontraktsklausuler, som utstedt av EU-kommisjonen.
5.3. Selskapet skal fortsatt være ansvarlig for hver underdatabehandlers overholdelse av forpliktelsene i denne DPA-en og for enhver handling eller unnlatelse fra en slik underdatabehandler som fører til at vi bryter noen av våre forpliktelser i henhold til denne DPA-en.
6.1. Du erkjenner, samtykker og autoriserer herved Selskapet, med forbehold om bestemmelsene heri, til å utføre nødvendige dataoverføringer for interne og eksterne forretningsoperasjoner til tredjeparter identifisert som underdatabehandlere heri, som kan befinne seg utenfor EU og/eller EØS.
6.2. I henhold til punkt 6.1. ovenfor bekrefter og samtykker begge parter herved i at eventuelle dataoverføringer utelukkende vil bli utført med det formål å oppfylle Hovedavtalen, denne DPA-en og eventuelle ytterligere skriftlige instruksjoner som du har gitt til Selskapet, kun for det aktuelle emnet.
6.3. Parten samtykker herved gjensidig i at Selskapet i henhold til punkt 6 i denne avtalen skal utføre alle dataoverføringer i henhold til bestemmelsene i kapittel 5 (artikkel 44-50) i GDPR og alltid i samsvar med kravene i gjeldende personvernlovgivning så lenge denne DPA-en og Hovedavtalen løper.
6.4. I henhold til punkt 6.3 ovenfor skal Selskapet ikke utføre noen dataoverføring av europeiske data til noe land eller mottaker som ikke er anerkjent som å gi et tilstrekkelig beskyttelsesnivå for personopplysninger, i samsvar med bestemmelsene i de europeiske databeskyttelseslovene; med mindre slike tiltak først er iverksatt for å sikre at overføringen er i samsvar med gjeldende europeiske databeskyttelseslover.
6.5. I henhold til punkt 6.4 ovenfor skal Selskapet ikke godkjenne noen dataoverføring til et land som ikke er anerkjent som et land som gir et tilstrekkelig beskyttelsesnivå via:
6.5.1. et gyldig adekvat vedtak utstedt av Europakommisjonen, med forbehold for artikkel 45 i GDPR og slik dette kan illustreres på Europakommisjonens offisielle nettsted ( Adequacy Decisions ); og/eller
6.5.2. godkjente og autoriserte bindende virksomhetsregler, i henhold til artikkel 47 i GDPR; og/eller
6.5.3. inngåelse og bruk av godkjente standard kontraktsklausuler, underlagt relevante europeiske lover om databeskyttelse og i henhold til Europakommisjonens offisielle nettsted ( Standard kontraktsklausuler (SCC) ).
6.6. Partene erkjenner og godtar herved at SimplyBook.me ikke skal stole på EU-US Privacy Shield og relaterte prinsipper med det formål å overføre personopplysninger og sikre at passende tiltak blir iverksatt for å overholde gjeldende databeskyttelseslover som kan endres fra tid til annen.
7.1. Partene er herved enige om at dersom de inngår standard kontraktsklausuler i henhold til hovedavtalen for levering av tjenester og som en del av denne DPA-en, skal bestemmelsene i vedlegg 5 gjelde, og at disse automatisk skal endres for å gjenspeile eventuelle endringer i de europeiske personvernlovene.
7.2. I henhold til punkt 7.1. forstår og godtar Partene herved gjensidig at Selskapet påtar seg rettighetene og forpliktelsene til Dataimportøren og Du rettighetene og forpliktelsene til Dataeksportøren, som definert i standardkontraktsklausulene, og disse skal tre i kraft når en av Partene blir part i dem, eller når den relevante dataoverføringen påbegynnes, avhengig av hvilket tidspunkt som kommer sist.
7.3. Partene er herved gjensidig enige om at dersom standardkontraktsbestemmelsene kommer til anvendelse og det er en konflikt med noen av bestemmelsene i denne DPA-en, skal standardkontraktsbestemmelsene ha forrang i den grad det foreligger en slik konflikt for det aktuelle emnet.
8.1. Denne delen av DPA gjelder for europeiske data i forbindelse med hovedavtalen.
8.2. Partene er herved enige om at når du behandler europeiske data i samsvar med instruksjonene, er du behandlingsansvarlig for europeiske data og SimplyBook.me Ltd er prosessoren.
8.3. SimplyBook.me forbeholder seg retten til å informere deg der instruksjonene bryter europeiske databeskyttelseslover, når og når det er aktuelt, uten unødig forsinkelse.
8.4. Selskapet vil gjøre eventuelle nødvendige endringer i vedlegg 4 vedrørende de utnevnte underdatabehandlerne og gi deg muligheten til å bli varslet via e-post, og i så fall har du muligheten til å motsette deg engasjementet av rimelige grunner knyttet til denne databeskyttelsesavtalen og innen 30 (tretti) dager etter slik varsling.
8.5. Selskapet skal, i den grad den nødvendige informasjonen er rimelig tilgjengelig og du ikke på annen måte har tilgang til den nødvendige informasjonen, gi deg rimelig assistanse med eventuelle vurderinger av personvernkonsekvenser ("DPIA") og forhåndskonsultasjoner med tilsynsmyndigheter eller andre kompetente personvernmyndigheter i den grad det kreves i henhold til europeiske personvernlover.
8.6. SimplyBook.me skal gjøre all informasjon som med rimelighet er nødvendig for å demonstrere overholdelse av bestemmelsene heri, tilgjengelig for deg og kan tillate revisjoner inkludert, men ikke begrenset til inspeksjoner.
8.7. Databehandleren har utnevnt et personvernombud ("DPO") i tråd med de europeiske personvernlovene og kan kontaktes i forbindelse med denne DPA-en og hovedavtalen via e-post: dpo@simplybook.me.
8.8. Denne delen av DPA gjelder for andre personopplysninger enn europeiske data, i henhold til bestemmelsene i gjeldende databeskyttelseslover.
8.9. Partene er enige om at SimplyBook.me Ltd skal behandle slike personopplysninger strengt i samsvar med gjeldende databeskyttelseslover og utelukkende med det formål å levere tjenestene i henhold til bestemmelsene i hovedavtalen.
8.10. Partene skal inngå eventuelle tilleggsavtaler som kreves i henhold til lov for å overholde gjeldende personvernlovgivning.
9.1. Når du registrerer deg og godtar vilkårene og betingelsene for SimplyBook.me Online Solution for SimplyBook.me-programvareløsningen, inngår du som bruker av systemet denne DPA på vegne av deg selv og der det er aktuelt og i den grad det er tillatt ved lov og gjeldende databeskyttelseslover, i navnet og på vegne av dine tillatte tilknyttede selskaper, og etablerer en separat DPA mellom oss og hvert slikt tillatte tilknyttede selskap underlagt avtalen og bestemmelsene heri.
9.2. Du samtykker herved i og erkjenner at alle tillatte tilknyttede selskaper samtykker i å være bundet av forpliktelsene i denne DPA-en og som gjelder for hovedavtalen.
9.3. Du samtykker og erkjenner herved at i den grad loven tillater det, vil "bruker", "du" og "din", i forbindelse med denne DPA-en og med mindre annet er angitt her, inkludere deg og slike tillatte tilknyttede selskaper.
9.4. The legal entity agreeing to this DPA as User represents that it is authorized to agree to and enter into this DPA for and on behalf of itself and, as applicable, each of its Permitted Affiliates.
10.1. Denne DPA-en vil forbli i kraft fra ikrafttredelsesdatoen og frem til den behandlingsansvarlige eller databehandleren sier opp hovedavtalen, i tråd med gjeldende bestemmelser.
10.2. Denne DPA-en kan sies opp av begge parter med 30 (tretti) dagers skriftlig varsel, i henhold til bestemmelsene i hovedavtalen, og ved å kansellere systemet i systeminnstillingene.
10.3. Ikke med stående noe annet motsatt i denne DPA og hovedavtalen, forbeholder SimplyBook.me seg retten til å gjøre oppdateringer og endringer i denne DPA underlagt eventuelle tilleggsvilkår heri.
10.4. Hvis noen av de individuelle bestemmelsene i denne DPA-en blir funnet å være ugyldige eller ikke kan håndheves, vil ikke gyldigheten og håndhevbarheten av de andre bestemmelsene i denne DPA-en bli påvirket.
10.5. Ingen av partene kan, uten skriftlig forhåndssamtykke fra den andre parten, overdra, overføre, belaste, lisensiere eller på annen måte handle med eller avhende noen kontraktsmessige rettigheter eller forpliktelser i henhold til denne Avtalen.
10.6. Partenes og Tillatte Tilknyttede Selskapers ansvar som oppstår som følge av eller i forbindelse med denne DPA-en i sin helhet, enten det er i henhold til kontrakt, erstatningsrettslig eller annen ansvarsteori, vil være underlagt de ansvarsbegrensninger og ansvarsfraskrivelser som er fastsatt i Hovedavtalen.
10.7. Partene er herved enige om og aksepterer valget av jurisdiksjonen som er angitt i Hovedavtalen med hensyn til denne DPA-en.
Dette vedlegg 2: Detaljer om behandling er en del av DPA.
"Behandlingsansvarlig": betyr den fysiske eller juridiske personen, offentlige myndighet, etat eller annet organ som, alene eller sammen med andre, bestemmer formålene med og midlene for behandlingen av personopplysninger.
“Data Protection Laws”: means all applicable worldwide legislation relating to data protection and privacy which applies to the respective Party in the role of Processing Personal Data in question under the Agreement, including without limitation: (1) the European Data Protection Laws; (2) the California Consumer Privacy Act of 2018 (“CCPA”); (3) the data protection and privacy laws of Australia and Singapore; (4) and other; in each case as amended, repealed, consolidated or replaced from time to time.
"Denregistrerte": betyr den personen som personopplysningene gjelder.
"Databehandler": betyr en fysisk eller juridisk person, offentlig myndighet, etat eller annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
"Europe": means the European Union, the European Economic Area and/or their member states.
"Europeiskedata": betyr personopplysninger som er underlagt beskyttelse av europeiske databeskyttelseslover, definert nedenfor.
"Europeisk personvernlovgivning": betyr personvernlover som gjelder i Europa, inkludert: (1) Forordning 2016/679 - EUs personvernforordning ("GDPR"); (2) Direktiv 2002/58/EF - direktivet om personvern og elektronisk kommunikasjon; (3) gjeldende nasjonale implementeringer av punkt 1 og 2 ovenfor; (4) enhver gjeldende nasjonal lovgivning som erstatter eller konverterer GDPR eller enhver annen lov knyttet til data og personvern i nasjonal lovgivning som en konsekvens av at Storbritannia forlater EU; i hvert tilfelle, som kan bli endret, erstattet eller erstattet.
"EU-US Privacy Shield": selvsertifiseringsprogrammet som drives av det amerikanske handelsdepartementet og er godkjent av Europakommisjonen, som kan bli endret, erstattet eller erstattet.
"Instruksjoner": alle skriftlige, dokumenterte instruksjoner utstedt av den behandlingsansvarlige til databehandleren, og som instruerer denne til å utføre en spesifikk eller generell handling med hensyn til personopplysninger, inkludert, men ikke begrenset til, avpersonifisering, blokkering, sletting, tilgjengeliggjøring.
"Tillatte tilknyttede selskaper": skal omfatte ethvert av dine tilknyttede selskaper som har tillatelse til å få tjenestene på dine vegne, i henhold til hovedavtalen, men som ikke har signert sin egen separate avtale med oss og ikke er brukere og kvalifiserer som en behandlingsansvarlig for personopplysninger som behandles av oss, og som kan være underlagt europeiske databeskyttelseslover.
"Personopplysninger": betyr all informasjon knyttet til en identifisert eller identifiserbar person der slik informasjon finnes på Kontoen (som definert i Hovedavtalen) og er beskyttet som annen personlig informasjon eller personlig identifiserbar informasjon i henhold til gjeldende databeskyttelseslovgivning.
"Brudd påpersonopplysningssikkerheten": skal bety et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles av oss og/eller våre underbehandlere i forbindelse med levering av tjenestene, men inkluderer ikke mislykkede forsøk eller aktiviteter som ikke kompromitterer sikkerheten til personopplysninger, inkludert mislykkede påloggingsforsøk, pings, portskanninger, tjenestenektangrep og andre nettverksangrep på brannmurer eller nettverkssystemer.
"Behandling": skal bety enhver operasjon eller rekke av operasjoner som utføres på personopplysninger, og som omfatter innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultasjon, bruk, utlevering ved overføring, spredning eller på annen måte tilgjengeliggjøring, justering eller sammenstilling, begrensning eller sletting av personopplysninger, og begrepene "behandle", "behandler" og "behandlet" skal tolkes i samsvar med dette.
“Services”: shall have the same meaning as in the Main Agreement.
"Standard kontraktsbestemmelser": betyr standard kontraktsbestemmelser for databehandlere som er godkjent i henhold til EU-kommisjonens relevante beslutning og som er inkludert i vedlegg 5 til denne Avtalen, og som utgjør en del av Avtalen, og som kan bli endret, erstattet eller erstattet.
“Sub-Processor”: means any Data Processor engaged by us to assist fulfilling our obligations with respect to the provision of the Services under the Main Agreement and may include third parties, excluding any employee or consultant of SimplyBook.me Ltd.
Dette vedlegg 2: Detaljer om behandling er en del av DPA.
Behandlingens art og formål: Selskapet vil behandle personopplysninger i den grad det er nødvendig for å kunne levere Tjenestene, i henhold til Hovedavtalen og slik det kan være nærmere spesifisert i tilleggsdokumentasjon som utgjør en del av Hovedavtalen og Datatilsynet.
Behandlingens varighet: Med forbehold om eventuelle bestemmelser i dette dokumentet som spesifiserer noe annet, skal Behandlingen av Personopplysninger skje så lenge Hovedavtalen løper, med mindre annet er skriftlig avtalt.
Kategorier av registrerte: I henhold til bestemmelsene i hovedavtalen skal de registrerte omfatte alle typer brukerkunder og kan derfor variere avhengig av systembruken til den behandlingsansvarlige.
Kategorier av personopplysninger: I henhold til bestemmelsene i Hovedavtalen kan kategoriene av personopplysninger variere i samsvar med bruken av Systemet og omfatter det som er beskrevet nedenfor:
- navn og etternavn
- email address
- telefonnumre
- informasjon som den behandlingsansvarlige ber om gjennom bruk av tilleggsfelt
- informasjon som den behandlingsansvarlige gir som kommentarer til individuelle bestillinger som gjelder en person
- medisinsk relatert personlig informasjon om evaluering av pasienter som kan krypteres i hviletilstand på databehandlerens servere etter den behandlingsansvarliges valg
- informasjon om status for bookinger, om de deltok eller betalte for bookingen
- medical related information field on subject used for non medical informational purposes by the Data Controller
- den behandlingsansvarliges kommentarer til den registrertes bestillinger som kan være relatert til tjenester som kreves, eller personlig informasjon om emnet; og det ovennevnte skal variere etter systemet
- bruk fra behandlingsansvarlig og er ikke absolutt.
Special Categories of Personal Data (where applicable): may include Medical and Health information which relate to SOAP information and medical histories, provided that the custom feature is enabled; and/or transactional information about a User’s purchases and/or income.
Behandlingsoperasjoner: inkluderer de standardiserte interne prosessene der systembrukernes data kontinuerlig eller systematisk samles inn, lagres og brukes til levering av Tjenestene, i tråd med Hovedavtalen. Databehandleren vil behandle personopplysninger på vegne av den behandlingsansvarlige med det formål å bruke systemet for timeplanlegging og godta avtaler, sende påminnelser, behandle betalinger, selge produkter, foreta kampanjer og andre relaterte aktiviteter som er tillatt av våre tilpassede funksjoner.
1. Dette Vedlegg 3 Sikkerhetstiltak utgjør en del av DPA, og alle begreper med stor forbokstav som ikke er definert på annen måte i dette vedlegget, skal ha samme betydning som i Hovedavtalen.
2. Tiltakene i dette dokumentet er en del av ISMS som skal vedlikeholdes i samsvar med beste praksis og standarder.
Selskapet har iverksatt egnede tiltak for å forhindre uautorisert tilgang til systemet, nettverket, applikasjonene og eventuelle personopplysninger, som f.eks:
Implementering og vedlikehold av retningslinjer og prosedyrer for tilgangskontroll som en del av det interne styringssystemet for informasjonssikkerhet ("ISMS");
Følge tilgangsregler basert på "need-to-know" og "least privileged";
Begrensningsprinsipper for direkte tilgang til databaser;
2FA-autentisering brukes av de ansatte når de får tilgang til systemet for behandling av personopplysninger;
2FA-sikker pålogging er tilgjengelig med "Google Authenticator" og "HIPAA"-tilpassede funksjoner for brukeren;
Password Management is available with the “Strict Password” custom feature for the User.
Selskapet skal bruke egnede krypteringsteknologier for å beskytte personopplysninger og, der det er aktuelt, for data i transitt (for all kommunikasjon mellom sluttbrukere og server) og for data i ro (tilgjengelig for SOAP-data og sykehistorikk med den tilpassede funksjonen "SOAP med datakryptering").
Selskapet skal ha på plass en passende oversikt over behandlingsoperasjoner, en prosedyre for håndtering av eiendeler og en policy for akseptabel bruk, som alle sikrer at all informasjon, inkludert personopplysninger, klassifiseres i henhold til hvor kritisk og sensitiv den er for uautorisert tilgang, utlevering eller endring.
Selskapet har iverksatt rimelige tiltak for å sikre at ansatte og underleverandører som har tilgang til personopplysninger, er klar over og overholder retningslinjene og prosedyrene for sikkerhet og personvern.
Tiltakene omfatter: (a) bakgrunnssjekk, for eksempel kontroll av strafferegister, for alle ansatte og underleverandører med tilgang til personopplysninger; (b) inngåelse av taushets- og konfidensialitetsavtaler og databehandleravtaler for alle ansatte og underleverandører; (c) deltakelse i opplærings- og bevisstgjøringsprogrammer for ansatte og underleverandører, med fokus på beskyttelse av personopplysninger, personvern og sikkerhet.
Selskapet er forpliktet til å sørge for at korrekte og sikre fasiliteter for behandling av personopplysninger av:
kontrollere endringene i prosesseringssystemene og -anleggene ved å implementere og vedlikeholde prosedyrer i tråd med de interne retningslinjene for endringshåndtering;
utføre regelmessige sikkerhetskopier og test av sikkerhetskopier ved å implementere og vedlikeholde prosedyrer i tråd med de interne retningslinjene for sikkerhetskopiering;
vedlikehold av hendelseslogging med registreringer av brukeraktiviteter, unntak, feil og informasjonssikkerhetshendelser;
sikre klokkesynkronisering for alle relevante informasjonsbehandlingssystemer.
Selskapet har implementert en brannmurbeskyttelse, et system for oppdagelse av inntrengere og overvåker regelmessig nettverksaktiviteten.
Selskapet utfører programvareutvikling og relevante støtteprosesser i henhold til vedtatte prinsipper for sikker systemutvikling, som f.eks:
Security by design;
Sikkerhetstesting skal utføres for alle endringer eller nyutviklinger;
Development/testing/production environments shall be separated.
Selskapet foretar regelmessige vurderinger av leverandørens tjenester og erkjenner ansvaret for å informere den behandlingsansvarlige om eventuelle endringer i leveransen av tjenester i henhold til hovedavtalen.
Selskapet sikrer en konsekvent tilnærming til håndtering av personvern- og sikkerhetshendelser, inkludert kommunikasjon om sikkerhetsbrudd og svakheter via:
business Continuity and Incident Management Procedures, som dokumenteres og testes regelmessig;
the Personal Data Breach Notification Procedure which is documented and tested regularly.
Selskapet gjennomfører periodiske risikovurderinger av personopplysninger og vurderer effektiviteten av de implementerte sikkerhetsretningslinjene og -prosedyrene.
1. Les dette vedlegg 4 sammen med paragraf 5 og andre gjeldende bestemmelser i personvernforordningen.
| SUB-PROCESSOR | PURPOSE | LOCATION |
|---|---|---|
| Google Inc. | Hosting og infrastruktur | USA, Canada, Storbritannia, EU, AU |
| Hosting og infrastruktur | USA | |
| Live Agent | Tjenester og support | Europe |
| OVH | Hosting og infrastruktur | Canada, Frankrike og Singapore |
| Amazon Web Services Inc. | Hosting og infrastruktur | Irland |
| Linode | Mail Server | UK |
| Nexmo (Vonage Holdings Corp.) | Tjenester og support | UK |
| Sendinblue | Tjenester og support | Frankrike |
| Hotjar | Statistikk og analyse | Frankrike |
| Piwik | Statistikk og analyse | Frankrike |
| Twilio Inc. | Services & Support | USA |
| PayPal | Leverandør av betalingsbehandling | USA |
| MaxMind, Inc. | Tjenester og support | USA |
| Borgun | Leverandør av betalingsbehandling | Island |
| SafeCharge | Leverandør av betalingsbehandling | UK, USA, Canada |
| eSignGenie | Tjenester - e-signatur | USA |
| Ansvarlig hovedkontor | Tjenester - Programvare for overholdelse av HIPAA og e-signatur | USA |
1. Den nyeste versjonen av standardkontraktsklausulene som er tilgjengelig på Europakommisjonens offisielle nettside her, implementeres og følges for det aktuelle emnet.
2. SCC er en del av denne Avtalen, i den grad de gjelder for Partene i samsvar med de europeiske personvernlovene.
3. For denne Avtalen og partenes avtaleforhold gjelder Modul to: Overføring mellom Behandlingsansvarlig til Databehandler.
Få den fullstendige, signerte versjonen av vår DPA - denne vil inneholde den fullstendige versjonen av den nyeste SCC - her.
Husk at vi også tilbyr et enda enklere verktøy beregnet for møteplanlegging. Sjekk det ut hvis du føler at SimplyBook.me er for omfattende for dine behov.