Orderverwerking

preambule

Deze overeenkomst regelt de rechten en plichten van partijen in het kader van de contractverwerking conform artikel 28 AVG. De verwerker verleent de verwerkingsverantwoordelijke een dienst die een externe kwetsbaarheidsanalyse van IT-systemen uitvoert. Afhankelijk van de systeemconfiguratie kan dit ook de verzameling en verwerking van persoonsgegevens (bijvoorbeeld IP-adressen, e-mailadressen of openbaar zichtbare inloggegevens) omvatten.

De verwerking vindt uitsluitend plaats in het kader van de overeengekomen diensten en op basis van de volgende bepalingen

§1 Onderwerp van de verwerking

De opdrachtnemer voert in opdracht van de opdrachtgever geautomatiseerde, technische analyses uit van openbaar toegankelijke IT-systemen. Deze analyses zijn gebaseerd op een door de verwerkingsverantwoordelijke opgegeven doeladres (IP-adres of domein).

De opdrachtnemer verwerkt persoonsgegevens in de vorm van door de opdrachtgever gespecificeerde IT-systemen (bijv. IP-adressen, domeinen). De resultaten worden beschikbaar gesteld in de vorm van rapporten. Toegang wordt alleen verleend na succesvolle authenticatie.

§2 Soort verwerking

Tot de verwerking behoren in het bijzonder:

  • Verzameling van openbaar beschikbare informatie (bijv. subdomeinen, e-mailconfiguratie)
  • Controleren van toegankelijke services op kwetsbaarheden (bijvoorbeeld via poortscans, CVE-detectie)
  • Opslag van metadata en resultaten in rapportvorm
  • Het verstrekken van rapporten in het beveiligde klantengebied
  • Beheer van gebruikersaccounts (naam, e-mailadres, inloggegevens, 2FA-token)
  • Het verzenden van meldingen naar opgeslagen e-mailadressen (optioneel)

§3 Doel van de verwerking

De verwerking wordt uitgevoerd voor de volgende doeleinden:

  • Identificatie van technische risico's en kwetsbaarheden,
  • Verbetering van de veiligheidssituatie van de verantwoordelijke partij,
  • Voldoen aan wettelijke en regelgevende vereisten (bijv. ISO 27001, NIS2),
  • Ondersteuning van interne beveiligings- en risicomanagementprocessen,
  • Bied een beveiligde klantenomgeving voor het beheren van analyses en toegangsrechten.

§4 Categorieën van betrokkenen

In het kader van de opdrachtverstrekking kunnen gegevens van de volgende groepen personen betrokken zijn:

  • Medewerkers van de controller, bijvoorbeeld IT-beheerders of gebruikers van geanalyseerde systemen
  • Externe contactenwaarvan de e-mailadressen of contactgegevens openbaar worden weergegeven in geanalyseerde gebieden
  • Gebruikers met toegang tot het klantengedeelte (bijv. rekeninghouder, geautoriseerde personen om rapporten te bekijken)

§5 Rechten en plichten van de opdrachtgever

  • Verantwoordelijkheid voor gegevensverwerking
    De verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatige verwerking van persoonsgegevens in de zin van de AVG. Hij/zij is ervoor verantwoordelijk dat de verwerking door de verwerker gebaseerd is op een geldige rechtsgrond (bijvoorbeeld toestemming, overeenkomst, wettelijke verplichting).
  • Recht om instructies te geven
    De opdrachtgever mag de opdrachtnemer uitsluitend gegevens ter verwerking verstrekken indien deze verwerking rechtmatig is. De opdrachtnemer verwerkt persoonsgegevens volgens de geautomatiseerde procedures op dit platform. Voor de verwerking van de gegevens zijn geen instructies van de opdrachtgever vereist.
  • Verplichtingen tot samenwerking
    De opdrachtgever is verplicht zelfstandig aan zijn wettelijke verplichtingen te voldoen (bijvoorbeeld informatieplichten, rechten van betrokkenen).
  • Geheimhoudingsverplichtingen jegens derden
    De klant verplicht zich de toegangsgegevens en de inhoud van het klantaccount vertrouwelijk te behandelen en derden geen onbevoegde toegang te verlenen.

§7 Verplichtingen van de verwerker

  • vertrouwelijkheid
    De opdrachtnemer verbindt zich ertoe persoonsgegevens vertrouwelijk te behandelen. Personen die toegang hebben tot de gegevens zijn verplicht tot geheimhouding van de gegevens conform artikel 28 (3) (b) AVG – dit geldt ook voor eenmanszaken (zelfbindend).
  • Technische en organisatorische maatregelen (TOM's)
    De opdrachtnemer verbindt zich ertoe om overeenkomstig art. 32 AVG passende technische en organisatorische maatregelen te treffen om een passend beschermingsniveau te waarborgen.
    Een overzicht van de momenteel geldende maatregelen vindt u op het volgende adres:
    https://threatemy.com/transparency/
  • Ondersteuning bij de rechten van betrokkenen
    De Contractant ondersteunt de Verwerkingsverantwoordelijke – voor zover mogelijk – bij het voldoen aan verzoeken van betrokkenen (bijvoorbeeld om informatie, verwijdering, correctie) overeenkomstig de artikelen 12 tot en met 23 AVG.
  • Melden van inbreuken op de gegevensbescherming
    De Contractant informeert de Verwerkingsverantwoordelijke onmiddellijk over eventuele inbreuken op de gegevensbescherming, met name in het geval van ongeoorloofde toegang tot opgeslagen gegevens of inbreuken op systemen.

§8 Gebruik van onderaannemers

  • De contractant is gerechtigd onderaannemers in te schakelen voor de verwerking van persoonsgegevens. Daarbij draagt de contractant er zorg voor dat deze onderaannemers contractueel onderworpen zijn aan dezelfde verplichtingen inzake gegevensbescherming als die welke in deze overeenkomst zijn vastgelegd.
  • Een actuele lijst van de gebruikte onderaannemers is beschikbaar op de volgende URL:
    https://threatemy.com/transparency/
  • De Aannemer zal de Opdrachtgever binnen een redelijke termijn informeren over voorgenomen wijzigingen met betrekking tot de inschakeling of vervanging van onderaannemers. De Opdrachtgever kan bezwaar maken tegen de wijziging om gewichtige redenen van gegevensbescherming.

§9 Teruggave en verwijdering van gegevens

  • Na voltooiing van de contractueel overeengekomen gegevensverwerking of op instructie van de opdrachtgever, zal de opdrachtnemer alle in zijn bezit zijnde persoonsgegevens verwijderen, tenzij er een wettelijke verplichting bestaat om de gegevens te bewaren.
  • Persoonsgegevens worden verwijderd overeenkomstig de geldende regelgeving inzake gegevensbescherming.

§10 Slotbepalingen

De overeenkomst komt elektronisch tot stand. Een handgeschreven handtekening is niet vereist indien de toestemming elektronisch wordt vastgelegd.

Op dit contract is het recht van de Bondsrepubliek Duitsland van toepassing.

Indien enige bepaling van deze Overeenkomst ongeldig is of wordt, laat dit de geldigheid van de overige bepalingen onverlet.