Verwerkersovereenkomst

Dit zijn de Servicevoorwaarden van:
Zaia BV, met zetel te Meir 78, 2000 Antwerpen(België), met btw-nummer BE1002.047.909 en ingeschreven in het rechtspersonenregister van Antwerpen, afdeling Antwerpe

Versie 1 (11/08/2025)

Overwegingen

Deze Verwerkersovereenkomst is een bijlage bij de Servicevoorwaarden of Certified Expert Reseller Partnershipvvan Zaia. De Servicevoorwaarden of Certified Expert Reseller Partnership en de Verwerkersovereenkomstvvormen samen de Overeenkomst met de Klant.
In het kader van de verlening van de Diensten aan de Klant zal Zaia BV toegang hebben tot Persoonsgegevens en/of deze Persoonsgegevens moeten Verwerken, waarvoor de Klant verantwoordelijk is als’Verwerkingsverantwoordelijke’ in de zin van (i) de Algemene Verordening Gegevensbescherming van 27 april 2016 (de Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens of de ‘AVG’) en (ii) alle Belgische wetgeving inzake de implementatie van de AVG (hierna gezamenlijk
de ‘Privacywetgeving’).

Middels deze Verwerkersovereenkomst wensen de Partijen hun wederzijdse overeenkomsten met betrekking tot (i) het beheer, de beveiliging en/of de Verwerking van dergelijke Persoonsgegevens en (ii) de verplichting van de Partijen om de Privacywetgeving na te leven, schriftelijk vast te leggen.

Merk op dat deze Verwerkersovereenkomst alleen betrekking heeft op de rol van Zaia BV als Verwerker en niet op zijn rol als Verwerkingsverantwoordelijke. Voor meer informatie over de Verwerking door Zaia BV van Persoonsgegevens in zijn hoedanigheid van Verwerkingsverantwoordelijke, verwijzen wij naar de Privacyverklaring beschikbaar op de website www.heyzaia.com of meegestuurd als aparte bijlage.

  1. Belangrijke begrippen

    In deze Verwerkersovereenkomst hebben de volgende begrippen (indien ze met een hoofdletter zijn geschreven) de in dit artikel omschreven betekenis:
    ‘Overeenkomst’, ‘Klant’, ‘Klantaccount’, ‘Klantaccountgegevens’, ‘Partij’/’Partijen’, ‘Diensten’, ‘Licentie, ‘Zaia BV’, ‘Termijn’ en ‘Tool’ hebben de betekenis die eraan wordt gegeven in de Servicevoorwaarden.

    Uitsluitend voor de toepassing van deze Verwerkersovereenkomst wordt onder ‘Persoonlijke Klantaccountgegevens’ verstaan alle Persoonsgegevens waarvoor de Klant als ‘Verwerkingsverantwoordelijke’ verantwoordelijk is en die Zaia BV verwacht te Verwerken namens de Klant in het kader van het verlenen van zijn Diensten, waarvan een niet-limitatieve lijst te vinden is in Overzicht I. Voor alle duidelijkheid: deze definitie is
    ruimer dan die welke in de Servicevoorwaarden wordt gebruikt, omdat ze ook bepaalde Persoonsgegevens van Gebruikers omvat.

    ‘Verwerkingsverantwoordelijke’, ‘Betrokkene’, ‘Datalek’, ‘Persoonsgegevens’, ‘Verwerker’ en
    ‘Verwerken/Verwerking’ hebben de betekenis die eraan wordt gegeven in de Privacywetgeving. Integratie: Een software-integratie tussen de Tool en een externe applicatie die geactiveerd wordt via de Application Programming Interface (‘API’) van de Tool.

    Standaard Integratie: een Integratie die automatisch wordt geactiveerd bij het gebruik van de Diensten en die de

    Klant tijdens de Termijn niet kan deactiveren.

    Subverwerker: Iedere Verwerker die Zaia in het kader van deze Verwerkersovereenkomst heeft ingeschakeld en gemachtigd omdat deze logische toegang nodig heeft tot bepaalde Persoonlijke Klantaccountgegevens en die moet Verwerken om onderdelen van de Diensten en technische ondersteuning te verlenen. Dit omvat, maar is
    niet noodzakelijk beperkt tot alle Standaardintegraties die Persoonlijke Klantaccountgegevens Verwerken.

    Deze Verwerkersovereenkomst bevat de volgende overzichten:

    Overzicht I:

    Overzicht van (i) de Persoonsgegevens waarvan Partijen verwachten dat ze zullen worden verwerkt, (ii) de
    categorieën van Betrokkenen waarvan Partijen verwachten dat ze zullen worden verwerkt, (iii) het gebruik (d.w.z.
    de wijze(n) van Verwerking) van de Persoonsgegevens, (iv) de doelen en middelen van die Verwerking en (v) de
    termijn(en) gedurende welke de (verschillende soorten) Persoonsgegevens zullen worden opgeslagen;

    Overzicht II:
    Overzicht en beschrijving van de beveiligingsmaatregelen die Zaia BV in het kader van deze Verwerkersovereenkomst heeft getroffen

  2. Hoedanigheid van de Partijen

    De partijen erkennen en komen overeen dat met betrekking tot de Verwerking van Persoonlijke Klantgegevens, de Klant wordt beschouwd als ‘Verwerkingsverantwoordelijke’ en Zaia BV als ‘Verwerker’. Zaia mag bovendien een of meer Subverwerkers inschakelen overeenkomstig de in artikel 6 gestelde eisen.
  3. Gebruik van de Diensten

    3.1 De Klant erkent uitdrukkelijk dat:
    Zaia BV louter optreedt als facilitator van zijn Diensten. De Klant is dus als enige verantwoordelijk voor het gebruik dat hij van de Diensten maakt;

    Hij als enige verantwoordelijk is voor de naleving van alle wetten en voorschriften (zoals maar niet beperkt tot de bewaartermijn) die hem worden opgelegd bij het gebruik van de Diensten.

    3.2 In geval van misbruik door de Klant van de Diensten stemt de Klant ermee in dat Zaia BV nooit aansprakelijk kan worden gesteld in dit opzicht, noch voor enige schade die zou voortvloeien uit dergelijk misbruik.

    3.3 De Klant verbindt zich er derhalve toe om Zaia BV te vrijwaren wanneer een dergelijk misbruik zich zou voordoen, alsook voor elke vordering van een Betrokkene en/of een derde wegens een dergelijke inbreu

  4. Voorwerp

    4.1 De Klant erkent dat Zaia BV als gevolg van het gebruik van de Diensten Persoonlijke Klantaccountgegevens van de Klant zal Verwerken.

    4.2 Zaia BV zal de Persoonlijke Klantaccountgegevens op een behoorlijke en zorgvuldige manier Verwerken en in overeenstemming met de Privacywetgeving en andere toepasselijke regels betreffende de Verwerking van Persoonsgegevens.
    Meer bepaald zal Zaia BV bij de uitvoering van de Diensten in het kader van de Overeenkomst al zijn knowhow ter beschikking stellen om de Diensten volgens de regels van de kunst, zoals het een gespecialiseerde en
    ‘goede’ Verwerker past, uit te voeren.

    4.3 Niettemin zal Zaia BV de Persoonlijke Klantaccountgegevens alleen Verwerken op verzoek van de Klant en in overeenstemming met zijn instructies, zoals beschreven in Overzicht I, tenzij wetgeving anders bepaalt.

    4.4 De Klant is als Verwerkingsverantwoordelijke eigenaar van en behoudt de volledige controle over (i) de Verwerking van Persoonlijke Klantaccountgegevens, (ii) de types Verwerkte Persoonlijke Klantaccountgegevens, (iii) het doel van de Verwerking en (iv) het feit of een dergelijke Verwerking proportioneel (niet-limitatief) is.

    Bovendien is de Klant als enige verantwoordelijk om alle (wettelijke) verplichtingen die op hem rusten alsVerwerkingsverantwoordelijke na te leven (onder meer betreffende de bewaartermijn), alsook voor de nauwkeurigheid, kwaliteit en rechtmatigheid van de Persoonlijke Klantaccountgegevens, ingegeven in de Tool, en voor de wijze waarop hij dergelijke Persoonlijke Klantaccountgegevens heeft verworven. De verantwoordelijkheid en de controle met betrekking tot de Persoonlijke Klantaccountgegevens op grond van
    deze Verwerkersovereenkomst berusten dus nooit bij Zaia BV.

  5. Beveiligingsmaatregelen

    Rekening houdend met de stand van de techniek neemt Zaia BV passende technische en organisatorische maatregelen ter bescherming van (i) de Persoonlijke Klantaccountgegevens – met inbegrip van beveiliging tegen onzorgvuldig, oneigenlijk, ongeoorloofd of onrechtmatig gebruik en/of Verwerking en tegen onopzettelijk verlies,
    vernietiging of schade – (ii) de vertrouwelijkheid en integriteit van de Persoonlijke Klantaccountgegevens, zoals uiteengezet in Overzicht II.
  6. Subverwerkers

    6.1 De Klant erkent en stemt ermee in dat Zaia BV in het kader van de Overeenkomst andere Subverwerkers kan inschakelen. In dat geval zal Zaia ervoor zorgen dat de Subverwerkers minstens aan dezelfde verplichtingen zijn gehouden als die waaraan Zaia BV op grond van deze Verwerkersovereenkomst gebonden is.

    6.2 Zaia BV verbindt zich ertoe een lijst van alle Subverwerkers ter beschikking te stellen in het Klantaccount. Dergelijke lijsten bevatten de identiteit van die Subverwerkers, alsook hun land van vestiging. In deze lijst zullen altijd alle Standaardintegraties staan die Persoonlijke Klantaccountgegevens Verwerken.

    6.3 Zaia BV verbindt zich ertoe de Klant schriftelijk te informeren van elke voorgenomen wijziging in die lijst (bijv. als zij een Subverwerker toevoegt of vervangt). De Klant heeft het recht om bezwaar te maken tegen een nieuwe Subverwerker dit met uitzondering van de Standaard Integraties. Indien de Klant zijn recht op bezwaar wenst uit te oefenen, dient hij Zaia BV hiervan schriftelijk en gemotiveerd in kennis te stellen binnen tien (10) dagen na ontvangst van de melding van Zaia BV (cf. Artikel 6.3).

    6.4 Indien de Klant bezwaar maakt tegen een nieuwe Subverwerker en dit bezwaar niet onredelijk wordt geacht, zal Zaia BV in overleg met de Klant alle redelijke inspanningen leveren om het bezwaar van de Klant op te lossen.

    Als Zaia BV er echter niet in slaagt het bezwaar van de Klant op te lossen, kan de Klant de Overeenkomst beëindigen op voorwaarde dat:

    de Klant de Diensten niet kan gebruiken zonder een beroep te doen op de gewraakte nieuwe Subverwerker; en/of deze opzeg uitsluitend betrekking heeft op Diensten die Zaia BV niet kan verlenen zonder een beroep te doen op de gewraakte nieuwe Subverwerker; en dit door Zaia BV hiervan binnen een redelijke termijn schriftelijk in kennis te stellen

  7. Functionaris voor gegevensbescherming

    7.1 Zaia BV heeft een functionaris voor gegevensbescherming (‘DPO’) aangesteld.

    7.2 Deze functionaris voor gegevensbescherming is te bereiken op het volgende e-mailadres: support@heyzaia.com

  8. Doorgifte van Persoonlijke Klantaccountgegevens buiten de EER

    Elke doorgifte van Persoonlijke Klantaccountgegevens buiten de EER aan een ontvanger waarvan de woonplaats of maatschappelijke zetel niet valt onder een door de Europese Commissie afgegeven adequaatheidsbesluit, wordt beheerst door de voorwaarden van een overeenkomst inzake gegevensoverdracht, die (i) modelcontractbepalingen bevat overeenkomstig Besluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021 of (ii) andere mechanismen waarin de Privacywetgeving en/of en andere toepasselijke regels
    betreffende de Verwerking van Persoonsgegevens voorzien.
  9. Vertrouwelijkheid

    9.1 Zaia BV zal de Persoonlijke Klantaccountgegevens vertrouwelijk behandelen en dus geen Persoonlijke Klantaccountgegevens onthullen of doorgeven aan derden zonder voorafgaande schriftelijke toestemming van de Klant, tenzij:
  • in geval van een uitdrukkelijke schriftelijke afwijking van deze vertrouwelijkheidsverplichting (bv. in de Servicevoorwaarden);
  • de onthulling/aankondiging wordt vereist door de wet of door een rechterlijke of andere
    overheidsbeslissing (van welke aard ook). In dat geval zal Zaia BV alvorens iets te onthullen en/of aan te kondigen de omvang en de manier daarvan met de Klant bespreken.

    9.2 Zaia BV zal ervoor zorgen dat zijn personeel, dat betrokken is bij de uitvoering van de Diensten in het kader van Overeenkomst, op de hoogte is van het vertrouwelijke karakter van de Persoonlijke Klantaccountgegevens, een passende opleiding heeft gekregen over zijn verantwoordelijkheden en een schriftelijke vertrouwelijkheidsovereenkomst heeft ondertekend. Zaia BV zal ervoor zorgen dat deze vertrouwelijkheidsverplichting ook na afloop van de tewerkstelling van het personeel van kracht zal blijven.

    9.3 Zaia BV zal ervoor zorgen dat de toegang tot de Persoonlijke Klantaccountgegevens beperkt blijft tot het personeel dat de Diensten in het kader van de Overeenkomst op grond van de Verwerkersovereenkomst verleent

10. Kennisgeving

10.1 Zaia BV tracht naar best vermogen de Klant binnen een redelijke termijn te informeren wanneer Zaia BV:

    • een verzoek om informatie, een dagvaarding of een verzoek tot inzage of audit van de bevoegde overheidsinstantie met betrekking tot de Verwerking van Persoonlijke Klantaccountgegevens ontvangt;
    • van plan is om Persoonlijke Klantaccountgegevens te onthullen aan een bevoegde overheidsinstantie;
    • vaststelt of redelijkerwijs vermoedt dat er sprake is van een Datalek met betrekking tot de Persoonlijke Klantaccountgegevens.

      10.2 In geval van een Datalek verbindt Zaia BV zich ertoe om:

    • de Klant, zonder onnodige vertraging na de vaststelling van een Datalek, hiervan in kennis te stellen,
      alsook binnen de mate van het mogelijke bijstand te verlenen aan de Klant in het kader van zijn rapporteringsverplichting op grond van de Privacywetgeving;
    • zo snel als redelijkerwijze mogelijk passende en corrigerende maatregelen te nemen om een einde te stellen aan het Datalek en een eventueel toekomstig Datalek te voorkomen en/of te beperken.

    11. Rechten van de Betrokkene

    11.1 Voor zover de Klant – bij zijn gebruik van de Diensten – niet de mogelijkheid heeft om Persoonlijke Klantaccountgegevens te corrigeren, te wijzigen, te blokkeren of te verwijderen, zoals vereist door de Privacywetgeving, zal Zaia BV – voor zover dit wettelijk is toegestaan – voldoen aan elk commercieel redelijk verzoek van de Klant om dergelijke handelingen te vergemakkelijken.

    Voor zover wettelijk toegestaan, zal de Klant verantwoordelijk zijn voor alle kosten die voortvloeien uit de verlening van dergelijke bijstand door Zaia BV.

    11.2 Zaia BV zal, voor zover wettelijk toegestaan, de Klant onverwijld in kennis stellen wanneer Zaia BV een verzoek ontvangt van een Betrokkene betreffende de inzage, correctie, wijziging of verwijdering van de Persoonsgegevens van de Betrokkene. Zaia BV zal echter niet reageren op een dergelijk verzoek van een Betrokkene zonder voorafgaande schriftelijke toestemming van de Klant, behalve om te bevestigen dat het verzoek betrekking heeft op de Klant, waarmee de Klant hierbij instemt.

    Zaia BV zal de Klant commercieel redelijke medewerking en bijstand verlenen in verband met de behandeling van een verzoek van een Betrokkene om inzage in diens Persoonsgegevens, voor zover dit wettelijk is toegestaan en voor zover de Klant geen toegang heeft tot dergelijke Persoonsgegevens door zijn gebruik van de Diensten.

    Voor zover wettelijk toegestaan, zal de Klant verantwoordelijk zijn voor alle kosten die voortvloeien uit de verlening van dergelijke bijstand door Zaia BV.

    12. Teruggave en verwijdering van Klantaccountgegevens

    12.1 Zaia BV biedt de Klant zoveel mogelijk de mogelijkheid om tijdens de looptijd van de Overeenkomst Persoonsgegevens uit het Klantaccount te verwijderen. Dit stelt de Klant in staat zijn eigen verantwoordelijkheden inzake gegevensminimalisering en opslagbeperking als Verwerkingsverantwoordelijke na te komen.

    12.2 Bij beëindiging van de Licentie heeft de Klant de mogelijkheid om de Persoonlijke Klantaccountgegevens (evenals andere gegevens, zowel persoonlijke als niet-persoonlijke) uit het Klantaccount te exporteren via de beschikbare exporttools. Dit moet gebeuren vóór het einde van de Licentie.

    12.3 Zaia BV wist ten vroegste dertig (30) dagen en ten laatste drie (3) maanden na het einde van de Licentie de Persoonlijke Klantaccountgegevens via ‘hard deletion’. Zodra de Persoonlijke Klantaccountgegevens via ‘hard deletion’ gewist zijn, is het niet meer mogelijk om het Klantaccount te herstellen of in een export van de Klantaccountgegevens te voorzien

    13. Controle

    13.1 Zaia BV verbindt zich ertoe de Klant alle informatie te verstrekken die hij nodig heeft om te kunnen nagaan of Zaia BV voldoet aan de bepalingen van deze Verwerkersovereenkomst.

    13.2 In dit opzicht zal Zaia BV de Klant (of een derde waarop de Klant een beroep doet) toestaan om inspecties te doen – zoals onder andere een audit – en de nodige medewerking verlenen aan de Klant of die derde.

    Voor zover wettelijk toegestaan, zal de Klant verantwoordelijk zijn voor alle kosten die voortvloeien uit deverlening van dergelijke bijstand door Zaia BV.

    In elk geval moeten de inspecties worden uitgevoerd tijdens de normale kantooruren in de desbetreffende faciliteit, met inachtneming van het beleid van Zaia BV, en mogen zij de bedrijfsactiviteiten van Zaia BV niet op onredelijke wijze hinderen.

    14. Diverse bepalingen

    14.1 De Verwerkersovereenkomst blijft van kracht zolang de Overeenkomst loopt. De bepalingen van deze Verwerkersovereenkomst zijn van toepassing in de mate dat dit nodig is voor de voltooiing van deze Verwerkersovereenkomst en voor zover het de bedoeling is dat deze van kracht blijven na de beëindiging van deze Verwerkersovereenkomst (zoals, maar niet beperkt tot, de Artikelen 9 en 15).

    14.2 Indien één of meer bepalingen van deze Verwerkersovereenkomst geheel of gedeeltelijk ongeldig, onwettig of niet-afdwingbaar bevonden worden, blijft de rest van die bepaling en van deze Verwerkersovereenkomst volledig van kracht als was hier geen ongeldige, onwettige of niet-afdwingbare bepaling in opgenomen.
    Bovendien zullen de Partijen in voorkomend geval onderhandelen om de nietige bepaling door een gelijkwaardige clausule te vervangen die in overeenstemming is met de geest van deze
    Verwerkersovereenkomst. Komen de Partijen niet tot een akkoord, dan kan de bevoegde rechter de nietige bepaling matigen tot wat (wettelijk) is toegelaten.

    14.3 Afwijkingen, wijzigingen en/of aanvullingen van deze Verwerkersovereenkomst zijn slechts geldig en bindend voor zover zij schriftelijk door beide Partijen zijn aanvaard.

    14.4 De Partijen kunnen deze Verwerkersovereenkomst en de overeenkomstige rechten en verplichtingen die ten aanzien van de Partijen bestaan, niet rechtstreeks of onrechtstreeks overdragen zonder voorafgaande
    schriftelijke toestemming van de andere Partij.

    14.5 Het (herhaaldelijk) niet-toepassen door een Partij of door de Partijen van enig recht of enige bepaling van deze Verwerkersovereenkomst, kan slechts beschouwd worden als het dulden van een bepaalde toestand en leidt niet tot verzaking.

    14.6 Deze Verwerkersovereenkomst heeft voorrang op elke andere Verwerkersovereenkomst tussen de Partijen en op alle tegenstrijdige bepalingen betreffende de Verwerking van Persoonlijke Klantaccountgegevens in andere overeenkomsten of schriftelijke communicatie tussen de Partijen.

    15. Toepasselijk recht en bevoegde rechtbank

    15.1 Alle kwesties, vragen en geschillen over de geldigheid, interpretatie, handhaving, uitvoering of beëindiging van deze Verwerkersovereenkomst worden beheerst door en uitgelegd volgens de bepalingen van het Belgische recht, zonder dat dit aanleiding geeft tot enige andere rechtskeuze of collisieregels of bepalingen (Belgisch, buitenlands of internationaal) die ertoe zouden leiden dat het recht van een ander land dan België van toepassing zou zijn.

    15.2 Alle geschillen over de geldigheid, de interpretatie, de tenuitvoerlegging, de uitvoering of de beëindiging van deze Verwerkersovereenkomst zullen uitsluitend worden beslecht door de rechtbanken van de plaats waar de maatschappelijke zetel van Zaia BV gevestigd is.

    Overzicht I – Verwerking van Persoonlijke Klantaccountgegevens door Zaia BV

    Dit document bevat een overzicht van de Persoonsgegevens die Zaia BV namens de Klant moet Verwerken in het kader van de Overeenkomst, alsook de betrokken categorieën van Betrokkenen, de wijze(n) van Verwerking van Persoonsgegevens, de middelen en doeleinden van Verwerking en de termijn gedurende welke de Persoonsgegevens worden opgeslagen.

    De Klant erkent dat het overzicht, zoals hierboven vermeld, een algemeen overzicht geeft van de Persoonlijke Klantaccountgegevens die Zaia BV verwacht te Verwerken in het kader van de Overeenkomst.

    I. Verwerkte Persoonsgegevens
    Persoonsgegevens van Gebruikers

      • Voornaam
      • Achternaam
      • E-mailadres

        Zaia BV verwacht in geen geval speciale categorieën van Persoonsgegevens te verzamelen zoals gedefinieerd in de Privacywetgeving, met inbegrip van, maar niet beperkt tot: informatie over de gezondheid, het ras, politieke opvattingen, religieuze of andere overtuigingen, seksuele geaardheid enz. van de Betrokkene. De verantwoordelijkheid voor elke Verwerking van dergelijke gevoelige gegevens via het Klantaccount en de Diensten berust volledig bij de Klant.

        II. Het gebruik van Persoonsgegevens, middelen en doeleinden van de Verwerking
        Gebruik van Persoonsgegevens:

      • De Persoonlijke Klantaccountgegevens voor de Klant gemakkelijk beschikbaar, bewerkbaar,
        exporteerbaar en analyseerbaar maken in het Klantaccount;
      • De Persoonlijke Klantaccountgegevens opslaan in de cloud;
      • Het maken van back-ups van de Persoonlijke Klantaccountgegevens met het oog op herstel na noodgeval.

        Middelen voor de Verwerking:

      • De Tool (Zaia);
      • De Standaardintegraties.
        Doeleinden van de Verwerking:
      • Beheer van vergaderingen, oproepen
      • Toevoegen van Persoonlijke Klantaccountgegevens aan de CRM-sectie voor de follow-up van verzonden e-mails en het beheer van contacten en bedrijven
      • Follow-up van verkoopprojecten (Hubspot)
      • Projectplanning (inclusief interne projecten)
      • Beheer van Gebruikers/teams van Gebruikers
      • Tijdsregistratie
      • Aanmaak en beheer van supporttickets (inclusief statistieken daarvan)
      • Facturatie (Teamleader)
      • Aanmaken, versturen en ondertekenen van offertes (Docusign)
      • Beheer van (gerichte) mailings
      • Aanmaak en beheer van verzendformulieren
      • Aanmaak en beheer van bestellingen
      • Aanmaak, planning en beheer van evenementen
      • Opslaan en bijhouden van documenten

        IV. Bewaartermijn
        Zaia BV bewaart de Persoonlijke Klantaccountgegevens zolang de Overeenkomst loopt, tenzij de Klant een eerdere verwijdering uitvoert of verzoekt.
        Na beëindiging van de Overeenkomst heeft Zaia BV het recht de anonieme en geanonimiseerde Klantaccountgegevens (of een deel daarvan) te bewaren voor onderzoeks-, opleidings-, onderwijs-, statistische en commerciële doeleinden.

        Overzicht II – Beschrijving van de beveiligingsmaatregelen

        Dit document bevat de technische en organisatorische beveiligingsmaatregelen die door Zaia BV genomen worden ter ondersteuning van zijn (Verwerkings)activiteiten, zoals vereist door de Privacywetgeving.

        I. (Fysieke) toegangscontrole tot verwerkingsinfrastructuur
        De webapplicatie-, communicatie- en databaseservers van Zaia BV bevinden zich in veilige Microsoft Azure datacentra, met wie Zaia BV het ‘Data Processing Addendum’ ondertekend heeft om te voldoen aan de normen en verplichtingen van de Privacywetgeving.

        II. (Logische) toegangscontrole tot systemen voor de Verwerking van Persoonsgegevens
        Zaia BV heeft passende maatregelen genomen om te voorkomen dat zijn systemen voor de Verwerking van Persoonlijke Klantaccountgegevens door onbevoegden worden gebruikt.

        Dit wordt bereikt door:

      • De terminal en/of de terminalgebruiker van de systemen van de Zaia BV te identificeren;
      • Automatische uitschakeling van de gebruikersterminal terwijl deze niet wordt gebruikt. Identificatie en
        wachtwoord zijn nodig om opnieuw toegang te krijgen;
      • Automatische blokkering van de gebruiker na het meermaals ingeven van een fout wachtwoord.
        Gebeurtenissen worden geregistreerd en regelmatig gecontroleerd;
      • Toegangscontrole via firewall, router en VPN om de private netwerken en back-end-servers te beschermen;
      • Ad-hoc controle van infrastructuurbeveiliging;
      • Regelmatig onderzoek van veiligheidsrisico’s door interne medewerkers en externe auditors;
      • Het verstrekken en veilig bewaren van identificatiecodes;
      • Toegangscontrole op basis van rollen volgens het beginsel dat alleen strikt noodzakelijke rechten worden toegekend;
      • De toegang tot hostservers, applicaties, databanken, routers, switches enz. te loggen;

        De opgegeven maatregelen maken deel uit van de tools die Microsoft aanbiedt om applicaties op Azure uit te rollen en te beheren. Toegang verkrijg je uitsluitend via een zaia.com e-mailadres, en directe resources zijn alleen toegankelijk via een whitelist.

        III. Controle van de beschikbaarheid

        Zaia BV heeft passende maatregelen genomen om ervoor te zorgen dat Persoonlijke Klantaccountgegevens beschermd zijn tegen toevallige vernietiging of verlies.

        Dit wordt bereikt door:

      • Redundante infrastructuur;
      • Een constante evaluatie van datacentra en Internet Service Providers (ISP’s) om de prestaties voor zijn klanten inzake bandbreedte, latentie en isolatie voor calamiteitenherstel te optimaliseren;
      • Het onderbrengen van datacentra in veilige, carrierneutrale gedeelde locaties met fysieke beveiliging, redundante stroomvoorziening en redundante infrastructuur;
      • Service Level Agreements met ISP’s om een maximale beschikbaarheid te garanderen;
      • Snelle overschakeling bij problemen.

        IV. Controle van de transmissie

        Zaia BV heeft passende maatregelen genomen om te voorkomen dat onbevoegden Persoonlijke Klantaccountgegevens kunnen lezen, kopiëren, wijzigen of verwijderen tijdens de doorgifte ervan of tijdens het transport van de gegevensdragers.

        Dit wordt bereikt door:

      • Gebruik van geschikte firewall- en versleutelingstechnologieën om de poorten en kanalen waarlangs de gegevens overgedragen worden te beschermen;
      • Persoonlijke Klantaccountgegevens te versleutelen tijdens de transmissie met behulp van actuele versies van TLS of andere beveiligingsprotocollen die gebruikmaken van krachtige
        versleutelingsalgoritmes en sleutels;
      • Bescherming van toegang via het internet tot interfaces voor accountbeheer door medewerkers via versleutelde TLS;
      • End-to-end-versleuteling van gedeelde schermen voor toegang op afstand, ondersteuning of realtimecommunicatie.

        V. Controle van de invoer

        Zaia BV heeft passende maatregelen genomen om ervoor te zorgen dat het mogelijk is om te controleren en vast te stellen of en door wie Persoonlijke Klantaccountgegevens zijn ingevoerd of verwijderd in systemen voor de Verwerking van Persoonsgegevens.

        Dit wordt bereikt door:

      • Authenticatie van de geautoriseerde medewerkers;
      • Beschermingsmaatregelen voor de invoer van Persoonlijke Klantaccountgegevens in het geheugen en voor het lezen, wijzigen en wissen van opgeslagen Persoonlijke Klantaccountgegevens, onder andere door significante wijzigingen van accountgegevens of -instellingen te documenteren of te registreren;
      • Scheiding en bescherming van alle opgeslagen Persoonlijke Klantaccountgegevens via
        databaseschema’s, logische toegangscontroles en/of encryptie;
      • Gebruik van legitimatiebewijzen voor de identificatie van gebruikers;
      • Fysieke beveiliging van de locaties waar de Gegevensverwerking plaatsvindt;
      • Time-out van sessies.

        VI. Controle / monitoring

        Zaia BV heeft geen toegang tot Persoonlijke Klantaccountgegevens, behalve:

      • Om de nodige Diensten te verlenen in het kader van de Overeenkomst;
      • Om beveiligingscontroles uit te voeren;
      • Om bijstand te verlenen aan de Klant;
      • Om gebruiksonderzoek en statistische analyse uit te voeren;
      • Zoals vereist door de wet; of
      • Op verzoek van de Klant.

        Dit wordt bereikt door:

      • Individuele toewijzing van systeembeheerders;
      • Een streng toegangsbeheerbeleid waarin toegangsrechten voorzien worden die in verhouding staan tot de functie van de werknemer;
      • Het nemen van passende maatregelen om de toegang van de systeembeheerders tot de infrastructuur te registreren.