Verwerkersovereenkomst

  1. Definities

    Affiliates:
    personen of organisaties die producten en/of diensten van derden promoten via eigen kanalen zoals een website of social media.

    Affiliatelink:
    Een affiliatelink is een link waarmee een Affiliate internetgebruikers doorstuurt naar de webshop, het product of een dienst van een Merchant.

    Afnemer:
    de partij die een overeenkomst sluit met de Merchant voor het tegen betaling afnemen van een product of dienst van Merchant.

    AVG:
    Algemene Verordening Gegevensbescherming.

    Betaaldienst:
    de betaalmethode die PayPro op grond van de Overeenkomst aan Merchant beschikbaar stelt.

    Betrokkene:
    een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 lid 1 AVG).

    Overeenkomst:
    overeenkomst tot acceptatie van betalingen, het afnemen van service modules en/of verkoopondersteuning door Affiliates, zoals overeengekomen tussen PayPro en Merchant.

    Persoonsgegevens:
    alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon (artikel 4 lid 1 AVG).

    Verwerking:
    een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

    Webapplicatie:
    het door PayPro aan Merchant beschikbaar gestelde online gebruikersaccount waarmee Merchant gebruik kan maken van de Betaaldiensten.

    Wwft:
    Wet ter voorkoming van witwassen en financieren van terrorisme.

  2. Het onderwerp

    1. Op grond van de Overeenkomst biedt Verwerker het gebruik van de Webapplicatie aan ten behoeve van de Verwerkingsverantwoordelijke. Door het gebruik van de Webapplicatie door de Verwerkingsverantwoordelijke verwerkt Verwerker Persoonsgegevens van Afnemers.
    2. Verwerker zal Persoonsgegevens van Afnemers met grote zorgvuldigheid en in overeenstemming met de doeleinden van de verwerking en daarbij de instructies van de en de bepalingen van deze Verwerkersovereenkomst in acht neme.
  3. Verplichtingen van de Verwerkingsverantwoordelijke

    1. Verwerkingsverantwoordelijke zal eventuele wijzigingen met betrekking tot de Verwerking en de eventuele gevolgen daarvan tijdig, uiterlijk 10 werkdagen voor het ingaan van de wijzigingen, aan Verwerker bekend maken.
    2. Verwerkingsverantwoordelijke garandeert Verwerker dat de opdracht tot de Verwerking van de Persoonsgegevens rechtmatig is en geen inbreuk maakt op rechten van derden.
  4. Verplichtingen van de Verwerker

    1. Verwerker zal de Persoonsgegevens slechts verwerken indien en voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst en zal alle redelijke instructies van Verwerkingsverantwoordelijke opvolgen.
    2. Verwerker zal de Persoonsgegevens doorgeven aan landen buiten de Europese Economische Ruimte slechts naar aanleiding van voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke kan voorwaarden verbinden aan diens toestemming.
    3. Verwerker draagt er zorg voor dat diens personeelsleden, welke betrokken zijn bij de Verwerking van Persoonsgegevens, zich houden aan het gestelde in deze Verwerkersovereenkomst. De personeelsleden van Verwerker zijn gehouden aan een geheimhoudingsplicht.
    4. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke zo spoedig mogelijk alle Persoonsgegevens, welke in opdracht van Verwerkingsverantwoordelijke verwerkt zijn, aan Verwerkingsverantwoordelijke ter hand stellen. Hetzelfde geldt voor het verzoek van Verwerkingsverantwoordelijke om de Persoonsgegevens te vernietigen, met uitzondering van die Persoonsgegevens welke door Verwerker op grond van de voor Verwerker en diens dienstverlening geldende wet- en regelgeving, bewaard dienen te worden.
    5. Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen om de Persoonsgegevens te beveiligen tegen verlies en tegen onrechtmatige verwerking. Deze maatregelen dragen zorg voor, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de Verwerking en de aard van de te beschermen gegevens meebrengen. De getroffen beveiligingsmaatregelen zijn opgenomen in Bijlage 2.
    6. Verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten welke ten behoeve van de Verwerkingsverantwoordelijke worden verricht.
    7. Verwerker verleent Verwerkingsverantwoordelijke haar volledige en tijdige medewerking om Betrokkenen inzage in hun persoonsgegevens te laten krijgen, hun persoonsgegevens te laten verwijderen of te corrigeren, en/of aan te laten tonen dat deze persoonsgegevens verwijderd of gecorrigeerd zijn of, indien Verwerkingsverantwoordelijke het standpunt van Betrokkene bestrijdt, vast te leggen dat Betrokkene zijn persoonsgegevens als incorrect beschouwt.
    8. Verwerker neemt adequate interne beheersmaatregelen om de verplichtingen uit deze Verwerkersovereenkomst na te komen en legt deze vast op een manier die controle op de naleving ervan eenvoudig mogelijk maakt. Bij Verwerking van Persoonsgegevens worden activiteiten en incidenten met betrekking tot de Persoonsgegevens vastgelegd in logbestanden.
    9. Op aangeven van Verwerkingsverantwoordelijke en indien mogelijk werkt Verwerker mee aan encryptie (versleuteling) en pseudonimisering van Persoonsgegevens. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
    10. Verwerker stelt alle informatie ter beschikking aan Verwerkingsverantwoordelijke welke nodig is om de naleving van de Verwerkersovereenkomst aan te tonen en audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of diens gemachtigde controleur mogelijk te maken. De Verwerkingsverantwoordelijke of diens gemachtigde controleur zal bij de uitoefening van de audits en inspecties worden verplicht tot geheimhouding en de rapporten dusdanig op te maken dat de getroffen beveiligingsmaatregelen in slechts algemene termen worden gerapporteerd. De kosten van het onderzoek komen voor rekening van Verwerkingsverantwoordelijke.
    11. Inhoud en omvang van de opdracht tot Verwerking en de daarvoor te betalen vergoeding is overeenkomstig hetgeen daarover is geregeld in de Overeenkomst.
  5. Subverwerker

    1. Verwerker kan de uitvoering van de Verwerkersovereenkomst geheel of ten dele uitbesteden aan een Subverwerker. Door ondertekening van de Verwerkingsovereenkomst geeft Verwerkingsverantwoordelijke toestemming aan Verwerker voor het geheel of ten dele uitbesteden van Verwerkersovereenkomst. De Subverwerkers zijn opgenomen in de Bijlage 3. Verwerker blijft voor Verwerkingsverantwoordelijke te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.
    2. Verwerker zal aan diens Subverwerkers dezelfde verplichtingen opleggen, middels een overeenkomst, welke voor Verwerker voortvloeien uit deze Verwerkersovereenkomst en toezien op de naleving daarvan door Subverwerkers. Verwerker is volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker.
  6. Verstrekken van Persoonsgegevens

    1. Verwerker verstrekt geen Persoonsgegevens aan anderen dan Verwerkingsverantwoordelijke, tenzij daarvoor schriftelijke toestemming is gegeven door verwerkingsverantwoordelijke aan Verwerker óf Verwerker verplicht is Persoonsgegevens te verstrekken op grond van voor Verwerker geldende wet- en regelgeving. Verwerker zal iedere verstrekking, met de vermelding van de daarbij betrokken partijen en/of personen, schriftelijk bevestigen voor zover dat wettelijk is toegestaan.
    2. In het geval dat Verwerker Persoonsgegevens dient te verstrekken aan derden op grond van voor Verwerker geldende wet- en regelgeving, zal Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren, voorafgaand aan de verstrekking Verwerkingsverantwoordelijke hierover informeren voor zover dat wettelijk is toegestaan, de verstrekking te beperken tot hetgeen wettelijk verplicht is, Verwerkingsverantwoordelijke in staat stellen om de rechten van Verwerkingsverantwoordelijke en Betrokkenen uit te oefenen en de belangen van Verwerkingsverantwoordelijke en Betrokkenen te verdedigen.
  7. Beveiliging

    1. Partijen treffen passende technische en organisatorische maatregelen om op het risico afgestemd beveiligingsniveau te waarborgen, zodat de Verwerking voldoet aan de vereisten van de AVG en aanverwante toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens en de rechten van Betrokkenen worden gewaarborgd. De technische en organisatorische maatregelen genomen door Verwerker zijn opgenomen in Bijlage 2.
    2. Partijen zullen bij het inrichten van de beveiliging van Persoonsgegevens van Betrokkenen rekening houden met de verwerkingsrisico’s, vooral als gevolg van vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
    3. Partijen treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon welke handelt onder het gezag van Verwerkingsverantwoordelijke of Verwerker en toegang heeft tot Persoonsgegevens van Betrokkenen, deze slechts ten behoeve van Verwerkingsverantwoordelijke op grond van de Overeenkomst verwerkt of op grond van de voor Partijen geldende toepasselijke wet- en regelgeving.
  8. Datalekken

    1. In het geval dat er sprake is van een Datalek bij Verwerker, meldt Verwerker dit zodra Verwerker kennis heeft genomen het Datalek, zonder onredelijke vertraging, uiterlijk 24 uur na de kennisneming, aan Verwerkingsverantwoordelijke onder opgave van de aard van het Datalek, de (vermoedelijke) gevolgen daarvan en de maatregelen die zijn getroffen om de gevolgen te verhelpen of te beperken voor zover deze zaken op het tijdstip van melding reeds bekend zijn.
  9. Geheimhouding

    1. Persoonsgegevens verwerkt ten behoeve van Verwerkingsverantwoordelijke op grond van de Overeenkomst zullen door Verwerker vertrouwelijk worden behandeld. Na het beëindigen van deze Verwerkersovereenkomst zal de in dit artikel vastgelegde geheimhoudingsplicht van kracht blijven.
  10. Aansprakelijkheid

    1. Verwerker is aansprakelijk voor schade van Verwerkingsverantwoordelijke welke het gevolg is van het niet-nakomen van, of in strijd handelen met de vereisten van de AVG en/of deze Verwerkersovereenkomst.
    2. De aansprakelijkheid van Verwerker uit hoofde van voorgaand artikel is beperkt tot het bedrag dat de aansprakelijkheidsverzekering van Verwerker in het betreffende geval uitkeert. In ieder geval en ongeacht de dekking door de aansprakelijkheidsverzekering van Verwerker is de aansprakelijkheid van Verwerker beperkt tot € 100.000 per gebeurtenis, tenzij de schade het gevolg is van opzet of grove schuld van Verwerker.
    3. Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken van derden, met name Betrokkenen, en de eventuele schade als gevolg daarvan, gebaseerd op niet naleving van vereisten van de AVG en aanverwante wet- en regelgeving ten aanzien van bescherming van Persoonsgegevens en/of deze Verwerkersovereenkomst.
    4. Verwerker dekt de risico’s genoemd in artikel 9.1 af door middel van een adequate aansprakelijkheidsverzekering.
  11. Duur en beëindiging

    1. De Verwerkersovereenkomst treedt in werking op de dag van ondertekening door Partijen.
    2. Verwerkersovereenkomst eindigt bij beëindiging van de Overeenkomst, ongeacht de reden voor beëindiging.
    3. Bij beëindiging van de Verwerkersovereenkomst zal Verwerker alle Persoonsgegevens overdragen aan Verwerkingsverantwoordelijke, of, op uitdrukkelijk schriftelijk verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens die Verwerker onder zich heeft vernietigen. Er zal geen sprake zijn van vernietiging van die Persoonsgegevens welke Verwerker verplicht is te bewaren op grond van voor Verwerker en/of haar dienstverlening geldende wet- en regelgeving.
    4. Na beëindiging van Verwerkersovereenkomst blijven de verplichtingen, welke naar hun aard bestemd zijn om tevens na beëindiging van de Verwerkersovereenkomst voort te duren, gelden.
  12. Ontbinding

    1. Indien Verwerkingsverantwoordelijke of Verwerker toerekenbaar tekortschiet in de nakoming van de Verwerkersovereenkomst en deze tekortkoming ook na ingebrekestelling niet is opgeheven, kan de wederpartij de Overeenkomst geheel of gedeeltelijk ontbinden, onverminderd het recht op schadevergoeding.
  13. Wijzigingen en aanvullingen

    1. Indien er sprake is van wijzigingen of aanvullingen van deze Verwerkersovereenkomst, worden deze schriftelijk tussen Verwerkingsverantwoordelijke en Verwerker overeengekomen. Deze wijzigingen en/of aanvullingen worden opgenomen in een addendum van deze Verwerkingsovereenkomst en zijn bindend vanaf het moment dat Partijen uitdrukkelijk akkoord gaan met de bepalingen van dit addendum.

Bijlage 1 – Verwerkingsactiviteiten m.b.t. Afnemers van Merchant door PayPro

Op grond van de Overeenkomst is het voor Merchant mogelijk verschillende Persoonsgegevens te verwerken in de Webapplicatie. Afhankelijk van de keuzes van de Merchant over welke gegevens worden ingevuld in de Webapplicatie, en de gekozen betaalmethode, kunnen er verschillende Persoonsgegevens worden verwerkt in de Webapplicatie. De onderstaande gegevens worden verkregen van de Merchant ten behoeve van de uitvoering van de Overeenkomst door PayPro. Bij het verwerken van de transacties, worden de transactiegegevens tevens gedeeld met partijen welke betrokken zijn bij de transactieverwerking. Dit zijn de Aqcuirers waarmee PayPro een overeenkomst heeft. Daarnaast heeft Merchant de mogelijkheid om het PayPro systeem te koppelen met systemen welke geen onderdeel uitmaken van de dienstverlening van PayPro. Een koppeling kan worden gemaakt met Magento, WooCommerce en Zapier. Door een koppeling te maken met (een van) deze systemen, ontvangen deze systemen de persoonsgegevens welke verwerkt zijn in het PayPro systeem. Om welke gegevens het precies gaat hangt af van welk systeem gebruikt wordt. In het overzicht van verwerkingen is zichtbaar welke Persoonsgegevens kunnen worden verwerkt door PayPro.

Tot slot zet PayPro Affiliate cookies in ten behoeve van haar diensten aan Merchants en Affiliates. Met deze cookies kan er een link gelegd worden tussen de Affiliate die de bezoeker naar de website van Merchant doorstuurt en een eventuele betaling die naar aanleiding hiervan plaatsvindt. Ten behoeve hiervan wordt het IP-adres (welke geanonimiseerd is) van de bezoeker opgeslagen. Op basis van deze informatie kan Merchant de Affiliate belonen voor diens inspanningen door een commissie toe te kennen aan de Affiliate.

Bewaartermijn van persoonsgegevens van Afnemer

Verwerking #1: Welke gegevens van de Afnemer worden verwerkt hangt af van de gebruikte betaalmethode en de keuzes van de Merchant. Deze gegevens worden bewaard gedurende vijf jaar na het tijdstip van het beëindigen van de zakelijke relatie met de Merchant ten behoeve waarvan de trasactie is verwerkt of tot vijf jaar na het uitvoeren van de desbetreffende transactie.

Verwerking #2: Deze verwerking betreft het IP-adres van de Afnemer wanneer deze een product of dienst, aangeboden door een Merchant van PayPro waarvan de betreffende transactie wordt verwerkt door PayPro, middels het gebruik van een affiliatelink, geplaatst door een bij PayPro aangesloten Affiliate, bekijkt of afrekent. Hierbij wordt een zogenaamde Affiliate cookie geplaatst. Dit betekent dat het betreffende IP-adres gelinkt wordt naar de betreffende Affiliatelink. De bewaartermijn hiervan is 5 jaar.

Doel van de verwerkingen van persoonsgegevens van Afnemer

Verwerking #1: Het verwerken van deze gegevens heeft twee doelen:

  1. Het voldoen aan de Overeenkomst. Op grond van de Overeenkomst tussen de betaaldienstverlener en PayPro is het mogelijk dat PayPro het PayPro saldo van de betaaldienstgebruiker verrekent met het bedrag van de aankoop wanneer Afnemer de betaling terug draait. Hiervoor zijn er aankoopgegevens nodig. Daarnaast is het voor de betaaldienstgebruiker mogelijk om een terugbetaling in werking te stellen middels het gebruik van de diensten van PayPro.
  2. Wettelijke verplichting. PayPro is op grond van artikel 34 van de Wwft verplicht de gegevens, welke betrekking hebben op de transactie ten behoeve van betaaldienstgebruiker, vast te leggen op een wijze dat die gegevens opvraagbaar zijn en de desbetreffende transactie reconstrueerbaar is gedurende vijf jaar na het tijdstip van het doen van de melding over een ongebruikelijke transactie.

Verwerking #2: Op grond van de Overeenkomst tussen betaaldienstgebruiker en PayPro stelt PayPro haar affiliatienetwerk ter beschikking. Als beloning voor de promotieactiviteiten van een Affiliate betaalt PayPro commissies uit.

Grondslag voor het verwerken van persoonsgegevens van Afnemer

Verwerking #1: Grondslag m.b.t. doel 1 is het uitvoeren van de overeenkomst. Grondslag m.b.t. doel 2 is een wettelijke verplichting.

Verwerking #2: Op grond van artikel 11.7a van de Telecommunicatiewet is er toestemming nodig van de eindgebruiker, hier te lezen als Afnemer, voordat gegevens mogen worden uitgelezen of geplaatst bij diens randapparatuur zoals computers, laptops, tablets of telefoons. Op grond van lid 3 sub b van hetzelfde artikel is de toestemming niet vereist wanneer deze gegevens noodzakelijk zijn voor de uitvoering van de dienst mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. Minister Henk Kamp van Economische Zaken heeft in mei 2013 de Tweede Kamer per brief geïnformeerd over een voorgestelde wijziging van de zogenaamde cookiewet dat een onderdeel is van de Telecommunicatiewet, welke inmiddels van kracht is. De minister geeft aan dat hij voornemens is de wet zodanig aan te passen dat voor Affiliate cookies, naast functionele en analytische cookies, geen expliciete toestemming meer gevraagd hoeft te worden. Dit, omdat Affiliate cookies niet zijn bedoeld om informatie te verzamelen over de gebruiker, maar over de Affiliate. Op basis van deze informatie kan worden beoordeeld welke Affiliate het recht heeft op de uitbetaling van een commissie omdat zijn advertentie heeft geleid tot een verkoop. Wanneer door middel van Affiliate cookies verkregen informatie alleen voor deze doelen worden gebruikt, zal dit geen of nauwelijks gevolgen hebben voor de privacy van de internetgebruiker en valt dit type cookies onder de uitzondering. Op grond van de overeenkomst tussen Merchant en PayPro kan PayPro het IP-adres voor het matchen tussen een klik op de Affiliatelink en de transactie bij de Merchant verwerken. Een klik is wezenlijk het IP-adres waarvandaan de klik gerealiseerd is. Dit IP-adres is door PayPro geanonimiseerd en zal geen tot nauwelijks gevolgen hebben voor de privacy van de internetgebruiker. Tevens wordt het IP-adres enkel gebruikt met het doel Affiliate commissies uit te betalen. Hierom valt deze verwerking onder de bovengenoemde uitzondering en is daarmee de rechtsgrond een gerechtvaardigde belang.

Ontvangers van persoonsgegevens

Verwerking #1: Afhankelijk van de gekozen betaalmethode door de Afnemer en de keuzes van de Merchant kunnen persoonsgegevens worden gedeeld met de Aqcuirers waarmee PayPro een overeenkomst heeft. Het belang van de ontvangende partijen is het uitvoeren van de overeenkomst die ze hebben met PayPro, oftewel het verwerken van de transactie. Daarnaast worden gegevens van Afnemers gedeeld met systemen waarvoor Merchant een koppeling maakt met Webapplicatie. De mogelijke koppelingen zijn Magento, WooCommerce en Zapier. Welke persoonsgegevens gedeeld worden is afhankelijk van het systeem welke aan Webapplicatie gekoppeld wordt.

Verwerking #2: Mits een product of dienst van Merchant is afgerekend door de promotieactiviteiten van Affiliate, zijn de aankoopgegevens tevens in het account van betreffende Affiliate zichtbaar in de Webapplicatie.

OVERZICHT VERWERKINGEN M.B.T AFNEMER

Persoonsgegevens Bewaartermijn Doel Grondslag Belang Ontvangers
Verwerking #1
Naam waarmee de aankoop gerealiseerd is
Adres
Woonplaats
Telefoonnummer
E-mailadres
IBAN
Kaartnummer in het geval van een creditcard betaling
5 jaar na het tijdstip van het beëindigen van de zakelijke relatie of tot vijf jaar na het uitvoeren van de desbetreffende transactie. Dienstverlening aan de Merchant om eventuele terugbetalingen e.d. uit te voeren. Uitvoeren van de overeenkomst. Aqcuirers waarmee PayPro een overeenkomst heeft. Het belang van de ontvangende partijen is het uitvoeren van de overeenkomst die ze hebben met PayPro, oftewel het verwerken van de transactie.
In het geval Consument een eenmanszaak is of een VOF:
Handelsnaam
Handelsadres
KvK-nummer
BTW-nummer
De transactiegegevens betrekking hebbende op de Merchant te bewaren. Wettelijke verplichting. Mits gebruik is gemaakt van affiliatelink, Affiliate om controle te hebben op de uitvoering van Affiliate commissies.
Verwerking #2
IP-adres (Affiliate cookie)
5 jaar na het tijdstip van het beëindigen van de zakelijke relatie of tot vijf jaar na het uitvoeren van de desbetreffende transactie. 1 jaar Het uitvoeren van Affiliate commissies Gerechtvaardigd belang

De bron van waar de gegevens van de Afnemer vandaan komen is de Merchant. Merchant draagt zorg voor dat PayPro de gegevens, noodzakelijk voor de transactieverwerking, aan PayPro levert.

Bijlage 2 – Maatregelen en Certificeringen van PayPro

Maatregelen

  1. De Verwerker hanteert een beleidsdocument dat expliciet ingaat op de maatregelen die de Verwerker treft om de verwerking van de gegevens te beveiligen, alsmede de privacy van Betrokkenen wier Persoonsgegevens verwerkt worden, te waarborgen.
  2. De taken en verantwoordelijkheden t.o.v. van Verwerking van Persoonsgegevens van Betrokkenen zijn duidelijk gedefinieerd in een intern beleidsdocument.
  3. De personeelsleden van de Verwerker die betrokken zijn bij de Verwerking van Persoonsgegevens zijn gehouden aan een geheimhoudingsplicht en indien van toepassing heeft voorafgaand aan de indiensttreding een screening plaatsgevonden, door middel van een verklaring omtrent het gedrag welke door Verwerker is opgevraagd en gecontroleerd.
  4. Alle personeelsleden van de Verwerker en, voor zover van toepassing, ingehuurd personeel en externe gebruikers zijn/worden geïnstrueerd over het beveiligingsbeleid en de beveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Hierbij wordt tevens aandacht besteed aan de omgang van Persoonsgegevens.
  5. Apparatuur en IT-voorzieningen van Verwerker zijn fysiek beschermd tegen toegang door onbevoegden.
  6. Verwerker beschikt over een intern beleid waarin de toegang voor bevoegde gebruikers beschreven wordt tot de informatiesystemen en - diensten welke zij voor de uitvoering van hun taken nodig hebben om onbevoegde toegang tot informatiesystemen te voorkomen.
  7. Zodra een werkruimtes onbezet zijn worden deze afzonderlijk van elkaar afgesloten om de toegang voor onbevoegden te weigeren.
  8. Verwerker beschikt over procedures voor de verwerving, onderhoud en vernietiging van Persoonsgegevens.
  9. Activiteiten m.b.t. Persoonsgegevens worden vastgelegd in logbestanden. Dit geldt tevens voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens.
  10. Verwerker heeft in de Webapplicatie beveiligingsmaatregelen ingebouwd voor een adequaat toegangsbeheer zowel voor Merchant als voor de personeelsleden van Verwerker.
  11. Het gebruik van Webapplicatie wordt actief gemonitord en beheerd. Daarnaast beschikt Verwerker over een procedure om eventuele datalekken af te handelen, waaronder het informeren van Verwerkingsverantwoordelijke.
  12. De Verwerkingsverantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder (veelal de Autoriteit Persoonsgegevens).

Certificeringen

De servers van Verwerker worden op gescheiden locaties beheerd waarbij de hostingproviders veel beveiligingsmaatregelen hebben genomen zoals: cameratoezicht, inbraakbeveiliging, 2 onafhankelijke surveillancediensten, dubbele authenticatie met RFID toegangspassen en irisscanners, VEB certificatie niveau 4, ISO/IEC 27001 en NEN 7510 certificaten.

Daarnaast is Verwerker gecertificeerd als Collecterende Payment Service Provider (hierna: “CPSP”)en heeft deze hiertoe een IDEAL-certificaat verworven welke uitgegeven is door Currence IDEAL B.V. Currence is eigenaar en merkhouder van de betaalformule IDEAL. Voor het verkrijgen van dit certificaat heeft PayPro aan moeten tonen de veiligheidsvoorschriften, gesteld door Currence, na te leven. Currence houdt hier toezicht op. Door het bemachtigen van dit certificaat mag PayPro IDEAL-betalingen aanbieden in de hoedanigheid van een CPSP.

Bijlage 3 – Subverwerkers

  1. Currence IDEAL BV
  2. Atos Worldline N.V./S.A.
  3. PayPal Pte Ltd
  4. AfterPay B.V.
  5. Klarna BV
  6. Bancontact Company NV
  7. ABN AMRO Bank N.V.
  8. Sofort AG

Duizenden ondernemers gebruiken PayPro

Wil jij ook een betaaldienstverlener die jouw privacy zeer serieus neemt?