Deze gegevensverwerkingsovereenkomst (“DPA” of “Overeenkomst”) wordt gesloten tussen:
| Veld | Details |
|---|---|
| Bedrijfsnaam | [VOLLEDIGE WETTELIJKE NAAM VAN DE KLANT] |
| Geregistreerd adres | [ADRES] |
| BTW-nummer / Bedrijfsnummer | [BTW-nummer] |
| Contactpersoon gegevensbescherming | [E-MAILADRES DPO / CONTACTGEGEVENS] |
| Ondertekenende vertegenwoordiger | [NAAM, TITEL] |
| Veld | Details |
|---|---|
| Bedrijfsnaam | Xygeni Security, SL |
| Geregistreerd adres | C/Pasión 4, 2 Planta, 47001 Valladolid, Spanje |
| BTW | B09620287 |
| Contactpersoon gegevensbescherming | info@xygeni.io |
| Ondertekenende vertegenwoordiger | [NAAM, TITEL] |
Controller en Processor worden hierna afzonderlijk aangeduid als een “Partij” en gezamenlijk als de “Partijen”.
Deze DPA maakt deel uit van de Master Service Agreement of de Algemene Voorwaarden (“Hoofdovereenkomst”) tussen de Partijen, die de levering door Xygeni van applicatiebeveiliging regelt. software supply chain security diensten (de “Diensten”). In geval van conflict tussen deze DPA en de Hoofdovereenkomst, prevaleert deze DPA met betrekking tot gegevensbeschermingskwesties.
Voor de doeleinden van deze DPA:
De partijen erkennen en komen overeen dat:
Wanneer Xygeni persoonsgegevens verwerkt voor eigen doeleinden (bijvoorbeeld accountbeheer, facturering, analyses voor serviceverbetering), treedt het op als onafhankelijke verwerkingsverantwoordelijke. Dergelijke verwerkingen vallen onder het privacybeleid van Xygeni en vallen buiten het toepassingsgebied van deze gegevensverwerkingsovereenkomst.
Het onderwerp, de aard, de duur en het doel van de verwerking, alsmede de soorten persoonsgegevens die worden verwerkt en de categorieën betrokkenen, zijn uiteengezet in Bijlage 1 (Verwerkingsdetails) bij deze DPA.
De verwerker verwerkt klantgegevens uitsluitend voor zover dat nodig is om de in de hoofdovereenkomst beschreven diensten te leveren en in overeenstemming met de schriftelijke instructies van de verwerkingsverantwoordelijke, tenzij dit wettelijk verplicht is. In dat geval stelt de verwerker de verwerkingsverantwoordelijke op de hoogte van deze wettelijke verplichting voordat de gegevens worden verwerkt, tenzij dit wettelijk verboden is op grond van zwaarwegende redenen van algemeen belang.
Verantwoordelijke draagt Verwerker op om Klantgegevens te verwerken voor zover nodig om: (a) de Diensten te leveren in overeenstemming met de Hoofdovereenkomst; (b) te voldoen aan de instructies van Verantwoordelijke die van tijd tot tijd schriftelijk worden meegedeeld; en (c) de verplichtingen van Verwerker onder deze DPA na te komen.
De verwerker dient de verwerkingsverantwoordelijke onmiddellijk op de hoogte te stellen indien de verwerker redelijkerwijs van mening is dat een instructie van de verwerkingsverantwoordelijke in strijd is met de toepasselijke wetgeving inzake gegevensbescherming. In dat geval is de verwerker gerechtigd de verwerking op grond van die instructie te staken totdat de verwerkingsverantwoordelijke de instructie heeft verduidelijkt of gewijzigd.
De verwerkingsverantwoordelijke garandeert en verklaart dat: (a) hij een geldige wettelijke grondslag heeft op grond van artikel 6 (en, waar van toepassing, artikel 9) van de AVG voor de verwerking van de betreffende persoonsgegevens; (b) hij alle vereiste kennisgevingen heeft gedaan en alle vereiste toestemmingen heeft verkregen; en (c) de overdracht van klantgegevens aan de verwerker geen toepasselijke wetgeving schendt.
De verwerker verwerkt klantgegevens uitsluitend op basis van de gedocumenteerde instructies van de verwerkingsverantwoordelijke, tenzij dit vereist is door de toepasselijke EU-wetgeving of de wetgeving van een lidstaat. De verwerker verwerkt klantgegevens niet voor eigen doeleinden en verstrekt deze niet aan derden, behalve voor zover nodig voor het leveren van de diensten of zoals wettelijk vereist.
De verwerker dient ervoor te zorgen dat personen die bevoegd zijn om klantgegevens te verwerken, beschikken over de benodigde kwalificaties. commithebben zich verplicht tot geheimhouding of zijn gebonden aan een passende wettelijke geheimhoudingsplicht. De toegang tot klantgegevens is beperkt tot die werknemers, contractanten en subverwerkers die toegang nodig hebben om de diensten te kunnen leveren.
De verwerker dient passende technische en organisatorische maatregelen te implementeren en te handhaven om klantgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onbedoeld verlies, vernietiging, beschadiging, wijziging of openbaarmaking, rekening houdend met:
Dergelijke maatregelen omvatten ten minste de maatregelen zoals uiteengezet in Bijlage 2 (Technische en organisatorische beveiligingsmaatregelen) van deze DPA. De ISO 27001-certificering van de verwerker levert bewijs van een basisinformatiebeveiligingsbeheersysteem. De verwerker dient de ISO 27001-certificering of een gelijkwaardige certificering gedurende de gehele looptijd van deze DPA te behouden.
De verwerker zal, rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke, voor zover mogelijk, bijstaan met passende technische en organisatorische maatregelen om te voldoen aan de verplichting van de verwerkingsverantwoordelijke om te reageren op verzoeken om uitoefening.cisDe rechten van de betrokkene onder de toepasselijke wetgeving inzake gegevensbescherming (waaronder de rechten op inzage, correctie, verwijdering, beperking, overdraagbaarheid en bezwaar onder de artikelen 15-22 van de AVG).
De verwerker zal: (a) de verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen indien de verwerker een verzoek ontvangt van een betrokkene met betrekking tot klantgegevens; (b) niet op dergelijke verzoeken reageren, behalve op schriftelijke instructies van de verwerkingsverantwoordelijke of zoals vereist door de toepasselijke wetgeving; en (c) de verwerkingsverantwoordelijke redelijke hulp bieden bij het beantwoorden van dergelijke verzoeken binnen de toepasselijke wettelijke termijnen (30 dagen op grond van artikel 12 van de AVG).
De verwerker zal de verwerkingsverantwoordelijke bijstaan bij het waarborgen van de naleving van de verplichtingen uit hoofde van de artikelen 32-36 van de AVG, rekening houdend met de aard van de verwerking en de informatie waarover de verwerker beschikt, met inbegrip van:
Bij beëindiging of afloop van de Hoofdovereenkomst, of op verzoek van de Verwerker, zal de Verwerker, naar keuze van de Verwerker, alle Klantgegevens in zijn bezit verwijderen of aan de Verwerker retourneren, en zal hij bestaande kopieën verwijderen, tenzij de toepasselijke EU- of nationale wetgeving de bewaring van de Persoonsgegevens vereist. De Verwerker zal de voltooiing van de verwijdering schriftelijk bevestigen binnen 30 dagen na de betreffende aanleiding.
Processor standard Het schema voor gegevensbewaring (zoals uiteengezet in Bijlage 1) is van toepassing, tenzij de verwerkingsverantwoordelijke eerder een verzoek tot verwijdering indient.
De verwerker stelt alle informatie ter beschikking aan de verwerkingsverantwoordelijke die nodig is om aan te tonen dat aan de verplichtingen uit deze gegevensverwerkingsovereenkomst is voldaan, en werkt mee aan audits, inclusief inspecties, uitgevoerd door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke aangewezen auditor.
De verwerker kan aan deze verplichting voldoen door het volgende te verstrekken:
De verwerker dient de verwerkingsverantwoordelijke onverwijld, en in elk geval binnen 48 uur, op de hoogte te stellen van een inbreuk op persoonsgegevens die klantgegevens betreft. Deze melding dient, voor zover op dat moment beschikbaar, de volgende informatie te bevatten:
Indien het niet mogelijk is om alle bovenstaande informatie gelijktijdig te verstrekken, kan de informatie in fasen worden verstrekt zonder onnodige verdere vertraging. De verwerker zal met de verwerkingsverantwoordelijke samenwerken en de redelijke stappen ondernemen die de verwerkingsverantwoordelijke nodig acht om te helpen bij het onderzoek naar, de beperking van en het herstel van de inbreuk.
De partijen erkennen dat de verplichting onder artikel 33 van de AVG om de bevoegde toezichthoudende autoriteit (Agencia Española de Protección de Datos — AEPD, of een andere relevante autoriteit) binnen 72 uur na kennisname van een inbreuk op persoonsgegevens op de hoogte te stellen, rust op de verwerkingsverantwoordelijke als gegevensverantwoordelijke. De melding van de verwerker aan de verwerkingsverantwoordelijke op grond van deze clausule is bedoeld om de verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke verplichting te voldoen. De melding van de verwerker vormt geen erkenning van schuld of aansprakelijkheid.
De verwerkingsverantwoordelijke verleent de verwerker algemene toestemming om subverwerkers in te schakelen zoals vermeld in bijlage 3 (goedgekeurde subverwerkers) van deze gegevensverwerkingsovereenkomst. De verwerker legt elke subverwerker verplichtingen inzake gegevensbescherming op die gelijkwaardig zijn aan die welke in deze gegevensverwerkingsovereenkomst zijn vastgelegd, met name door voldoende garanties te bieden voor de implementatie van passende technische en organisatorische maatregelen.
De verwerker dient de verwerkingsverantwoordelijke op de hoogte te stellen van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van subverwerkers door: (a) de lijst met subverwerkers op https://xygeni.io/legal/subprocessors bij te werken met de herziene datum van de laatste update; en (b) de verwerkingsverantwoordelijke ten minste tien (10) dagen voordat de wijziging van kracht wordt schriftelijk hiervan in kennis te stellen. De verwerkingsverantwoordelijke kan binnen zeven (7) dagen na deze kennisgeving bezwaar maken tegen de wijziging op grond van redelijke gegevensbeschermingsgronden. Indien de verwerkingsverantwoordelijke bezwaar maakt en de partijen het bezwaar niet kunnen oplossen, kan de verwerkingsverantwoordelijke de hoofdovereenkomst met redelijke opzegtermijn en zonder boete beëindigen.
Indien de verwerker een subverwerker inschakelt, blijft de verwerker volledig aansprakelijk jegens de verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van die subverwerker, voor zover de subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt.
Voor elke subprocessor moet de processor het volgende doen:
De verwerker mag klantgegevens niet overdragen naar een land buiten de Europese Economische Ruimte (EER), tenzij:
Indien SCC's vereist zijn, zal de Processor, op verzoek van de Controller, de toepasselijke SCC's uitvoeren met de Controller en/of met de betreffende Sub-processor. De toepasselijke module van de SCC's is Module Twee (Controller naar Processor) voor overdrachten van de Controller naar de Processor, en Module Drie (Processor naar Sub-processor) voor verdere overdrachten door de Processor naar Sub-processors.
De bevoegde toezichthoudende autoriteit voor de toepassing van de standaardcontractbepalingen is het Spaanse Agentschap voor Gegevensbescherming (Agencia Española de Protección de Datos — AEPD), tenzij schriftelijk anders is overeengekomen.
De verwerker dient op verzoek van de verwerkingsverantwoordelijke een actueel overzicht bij te houden van alle internationale overdrachten van klantgegevens en het daarvoor geldende overdrachtsmechanisme, en dit overzicht op dit overzicht ter beschikking te stellen.
9. Gegevensbeschermingseffectbeoordelingen
Wanneer een verwerkingsactiviteit waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen en de verwerkingsverantwoordelijke op grond van artikel 35 van de AVG een gegevensbeschermingseffectbeoordeling (DPIA) moet uitvoeren, moet de verwerker de verwerkingsverantwoordelijke redelijke hulp en informatie verstrekken die nodig is om de verwerkingsverantwoordelijke in staat te stellen de DPIA uit te voeren. De verwerker moet binnen 15 werkdagen reageren op redelijke verzoeken van de verwerkingsverantwoordelijke met betrekking tot de DPIA.
De verwerker dient op verzoek van de verwerkingsverantwoordelijke een register bij te houden van de verwerkingsactiviteiten die namens de verwerkingsverantwoordelijke zijn uitgevoerd, overeenkomstig artikel 30(2) van de AVG, met inbegrip van: de naam en contactgegevens van de verwerker en eventuele subverwerkers; de categorieën van verwerkingen die namens de verwerkingsverantwoordelijke zijn uitgevoerd; overdrachten van persoonsgegevens naar een derde land; en een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
De aansprakelijkheid van elke partij jegens de andere partij uit hoofde van of in verband met deze gegevensverwerkingsovereenkomst is onderworpen aan de beperkingen en uitsluitingen zoals uiteengezet in de hoofdovereenkomst. Indien een betrokkene schade heeft geleden als gevolg van een verwerking die in strijd is met de toepasselijke wetgeving inzake gegevensbescherming, is elke partij aansprakelijk voor de schade die is veroorzaakt door haar verwerking die in strijd is met de AVG overeenkomstig de artikelen 82-83 van de AVG. Niets in deze clausule beperkt de aansprakelijkheid van een van beide partijen jegens betrokkenen uit hoofde van de toepasselijke wetgeving.
Deze gegevensverwerkingsovereenkomst treedt in werking op de datum van de hoofdovereenkomst (of op de datum van ondertekening van deze gegevensverwerkingsovereenkomst indien deze later is) en blijft van kracht gedurende de looptijd van de hoofdovereenkomst. Beëindiging van de hoofdovereenkomst, om welke reden dan ook, leidt automatisch tot beëindiging van deze gegevensverwerkingsovereenkomst.
Na beëindiging blijven de verplichtingen van de Verwerker onder clausule 5.6 (verwijdering of teruggave van gegevens) van kracht en dient de Verwerker de verwijdering of teruggave van Klantgegevens binnen 30 dagen na beëindiging te voltooien. Clausules met betrekking tot vertrouwelijkheid, aansprakelijkheid, toepasselijk recht en audit blijven eveneens van kracht na beëindiging.
Deze gegevensverwerkingsovereenkomst wordt beheerst door en uitgelegd in overeenstemming met de wetten van Spanje. Partijen onderwerpen zich aan de niet-exclusieve jurisdictie van de rechtbanken van Madrid voor de oplossing van elk geschil dat voortvloeit uit of verband houdt met deze gegevensverwerkingsovereenkomst. Voor zover een bepaling van deze gegevensverwerkingsovereenkomst in strijd is met de standaardcontractbepalingen, prevaleren de standaardcontractbepalingen.
Volledige overeenkomst: Deze DPA, tezamen met de bijlagen en de hoofdovereenkomst, vormt de volledige overeenkomst tussen de partijen met betrekking tot het onderwerp hiervan en vervangt alle eerdere overeenkomsten, afspraken of verklaringen met betrekking tot gegevensverwerking.
Wijzigingen: Deze gegevensverwerkingsovereenkomst kan alleen worden gewijzigd door middel van een schriftelijke overeenkomst die is ondertekend door bevoegde vertegenwoordigers van beide partijen.
Scheidbaarheid: Indien een bepaling van deze DPA ongeldig of niet-afdwingbaar wordt verklaard, blijven de overige bepalingen onverminderd van kracht.
Voorrang: In geval van een conflict tussen deze DPA en de Bijlagen, prevaleert de tekst van de DPA, tenzij de Bijlagen uitdrukkelijk anders bepalen. In geval van een conflict tussen deze DPA en de Standaard Contractvoorwaarden (indien van toepassing), prevaleren de Standaard Contractvoorwaarden.
Het onderwerp van de verwerking is de levering door Xygeni van application security posture management, software supply chain security analyse, kwetsbaarheidsdetectie, CI/CD Beveiligingsmonitoring en aanverwante diensten zoals beschreven in de Hoofdovereenkomst.
Het verzamelen, organiseren, structureren, opslaan, analyseren, opvragen, gebruiken, openbaar maken door middel van overdracht, afstemmen of combineren, beperken, wissen of vernietigen van klantgegevens.
De verwerking van klantgegevens vindt uitsluitend plaats met het doel de diensten aan de verwerkingsverantwoordelijke te leveren, waaronder: detectie en rapportage van beveiligingslekken; risicoanalyse van de softwareleveringsketen; CI/CD pipeline security Monitoring, detectie van afwijkingen en klantondersteuning.
De verwerker verwerkt klantgegevens gedurende de looptijd van de hoofdovereenkomst. Na beëindiging bewaart de verwerker de klantgegevens gedurende 3 maanden na de einddatum van het abonnement, alvorens deze te verwijderen, tenzij de verwerkingsverantwoordelijke om eerdere verwijdering verzoekt. Gegevens van proefaccounts worden gedurende 1 maand na afloop van de proefperiode bewaard.
| Categorie | Voorbeelden |
|---|---|
| Gebruikersaccountgegevens | Naam, e-mailadres, gebruikersnaam, wachtwoordhash, rol, organisatie |
| Activiteits- en gebruiksgegevens | Login gebeurtenissen, API-aanroepen, scanactiviteitenlogboeken, tijdstempels, IP-adressen |
| Beveiligingsmetadata | Repositorynamen, bestandspaden (waar bevindingen voorkomen), metadata van afhankelijkheden, pipeline configuratiereferenties |
| Communicatiegegevens | Ondersteuningstickets, e-mailcorrespondentie met betrekking tot de diensten. |
Tot de betrokkenen behoren: werknemers, contractanten en andere geautoriseerde gebruikers van de verwerkingsverantwoordelijke die toegang hebben tot de diensten; bijdragers (ontwikkelaars, botaccounts, buildagents) aan repositories en pipelinewordt gecontroleerd door de diensten; en vertegenwoordigers en contactpersonen van de verwerkingsverantwoordelijke.
De Diensten zijn niet ontworpen voor de verwerking van bijzondere categorieën persoonsgegevens zoals gedefinieerd in artikel 9 van de AVG. De verwerkingsverantwoordelijke garandeert dat hij geen bijzondere categorieën persoonsgegevens aan de Diensten zal verstrekken zonder voorafgaande schriftelijke toestemming van Xygeni en de implementatie van passende aanvullende waarborgen.
Xygeni implementeert de volgende technische en organisatorische maatregelen ter bescherming van klantgegevens, in overeenstemming met het ISO 27001-gecertificeerde informatiebeveiligingsbeheersysteem van Xygeni:
