Français / Vlaams

CONDITIONS GENERALES DE HOSPITALITY DIGITAL GMBH POUR L’OUTIL DE RESERVATION DE TABLES

Cet outil de réservation de tables (ci-après « ORT ») est exploité par Hospitality Digital GmbH, Metro-Straße 1, 40235 Düsseldorf (« H.d »).

1. Champ d’application

1.1 H.d fournit les ervices et autres prestations exclusivement sur la base des conditions contractuelles suivantes (ci-après dénommés « CGV »).

1.2 Les présentes CGV s’appliquent à l’utilisation de l’ORT qui vous (ci-après dénommé « Client ») est fourni par le biais du site Internet des Restaurants participants (ci-après dénommés « Restaurants »). L’ORT permet au Client de réserver une table dans le Restaurant de son choix (ci-après « Services »).

1.3 Les conditions du Client à tout autre effet ne s’appliquent pas, même si H.d ne les rejette pas expressément et/ou malgré le fait que H.d soit au courant des conditions du Client, à effet autre et/ou contradictoire, et/ou si H.d effectue la prestation des Service sans objection.

2. Objet et disponibilité des Services

2.1 L’objet des Services est l’organisation d’une réservation de table ainsi que d’autres prestations de restauration qui sont mis à la disposition du Client directement depuis le Restaurant. Toutes les obligations découlant de la réservation ou des autres prestations de restauration proposées relèvent directement et exclusivement de la relation entre le Client et le Restaurant. Il n’existe aucune relation contractuelle entre le Client et H.d allant au-delà de l’arrangement de la réservation de table.

2.2 H.d, agissant en qualité d’intermédiaire ou de porteur de la déclaration d’intention, transmet la réservation de table du Client au Restaurant choisi par le Client. Le Client est responsable de l’exactitude des données fournies par le Client, en particulier de ses coordonnées et des conditions de réservation (date, heure, nombre de personnes).

2.3 La prestation des Services par H.d pour le Client est gratuite. Pour cette raison, H.d ne garantit pas la disponibilité ininterrompue des Services.

3. Confirmation de la réservation, modifications et annulations

3.1 La réservation du Client n’engage le Restaurant que lorsque le Restaurant a envoyé une confirmation de réservation à l’adresse e-mail fournie par le Client. La validité de la confirmation reste inchangée si une adresse e-mail incorrecte est fournie. Peu de temps avant votre réservation, nous vous enverrons un rappel par SMS ou e-mail.

3.2 La réservation par le Client peut être soumise à des conditions supplémentaires déterminées par le Restaurant et en complément des présentes CGV. Il est de la responsabilité du Client de prendre connaissance de ces conditions supplémentaires du Restaurant.

3.3 Le Client peut annuler sa réservation à tout moment - - en entrant en contact avec le Restaurant grâce aux coordonnées fournies. Le Client est conscient que le Restaurant peut – si applicables – facturer des frais d’annulation si une réservation confirmée est annulée. Ces frais d’annulation sont facturés exclusivement par le Restaurant.

3.4 Le Client doit discuter des détails de l’annulation ou des modifications de la réservation directement avec le Restaurant en sa qualité de partenaire contractuel direct pour la réservation. Si vous n’êtes pas présents dans le Restaurant à l’heure de votre réservation, vous pouvez recevoir un rappel par SMS ou e-mail. Dans ce SMS/cet e-mail, il vous sera demandé de répondre ou d’accepter votre réservation dans un certain délai ; sinon, votre réservation pourra être annulée.

3.5 H.d est en droit d’annuler une réservation du Client dans certains cas et/ou de restreindre ou d’empêcher l’utilisation des Services par le Client pour une raison valable, s’il y a des indications réelles de mauvaise utilisation des Services par le Client. L’annulation est notamment envisagée si, par le passé, le Client, sans annulation préalable, n’avait pas donné suite à sa réservation/ ou en cas de doubles réservations inacceptables.

4. Garantie et responsabilité

4.1 Toutes les informations sur les disponibilités du Restaurant (et, le cas échéant, d’autres informations telles que les prix) sont fournies exclusivement par le Restaurant. Le Restaurant est seul responsable de l’exactitude et de l’actualité des informations fournies. H.d ne vérifie pas les informations fournies par le Restaurant et ne garantit ni n’assume aucune responsabilité quant à l’exactitude de ces informations.

4.2 H.d n’est pas responsable de la conclusion d’un contrat entre le Restaurant et le Client et n’est pas responsable des dommages encourus par le Client dans le cadre de la prestation des services dus par le Restaurant.

4.3 En outre, H.d n’est pas responsable des dommages subis par le Client, quels que soient les motifs juridiques, sauf s’ils résultent

(a) d’une violation fautive des obligations contractuelles essentielles. Il s’agit d’obligations dont l’exécution permet en premier lieu l’exécution correcte du contrat et auxquelles le Client peut se fier à l’observation. Dans ce cas, la responsabilité de H.d se limite à ces dommages, que H.d pourrait prévoir en fonction des circonstances connues au moment de la conclusion du contrat.

(b) d’une négligence grave ou faute intentionnelle de la part de H.d ;

(c) d’une atteinte à la vie, à l’intégrité corporelle ou à la santé, ou en cas de violation de la loi belge sur la responsabilité du fait des produits défectueux ou de toute autre responsabilité légale impérative, selon la loi applicable.

4.4 La garantie et les droits à dommages et intérêts sont soumis à un délai de prescription d’un an au plus tard après la date à laquelle le Client a eu connaissance de l’événement dommageable. Ceci ne s’applique pas aux réclamations découlant d’un délit civil.

5. Protection des données

5.1 Dans le cadre de ce contrat, H.d collecte, traite et utilise les données à caractère personnel du Client en principe uniquement dans le but de fournir les Services, pour autant qu’un accord l’y autorise ou qu’une disposition légale permet la collecte, le traitement et l’utilisation.

5.2 Les données seront transmises au Restaurant dans la mesure nécessaire à l’exécution de la réservation.

5.3 Vous trouverez de plus amples informations sur la protection des données dans notre déclaration de protection des données.

6. Divers

6.1 H.d se réserve le droit de modifier les présentes CGV à tout moment avec effet pour l’avenir. Le Client est libre d’accepter la version modifiée des CGV pour une réservation ultérieure. Toutefois, si le Client n’accepte pas les CGV modifiées, il ne pourra pas utiliser les Services.

6.2 Les présentes CGV ainsi que toutes les revendications et tous les droits découlant des présentes conditions générales ou en relation avec celles-ci sont exclusivement régis par le droit belge, à l’exclusion des dispositions de conflit de lois, et sont interprétés et appliqués conformément au droit belge. L’application de la Convention des Nations unies sur les contrats de vente internationale de marchandises (CIVM) est exclue.

6.3 Le lieu d’exécution est la Belgique. Dans la mesure où la loi le permet, le tribunal compétent est celui de Bruxelles. Dans le cas contraire, la juridiction compétente sera décidée selon les dispositions légales appropriées.

6.4 Le lien suivant vous conduira à la plateforme de résolution des litiges de la Commission européenne : https://ec.europa.eu/consumers/odr/main/index.cfm?event=main.home2.show&lng=DE H.d ne participe pas et n’est pas tenu de participer à une procédure de règlement des litiges devant un conseil d’arbitrage de consommateurs.

6.5 Si une disposition des présentes CGV devait être ou devenir invalide, inefficace, irréalisable ou inapplicable (« Disposition incorrecte »), la validité et l’applicabilité des autres dispositions des présentes CGV n’en seraient pas affectées. Les parties s’engagent plutôt à convenir d’une disposition qui, dans les limites des possibilités juridiques, se rapproche le plus de ce que les parties auraient convenu conformément à l’esprit et au but des présentes CGV si elles avaient reconnu le caractère incorrect de la disposition.




TRAITEMENT DES COMMANDES

En confirmant les Conditions générales ci-dessus, le Mandant (la « Personne responsable ») et H.d (le « Responsable du traitement »), désignés ensemble par le terme « Parties » et individuellement par le terme « Partie », concluent également le Contrat de traitement des données (« CTD ») suivant.

Préambule

Dans le cadre de ses activités commerciales et conformément aux Conditions générales ci-dessus, le Responsable du traitement reçoit des données personnelles qui relèvent de la responsabilité de la Personne responsable. Les Parties acceptent les dispositions du présent CTD afin de respecter les obligations des parties en matière de protection des données conformément au droit européen sur la protection des données, et plus particulièrement au Règlement général de protection des données (Article 28 du RGPD).

1. Définitions

1.1 Les Données personnelles représentent toute information relative à une personne physique identifiée ou identifiable (« Personne concernée »). Une personne physique est considérée comme identifiable lorsqu'elle peut être identifiée, directement ou indirectement, en particulier par association à un identificateur, comme un nom, un numéro d'identification, des données géographiques, un identifiant en ligne ou une ou plusieurs caractéristiques particulières exprimant son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale (ci-après « Données »).

1.2 Le terme Traitement des données pour un tiers désigne la collecte, le traitement ou l'utilisation de données par le Responsable du traitement pour la Personne responsable.

2. Objet et contenu de la commande

2.1 Objet et durée de la commande

Les détails et la durée de la commande découlent des Conditions générales ci-dessus.

2.2 Type de données

Le type de données est décrit plus en détail dans les Conditions générales et la Politique de confidentialité.

2.3 Objectif de la collecte, du traitement ou de l'utilisation des données

L'objectif de la collecte, du traitement ou de l'utilisation des données est décrit plus en détail dans les Conditions générales et la Politique de confidentialité.

2.4 Nature et portée de la collecte, du traitement ou de l'utilisation des données

La nature et la portée de la collecte, du traitement ou de l'utilisation des données sont décrites plus en détail dans les Conditions générales et la Politique de confidentialité.

2.5 Catégorie de Personnes concernées

(a) Données appartenant au Mandant

(b) Clients

2.6 Mesures techniques et organisationnelles

(a) Les mesures techniques et organisationnelles que le Responsable du traitement doit mettre en œuvre sont énoncées dans l'Annexe (voir ci-dessous) du présent CTD. Le Responsable du traitement adaptera régulièrement ces mesures à l'état de la technique à ses propres frais, dans la mesure où le niveau de protection convenu n'est pas diminué et où les Personnes responsables sont immédiatement informées.

(b) Le Responsable du traitement a l'obligation d'autoriser la Personne responsable à vérifier la conformité sur site des mesures techniques et organisationnelles avant de commencer les activités de traitement en vertu du présent contrat. Le droit de vérification de la Personne responsable conformément à l'Article 2.10 reste inchangé.(c) Le Responsable du traitement doit s'assurer que les systèmes de traitement des données utilisés dans le cadre du CTD respectent les normes de « Protection des données dès la conception » et « Protection des données par défaut » conformément à l'état de la technique.

2.7 Correction, suppression et blocage de données, droit à la portabilité des données et droit d'opposition

(a) Les droits des personnes concernées par le traitement des données mis en œuvre par le Responsable du traitement, notamment les droits de rectification, de suppression et de blocage, de portabilité des données et d'opposition, doivent être revendiqués à l'encontre du contrôleur, qui est seul responsable de la protection de ces droits.

(b) Dans le cadre de ses activités pour la Personne responsable, le Responsable du traitement a le devoir de transmettre toute demande qu'il reçoit de la part de personnes concernées à la Personne responsable, afin d'assurer un traitement adéquat sans tarder. Si la Personne responsable et le Responsable du traitement jouent un rôle commun de personnes responsables extérieures, le Responsable du traitement est en droit de répondre à la demande indépendamment.

(c) Le Responsable du traitement doit également assister la Personne responsable à l'aide de mesures techniques et organisationnelles appropriées pour respecter son obligation de répondre aux personnes concernées.

(d) Conformément aux instructions de la Personne responsable, le Responsable du traitement doit rectifier, suspendre et/ou supprimer les données immédiatement, et au plus tard sous cinq (5) jours, et informer le Responsable du traitement avant cette échéance.

2.8 Devoirs du Responsable du traitement

(a) Le Responsable du traitement peut recueillir, traiter et utiliser des données uniquement dans le cadre de la commande et des instructions documentées de la Personne responsable.

(b) Le Responsable du traitement doit respecter les mesures techniques et organisationnelles définies dans l'Article 2.6 du présent CTD à intervalles réguliers et les envoyer sur demande.

(c) Le Délégué à la protection des données est nommé comme interlocuteur pour la protection des données par le Responsable du traitement. Il peut être contacté à l'adresse privacy@hd.digital. Si nécessaire, le Responsable du traitement peut également nommer un représentant conformément aux exigences de l'Article 27 du GRPD.

(d) Le Responsable du traitement est chargé d'assurer la confidentialité. Tout membre de l'organisme du Responsable du traitement autorisé à consulter les données de la Personne responsable doit être soumis à une obligation de confidentialité ou à un secret professionnel suffisant, et doit être informé des obligations spéciales de protection des données établies par le présent CTD, ainsi que des instructions et de l'objectif existants. Le Responsable du traitement mettra ces obligations à l'écrit et les fournira à la demande de la Personne responsable.

2.9 Justification des conditions de sous-traitance

(a) La justification de relations de sous-traitance est autorisée. Le Responsable du traitement doit prévenir la Personne responsable des changements correspondants à l'avance. La Personne responsable est en droit de s'y opposer.

(b) En cas de commande à un autre organisme de traitement, le Responsable du traitement doit s'assurer contractuellement que les obligations du Responsable du traitement établies en vertu du présent CTD s'appliquent également à l'autre organisme de traitement.

(c) Le Responsable du traitement doit contrôler les mesures techniques et organisationnelles mises en place par les autres organismes de traitement ponctuellement et régulièrement pendant la période de sous-traitance afin de protéger les données qu'il a fournies. La transmission de données est uniquement autorisée si l'autre Responsable du traitement a mis en œuvre des mesures techniques et organisationnelles au moins aussi strictes que celles établies dans le présent CTD.

(d) Le Responsable du traitement est entièrement responsable des sous-traitants qu'il emploie.

2.10 Droits d'audit de la Personne responsable

La Personne responsable est autorisée à vérifier le respect des réglementations en vigueur en matière de protection des données et du CTD pendant les heures ouvrables normales. Le Responsable du traitement accepte de fournir à la Personne responsable toutes les informations raisonnablement nécessaires pour effectuer l'inspection dans un délai raisonnable. Si la Personne responsable estime qu'un audit sur site de l'organisme Responsable du traitement est nécessaire, le Responsable du traitement doit s'assurer que la personne chargée d'effectuer l'audit a accès au bureau du Responsable du traitement et peut effectuer une inspection sur place des données stockées et des programmes de traitement des données. La Personne responsable est autorisée à faire appel à une tierce partie (un examinateur) pour effectuer la vérification ; elle sera désignée au cas par cas. La Personne responsable doit annoncer la tenu dudit audit par écrit au moins vingt (20) jours ouvrables à l'avance. Les frais engagés par le Responsable du traitement pour l'audit, au taux normal du marché, seront assumés par la Personne responsable.

2.11 Notifications d'infractions par le Responsable du traitement

(a) Le Responsable du traitement doit notifier la Personne responsable immédiatement, au plus tard quarante-huit (48) heures après une telle découverte, de toute infraction aux règles de protection des données de la Personne responsable ou des conditions du présent CTD par le Responsable du traitement ou des personnes ou sous-traitants qu'il emploie.

(b) La Personne responsable doit être notifiée de tout incident de perte, ou de transmission ou réception illégale de données par des tiers, quelle qu'en soit la cause. Le Responsable du traitement doit, en consultation avec la Personne responsable, prendre les mesures adéquates pour protéger les données et réduire les conséquences négatives potentielles pour les personnes concernées. Dans la mesure où les personnes responsables respectent les obligations de notification, le Responsable du traitement doit aider la Personne responsable à respecter ces obligations.

2.12 Instructions de la Personne responsable

(a) Le traitement des données de la Personne responsable par le Responsable du traitement doit être effectué uniquement dans le cadre du CTD et des instructions spécifiques indiquées par le Responsable du traitement.

(b) Le Responsable du traitement doit immédiatement respecter les instructions (personnelles) concernant la nature, la méthode et la portée du traitement, ou, le cas échéant, l'échéance établie par la Personne responsable.

(c) Le Responsable du traitement doit notifier la Personne responsable immédiatement s'il estime que les instructions données par la Personne responsable enfreignent les réglementations en matière de protection des données. Le Responsable du traitement doit pouvoir suspendre l'application des instructions concernées jusqu'à ce qu'elles aient été confirmées ou modifiées par une Personne responsable.

2.13 Suppression après exécution de la commande

Après exécution du travail contractuel, le Responsable du traitement doit remettre toutes les données qu'il a traitées pour le compte de la Personne responsable ou, avec l'accord préalable de la Personne responsable, les détruire conformément aux normes de protection des données ou les supprimer conformément à l'article précédent. Il est exclu de pouvoir disposer d'un droit de conservation pour les documents, les données, le traitement et autres résultats d'utilisation, ainsi que les supports de données associés, sauf si le droit de l'Union européenne ou d'un État-membre de l'Union européenne exige que les données soient conservées.

3. Obligations supplémentaires du Responsable du traitement

3.1 Le Responsable du traitement utilise les données fournies pour traitement à cette fin uniquement. Il est interdit de créer des copies ou des doubles des données sans que la Personne responsable n'en ait été informée et n'y ait consenti par écrit, sauf pour les services commandés dans le CTD. Le Responsable du traitement doit s'assurer que les données qu'il traite pour la Personne responsable sont séparées des autres données. La transmission de données de la Personne responsable à un tiers par le Responsable du traitement est soumise au consentement écrit de la Personne responsable.

3.2 Le Responsable du traitement doit apporter une assistance raisonnable aux personnes responsables en les défendant contre tout recours basé sur une infraction prétendue ou avérée aux exigences de protection des données. La Personne responsable, quant à elle, doit étudier les réclamations des sujets des données de manière appropriée dans le cadre de sa responsabilité en matière de protection des données et les traiter.

3.3 Le Responsable du traitement reconnaît que les informations sont fournies aux personnes concernées sur la base d'un droit à l'information et exclusivement par l'intermédiaire de la Personne responsable ou d'une personne autorisée par cette dernière. Le Responsable du traitement est tenu de fournir à la Personne responsable les informations requises en temps voulus et de soutenir la Personne responsable. Si le Responsable du traitement lui-même agit également en tant que Personne responsable externe, ces requêtes peuvent également être traitées en conséquences et la Personne responsable, informée en conséquence.

3.4 Le Responsable du traitement doit aider le contrôleur à préparer les index nécessaires pour la procédure, le cas échéant.

3.5 Le Responsable du traitement doit aider la Personne responsable à mener des évaluations d'impact de la protection des données si un type de traitement est susceptible de faire peser un risque élevé sur les droits et libertés des personnes physiques.

3.6 Le Responsable du traitement convient d'informer la Personne responsable immédiatement des résultats des inspections menées par les autorités de surveillance de la protection des données dans la mesure où ceux-ci sont liés au présent CTD. Le Responsable du traitement informera les personnes responsables de toute réclamation émanant des autorités de surveillance de la protection des données entrant dans le domaine de compétence du Responsable du traitement et apportera une solution à toute réclamation identifiée conformément à la loi.

4. Responsabilité

4.1 La Personne responsable est garante de la licéité du traitement des données, ainsi que de la protection des droits des sujets des données.

4.2 Par dérogation à l'article 4.1, le Responsable du traitement est en charge des réclamations émanant des sujets des données dues à des infractions aux dispositions légales en vigueur ou aux dispositions du CTD.

4.3 Vis-à-vis de la Personne responsable, le Responsable du traitement n'engage sa responsabilité qu'en cas de la négligence volontaire et grave entrant dans le cadre des clauses d'exclusion et de limitation de responsabilité autorisées par la loi.

5. Dispositions finales

5.1 Le Contrôleur doit informer le Responsable du traitement immédiatement et complètement s'il détecte des erreurs ou des irrégularités dans le traitement des données par le Responsable du traitement pendant l'audit.

5.2 Le présent CTD peut être modifié et dénoncé selon les mêmes modalités que les Conditions générales ci-dessus.

5.3 La nullité d'une ou de plusieurs dispositions du présent CTD n'affecte pas l'applicabilité du CTD. Le cas échéant, les Parties doivent adopter une autre disposition juridiquement valable, ayant une portée économique aussi proche que possible de la disposition inapplicable. Il en va de même en cas de carence.

5.4 Le CTD est soumis au même droit que les Conditions générales ci-dessus.

5.5 En cas de contradiction entre le CTD et d'autres accords conclus entre les parties, les dispositions du présent CTD prévalent.

Statut : 2018/AG




Mesures techniques et organisationnelles

En tenant compte de l'art de la technique, des coûts de mise en œuvre, ainsi que de la nature, de la portée, des circonstances et des objectifs du traitement, mais aussi de la probabilité et de la gravité variables du risque pour les droits et libertés des personnes physiques, le Responsable du traitement doit prendre des mesures techniques et organisationnelles appropriées pour assurer un niveau de protection adapté au risque ; ces mesures incluent, entre autres, les suivantes :

• la pseudonymisation et le chiffrement des données ;

• la capacité de garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résistance des systèmes et services de traitement ;

• la capacité de restaurer rapidement la disponibilité des données et leur accessibilité en cas d'incident physique ou technique ;

• un processus de révision, examen et évaluation périodiques de l'efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement.

Sans préjudice de ce qui précède, les mesures spécifiques suivantes seront prises :

1. Contrôle d'accès

Mesures visant à empêcher les personnes non autorisées d'accéder au système de traitement des données :

• Définition des caractéristiques du groupe de personnes autorisé et documentation correspondante ;

• Contrôle des accès électroniques ;

• Création de badges d'accès ;

• Élaboration de directives pour les personnes extérieures ;

• Alarme ou sécurité en-dehors des heures ouvrables ;

• Répartition des actifs dans différentes zones de sécurité ;

• Élaboration de directives concernant la gestion des clés (cartes) ;

• Portes sécurisées (dispositif d'ouverture de porte électronique, lecteur de badge d'identification, vidéosurveillance) ;

• Introduction de mesures de sécurité sur site (par ex. détection/notification des intrusions).

2. Contrôle des accès

Mesures visant à empêcher les personnes non autorisées d'accéder au système et aux procédures de traitement des données :

• Définition du groupe de personnes ayant accès aux systèmes de traitement des données ;

• Élaboration de directives pour les personnes extérieures ;

• Protection par mot de passe des ordinateurs personnels.

3. Contrôle des accès

Mesures visant à s'assurer que les personnes autorisées à utiliser les techniques de traitement des données ne peuvent y accéder que sous réserve de leur autorisation :

• Introduction de droits d'accès limités en fonction des données et des postes occupés ;

• Obligation de s'identifier sur l'équipement de traitement des données (par ex. par identification et authentification) ;

• Introduction de politiques en matière d'accès et de rôles utilisateurs ;

• Évaluation des protocoles en cas d'événement préjudiciable.

4. Contrôle des transmissions

Mesures visant à s'assurer que les données ne peuvent pas être lues, copiées, modifiées ou supprimées pendant leur transmission électronique ou durant leur transfert ou leur stockage sur des supports de données et qu'il est possible de vérifier et de déterminer les horaires de transmission des données.

• Chiffrement

5. Contrôle des entrées

Mesures visant à s'assurer qu'il est possible de vérifier et déterminer a posteriori si une personne, et qui, a saisi, modifié ou supprimé des données des systèmes informatiques.

• Enregistrement des saisies de données.

6. Contrôle des commandes

Mesures visant à s'assurer que les données de la commande peuvent seulement être traitées conformément aux instructions de la Personne responsable.

• Documentation des différentes compétences et obligations de la Personne responsable et du Responsable du traitement ;

• Mise en service officielle ;

• Contrôle des résultats de travail.

7. Contrôle de disponibilité

Mesures visant à s'assurer que les données sont protégées contre la destruction ou la perte accidentelle.

• Mise en œuvre d'un programme de sauvegardes régulières ;

• Stockage sécurisé des sauvegardes de données dans des armoires de sécurité ignifuges et étanches.

• Mise en place d'un système d'alimentation de secours et d'un système de protection contre les surtensions et contrôle régulier de ceux-ci ;

• Introduction d'un plan d'urgence ;

• Procès-verbal de mise en place d'une gestion de crise et/ou d'urgence.

8. Contrôle de séparation

Mesures visant à s'assurer que les données collectées à différentes fins peuvent être traitées séparément.

• Séparation des données de chaque client du Responsable du traitement.

Version : Mai 2018/AG



ALGEMENE VERKOOPVOORWAARDEN VAN DE FIRMA HOSPITALITY DIGITAL GMBH VOOR DE TAFELRESERVERINGSTOOL

Deze tafelreserveringstool (onderstaand „TRT“) wordt door de firma H.d. Digital GmbH, Metro-Straße 1, D-40235 Düsseldorf („ H.d.“) geëxploiteerd.

1. Toepassingsgebied

1.1 H.d. levert de diensten en andere prestaties uitsluitend op basis van de hiernavolgende contractuele voorwaarden (onderstaand „ AVV“).

1.2 Deze AVV gelden voor het gebruik van de TRT die u (onderstaand „ gast“) via de website van deelnemende restaurants (onderstaand „restaurants“) ter beschikking gesteld wordt. De TRT maakt het voor de gast mogelijk, een tafel in het door hem/haar geselecteerde restaurant te reserveren (onderstaand „ diensten“).

1.3 Afwijkende voorwaarden van de gast gelden ook dan niet wanneer H.d. deze niet uitdrukkelijk van de hand wijst en/of ondanks kennis van de tegenstrijdige en/of afwijkende voorwaarden van de opdrachtgever diensten en/of prestaties zonder restrictie levert.

2. Doel en beschikbaarheid van de diensten

2.1 Doel van de diensten is de bemiddeling bij een tafelreservering en bij andere restaurantdiensten die direct door het restaurant ter beschikking van de gast gesteld worden. Alle uit de reservering of de andere aangeboden restaurantdiensten voortvloeiende plichten bestaan direct en uitsluitend in de verhouding tussen de gast en het restaurant. Een boven de bemiddeling bij de tafelreservering uitgaande contractuele relatie tussen gast en H.d. bestaat niet.

2.2 H.d. geeft de tafelreservering van de gast als agent aan het door de gast geselecteerde restaurant door. De gast is er verantwoordelijk voor dat de door de gast vermelde gegevens, in het bijzonder de contactgegevens van de gast en de details van de reservering (datum, tijdstip, aantal gasten), juist zijn.

2.3 De levering van de diensten door H.d. voor de gast is gratis. H.d. verzekert de gast om deze reden geen ononderbroken beschikbaarheid van de diensten.

3. Bevestiging van de reservering, wijzigingen en annuleringen

3.1 De tafelreservering van de gast is pas dan voor het restaurant bindend zodra het restaurant een bevestiging van de reservering aan het door de gast aangegeven e-mailadres gezonden heeft. De geldigheid van de bevestiging blijft bij vermelding van een verkeerd e-mailadres onverminderd van kracht. Kort vóór het tijdstip, waarvoor u gereserveerd hebt, ontvangt u ter herinnering van ons een sms of e-mail toegezonden.

3.2 De reservering door de gast kan eventueel onderworpen zijn aan nog andere voorwaarden die door het restaurant bepaald worden en aanvullend op deze AVV gelden. Het wordt de gast opgedragen, van deze bijkomende voorwaarden van het restaurant nota te nemen.

3.3 Annuleringen door de gast zijn te allen tijde door mededeling aan de door het restaurant aangegeven contactgegevens mogelijk. Het is de gast bekend dat het restaurant bij annulering van een bevestigde reservering eventueel annuleringskosten in rekening kan brengen.

3.4 Details van de annulering of wijzigingen van de reservering moet de gast direct met het restaurant als zijn rechtstreekse contractant voor de reservering bespreken. Indien u zich niet in het restaurant bevindt op het moment, waarvoor u een tafel gereserveerd hebt, ontvangt u eventueel ter herinnering een sms of e-mail. In deze sms/e-mail wordt u verzocht, uw terugkeer te melden of tegen een bepaald tijdstip aan de reservering gevolg te geven; in het andere geval kan uw reservering geannuleerd worden.

3.5 H.d. is gerechtigd, een reservering van de gast in bepaalde gevallen te annuleren en/of de gebruikmaking van de dienst door de gast om een gewichtige reden te beperken of te verhinderen, voor zover er van effectieve aanknopingspunten voor misbruik van de diensten door de gast sprake is. Een annulering komt in het bijzonder in aanmerking indien de gast in het verleden zonder voorafgaande afzegging geen gevolg aan de reservering gegeven heeft of ingeval van ontoelaatbare dubbele reserveringen.

4. Garantie en aansprakelijkheid

4.1 Al de informatie van het restaurant over de beschikbaarheid (en eventueel bijkomende informatie zoals prijzen) wordt uitsluitend door het restaurant ter beschikking gesteld. Het restaurant draagt als enige de verantwoordelijkheid voor de juistheid en actualiteit van de ter beschikking gestelde informatie. H.d. controleert de door het restaurant ter beschikking gestelde informatie niet en verleent er geen garantie voor resp. is er niet aansprakelijk voor dat deze informatie juist is.

4.2 H.d. is niet aansprakelijk voor de totstandkoming van de overeenkomst tussen restaurant en gast en verder niet voor schade die de gast in verband met de levering van de door het restaurant verschuldigde prestaties oploopt.

4.3 Voor het overige is H.d., om eender welke juridische grond, niet aansprakelijk voor nadelen die de gast oploopt, tenzij deze berusten

(a) op de niet-nakoming van essentiële contractuele plichten door eigens schuld. Daarbij gaat het om verplichtingen, wier nakoming al helemaal de correcte uitvoering van de overeenkomst mogelijk maakt en op wier naleving de gast mag vertrouwen. In dit geval is de aansprakelijkheid van H.d. beperkt tot nadelen, wier ontstaan H.d. volgens de bij sluiting van de overeenkomst bekende omstandigheden typisch genoeg kon voorzien;

(b) op grove nalatigheid of opzet vanwege H.d.;

(c) op een schending van het leven, het lichaam of de gezondheid of op een schending van de Wet betreffende Aansprakelijkheid voor Poducten, of van andere, onder de toepasselijke wettelijke aansprakelijkheid.

4.4 Garantie- en schadeclaims verjaren uiterlijk één jaar na het tijdstip, waarop de gast van het voor de schade verantwoordelijke voorval weet gekregen heeft. Dit geldt niet voor claims die uit een ongeoorloofde handeling voortvloeien.

5. Bescherming van de privacy

5.1 H.d. verzamelt, verwerkt en gebruikt persoonsgegevens van de gast in het kader van deze overeenkomst in principe uitsluitend voor de levering van de diensten, voor zover er toestemming werd gegeven of voor zover een rechtsvoorschrift de verzameling, de verwerking en het gebruik toelaat.

5.2 Een overmaking van de gegevens aan het restaurant gebeurt in die mate, dat dit voor de uitvoering van de reservering noodzakelijk is.

5.3 Details van de bescherming van de privacy kunt u uit onze verklaring betreffende de bescherming van de privacy opmaken.

6. Overige

6.1 H.d. behoudt zich het recht voor, deze AVV te allen tijde met geldigheid voor de toekomst aan te passen. Het staat de gast vrij, de gewijzigde versie van de AVV bij een toekomstige reservering te accepteren. Accepteert de gast de gewijzigde AVV niet, dan is het in geen geval mogelijk om van de diensten gebruik te maken.

6.2 Deze AVV en alle uit de AVV voortvloeiende of daarmee gepaard gaande aanspraken en rechten zijn uitsluitend onderworpen aan Belgisch recht bij uitsluiting van het collisierecht en dienen op grond van Belgisch recht geïnterpreteerd en afgedwongen te worden. De toepassing van het VN-verdrag inzake internationale koopovereenkomsten betreffende roerende zaken (Weens Koopverdrag) is uitgesloten.

6.3 Plaats van handeling is Düsseldorf. Voor zover wettelijk toelaatbaar, zullen de rechtbanken van Düsseldorf bevoegd zijn. In andere gevallen geldt het wettelijke rechtsgebied.

6.4 Via de volgende link kan het platform voor online-geschillenbeslechting van de Europese Commissie bereikt worden: https://ec.europa.eu/consumers/odr/main/index.cfm?event=main.home2.show&lng=DE H.d. neemt niet deel aan een geschillenbeslechtingsprocedure voor een consumentengeschilleninstantie en is hiertoe ook niet verplicht.

6.5 Indien een bepaling van deze AVV volledig of gedeeltelijk nietig, ongeldig, niet-uitvoerbaar of niet-realiseerbaar („ foutieve bepaling“) is of wordt, blijven de geldigheid en de realiseerbaarheid van de overige bepalingen van deze AVV onverminderd van kracht. De partijen gaan veeleer nu reeds de verplichting aan, in plaats van de foutieve bepaling een bepaling overeen te komen die in het kader van de juridische mogelijkheden het meest aanleunt bij dat, wat de partijen naar de zin en het doel van deze overeenkomst overeengekomen zouden zijn als zij de onvolkomenheid van de bepaling ingezien zouden hebben.

Stand: Mai 2018/AG




VERWERKINGSOPDRACHT

Door de bovenstaande Algemene Voorwaarden te accepteren, gaan de Opdrachtgever (“Gegevensverantwoordelijke”) en H.d. (“Verwerker”), gezamenlijk aangeduid als “Partijen” en individueel als “Partij”, ook de volgende Gegevensverwerkingsovereenkomst (“Gegevensverwerkingovereenkomst”) aan.

Voorwoord

De Verwerker ontvangt in het kader van zijn bedrijfsactiviteiten en in overeenstemming met de bovenstaande Algemene Voorwaarden persoonsgegevens die vallen onder de verantwoordelijkheid van de Gegevensverantwoordelijke. De Partijen accepteren de bepalingen van deze Gegevensverwerkingovereenkomst om te voldoen aan de gegevensbeschermingsverplichtingen van de Partijen in overeenstemming met Europese wetgeving inzake gegevensbescherming, met name de Algemene Gegevensbeschermingsverordening (General Data Protection Regulation) (AVG of GDPR, Artikel 28).

1. Terminologie

1.1 Persoonsgegevens zijn alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (“Betrokkene”). Een natuurlijke persoon is identificeerbaar als hij of zij direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, online identificator, of middels een of meer speciale factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van deze natuurlijke persoon (hierna aangeduid als “Gegevens”).

1.2 Gegevensverwerking namens een andere partij is het verzamelen, verwerken of gebruiken van gegevens door de Verwerker namens de Gegevensverantwoordelijke.

2. Onderwerp en inhoud van de opdracht

2.1 Onderwerp en inhoud van de opdracht

De details en duur van de opdracht zijn opgenomen in de bovenstaande Algemene Voorwaarden.

2.2 Soort gegevens

De soort gegevens zijn in detail beschreven in de Algemene Voorwaarden en het Privacybeleid.

2.3 Doel van het verzamelen, verwerken of gebruiken van de gegevens

Het doel van het verzamelen, verwerken of gebruiken van de gegevens is in detail beschreven de Algemene Voorwaarden en het Privacybeleid.

2.4 Aard en duur van het verzamelen, verwerken of gebruiken van de gegevens

De aard en duur van het verzamelen, verwerken of gebruiken van de gegevens is beschreven in de Algemene Voorwaarden en het Privacybeleid.

2.5 Categorieën van Betrokkenen

(a) Eigen gegevens van de Opdrachtgever

(b) Klanten

2.6 Technische en organisatorische maatregelen

(a) De technische en organisatorische maatregelen die door de Verwerker worden genomen zijn opgenomen in de Bijlage (zie hieronder) van deze Gegevensverwerkingovereenkomst. De Verwerker zal deze maatregelen regelmatig op eigen kosten aanpassen aan de stand van de techniek, mits het overeengekomen beschermingsniveau niet lager wordt en de Gegevensverantwoordelijke onmiddellijk op de hoogte wordt gesteld.

(b) De Verwerker moet de Gegevensverantwoordelijke in staat stellen om ter plaatse de naleving van de technische en organisatorische maatregelen te controleren voordat de verwerking voor deze opdracht plaatsvindt. Dit recht van de Gegevensverantwoordelijke op grond van Artikel 2.10 blijft ongewijzigd van kracht. (C) De Verwerker zorgt ervoor dat de gegevensverwerkingssystemen die worden gebruikt voor de Gegevensverwerkingovereenkomst voldoen aan de normen van “ingebouwde privacy” en “standaard privacy” in overeenstemming met het bovenstaande artikel.

2.7 Correctie, verwijdering en afscherming van gegevens, recht op overdraagbaarheid van gegevens, recht van bezwaar

(a) De rechten van de personen die betrokken zijn van het verwerken van de gegevens door de Verwerker, met name het recht op correctie, verwijdering, afscherming, overdraagbaarheid van gegevens en bezwaar zullen worden uitgeoefend jegens de Gegevensverantwoordelijke. Hij zal als enige verantwoordelijk zijn voor de bescherming van deze rechten.

(b) Bij de uitvoering van het werk voor de Gegevensverantwoordelijke is de Verwerker verplicht om onmiddellijk alle aan hem gerichte verzoeken van Betrokkenen door te sturen naar de Gegevensverantwoordelijke voor de correcte afhandeling ervan. De Verwerker heeft het recht om dit verzoek zelfstandig te beantwoorden indien de Gegevensverantwoordelijke en de Verwerker gezamenlijk optreden als externe gegevensverantwoordelijken.

(c) De Verwerker is ook verplicht om de Gegevensverantwoordelijke te ondersteunen met passende technische en organisatorische maatregelen om te voldoen aan zijn verplichting om de Betrokkenen te beantwoorden.

(d) De Verwerker zal de instructies van de Gegevensverantwoordelijke opvolgen om gegevens onmiddellijk te corrigeren, op te schorten en/of te verwijderen binnen vijf (5) dagen en de Verwerker voor het verstrijken hiervan op de hoogte stellen.

2.8 Taken van de Verwerker

(a) De Verwerker mag gegevens alleen verzamelen, verwerken en gebruiken in het kader van de opdracht en op grond van de gedocumenteerde instructies van de Gegevensverantwoordelijke.

(b) De Verwerker moet regelmatig voldoen aan de technische en organisatorische maatregelen zoals opgenomen in Artikel 2.6 van deze Gegevensverwerkingovereenkomst en deze op verzoek beschikbaar stellen.

(c) De Gegevensbeschermingsfunctionaris wordt aangesteld als de contactpersoon voor gegevensbescherming bij de Verwerker. Deze functionaris is bereikbaar via privacy@hd.digital. Indien nodig zal de Verwerker een vertegenwoordiger benoemen in overeenstemming met de vereisten van Artikel 27 AVG.

(d) De Verwerker is verantwoordelijk voor de geheimhouding. Elke persoon bij de Verwerker die bevoegd is om de gegevens van de Gegevensverantwoordelijke te bekijken, zal gebonden zijn aan een geheimhoudingsplicht of een redelijk beroepsgeheim en moet op de hoogte worden gebracht van de speciale verplichtingen inzake gegevensbescherming op grond van deze Gegevensverwerkingovereenkomst en de bestaande instructies en doeleinden. De Verwerker zal deze verplichtingen schriftelijk vastleggen en deze verstrekken op verzoek van de Gegevensverantwoordelijke.

2.9 Rechtvaardiging van onderaannemingsvoorwaarden

(a) De rechtvaardiging van onderaannemingsrelaties is toegestaan. De Verwerker zal de Gegevensverantwoordelijke vooraf op de hoogte brengen van de wijziging. De Gegevensverantwoordelijke heeft het recht om bezwaar aan te tekenen.

(b) Indien andere verwerkers worden gebruikt, zal de Verwerker contractueel vastleggen dat de verplichtingen van de Verwerker op grond van deze Gegevensverwerkingovereenkomst ook gelden voor de andere verwerker.

(c) De Verwerker zal de technische en organisatorische maatregelen die door de andere verwerkers zijn genomen ad hoc en regelmatig inspecteren tijdens de periode van onderaanneming om de verstrekte gegevens te beschermen. De overdracht van gegevens is alleen toegestaan indien de andere Verwerker de vereiste technische en organisatorische maatregelen heeft genomen die ten minste voldoen aan de specificaties van deze Gegevensverwerkingovereenkomst.

(d) De Verwerker zal volledig aansprakelijk zijn voor de ingehuurde onderaannemers.

2.10 Controlerechten van de Gegevensverantwoordelijke

De Gegevensverantwoordelijke heeft het recht om de naleving van de toepasselijke gegevensbeschermingsvoorschriften en de Gegevensverwerkingovereenkomst tijdens normale werkuren te controleren. De Verwerker stemt er mee in om de Gegevensverantwoordelijke alle informatie te verstrekken die redelijkerwijs nodig is om dit onderzoek uit te voeren binnen een redelijke termijn. Indien de Gegevensverantwoordelijke van mening is dat een controle op de locatie van de Verwerker nodig is, zal de Verwerker ervoor zorgen dat de persoon die verantwoordelijk is voor de uitvoering van de controle toegang heeft tot de kantoren van de Verwerker en de gegevens en gegevensverwerkingsprogramma's op de locatie. De Gegevensverantwoordelijke heeft het recht om de controle uit te laten voeren door een externe partij (controleur) die in elk specifiek geval wordt aangewezen. De Gegevensverantwoordelijke moet de uitvoering van dit onderzoek minimaal twintig (20) werkdagen van te voren schriftelijk aankondigen. De kosten van de controle en de kosten van de Verwerker worden betaald door de Gegevensverantwoordelijke tegen normale markttarieven.

2.11 Kennisgevingen van inbreuken door de Verwerker

(a) De Verwerker zal de Gegevensverantwoordelijke onmiddellijk op de hoogte stellen, of uiterlijk binnen achtenveertig (48) uur, na het ontdekken van een situatie waarin de Verwerker of ingeschakelde personen of onderaannemers inbreuk hebben gemaakt op de regels betreffende de bescherming van de gegevens van de Gegevensverantwoordelijke of de voorwaarden opgenomen in deze Gegevensverwerkingsovereenkomst.

(b) De Gegevensverantwoordelijke zal op de hoogte worden gesteld van elk verlies of onrechtmatige overdracht of ontvangst door derden, ongeacht de oorzaak. De Verwerker zal in overleg met de Gegevensverantwoordelijke passende maatregelen nemen om de gegevens te beschermen en om de mogelijke nadelige gevolgen voor de Betrokkenen te beperken. De Verwerker zal de Gegevensverantwoordelijke helpen bij het nakomen van zijn verplichtingen voor zover de gegevensverantwoordelijken voldoen aan hun meldingsplicht.

2.12 Instructies van de Gegevensverantwoordelijke

(a) Het verwerken van de gegevens van de Gegevensverantwoordelijke door de Verwerker zal enkel plaatsvinden in het kader van deze Gegevensverwerkingsovereenkomst en op grond van de specifieke instructies van de Verwerker.

(b) De Verwerker zal onmiddellijk of, indien van toepassing, binnen de periode gesteld door de Gegevensverantwoordelijke, voldoen aan (specifieke) instructies met betrekking tot de aard, duur en wijze van verwerking.

(c) De Verwerker zal de Gegevensverantwoordelijke onmiddellijk op de hoogte stellen indien hij denkt dat de instructies van de Gegevensverantwoordelijke wetgeving inzake gegevensbescherming schenden. De Verwerker heeft het recht de uitvoering van een instructie op te schorten totdat deze is bevestigd of gewijzigd door een Gegevensverantwoordelijke.

2.13 Verwijdering na voltooiing van de opdracht

Na de voltooiing van de contractuele werkzaamheden moet de Verwerker alle gegevens die hij heeft verwerkt voor de Gegevensverantwoordelijke overdragen of, met voorafgaande toestemming van de Gegevensverantwoordelijke, deze vernietigen op grond van gegevensbescherming of deze verwijderen in overeenstemming met het bovenstaande artikel. Elk recht van bewaring is uitgesloten wat betreft de documenten, gegevens, verwerking en gebruiksresultaten en de bijhorende gegevensdragers, tenzij wetgeving van de Europese Unie of van een EU-lidstaat de bewaring van de gegevens vereist.

3. Verdere verplichtingen van de Verwerker

3.1 De Verwerker gebruikt de gegevens die zijn verstrekt voor verwerking niet voor andere doeleinden. Er mogen geen kopieën of duplicaten worden gemaakt zonder het medeweten en de voorafgaande schriftelijke toestemming van de Gegevensverantwoordelijke, tenzij dit nodig is voor de afgenomen diensten die zijn uiteengezet in de Gegevensverwerkingsovereenkomst. De Verwerker zal ervoor zorgen dat de gegevens die door hem worden verwerkt voor de Gegevensverantwoordelijke apart worden gehouden van andere gegevens. Overdracht van de gegevens van de Gegevensverantwoordelijke door de Verwerker aan derden is niet toegestaan zonder de schriftelijke toestemming van de Gegevensverantwoordelijke.

3.2 De Verwerker zal redelijke ondersteuning verlenen aan de verantwoordelijke partijen bij het verdedigen tegen vorderingen gebaseerd op een vermeende of daadwerkelijke inbreuk op de gegevensbeschermingsvoorschriften. De Gegevensverantwoordelijke zal aan zijn klant de klachten van Betrokkenen in het kader van zijn verantwoordelijkheid voor de gegevensbescherming op een correcte wijze onderzoeken en afhandelen.

3.3 De Verwerker erkent dat informatie uitsluitend wordt verstrekt aan Betrokkenen op grond van een recht op informatie via de Gegevensverantwoordelijke of een persoon die is gemachtigd door de Gegevensverantwoordelijke. De Verwerker is verplicht om de Gegevensverantwoordelijke tijdig te voorzien van de vereiste informatie en ondersteuning te verlenen. Indien de Verwerker zelf ook handelt als een externe gegevensverantwoordelijke zullen deze vragen dienovereenkomstig worden beantwoord en de Gegevensverantwoordelijke dienovereenkomstig worden geïnformeerd.

3.4 De Verwerker zal de Gegevensverantwoordelijke ondersteunen bij de voorbereiding van de nodige procedurele indexen, indien van toepassing.

3.5 De Verwerker zal de Gegevensverantwoordelijke ondersteunen bij de uitvoering van gegevensbeschermingseffectbeoordelingen indien een soort verwerking een groot risico voor de rechten en vrijheden van natuurlijke personen kan vormen.

3.6 De Verwerker stemt ermee in om de Gegevensverantwoordelijke onmiddellijk te informeren over de uitkomsten van onderzoeken door toezichthoudende autoriteiten voor gegevensbescherming voor zover deze betrekking hebben op deze gegevensverwerkingsovereenkomst. De Verwerker zal de verantwoordelijken informeren over eventuele klachten van toezichthoudende autoriteiten voor gegevensbescherming die betrekking hebben op de bevoegdheden van de Verwerker en geconstateerde klachten verhelpen zoals vereist op grond van wetgeving.

4. Aansprakelijkheid

4.1 De Gegevensverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de gegevensverwerking en de bescherming van de rechten van de Betrokkenen.

4.2 In afwijking van Artikel 4.1 is de Verwerker verantwoordelijk voor vorderingen van Betrokkenen op grond van schendingen van de toepasselijke wettelijke bepalingen of de bepalingen van de Gegevensverwerkingsovereenkomst.

4.3 De Verwerker is jegens de Gegevensverantwoordelijke alleen aansprakelijk voor opzet en grove schuld binnen de reikwijdte van wettelijk toegestane uitsluiting van aansprakelijkheid en beperkingen.

5. Slotbepalingen

5.1 De Gegevensverantwoordelijke zal de Verwerker onmiddellijk en volledig op de hoogte stellen als hij tijdens het onderzoek fouten of onregelmatigheden bij het verwerken van de gegevens constateert.

5.2 Deze Gegevensverwerkingsovereenkomst kan worden gewijzigd en beëindigd onder dezelfde voorwaarden als de eerder genoemde Algemene Voorwaarden.

5.3 De nietigheid van één of meerdere bepalingen van deze Gegevensverwerkingsovereenkomst heeft geen invloed op de afdwingbaarheid van de Gegevensverwerkingsovereenkomst. Indien één of meer bepalingen van deze Gegevensverwerkingsovereenkomst nietig zijn, zullen de Partijen de nietige bepaling zo voordelig mogelijk vervangen door een wetmatige bepaling. Hetzelfde geldt indien de voorwaarden geen uitsluitsel geven in een bepaalde situatie (maas of leemte).

5.4 De Gegevensverwerkingsovereenkomst is onderworpen aan dezelfde jurisdictie als de eerder genoemde Algemene Voorwaarden.

5.5 De bepalingen van deze Gegevensverwerkingsovereenkomst prevaleren in het geval van tegenstrijdigheden tussen de Gegevensverwerkingsovereenkomst en andere overeenkomsten tussen de Partijen.

Status: 2018/ AG




Technische en organisatorische maatregelen

Rekening houdend met de stand van techniek, de uitvoeringskosten, de aard, reikwijdte, omstandigheden en de doeleinden van de verwerking en de waarschijnlijkheid en ernst wat betreft de rechten en vrijheden van natuurlijke personen zal de Verwerker passende technische en organisatorische maatregelen nemen om een beschermingsniveau te waarborgen dat overeenkomt met het risico. Deze maatregelen bestaan onder meer uit:

• de pseudonimisering en versleuteling van de persoonsgegevens;

• het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen;

• het vermogen om bij een fysiek of technisch incident de beschikbaarheid en bereikbaarheid van de systemen snel te herstellen;

• een proces voor periodieke herziening, beoordeling en evaluatie van de doeltreffendheid van de technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

Onverminderd het voorgaande zullen de volgende specifieke maatregelen worden genomen:

1. Toegangscontrole

Maatregelen om te voorkomen dat onbevoegden toegang krijgen tot het systeem dat wordt gebruikt om de gegevens te verwerken:

• Specificatie van de geautoriseerde groep personen en bijbehorende documentatie;

• Elektronische toegangscontrole;

• Uitgave van toegangskaarten;

• Opstellen van richtlijnen voor externe personen;

• Alarm of beveiliging buiten werktijd;

• Verdeling van gebouwen in verschillende beveiligingszones;

• Opstellen van richtlijnen voor uitgave van sleutels (kaarten);

• Beveiligingsdeuren (elektronische deuropener, ID-lezer, beveiligingscamera's);

• Invoeren van maatregelen voor de beveiliging van de locatie (bijvoorbeeld inbraakdetectie/-kennisgeving).

2. Toegangscontrole

Maatregelen om te voorkomen dat onbevoegden het gegevensverwerkingssysteem en -procedures kunnen gebruiken:

• Vaststellen van de groep personen die toegang hebben tot de gegevensverwerkingssystemen;

• Opstellen van richtlijnen voor externe personen;

• Wachtwoordbeveiliging van computers.

3. Toegangscontrole

Maatregelen om ervoor te zorgen dat personen die bevoegd zijn om de gegevensverwerkingssystemen te gebruiken alleen toegang hebben tot de Betrokkene waartoe zij bevoegd zijn:

• Invoering van beperkte toegangsrechten op basis van specifieke gegevens en functies;

• Identificatieplicht om gegevensverwerkende apparatuur te gebruiken (bijvoorbeeld middels identiteitsbewijs en verificatie);

• Invoeren van beleid betreffende toegang en gebruikersrollen;

• Beoordeling van protocollen in geval van een situatie met schade tot gevolg.

4. Overdrachtscontrole

Maatregelen om ervoor te zorgen dat de gegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens de elektronische overdracht of tijdens het vervoer of de opslag ervan op gegevensdragers en om te kunnen controleren of bepalen wanneer de overdracht van de gegevens via gegevensoverdracht plaatsvindt.

• Versleuteling

5. Toegangscontrole

Maatregelen om ervoor te zorgen dat het mogelijk is om later te verifiëren en vast te stellen of en door wie gegevens zijn ingevoerd, gewijzigd of verwijderd uit computersystemen.

• Vastleggen van gegevensinvoer.

6. Opdrachtcontrole

Maatregelen om ervoor te zorgen dat gegevens die worden verwerkt op basis van een opdracht alleen worden verwerkt in overeenstemming met de instructies van de Gegevensverantwoordelijke.

• Documentatie van de verschillende bevoegdheden en verplichtingen van de Gegevensverantwoordelijke en de Verwerker;

• Formeel verstrekken van de opdracht;

• Controleren van de werkresultaten.

7. Beschikbaarheidscontrole

Maatregelen om ervoor te zorgen dat de gegevens zijn beschermd tegen onbedoeld(e) verlies of vernietiging.

• Implementatie van een schema voor regelmatige back-ups;

• Beveiligde opslag van back-ups in brand- en waterbestendige kasten;

• Invoering en regelmatige controle van een noodstroomsysteem en overspanningsbeveiligingssysteem;

• Invoering van een noodplan;

• Protocol voor het invoeren een crisis- en/of rampenbeheersing.

8. Scheidingscontrole

Maatregelen om ervoor te zorgen dat gegevens die worden verzameld voor verschillende doeleinden apart kunnen worden verwerkt.

• Scheiding van de gegevens van de verschillende klanten van de Verwerker.

Status: Mei 2018/ AG

Imprint