Keycafe

Gegevensverwerkingsovereenkomst (DPA)

Laatst bijgewerkt: 23 oktober 2025

Van kracht: op de datum waarop de Klant de Keycafe Dienstverleningsvoorwaarden (de “Voorwaarden”) accepteert.
Partijen: de Klant en de contracterende Keycafe-entiteit (“Keycafe”) onder de Voorwaarden.

  1. Toepasselijkheid; Reikwijdte

    Deze DPA maakt door verwijzing deel uit van de Voorwaarden en is automatisch van toepassing telkens wanneer Keycafe Persoonsgegevens Verwerkt namens de Klant als verwerker of dienstverlener/opdrachtnemer onder Toepasselijke Gegevensbeschermingswetgeving. Een afzonderlijke ondertekening is niet vereist. Indien er een conflict bestaat tussen deze DPA en de Voorwaarden met betrekking tot de Verwerking van Persoonsgegevens, prevaleert deze DPA.

  2. Definities

    Met een hoofdletter geschreven termen die hier niet zijn gedefinieerd, hebben de betekenis die daaraan in de Voorwaarden wordt gegeven.

    • “Toepasselijke Gegevensbeschermingswetgeving” betekent alle wet- en regelgeving inzake privacy, gegevensbescherming of gegevensbeveiliging die van toepassing is op de Verwerking van Persoonsgegevens, waaronder de EU/EER-AVG, de UK GDPR, de Zwitserse FADP, de Californische CPRA/CCPA, de Canadese PIPEDA en wezenlijk vergelijkbare provinciale wetgeving (waaronder Alberta PIPA, BC PIPA en de private-sectorwetgeving van Québec), en alle andere toepasselijke nationale, staats-, provinciale of sectorspecifieke wetten.
    • “Klantpersoonsgegevens” betekent Persoonsgegevens die door Keycafe worden Verwerkt namens de Klant onder de Voorwaarden.
    • “Verwerken” of “Verwerking” heeft de betekenis zoals onder de Toepasselijke Gegevensbeschermingswetgeving.
    • “SCC’s” betekent de EU-standaardcontractbepalingen (Module 2, verwerkingsverantwoordelijke→verwerker) vastgesteld bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie, zoals van tijd tot tijd gewijzigd of vervangen.
    • “Subverwerker” betekent een verwerker die door Keycafe wordt ingeschakeld om Klantpersoonsgegevens te Verwerken.
    • “Kennisname” betekent het moment waarop het beveiligingsteam van Keycafe, na een redelijk onderzoek, bevestigt dat zich een Inbreuk in verband met Persoonsgegevens heeft voorgedaan die Klantpersoonsgegevens treft. Keycafe is niet verplicht de Klant te informeren over vermoede of mogelijke inbreuken vóór het moment van Kennisname.
    • “Beveiligingsincident” betekent een vermoedelijke of feitelijke nadelige gebeurtenis die netwerken, systemen of faciliteiten treft en niet resulteert in ongeautoriseerde toegang tot of ongeoorloofde openbaarmaking, wijziging of verlies van Klantpersoonsgegevens. Keycafe is niet verplicht de Klant te informeren over Beveiligingsincidenten, maar kan naar eigen inzicht hoogover-statistieken of samenvattingen opnemen in periodieke vertrouwens- en beveiligingscommunicatie.
    • “Inbreuk in verband met Persoonsgegevens” (Personal Data Breach) betekent een inbreuk op de beveiliging die leidt tot de per ongeluk of onrechtmatige vernietiging, het verlies, de wijziging of de ongeoorloofde openbaarmaking van, of toegang tot, Klantpersoonsgegevens. Niet-succesvolle pogingen of activiteiten die de beveiliging niet compromitteren (bijvoorbeeld pings, portscans, geblokkeerde malware, mislukte logins, DDoS-aanvallen) kwalificeren niet als Inbreuk in verband met Persoonsgegevens.

  3. Rollen; Instructies; Verantwoordelijkheden van de Klant

    1. Rollen. De Klant is verwerkingsverantwoordelijke en Keycafe is verwerker/dienstverlener voor Klantpersoonsgegevens.
    2. Instructies. Keycafe zal Klantpersoonsgegevens uitsluitend Verwerken op basis van gedocumenteerde instructies van de Klant en voor zover noodzakelijk om de in de Voorwaarden beschreven Producten te leveren en te beveiligen. Keycafe zal de Klant informeren indien een instructie naar zijn redelijke oordeel in strijd lijkt met Toepasselijke Gegevensbeschermingswetgeving.
    3. Verantwoordelijkheden van de Klant. De Klant is verantwoordelijk voor de juistheid, kwaliteit en rechtmatigheid van Klantpersoonsgegevens en voor het verstrekken van alle vereiste kennisgevingen en het verkrijgen van toestemming die nodig zijn voor de Verwerking door Keycafe.
    4. Gevoelige gegevens; gevoelige persoonlijke informatie. De Klant zal niet opzettelijk bijzondere categorieën van gegevens in de zin van de AVG of “Sensitive Personal Information” in de zin van de CPRA (of soortgelijke wetgeving) aanleveren, tenzij de Klant vooraf schriftelijk melding heeft gedaan en Partijen passende waarborgen hebben getroffen. De Klant dient uploads in noodgevallen van dergelijke gegevens zo spoedig mogelijk nadien aan Keycafe te melden.
    5. Geen juridisch advies. Keycafe verstrekt geen juridisch advies; de Klant is als enige verantwoordelijk voor de rechtmatigheid van Klantpersoonsgegevens, voor vereiste kennisgevingen en toestemmingen, en voor de rechtmatigheid van de instructies van de Klant.

  4. Vertrouwelijkheid van personeelsleden

    Keycafe zorgt ervoor dat personeelsleden die bevoegd zijn om Klantpersoonsgegevens te Verwerken, gebonden zijn aan passende geheimhoudingsverplichtingen en dat zij passende training ontvangen op het gebied van privacy en beveiliging.

  5. Beveiliging

    Keycafe handhaaft passende technische en organisatorische maatregelen die zijn ontworpen om Klantpersoonsgegevens te beschermen tegen per ongeluk of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of ongeoorloofde toegang. Deze maatregelen omvatten onder meer toegangsbeheer, versleuteling waar passend, logging en monitoring, kwetsbaarheidsbeheer, back-ups en fysieke beveiliging, zoals uiteengezet in Bijlage II (Technische en organisatorische beveiligingsmaatregelen). Keycafe zal zijn maatregelen periodiek beoordelen en actualiseren, rekening houdend met de aard van de Verwerking en het bijbehorende risico.

  6. Subverwerkers

    1. Gebruik; oplegging. De Klant machtigt Keycafe om Subverwerkers in te schakelen voor het leveren van de Producten. Keycafe zal aan deze Subverwerkers gegevensbeschermingsverplichtingen opleggen die niet minder beschermend zijn dan de verplichtingen in deze DPA.
    2. Lijst en kennisgeving. De actuele lijst van Subverwerkers en de kennisgevingsmechanismen van Keycafe zijn opgenomen in Bijlage 6 (Subverwerkers) van de Voorwaarden. Het plaatsen van een update op de in Bijlage 6 genoemde lijst vormt kennisgeving van een wijziging. De Klant kan een e-mail sturen naar privacy@keycafe.com om zich aan te melden voor een optionele e-maildistributielijst zoals vermeld in Bijlage 6.
    3. Bezwaar (beperkte gronden); beëindiging van functionaliteit. Binnen 14 dagen na kennisgeving van een nieuwe of gewijzigde Subverwerker kan de Klant uitsluitend bezwaar maken op redelijke, deugdelijk onderbouwde gegevensbeschermingsgronden. Keycafe kan aan het bezwaar tegemoetkomen door de betreffende Subverwerker te verwijderen of te vervangen, of door een redelijk alternatief aan te bieden. Indien het bezwaar na te goeder trouw gevoerde besprekingen niet wordt opgelost, mag de Klant uitsluitend de getroffen functionaliteit (en niet de volledige Service) beëindigen en een pro rata terugbetaling ontvangen van vooruitbetaalde, niet-gebruikte vergoedingen voor die functionaliteit. Indien de Klant niet binnen 14 dagen bezwaar maakt, wordt dit beschouwd als instemming met de Subverwerker.
    4. Aansprakelijkheid; herstelmaatregelen. Keycafe blijft aansprakelijk voor de prestaties van zijn Subverwerkers in dezelfde mate als voor zijn eigen handelingen en nalatigheden. Indien een tekortkoming van een Subverwerker de Services beïnvloedt, vormt heruitvoering of herstel door Keycafe of de Subverwerker het enige en uitsluitende rechtsmiddel voor de Klant voor die tekortkoming, onverminderd het beperkte beëindigingsrecht van de Klant als omschreven in onderdeel (c).

  7. Assistentie; Inbreuken in verband met Persoonsgegevens; DPIA’s; Verzoeken van autoriteiten

    1. Verzoeken van betrokkenen. Rekening houdend met de aard van de Verwerking zal Keycafe redelijke assistentie verlenen via productfunctionaliteit en ondersteuning om de Klant in staat te stellen te reageren op verzoeken van betrokkenen tot uitoefening van hun rechten onder Toepasselijke Gegevensbeschermingswetgeving. Assistentie die verder gaat dan de beschikbare productfunctionaliteit of die buitensporig of repetitief is, kan in rekening worden gebracht op basis van nacalculatie.
    2. Inbreuken in verband met Persoonsgegevens. Keycafe zal de Klant zonder onredelijke vertraging en, waar mogelijk, binnen 72 uur na Kennisname van een Inbreuk in verband met Persoonsgegevens die Klantpersoonsgegevens treft, informeren en de op dat moment beschikbare informatie verstrekken, gevolgd door updates naarmate er meer informatie beschikbaar komt. Voor de duidelijkheid: niet-succesvolle pogingen of activiteiten die de beveiliging niet compromitteren, kwalificeren niet als Inbreuk in verband met Persoonsgegevens. De kennisgeving of reactie van Keycafe vormt geen erkenning van schuld of aansprakelijkheid.
    3. DPIA’s en raadplegingen. Keycafe zal redelijke informatie verstrekken ter ondersteuning van gegevensbeschermingseffectbeoordelingen (DPIA’s) van de Klant en raadplegingen met toezichthoudende autoriteiten, voor zover de Verwerking door Keycafe daarbij is betrokken. Werkzaamheden die verder gaan dan redelijke inspanningen kunnen in rekening worden gebracht op basis van nacalculatie.
    4. Verzoeken van overheden en toezichthouders. Keycafe zal niet inhoudelijk reageren op verzoeken van overheidsinstanties, wetshandhavingsinstanties of toezichthoudende autoriteiten met betrekking tot Klantpersoonsgegevens, behalve om ontvangst te bevestigen en de autoriteit waar mogelijk door te verwijzen naar de Klant, tenzij Keycafe wettelijk verplicht is om te reageren. Voor zover toegestaan zal Keycafe de Klant onverwijld informeren over het verzoek, de rechtmatigheid ervan beoordelen en slechts het minimum aan wettelijk vereiste informatie verstrekken. Keycafe zal zijn beoordeling en reacties documenteren en deze op verzoek aan de Klant beschikbaar stellen.

  8. Audit- en informatierechten

    Op schriftelijk verzoek, niet vaker dan eenmaal per periode van 12 maanden (tenzij naar aanleiding van een gerechtvaardigd verzoek van een toezichthoudende autoriteit of na een Inbreuk in verband met Persoonsgegevens), zal Keycafe actuele auditrapporten of certificeringen van derden (bijvoorbeeld SOC- of ISO-rapporten), relevante beleidsdocumenten en beveiligingssamenvattingen verstrekken die voldoende zijn om de auditverplichtingen van de Klant onder deze DPA en de SCC’s na te komen.Indien de Klant na beoordeling van deze informatie redelijkerwijs oordeelt dat deze ontoereikend is, mag de Klant (of een onafhankelijke, wederzijds overeengekomen auditor) een on-site audit uitvoeren van relevante systemen en faciliteiten, mits: de Klant minimaal 30 dagen van tevoren schriftelijk kennis geeft; de audit is beperkt tot één werkdag en plaatsvindt tijdens reguliere kantooruren; de audit is beperkt tot systemen en faciliteiten die Klantpersoonsgegevens Verwerken. On-site toegang is onder voorbehoud van (i) ondertekening door de auditor van een geheimhoudingsovereenkomst die minstens even beschermend is als de Voorwaarden, en (ii) het vooraf schriftelijk overeenkomen van een auditplan (waaronder reikwijdte, op te vragen bewijsstukken en planning). Audits zijn onderworpen aan geheimhouding, veiligheidsvereisten en redelijke vergoedingen op basis van nacalculatie voor toezicht en ondersteuning door Keycafe. Audits naar aanleiding van een Inbreuk in verband met Persoonsgegevens of naar aanleiding van een bindende opdracht van een toezichthouder kunnen plaatsvinden indien dit vereist of passend is, waaronder waar dit wettelijk is voorgeschreven. Informatie en auditresultaten mogen, indien toegestaan, op verzoek worden gedeeld met een bevoegde toezichthoudende autoriteit.

  9. Internationale doorgiften

    1. EU/EER. Wanneer Klantpersoonsgegevens worden doorgegeven aan Keycafe in een land waarvoor geen adequaatheidsbesluit geldt, worden de SCC’s (Module 2) door verwijzing opgenomen en geacht door Partijen te zijn ondertekend op het moment dat de Klant de Voorwaarden accepteert. Bijlage I, II en III bij de SCC’s worden ingevuld door respectievelijk Bijlage I, II en III bij deze DPA. De toetredingsclausule (docking clause) is van toepassing.
    2. Verenigd Koninkrijk. Voor doorgiften naar of vanuit het Verenigd Koninkrijk wordt de UK IDTA of het UK Addendum bij de SCC’s, indien van toepassing, door verwijzing opgenomen en geacht door Partijen te zijn ondertekend op het moment dat de Klant de Voorwaarden accepteert; de ingevulde tabellen worden ingevuld door de gegevens in de Bijlagen I–III en de relevante details in de Voorwaarden.
    3. Zwitserland. Voor doorgiften die onder de Zwitserse FADP vallen, zijn de SCC’s van toepassing, zoals aangepast in overeenstemming met de richtsnoeren van de Zwitserse FDPIC (waarbij verwijzingen naar de AVG mede verwijzen naar de FADP, en de bevoegde toezichthouder de FDPIC is).
    4. Aanvullende maatregelen. Indien en voor zover dit wettelijk vereist is, zal Keycafe aanvullende waarborgen implementeren om een beschermingsniveau te bieden dat in wezen gelijkwaardig is aan dat binnen de EU/EER, en de Klant informeren indien Keycafe niet langer kan voldoen aan de SCC’s of het UK Addendum.
    5. Gegevenslocatie. Verwerking mag plaatsvinden in elk rechtsgebied waar Keycafe of zijn Subverwerkers actief zijn, met inachtneming van dit Artikel 9 en de Toepasselijke Gegevensbeschermingswetgeving.
    6. Canadese adequaatheid (informatief). Wanneer Keycafe optreedt via een entiteit in Canada die onderworpen is aan PIPEDA, kan het bestaande adequaatheidsbesluit van de EU voor Canada van toepassing zijn op doorgiften naar Canada. Deze overweging beperkt of vervangt de SCC’s of het UK Addendum niet, die van kracht blijven voor andere locaties en verdere doorgiften.

  10. Terugzending en verwijdering van gegevens

    Bij beëindiging of afloop van de relevante diensten zal Keycafe, naar keuze van de Klant, binnen 30 dagen na een schriftelijk verzoek: de Klantpersoonsgegevens via een self-service exportfunctionaliteit in de Producten beschikbaar stellen, of Klantpersoonsgegevens anderszins aan de Klant leveren in een gangbaar, machinaal leesbaar formaat (zonder maatwerk-ETL of specifieke extracties), of, indien de Klant geen keuze maakt, de Klantpersoonsgegevens verwijderen of anonimiseren. Indien de Klant niet binnen die periode van 30 dagen om terugzending verzoekt, zal Keycafe Klantpersoonsgegevens binnen 90 dagen verwijderen of anonimiseren, met inachtneming van toepasselijke wettelijke bewaarplichten. Verwijdering uit back-ups vindt plaats door overschrijving volgens de reguliere retentiecyclus; vervroegde verwijdering uit back-ups is niet vereist. Keycafe mag geanonimiseerde of geaggregeerde gegevens behouden voor legitieme zakelijke doeleinden.

  11. CPRA/CCPA-bepalingen voor dienstverleners (Verenigde Staten)

    Voor zover Klantpersoonsgegevens “Personal Information” zijn in de zin van de CPRA/CCPA, treedt Keycafe op als “service provider” of “contractor” en zal Keycafe: (i) dergelijke Persoonsgegevens niet verkopen of delen; (ii) dergelijke Persoonsgegevens niet bewaren, gebruiken of openbaar maken buiten de zakelijke doeleinden van het leveren, onderhouden, beveiligen en verbeteren van de Producten (voor zover toegestaan door de CPRA/CCPA); (iii) dergelijke Persoonsgegevens niet combineren met andere gegevens, behalve zoals uitdrukkelijk toegestaan onder de CPRA/CCPA (bijvoorbeeld voor detectie van beveiligingsincidenten of voor serviceverbeteringen); (iv) deze beperkingen opleggen aan ingeschakelde Subverwerkers; en (v) verklaren dat Keycafe deze verplichtingen begrijpt en zal naleven.

  12. Aansprakelijkheid; verhouding tot de Voorwaarden

    De aansprakelijkheid van elke Partij onder deze DPA is onderworpen aan, en komt niet bovenop, de aansprakelijkheidsbeperkingen en -uitsluitingen die in de Voorwaarden zijn vastgelegd. Niets in deze DPA is bedoeld om de aansprakelijkheid van Keycafe uit te breiden tot meer dan in de Voorwaarden is overeengekomen. Voor de duidelijkheid: service credits en andere exclusieve rechtsmiddelen in de Voorwaarden blijven van toepassing.

  13. Toepasselijk recht; rangorde

    Op deze DPA zijn de bepalingen inzake toepasselijk recht en geschillenbeslechting uit de Voorwaarden van toepassing. In geval van conflict tussen deze DPA en de Voorwaarden met betrekking tot de Verwerking van Persoonsgegevens, prevaleert deze DPA; in andere gevallen prevaleren de Voorwaarden.

  14. Looptijd

    Deze DPA blijft van kracht zolang Keycafe Klantpersoonsgegevens Verwerkt namens de Klant onder de Voorwaarden.

  15. Voortbestaan

    De Artikelen 4, 5, 6 (voor zover verplichtingen naar hun aard voortduren), 7(d), 8, 9, 10, 12, 13 en de Bijlagen I–III blijven van kracht na beëindiging of afloop van de Voorwaarden, voor zover en zolang dit noodzakelijk is om de daarin opgenomen verplichtingen na te komen.

BIJLAGE I — Details van de Verwerking (Art. 28 AVG en SCC’s)

  1. Partijen en contactpunten

    • Gegevensexporteur (verwerkingsverantwoordelijke): De Klant (waarvan de identificatie- en contactgegevens zijn opgenomen in het account van de Klant onder de Voorwaarden).
    • Gegevensimporteur (verwerker): Keycafe, met contactpunt: privacy@keycafe.com.

  2. Beschrijving van de Verwerking

    • Onderwerp: Levering, exploitatie, onderhoud en ondersteuning van de Producten die door Keycafe aan de Klant worden geleverd onder de Voorwaarden.
    • Duur: De abonnementsperiode (“Subscription Term”) zoals gedefinieerd in de Voorwaarden, plus eventuele afbouw- en bewaartermijnen als beschreven in Artikel 10 van deze DPA.
    • Natuur en doel van de Verwerking: Hosting, opslag, overdracht, toegangsbeheer, logging (inclusief telemetrielogs), monitoring, ondersteuning en beveiliging van de Producten, en andere verwerkingsactiviteiten die noodzakelijk zijn om de Producten aan de Klant beschikbaar te maken in overeenstemming met de Voorwaarden.
    • Categorieën van betrokkenen:
      • Medewerkers, agenten en vertegenwoordigers van de Klant die de Producten gebruiken;
      • Eindgebruikers van de Klant;
      • Gasten of bezoekers die door de Klant of haar eindgebruikers worden aangewezen;
      • Andere natuurlijke personen voor zover hun Persoonsgegevens door de Klant in de Producten worden ingevoerd.
    • Categorieën van Persoonsgegevens: Afhankelijk van het gebruik door de Klant kunnen de volgende categorieën Persoonsgegevens worden Verwerkt:
      • Identificatie- en contactgegevens (bijvoorbeeld naam, e-mailadres, telefoonnummer, gebruikersnaam);
      • Account- en profielgegevens;
      • Toegangs-, reserverings- of transactiegegevens;
      • Log- en gebruiksgegevens (bijvoorbeeld IP-adressen, tijdstempels, apparaat- en browserinformatie);
      • Optioneel, locatie- of GPS-gegevens indien de Klant dergelijke functies inschakelt;
      • Alle andere Persoonsgegevens die de Klant ervoor kiest om via de Producten te verstrekken.
    • Bijzondere categorieën van Persoonsgegevens: Niet voorzien. De Klant zal bijzondere categorieën Persoonsgegevens alleen aanleveren indien dit noodzakelijk en rechtmatig is, en na voorafgaande schriftelijke melding aan Keycafe en het treffen van aanvullende passende waarborgen.
    • Frequentie van doorgifte: Doorlopend, naar gelang het gebruik van de Producten door de Klant en haar eindgebruikers.
    • Verwerkingsinstructies: Zoals uiteengezet in de Voorwaarden, deze DPA, de configuraties en instellingen in het account van de Klant, en de overige gedocumenteerde, rechtmatige instructies van de Klant.
    • Bewaartermijn: Zoals beschreven in Artikel 10 van deze DPA en in overeenstemming met Toepasselijke Gegevensbeschermingswetgeving.

  3. Bevoegde toezichthouder

    • Voor EU-SCC’s: De bevoegde toezichthoudende autoriteit wordt bepaald in overeenstemming met de AVG op basis van de vestiging(en) van de Klant.
    • Voor Zwitserland: De Federale Toezichthouder voor gegevensbescherming en informatie (FDPIC).
    • Voor het Verenigd Koninkrijk: De Information Commissioner’s Office (ICO), zoals nader bepaald in het UK Addendum.

BIJLAGE II — Technische en organisatorische beveiligingsmaatregelen

Keycafe handhaaft een informatiebeveiligingsprogramma dat passende technische en organisatorische maatregelen omvat, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de doeleinden van de Verwerking, alsmede de risico’s voor de rechten en vrijheden van natuurlijke personen. Deze maatregelen omvatten onder meer:

  • Toegangsbeheer en identiteit: Rolgebaseerde toegang (“role-based access control”); Toepassing van het “least privilege”-principe; Sterke authenticatie, waaronder multi-factor authenticatie voor bevoorrechte accounts; Periodieke review van gebruikers- en systeemtoegang.
  • Versleuteling: Versleuteling van gegevens tijdens transport met behulp van gangbare industriestandaarden (bijvoorbeeld TLS); Versleuteling in rust voor primaire productiedatastores, waar passend; Beheer van cryptografische sleutels volgens interne beleidsregels.
  • Netwerk- en infrastructuurbeveiliging: Segmentatie van netwerken waar passend; Gebruik van firewalls, beveiligde netwerkconfiguraties en andere beschermingslagen; Bescherming tegen DDoS-aanvallen door middel van infrastructuur- of cloudaanbieders; Beheer van kwetsbaarheden, onder meer door patchbeheer en beveiligingsupdates.
  • Applicatie- en ontwikkelingsbeveiliging: Een beveiligd ontwikkelproces (secure SDLC); Code reviews, dependency management en gebruik van tools voor het detecteren van kwetsbaarheden; Geheimbeheer (secrets management) voor gevoelige configuratiegegevens; Logging en monitoring van toepassings- en systeemgebeurtenissen.
  • Operationele beveiliging en incidentrespons: Een formeel incidentresponsplan, inclusief procedures voor detectie, onderzoek, mitigatie en rapportage; Monitoring op beveiligingsgebeurtenissen en anomalieën; Periodieke tests van back-up- en herstelprocedures; Change management-procedures voor wijzigingen aan infrastructuur en applicaties.
  • Fysieke beveiliging: Gebruik van datacenters en cloudinfrastructuur met fysieke beveiligingsmaatregelen in lijn met marktpraktijk (bijvoorbeeld toegangscontrole, bewaking en omgevingsmaatregelen).
  • Personeelsbeveiliging en training: Selectie- en onboardingprocedures, inclusief achtergrondcontroles waar wettelijk toegestaan; Reguliere training en bewustwording op het gebied van informatiebeveiliging, vertrouwelijkheid en privacy.
  • Derde partijen en Subverwerkers: Beoordeling van de beveiliging en privacypraktijken van Subverwerkers vóór inschakeling; Contractuele verplichtingen inzake beveiliging en gegevensbescherming; Periodieke herevaluatie van Subverwerkers wanneer passend.
  • Testing en audits: Periodieke interne en/of externe beoordelingen van beveiligingscontroles; Waar passend, onafhankelijke audits of certificeringen (bijvoorbeeld SOC- of ISO-rapporten).

BIJLAGE III — Subverwerkers

De lijst met huidige Subverwerkers die door Keycafe worden ingezet voor de Verwerking van Klantpersoonsgegevens is opgenomen in Bijlage 6 (Subverwerkers) bij de Voorwaarden. Het bijwerken van de lijst in Bijlage 6 vormt kennisgeving van een wijziging aan de Klant. De bezwaarrechten en rechtsmiddelen van de Klant met betrekking tot Subverwerkers zijn zoals uiteengezet in Artikel 6(c) en 6(d) van deze DPA.

Ondertekening. De Partijen komen overeen dat deze DPA (inclusief de opgenomen SCC’s en het UK Addendum, waar van toepassing) geacht wordt door de Partijen te zijn ondertekend en van kracht wordt op het moment dat de Klant de Voorwaarden accepteert.

Dichtbij