Typ hierboven en klik Enter om te zoeken. Klik Esc om te annuleren.

Verwerkersovereenkomst

Terug naar de startpagina

Verwerkersovereenkomst

 

Ingangsdatum: 11 november 2024

1. Over deze Verwerkersovereenkomst.

a) Deze Verwerkersovereenkomst (‘Verwerkersovereenkomst‘) is een wettelijke overeenkomst die onlosmakelijk deel uitmaakt van en van toepassing is in aanvulling op de bestaande Lightspeed Dienstenovereenkomst, Channel Partner Agreement, Reseller Partner Agreement, of andere schriftelijke of elektronische overeenkomst tussen de partijen (zoals van toepassing) (‘Dienstenovereenkomst‘), die door en tussen de Klant (zoals omschreven in de Dienstenovereenkomst) als verwerkingsverantwoordelijke en Lightspeed Commerce Inc. en de gelieerde onderneming van Lightspeed die de contractspartij van de Klant is (zoals omschreven in de Dienstenovereenkomst) (gezamenlijk genoemd ‘Lightspeed‘ in deze Verwerkersovereenkomst) als verwerkers is gesloten in verband met de levering van diensten, waaronder begrepen diverse gegevens verwerkende diensten, aan de Klant (‘Diensten‘). Ondertekening van de Dienstenovereenkomst wordt geacht ondertekening en acceptatie van deze Verwerkersovereenkomst zijn, welke door verwijzing daarin is opgenomen.

b) Deze Verwerkersovereenkomst bestaat uit:

● de hoofdtekst van de Verwerkersovereenkomst

● Bijlage 1. Beschrijving van de Beveiligingsmaatregelen van Lightspeed

● Bijlage 2. Uitsluitend voor Klanten gevestigd in de Europese Economische Ruimte (EER), in Zwitserland of in het Verenigd Koninkrijk (VK), worden de EU-modelcontractbepalingen voor verwerkingsverantwoordelijke aan verwerker (2021) opgenomen in deze Verwerkersovereenkomst door verwijzing (zo genoemd Standard Contractual Clauses of afgekort SCC’s).  Zie artikel 10 voor meer details over internationale doorgiftes van gegevens.

● Bijlage 3. Uitsluitend voor Klanten gevestigd in het Verenigd Koninkrijk (VK) is het addendum betreffende internationale gegevensoverdracht bij de modelcontractbepalingen van de Europese Commissie (International Data Transfer Addendum to the EU Commission Standard Contractual Clauses) (versie B1.0) door middel van verwijzing opgenomen in deze Verwerkersovereenkomst (‘VK-Addendum’) (alleen beschikbaar in het Engels).

2. Definities.

De in deze Verwerkersovereenkomst gebruikte termen hebben dezelfde betekenis als de termen gebruikt in de Dienstenovereenkomst, tenzij uitdrukkelijk anders aangegeven. Als er tegenstrijdigheden of inconsistenties zijn tussen de Dienstenovereenkomst en deze Verwerkersovereenkomst, prevaleert deze Verwerkersovereenkomst.

3. Beschrijving van Persoonsgegevens.

Bij het uitvoeren van de Diensten kan Lightspeed toegang hebben tot informatie met betrekking tot geïdentificeerde of identificeerbare personen (‘Persoonsgegevens‘) of deze informatie anderszins ontvangen of verwerken. Persoonsgegevens sluiten expliciet geaggregeerde of gedeïdentificeerde informatie uit.

a) Soort Persoonsgegevens die worden verwerkt. Afhankelijk van hoe de Klant de Diensten wenst te gebruiken, kan Lightspeed de volgende soorten Persoonsgegevens verwerken:

Voornaam, achternaam; Contactinformatie (e-mailadres, woonadres, telefoonnummer); Taal; Geboortedatum; IP-adres; Locatiegegevens; Door de overheid verstrekte identificatienummers; Financiële informatie; Bankrekeninggegevens; Rapporten van kredietbureaus (indien de Klant gebruik maakt van Lightspeed Payments).

Lightspeed kan ook andere soorten Persoonsgegevens verwerken als de Klant ervoor gekozen heeft om zulke Persoonsgegevens te verzamelen en in te voeren in onze Diensten. De Diensten vereisen geen andere soorten Persoonsgegevens om naar behoren te functioneren. Lightspeed wijst alle aansprakelijkheid voor schade of claims af in verband met de keuze van de Klant om nietverplichte Persoonsgegevens in te voeren in de Diensten.

b) Betrokkenen. Er worden Persoonsgegevens over de volgende categorieën van personen verwerkt:

● Eigenaren van bedrijven die zich inschrijven voor de Diensten van Lightspeed.

● Werknemers en andere personen die door de Klant zijn gemachtigd en toegang hebben tot de Diensten en deze gebruiken (Eindgebruikers).

● Personen van wie Persoonsgegevens worden verwerkt met gebruikmaking van de Diensten, met inbegrip van klanten en leveranciers van de Klant.

4. Doeleinden van de verwerking.

Lightspeed is een aanbieder van ‘software as a service’ voor kassasystemen voor bedrijven actief in de detailhandel, golf- en horecasector, voor een online leveranciersnetwerk, evenals voor een online platform dat kan worden gebruikt voor e-commerce en aanverwante doeleinden. Lightspeed verwerkt Persoonsgegevens namens de Klant om deze diensten aan de Klant te leveren krachtens de Dienstenovereenkomst en eventuele aanvullende doeleinden in opdracht van de Klant bij het gebruik van de Diensten. Wanneer Lightspeed handelt als verwerker van de Persoonsgegevens, mag Lightspeed Persoonsgegevens uitsluitend verwerken namens de Klant en uitsluitend voor de in deze Verwerkersovereenkomst en de Dienstenovereenkomst vastgestelde doeleinden.

5. Verantwoordelijkheden met betrekking tot gegevensverwerking.

a) Verwerkingsverantwoordelijke. Klant is de verwerkingsverantwoordelijke van alle Persoonsgegevens die hij verzamelt door middel van de Diensten. Klant verzekert dat hij gerechtigd is tot het verwerken en doorgeven van de Persoonsgegevens aan Lightspeed zodat Lightspeed de Persoonsgegevens rechtmatig mag verwerken namens de Klant, zoals beoogd wordt met deze Verwerkersovereenkomst.

b) Verwerker. Lightspeed handelt als een verwerker van de door de Klant via het gebruik van de Diensten verzamelde Persoonsgegevens.

c) Subverwerkers. Klant erkent verleent Lightspeed hierbij schriftelijk toestemming (i) dat verbonden ondernemingen van Lightspeed kunnen handelen als subverwerkers van Lightspeed; en (ii) dat Lightspeed subverwerkers kan inschakelen voor zover nodig om de Diensten uit te voeren. De lijst van Lightspeed’s toegelaten subverwerkers bevindt zich op deze webpagina, en Klant erkent dat deze subverwerkers van essentieel belang zijn voor het leveren van de Diensten. Lightspeed zal de Klant informeren als het subverwerkers toevoegt, vervangt of wijzigt door voormelde lijst te actualiseren. Klant mag binnen 30 kalenderdagen na de wijziging bezwaar maken tegen de wijzigingen op gerechtvaardigde gronden en in overeenstemming met de principes van goede trouw, redelijkheid en eerlijkheid. Klant erkent dat als de Klant bezwaar maakt tegen het gebruik van een subverwerker door Lightspeed, Lightspeed niet verplicht zal zijn om aan Klant de Diensten te leveren waarvoor Lightspeed die subverwerker gebruikt.

6. Gegevensverwerking.

Lightspeed zorgt ervoor dat alle verwerking eerlijk, rechtmatig en in overeenstemming gebeurt met de verplichtingen van Lightspeed uit hoofde van deze Verwerkersovereenkomst evenals met toepasselijke gegevensbeschermingswetgeving. In het bijzonder:

a) Instructies van de verwerkingsverantwoordelijke. Lightspeed verwerkt Persoonsgegevens alleen op basis van de gedocumenteerde instructies van de Klant; als Lightspeed verplicht is om bijkomend Persoonsgegevens te verwerken in overeenstemming met een toepasselijke wet of toepasselijk voorschrift, zal Lightspeed de Klant van een dergelijke wettelijke verplichting op de hoogte stellen voorafgaand aan deze verwerking, tenzij een toepasselijke wet of toepasselijk voorschrift hem dat verbiedt te doen;

b) Zorgen voor passende bescherming. Lightspeed zorgt voor passende bescherming van Persoonsgegevens tegen onopzettelijke of onrechtmatige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, met name indien bij de verwerking Persoonsgegevens worden verzonden via een netwerk, en tegen alle andere onrechtmatige vormen van verwerking;

c) Veiligheidswaarborgen. Lightspeed voldoet aan de beveiligingsstandaard weergegeven in Bijlage 1, waarbij de stand van de techniek, de implementatiekosten en de aard, omvang, context en doeleinden van verwerking in aanmerking worden genomen;

d) Delen van informatie. Lightspeed deelt geen Persoonsgegevens met een derde of onbevoegde personen, tenzij de Klant diens voorafgaande schriftelijke toestemming heeft gegeven voor een dergelijke mededeling en met inachtneming van de in artikel 6 van deze Verwerkersovereenkomst vastgelegde voorwaarden;

e) Vertrouwelijkheid. Lightspeed bewaart Persoonsgegevens in strikte vertrouwelijkheid en verlangt van haar werknemers en alle andere onder haar zeggenschap staande personen die toegang zullen verkrijgen tot Persoonsgegevens of anderszins Persoonsgegevens zullen verwerken, dat zij zich houden aan dezelfde mate van vertrouwelijkheid in overeenstemming met de vereisten van deze Verwerkersovereenkomst (inclusief tijdens de duur van hun dienstverband of inhuur en daarna);

f) Verzoeken van betrokkenen. Lightspeed neemt passende maatregelen om de Klant te ondersteunen, voor zover dit mogelijk is, bij het voldoen aan diens verplichtingen als verwerkingsverantwoordelijke bij het beantwoorden van verzoeken van individuele betrokkenen om hun rechten uit hoofde van toepasselijke gegevensbeschermingswet- of regelgeving uit te oefenen. Daarnaast zal Lightspeed de Klant onverwijld informeren als het een verzoek ontvangt van een individu met betrekking tot Persoonsgegevens, met inbegrip van maar niet beperkt tot verzoeken om toegang tot de informatie, verzoeken om rectificatie van de informatie, verzoeken om Persoonsgegevens te blokkeren, uit te wissen of over te dragen, en zal niet reageren op dergelijke verzoeken tenzij het daartoe uitdrukkelijk gemachtigd is door de Klant of tenzij het daartoe verplicht is op grond van een toepasselijke gegevensbeschermingswet of een wet van de Europese Unie of een lidstaat die op Lightspeed van toepassing is. Daarnaast zorgt Lightspeed ervoor dat het technische en organisatorische maatregelen doorvoert om de Klant te ondersteunen bij het voldoen aan zijn verplichting om te reageren op dergelijke verzoeken van een individu met betrekking tot verwerkte Persoonsgegevens.

Lightspeed zal op tijdige en deugdelijke wijze verzoeken om inlichtingen en vragen van de Klant in verband met de verwerking van Persoonsgegevens uit hoofde van deze Verwerkersovereenkomst afhandelen;

g) Ondersteuning bij naleving door Klant. Rekening houdend met de aard van de verwerking en de informatie waarover Lightspeed beschikt, zal Lightspeed de Klant ondersteunen bij de zorg voor naleving van de verplichtingen ten aanzien van beveiligingsmaatregelen en het uitvoeren van gegevensbeschermingseffectbeoordelingen, indien nodig ingevolge artikel 32-36 van de Algemene Verordening Gegevensbescherming (AVG).

Lightspeed zal de Klant bijstaan en ondersteuning verlenen in geval van een onderzoek door een gegevensbeschermingsautoriteit of vergelijkbare autoriteit, voor zover dat onderzoek betrekking heeft op de verwerking van Persoonsgegevens uit hoofde van deze Verwerkersovereenkomst.

Lightspeed zal de Klant onverwijld informeren als naar het oordeel van Lightspeed een door de Klant gegeven instructie, of een toepasselijke wet- en regelgeving schendt, waaronder gegevensbeschermingswetten, of als een wijziging in de toepasselijke wet- en regelgeving waarschijnlijk een aanzienlijk negatief effect zal hebben op Lightspeed’s vermogen om te voldoen aan haar verplichtingen uit hoofde van deze Verwerkersovereenkomst; Lightspeed zal gerechtigd zijn om de uitvoering van de betreffende instructie op te schorten totdat deze wordt bevestigd of gewijzigd door de Klant. Lightspeed kan weigeren om een instructie die duidelijk onrechtmatig is uit te voeren;

h) Verzoeken om openbaarmaking. Voor zover toegestaan door toepasselijk recht, zal Lightspeed de Klant op de hoogte stellen van elk verzoek dat Lightspeed ontvangt van een overheidsinstantie om Persoonsgegevens die verwerkt zijn in het kader van de Dienstenovereenkomst te openbaren of om deel te nemen aan een onderzoek waarbij die Persoonsgegevens betrokken zijn. Lightspeed zal zich redelijkerwijs inspannen om de omvang van een dergelijk ontvangen verzoek te verkleinen en zal alleen de specifiek gevraagde Persoonsgegevens verstrekken;

i) Datalek. Lightspeed zal de Klant onverwijld (en in ieder geval binnen achtenveertig (48) uur) nadat het daarvan kennis heeft gekregen, informeren over feiten die bij Lightspeed bekend zijn over een daadwerkelijk(e), onopzettelijk(e) of ongeoorloofd(e) toegang, openbaarmaking of gebruik, of onopzettelijk(e) of ongeoorloofd(e) verlies, beschadiging of vernietiging van Persoonsgegevens door een huidige of voormalige werknemer, opdrachtnemer of agent van Lightspeed of door een andere persoon of derde.

Lightspeed zal volledige medewerking verlenen aan de Klant in geval van een onopzettelijk(e) of ongeoorloofd(e) toegang, openbaarmaking of gebruik, of onopzettelijk(e) of ongeoorloofd(e) verlies, beschadiging of vernietiging van Persoonsgegevens door een huidige of voormalige werknemer, opdrachtnemer of agent van Lightspeed of door een andere persoon of derde, teneinde de ongeoorloofde openbaarmaking of het ongeoorloofde gebruik te beperken, de Persoonsgegevens terug te krijgen en de Klant te ondersteunen bij het melden aan de bevoegde toezichthouders en getroffen personen als de Klant daarom verzoekt.

7. Verdere gegevensverwerking.

Lightspeed mag de uitvoering van een deel van de Diensten alleen uitbesteden aan derden als subverwerkers (met inbegrip van gelieerde ondernemingen van Lightspeed buiten de EER, Zwitserland en het VK) als Lightspeed ervoor zorgt dat deze subverwerkers gebonden zijn aan verplichtingen die niet minder zwaar zijn dan de verplichtingen die in deze Verwerkersovereenkomst zijn opgenomen.

8. Bewaren en verwijderen.

a) Lightspeed verwerkt Persoonsgegevens zolang als redelijkerwijs nodig is om de Diensten te leveren. De bewaartermijn kan langer zijn als Lightspeed op basis van toepasselijk recht of om haar bedrijf te beheren verplicht is om Persoonsgegevens langer te bewaren.

b) Op verzoek van de Klant zal Lightspeed onmiddellijk ophouden Persoonsgegevens te verwerken en zal ze onverwijld al deze Persoonsgegevens retourneren of wissen, in overeenstemming met de instructies die door de Klant kunnen worden gegeven op dat moment, tenzij Lightspeed verplicht is om de Persoonsgegevens op te slaan op grond van toepasselijke wet- of regelgeving die op haar van toepassing is of tenzij uitdrukkelijk anderszins is overeengekomen met de Klant. De in dit artikel genoemde verplichtingen zullen van kracht blijven niettegenstaande beëindiging of afloop van deze Verwerkersovereenkomst.

9. Audit en naleving.

a) Lightspeed zal aan de Klant alle informatie beschikbaar stellen die nodig is om nakoming aan te tonen van haar verplichtingen betreffende de verwerking van Persoonsgegevens die aan Lightspeed in haar rol als gegevensverwerker zijn verstrekt.

b) Lightspeed zal de verwerkingssystemen, voorzieningen en ondersteunende documentatie met betrekking tot de verwerking van Persoonsgegevens beschikbaar stellen voor een audit door de Klant of een door de Klant geselecteerde gekwalificeerde, onafhankelijke beoordelaar, en het zal alle ondersteuning geven die de Klant redelijkerwijs kan verlangen voor de audit, doch niet meer dan één keer in een periode van 12 maanden. Als de audit aantoont dat Lightspeed inbreuk heeft gemaakt op een verplichting uit hoofde van de Verwerkersovereenkomst, zal Lightspeed deze inbreuk onmiddellijk herstellen;

c) In geval van inspectie of audits door een bevoegde overheidsinstantie met betrekking tot de verwerking van Persoonsgegevens, zal Lightspeed zijn relevante verwerkingssystemen, voorzieningen en ondersteunende documentatie beschikbaar stellen aan de betreffende bevoegde overheidsinstantie voor een inspectie of audit indien dit nodig is ter naleving van toepasselijke wetten. In geval van een inspectie of audit, zal elke partij alle redelijke ondersteuning verlenen aan de andere partij bij het reageren op die inspectie of audit. Als een bevoegde overheidsinstantie oordeelt dat de verwerking van Persoonsgegevens uit hoofde van deze Verwerkersovereenkomst onrechtmatig is, zullen de partijen onmiddellijk actie ondernemen om te zorgen voor toekomstige naleving van toepasselijke gegevensbeschermingswetgeving. In plaats van inspecties en controles ter plaatse, kan Lightspeed de Klant verwijzen naar een gelijkwaardige controle door onafhankelijke derden (zoals neutrale auditors inzake gegevensbescherming), naleving van goedgekeurde gedragsregels (art. 40 AVG) of passende gegevensbescherming of ICT-beveiligingscertificeringen ingevolge art. 42 AVG. Dit is met name van toepassing als bedrijfsgeheimen van Lightspeed of Persoonsgegevens van derden in gevaar zouden komen door de controles;

d) De Klant zal Lightspeed alle redelijke kosten vergoeden die Lightspeed heeft gemaakt in verband met een audit of inspectie door (of namens) de Klant of een bevoegde overheidsinstantie, behalve wanneer uit een dergelijke audit of inspectie blijkt dat Lightspeed een van haar verplichtingen uit hoofde van deze Verwerkersovereenkomst heeft geschonden.

e) Tenzij het Lightspeed wettelijk verboden is om een dergelijke mededeling te doen, zal Lightspeed de Klant onverwijld informeren als: (i) het een vraag om inlichtingen, een dagvaarding of een verzoek om inspectie of audit van een bevoegde overheidsinstantie ontvangt met betrekking tot de verwerking van Persoonsgegevens waarop deze Verwerkersovereenkomst van toepassing is, voor zover het de gegevens van de Klant betreft; of (ii) het voornemens is om Persoonsgegevens te mee te delen aan een bevoegde overheidsinstantie.

f) Lightspeed zal zorgen dat elke werknemer, agent, onafhankelijke opdrachtnemer of enige andere persoon die betrokken is bij de levering van de Diensten en die toegang heeft tot Persoonsgegevens van Klant, voldoet aan alle wet- en regelgeving inzake gegevensbescherming en privacy (inclusief alle wetgevende en/of regelgevende wijzigingen of opvolgers daarvan) die van toepassing is op Lightspeed.

10. Gegevensdoorgiftes (uitsluitend voor Klanten gevestigd in de EER, Zwitserland of het VK).

a) Klant machtigt Lightspeed om opdracht te geven tot verwerking in een derde land, waaronder door subverwerkers, als aan de specifieke vereisten van artikel 44-49 AVG wordt voldaan. Klant wordt geacht expliciete toestemming te hebben verleend voor verwerking in een derde land met betrekking tot de verwerkingsactiviteiten uitgevoerd door Lightspeed en haar subverwerkers, zoals hier opgelijst.

b) Lightspeed Commerce Inc. is een in Canada gevestigd bedrijf. Als zodanig worden alle gegevensdoorgiftes van Klanten gevestigd in de Europese Economische Ruimte (EER), in Zwitserland of in het Verenigd Koninkrijk (VK) aan Lightspeed gedaan krachtens het adequaatheidsbesluit van de Europese Commissie voor Canada.

c) Voor zover het adequaatheidsbesluit niet van toepassing is, beroept Lightspeed zich op de bijgevoegde Modelcontractbepalingen (Standard Contractual Clauses of afgekort SCC’s), passend bijgevoegd als Bijlage 2, als een goedgekeurd overdrachtsmechanisme voor internationale doorgiftes van Persoonsgegevens. In deze SCC’s is de Klant de gegevensexporteur en Lightspeed Commerce Inc. de gegevensimporteur.

d) Ondertekening van de Dienstenovereenkomst wordt geacht ondertekening en acceptatie van de SCC’s in te houden. Als de Klant aanvullend een exemplaar van de SCC’s wenst af te sluiten, kan de Klant de vooraf ondertekende versie invullen die bij deze Overeenkomst is gevoegd als Bijlage 2, deze tegentekenen en terugsturen naar Lightspeed per e-mail naar [email protected], indien toepasselijk onder vermelding van het nummer van de rechtspersoon en/of account van de Klant (aangegeven op het elk Bestelformulier of factuur van Lightspeed).

e) in de mate dat dit toegestaan en in overeenstemming is met toepasselijke gegevensbeschermingswetten (inclusief AVG), kan Lightspeed – wanneer de hierboven genoemde passende waarborgen zouden ontbreken – zich beroepen op een afwijking die van toepassing is op de specifieke situatie in kwestie (bijv. de uitdrukkelijke toestemming van de betrokkenen, de noodzaak voor de uitvoering van een overeenkomst, de noodzaak voor het instellen, uitoefenen of verdedigen van rechtsvorderingen).

f) Met betrekking tot de overdracht van persoonsgegevens die door de Britse wet op gegevensbescherming 2018 (UK Data Protection Act 2018) worden beschermd, zijn de SCC’s van toepassing en worden zij geacht te zijn gewijzigd zoals gespecificeerd in het VK-Addendum, dat geacht wordt door de partijen te zijn uitgevoerd en door middel van verwijzing in deze Verwerkersovereenkomst is opgenomen. Eventuele tegenstrijdigheden tussen de bepalingen van de SCC’s en het VK-Addendum zullen worden opgelost in overeenstemming met artikel 10 en artikel 11 van het VK-Addendum.

11. Vragen omtrent gegevensbescherming.

Klant kan te allen tijde contact opnemen met Lightspeed via [email protected] met al diens vragen en suggesties omtrent gegevensbescherming.

Uitsluitend voor Klanten gevestigd in Duitsland: Klant kan contact opnemen met de Functionaris voor Gegevensbescherming van Lightspeed:

Karina Filusch
Friedrichstraße 95
D-10117 Berlijn
Duitsland
E-mail: [email protected]
Met een kopie naar: [email protected]

12. Algemene bepalingen.

a) Wijzigingen. Alle wijzigingen van of aanvullingen op deze Verwerkersovereenkomst moeten schriftelijk geschieden. Hetzelfde geldt voor een eventuele afstanddoening van een recht of verplichting uit hoofde van deze Verwerkersovereenkomst. De rangorde van afzonderlijke contractuele overeenkomsten zal daardoor niet beïnvloed worden. Lightspeed behoudt zich het recht voor om deze Verwerkersovereenkomst te allen tijde te wijzigen met werking voor de toekomst. Wijzigingen zullen alleen worden aangebracht als er sprake is van de volgende objectieve redenen:

● als de wijziging helpt om de Verwerkersovereenkomst in overeenstemming te brengen met toepasselijk recht, in het bijzonder als de toepasselijke juridische situatie verandert;

● als de wijziging Lightspeed in staat stelt om verplichte gerechtelijke of bestuurlijke besluiten na te leven;

● als de wijziging een weerspiegeling is van details van een nieuwe of geactualiseerde Lightspeed Service of van nieuwe of bijgewerkte technische of organisatorische processen en niet de bestaande contractuele relatie met de Klant ten nadele van de Klant beïnvloedt;

● als de wijziging louter in het voordeel van de Klant is.

b) Scheidbaarheid. Als een bepaling van deze Overeenkomst ongeldig of praktisch onuitvoerbaar is of wordt, geheel dan wel gedeeltelijk, zal dit de geldigheid van de resterende bepalingen onverlet laten.

c) Looptijd. Deze Verwerkersovereenkomst is van kracht gedurende de gehele Termijn (zoals gedefinieerd in de Dienstenovereenkomst) en deze Verwerkersovereenkomst eindigt op de datum waarop de Dienstenovereenkomst is verstreken of wordt beëindigd.

 

Bijlage 1: Beschrijving van de Beveiligingsmaatregelen van Lightspeed

Lightspeed heeft passende en voldoende technische en organisatorische maatregelen genomen ter beveiliging van de Persoonsgegevens ter voorkoming van een inbreuk die per ongeluk of op onrechtmatige wijze leidt tot het verlies, de vernietiging, de wijziging of de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot Persoonsgegevens, met name waar de verwerking een verzending van Persoonsgegevens over een netwerk betreft, alsmede tegen alle andere onrechtmatige vormen van gegevensverwerking.

Lightspeed heeft een vaste informatiebeveiligingsorganisatie die beheerd wordt door het Lightspeed-beveiligingsteam en geleid wordt door de Vice-President for Information Security. Lightspeed Security heeft beleidsregels en procedures vastgesteld, en handhaaft deze, om standaarden voor logische toegang tot de productie-omgevingen van Lightspeed toe te passen. De beleidsregels identificeren ook functionele verantwoordelijkheden voor het beheer van logische toegang en beveiliging. Lightspeed’s beleidsregels in verband met informatiebeveiliging worden jaarlijks door het beveiligingsmanagement herzien en goedgekeurd en worden gebruikt om Lightspeed te helpen bij het voldoen aan de servicebeloftes die we doen aan de Klant.

De volgende beschrijving biedt een overzicht van de technische en organisatorische beveiligingsmaatregelen die zijn ingevoerd. Deze maatregelen omvatten, maar zijn niet beperkt tot de hierna opgesomde maatregelen. Voor meer gedetailleerde informatie over de meest geavanceerde maatregelen kunt u rechtstreeks contact met ons opnemen.

Gegevensbescherming

Lightspeed verwerkt Persoonsgegevens als een gegevensverwerker, uitsluitend ten behoeve van het leveren van de Diensten in overeenstemming met gedocumenteerde instructies van de Klant (mits deze instructies in verhouding staan tot de functionaliteiten van de Diensten) en zoals kan worden overeengekomen met de Klant.

Lightspeed implementeert en onderhoudt gepaste technische en organisatorische maatregelen om Persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging, beschadiging, diefstal, wijziging of openbaarmaking.

Lightspeed onderhoudt een kader voor risicobeheer en herziet dit minstens elk kwartaal om veranderingen in zijn omgeving, systemen en het dreigingslandschap vast te stellen, met het oog op het identificeren en beheren van eventuele risico’s in verband met de activiteiten en de verwerking van de Persoonsgegevens.

Lightspeed zorgt ervoor dat de werknemers die toegang hebben tot Persoonsgegevens gebonden zijn aan geheimhoudingsverplichtingen die hun mogelijkheden om de Persoonsgegevens openbaar te maken beperken, en jaarlijks een Information Security Awareness training volgen.

Lightspeed past de begrippen ‘least privilege’ (minimale autorisatie) en ‘need to know’ toe, waarbij het alleen toegang toestaat die gebruikers nodig hebben om hun taken uit te voeren. Gebruikersaccounts worden aangemaakt met minimale toegangsrechten. Toegang tot informatie waarvoor meer dan minimale autorisatie nodig is, moet passende en afzonderlijke goedkeuring verkrijgen.

Lightspeed past Multi-Factor Authentication toe op alle kritieke applicaties en infrastructuur.

In transit: Lightspeed implementeert HTTPS-codering op al zijn login interfaces en op elke website van Klanten die wordt gehost op de Lightspeed-producten. De HTTPS-implementatie van Lightspeed maakt gebruik van standaard algoritmen en -certificaten.

In rust: Lightspeed implementeert encryptie ‘in rust’ om te beschermen tegen gegevensverlies.

Controle op toegang

1. Preventie van ongeautoriseerde toegang tot producten

Verwerking door derden: Lightspeed host haar services op externe hosting infrastructuur in de vorm van datacenters en Infrastructure-as-a-Service (IaaS). Daarnaast onderhoudt Lightspeed contractuele relaties met leveranciers om de service te leveren in overeenstemming met onze gegevensverwerking overeenkomst. Lightspeed vertrouwt op contractuele overeenkomsten, privacybeleid en leveranciers compliance programma’s om gegevens te beschermen die door deze leveranciers worden verwerkt of opgeslagen.

Fysieke en omgevingsbeveiliging: Lightspeed host haar productinfrastructuur met multi-tenant, uitbestede infrastructuur providers. De fysieke en omgeving beveiligingscontroles van onze infrastructuuraanbieders worden gecontroleerd op onder meer SOC 2 Type II, ISO 27001 en PCI DSS-conformiteit.

Authenticatie: Lightspeed heeft een sterk authenticatiemechanisme geïmplementeerd voor Lightspeed gebruikers die toegang hebben tot haar klantenproducten. Alle Lightspeed gebruikers die via elke interface met de producten moeten communiceren, moeten zich verifiëren met behulp van multi-factor authenticatie om toegang te krijgen tot niet-openbare gegevens van de Klant.

Autorisatie: Gegevens van de Klant worden opgeslagen in multi-tenant opslagsystemen die voor klanten toegankelijk zijn uitsluitend via gebruikersinterfaces en de API. Klanten hebben geen directe toegang tot de onderliggende applicatie-infrastructuur. Het autorisatiemodel in elk product van Lightspeed is ontworpen om ervoor te zorgen dat alleen de daartoe aangewezen personen toegang hebben tot relevante functies, weergaven en aanpassingsmogelijkheden. Autorisatie voor gegevenssets wordt uitgevoerd door de machtigingen van de gebruiker te valideren ten opzichte van de kenmerken die aan elke dataset zijn gekoppeld.

2. Preventie van ongeautoriseerd gebruik van het product

Toegangscontroles: Toegangscontrolemechanismen voor het netwerk zijn ontworpen om te voorkomen dat netwerkverkeer door ongeautoriseerde protocollen de product infrastructuur zou bereiken. De geïmplementeerde technische maatregelen verschillen per infrastructuuraanbieder en omvatten Virtual Private Cloud (VPC)-implementaties, toewijzing van beveiligingsgroepen en traditionele firewallregels.

Indringerdetectie en -preventie: Lightspeed heeft een WAF-oplossing (Web Application Firewall) geïmplementeerd om bepaalde gehoste klantenwebsites en andere voor internet toegankelijke applicaties te beschermen die door Lightspeed worden geïdentificeerd. De WAF is ontworpen om aanvallen op openbaar beschikbare services op te sporen en te voorkomen.

Scannen op kwetsbaarheden: Lightspeed scant haar code, infrastructuur en webdiensten regelmatig op bekende kwetsbaarheden en verhelpt ze tijdig. Lightspeed is geabonneerd op nieuwsoverzichten voor toepasselijke leveranciersfouten en monitort de websites van leveranciers en andere relevante kanalen actief op nieuwe patches.

3. Beperkingen van privilege & autorisatie vereisten

Product toegang: Een deel van de werknemers van Lightspeed heeft via gecontroleerde interfaces toegang tot de producten en tot gegevens van de Klant. Het verlenen van toegang aan een groep van medewerkers is bedoeld om effectieve ondersteuning te bieden, mogelijke problemen op te lossen, beveiligingsincidenten te detecteren en erop te reageren en gegevensbeveiliging te implementeren. Aan werknemers kan toegang worden verleend op grond van hun functie of door indiening van een goedgekeurd verzoek. Inlogsessies bij gegevensopslag- of verwerkingssystemen worden geregistreerd.

Database toegang: Gegevens van de Klant zijn alleen toegankelijk voor en kunnen alleen beheerd worden door een beperkt aantal gemachtigde medewerkers. De toegang tot gegevens wordt beperkt via netwerksegmentatie van de productie-, staging-, kwaliteitsborgings- en ontwikkelingsomgevingen. Directe toegang tot databasequery’s wordt beperkt, en toegangsrechten voor toepassingen zijn ingesteld en worden gehandhaafd.

Incident Management Control

Detectie: Lightspeed heeft haar infrastructuur ontworpen om uitgebreide informatie over het systeem, ontvangen dataverkeer, systeemverificatie en andere verzoeken te loggen. Interne systemen verzamelen gegevens en waarschuwen bevoegde medewerkers over kwaadwillende, onbedoelde of abnormale activiteiten. Het personeel van Lightspeed, inclusief beveiliging, operations en support, zal reageren op gekende incidenten.

Respons en tracking: Lightspeed houdt een register bij van gekende beveiligingsincidenten met beschrijvingen, data en tijden van relevante activiteiten en incidenten. Verdachte en bevestigde beveiligingsincidenten worden onderzocht door beveiliging, operations of support en passende stappen worden geïdentificeerd en gedocumenteerd. Voor alle bevestigde incidenten neemt Lightspeed passende maatregelen om schade aan producten en klanten of ongeautoriseerde openbaarmaking te minimaliseren.

Communicatie: Als Lightspeed kennis krijgt van onrechtmatige toegang tot gegevens van de Klant die zijn opgeslagen in haar producten, zal Lightspeed, indien en voor zover zij dit nodig acht of hiertoe verplicht is: de betrokken Klanten informeren over het incident; een beschrijving delen van de stappen die Lightspeed neemt om het incident op te lossen; status-updates met deze Klanten delen. Kennisgeving van eventuele incidenten wordt aan een of meer contactpersonen van de Klant geleverd in een vorm die door Lightspeed wordt geselecteerd, mogelijk via e-mail of telefoon.

 

Bijlage 2: Standaardcontractbepalingen (Uitsluitend voor Klanten gevestigd in de EER, in Zwitserland en in het VK)

Bijlage 3: Addendum betreffende internationale gegevensoverdracht bij de modelcontractbepalingen van de Europese Commissie (Uitsluitend voor Klanten gevestigd in het VK)