Juridisch — Toqen

Verwerkersovereenkomst (Data Processing Addendum)

Deze Verwerkersovereenkomst regelt de verwerking van persoonsgegevens door Toqen namens haar partners, in overeenstemming met de AVG.

TL;DR

  • Toqen treedt op als verwerker namens haar partners.
  • Persoonsgegevens worden uitsluitend verwerkt op basis van gedocumenteerde instructies en voor toegangs- en beveiligingsdoeleinden.
  • Passende technische en organisatorische maatregelen worden toegepast.
  • Subverwerkers en internationale doorgiften zijn onderworpen aan de waarborgen van de AVG.

Rollen en reikwijdte

Deze Verwerkersovereenkomst ("DPA") is van toepassing wanneer Toqen.app persoonsgegevens verwerkt namens een partner die optreedt als verwerkingsverantwoordelijke, in het kader van de levering van Toqen-diensten.

Voor de doeleinden van de AVG is de partner de verwerkingsverantwoordelijke en treedt Toqen.app op als verwerker, tenzij schriftelijk anders is overeengekomen.

Onderwerp en duur van de verwerking

Het onderwerp van de verwerking bestaat uit authenticatie-, toegangscontrole- en gerelateerde beveiligingsdiensten die door Toqen worden geleverd. De verwerking vindt plaats gedurende de dienstverlening en in overeenstemming met de gedocumenteerde instructies van de verwerkingsverantwoordelijke, tenzij bewaring vereist is op grond van toepasselijk recht.

Aard en doeleinden van de verwerking

  • Het leveren van wachtwoordloze authenticatie- en toegangsverificatiediensten.
  • Het genereren en valideren van tijdelijke tokens, sessies en eenmalige codes.
  • Het waarborgen van beveiliging, misbruikpreventie en betrouwbaarheid van de dienst.
  • Het leveren van operationele ondersteuning met betrekking tot de dienst.

Categorieën van persoonsgegevens

  • Technische identificatoren zoals tijdelijke tokens, sessie-identificatoren en verzoekmetadata.
  • IP-adres en apparaat- of browserinformatie, voor zover verwerkt in het kader van toegang, beveiliging of misbruikpreventie.
  • E-mailadres of bijnaam, voor zover verstrekt door de betrokkene via de configuratie van de partner.

Categorieën van betrokkenen

  • Eindgebruikers die toegang hebben tot diensten van de partner.
  • Geautoriseerde vertegenwoordigers of beheerders van de partner.

Verplichtingen van de verwerkingsverantwoordelijke

De partner is als verwerkingsverantwoordelijke verantwoordelijk voor het waarborgen dat persoonsgegevens rechtmatig, behoorlijk en transparant worden verwerkt, met inbegrip van het verstrekken van passende informatie aan betrokkenen en het verkrijgen van vereiste toestemmingen.

Verplichtingen van de verwerker

  • Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke, tenzij verwerking wettelijk verplicht is.
  • Waarborgen dat personen die bevoegd zijn om persoonsgegevens te verwerken, onderworpen zijn aan passende geheimhoudingsverplichtingen.
  • Het implementeren van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
  • De verwerkingsverantwoordelijke ondersteunen, waar van toepassing en voor zover redelijk, bij het beantwoorden van verzoeken van betrokkenen.
  • De verwerkingsverantwoordelijke ondersteunen bij het naleven van verplichtingen inzake beveiliging, datalekken en gegevensbeschermingseffectbeoordelingen, rekening houdend met de aard van de verwerking.
  • Registers van verwerkingsactiviteiten bijhouden overeenkomstig artikel 30, lid 2, AVG en samenwerken met toezichthoudende autoriteiten waar vereist.

Beveiligingsmaatregelen

Toqen implementeert passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang. Deze maatregelen omvatten, waar passend, versleuteling of hashing, toegangscontroles, netwerkbeveiliging en beveiligingsmonitoring.

Subverwerkers

De verwerkingsverantwoordelijke machtigt Toqen om subverwerkers in te schakelen die noodzakelijk zijn voor de levering van de diensten. Een actuele lijst van subverwerkers wordt beschikbaar gesteld overeenkomstig deze DPA. Toqen blijft overeenkomstig de AVG verantwoordelijk voor de prestaties van haar subverwerkers.

Internationale doorgiften van gegevens

Wanneer persoonsgegevens worden doorgegeven buiten de Europese Unie of de Europese Economische Ruimte, zijn dergelijke doorgiften onderworpen aan passende waarborgen overeenkomstig de artikelen 44–49 van de AVG, waaronder adequaatheidsbesluiten of standaardcontractbepalingen.

Inbreuk in verband met persoonsgegevens

Toqen stelt de verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte nadat zij kennis heeft genomen van een inbreuk in verband met persoonsgegevens die persoonsgegevens betreft die onder deze DPA worden verwerkt, en verstrekt redelijke informatie om de verwerkingsverantwoordelijke in staat te stellen aan zijn meldingsverplichtingen te voldoen.

Verwijdering of teruggave van gegevens

Na beëindiging van de diensten verwijdert Toqen, naar keuze van de verwerkingsverantwoordelijke, de namens hem verwerkte persoonsgegevens of geeft deze terug, tenzij bewaring van de persoonsgegevens vereist is op grond van toepasselijk recht.

Audits en naleving

Toqen stelt informatie beschikbaar die redelijkerwijs noodzakelijk is om naleving van deze DPA aan te tonen en staat audits toe die worden uitgevoerd door de verwerkingsverantwoordelijke of een onafhankelijke auditor, onder voorbehoud van redelijke voorafgaande kennisgeving, beperkingen in reikwijdte en vertrouwelijkheidsverplichtingen.

Toepasselijk recht

Deze DPA wordt beheerst door het recht van de EU-lidstaat waarin de verwerkingsverantwoordelijke is gevestigd, tenzij schriftelijk anders is overeengekomen.

Contact

Voor vragen met betrekking tot deze Verwerkersovereenkomst kunt u contact opnemen via hi@toqen.app.