1. Introductie

1. Deze gegevensverwerkingsovereenkomst (de”DPA”) regelt de verwerking van persoonsgegevens tijdens de levering van de diensten die door Alice of haar gelieerde ondernemingen aan de abonnee worden geleverd en maakt deel uit van de overeenkomst tussen de partijen.
   ‍
2. Deze DPA regelt de rechten en plichten van de Abonnee in haar hoedanigheid van gegevensbeheerder of verwerker, evenals de rechten en plichten van Alice in haar hoedanigheid van gegevensverwerker of subverwerker wanneer Alice persoonsgegevens namens de Abonnee verwerkt in het kader van de Overeenkomst.
   ‍
3. Het doel van deze DPA is om de verwerking van persoonsgegevens te reguleren in overeenstemming met de vereisten die zijn vastgelegd in de toepasselijke wetgeving inzake gegevensbescherming. De concepten, termen en uitdrukkingen in deze DPA moeten worden geïnterpreteerd in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming (zoals hieronder gedefinieerd).
   ‍
4. In geval van een conflict tussen de rest van de Overeenkomst en deze DPA (inclusief de bijlagen), heeft de formulering van deze DPA voorrang.
   ‍
5. De volgende bijlagen maken deel uit van de DPA:
   ‍
   1. Bijlage A — Specificatie van gegevensverwerking
   2. Bijlage B — Vooraf goedgekeurde subverwerkers
   3. Bijlage C — Beveiligingsmaatregelen
      ‍
6. Termen met een hoofdletter die in dit document worden gebruikt maar niet gedefinieerd, hebben de betekenis die is uiteengezet in het Bestelformulier of de Algemene Voorwaarden Alice.
   ‍

2. Verwerking van persoonsgegevens

1. Alice verbindt zich ertoe om persoonlijke gegevens te verwerken voor doeleinden die zijn uiteengezet in deze DPA (inclusief bijlage A) en volgens de gedocumenteerde instructies van de abonnee, tenzij anders vereist op grond van de toepasselijke wetgeving inzake gegevensbescherming. De instructies van de abonnee aan Alice met betrekking tot het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en plichten van beide partijen worden beschreven in deze DPA en in bijlage A.
   ‍
2. Als gegevensverwerker zal Alice alles in het werk stellen om:
   ‍
   1. voldoen aan alle toepasselijke gegevensbeschermingswetten die op hem van toepassing zijn als verwerker van de persoonsgegevens;
   2. meewerken aan audits die door de Abonnee worden uitgevoerd; en
   3. Stel de abonnee onmiddellijk op de hoogte als Alice vaststelt dat een instructie van de abonnee in strijd is met de toepasselijke wetgeving inzake gegevensbescherming.
      ‍
3. Als gegevensbeheerder verbindt de Abonnee zich ertoe dat elke overdracht van persoonlijke gegevens aan Alice met behulp van de Services plaatsvindt met behulp van veilige, redelijke en geschikte mechanismen voor gegevensoverdracht.
   ‍
4. Alice zal de Abonnee zonder onnodige vertraging op de hoogte brengen van elke communicatie met een gegevensbeschermingsautoriteit die betrekking heeft op de verwerking van persoonsgegevens door Alice in het kader van deze DPA, en Alice zal de Abonnee redelijke hulp bieden als de Abonnee een verzoek van een dergelijke autoriteit ontvangt of onderworpen is aan een regelgevend onderzoek. Als betrokkenen, bevoegde autoriteiten of andere derden Alice bovendien om informatie vragen over de verwerking van persoonsgegevens die onder deze DPA vallen, zal Alice dergelijke verzoeken doorverwijzen naar de Abonnee voor zover toegestaan volgens de toepasselijke wetgeving.
   ‍
5. Alice zal de Abonnee redelijke hulp bieden, door middel van passende technische en organisatorische maatregelen, bij de nalevingsverplichtingen van de Abonnee om redelijke beveiligingsprocedures en -praktijken toe te passen die passen bij de aard van de Persoonsgegevens.
   ‍
6. De hulp van Alice aan de Abonnee in overeenstemming met clausule 2.4 en 2.5 wordt verleend op redelijke kosten van de Abonnee, tenzij de reden voor de assistentie een direct gevolg is van een handeling of nalatigheid van Alice of haar Gelieerde Ondernemingen.
   ‍
7. Alice verklaart dat ze niet:
   ‍
   1. persoonlijke gegevens bewaren, gebruiken of openbaar maken buiten de context van de relatie tussen Alice en de Abonnee, anders dan om de Services te leveren in overeenstemming met de Overeenkomst en deze DPA, of zoals anderszins toegestaan door de toepasselijke wetgeving inzake gegevensbescherming;
   2. persoonlijke gegevens verkopen of delen; of
   3. persoonlijke gegevens die Alice verkrijgt bij de uitvoering van de diensten combineren met alle persoonlijke informatie die Alice uit andere bronnen verzamelt, behalve voor zover toegestaan door de toepasselijke wetgeving inzake gegevensbescherming.
      ‍

3. Verplichtingen van de abonnee

1. De Abonnee zorgt ervoor dat hij een geldige wettelijke basis heeft, en alle nodige rechten, toestemmingen en autorisaties, om de persoonlijke gegevens aan Alice te verstrekken en om Alice te machtigen om die persoonlijke gegevens te verwerken in overeenstemming met deze DPA, de Overeenkomst en/of andere verwerkingsinstructies die door de Abonnee aan Alice zijn verstrekt.
   ‍
2. De abonnee moet zich houden aan alle toepasselijke gegevensbeschermingswetten die op hem van toepassing zijn als beheerder van de persoonlijke gegevens.
   ‍
3. De abonnee garandeert dat hij technische en organisatorische beveiligingsmaatregelen heeft genomen voordat hij persoonsgegevens verwerkt.
   ‍
4. De Abonnee beperkt de verstrekking van persoonsgegevens aan Alice tot wat noodzakelijk is voor het doel van de Overeenkomst. De abonnee mag bijvoorbeeld geen persoonlijke gegevens, behalve technische contactgegevens, opnemen in tickets voor technische ondersteuning.

‍

4. Subverwerkers

1. Alice heeft, behoudens clausules 4.2 en 4.3 en clausule 5, het recht om onderaannemers in te schakelen die optreden als subverwerkers, en op voorwaarde dat zij gebonden zijn aan een schriftelijke overeenkomst die wezenlijk dezelfde verplichtingen inzake gegevensverwerking oplegt als de verplichtingen uit hoofde van deze DPA met betrekking tot gegevensbescherming.
   ‍
2. Een lijst van subverwerkers waarmee Alice al samenwerkt op het moment dat deze DPA werd ondertekend, is als bijlage B bij deze DPA bijgevoegd. Door deze DPA te ondertekenen, keurt de abonnee de lijst van subverwerkers goed.
   ‍
3. Alice zal de abonnee op de hoogte brengen van nieuwe subverwerkers door de lijst met subverwerkers bij te werken op www.alice.law/legal en geef de abonnee de mogelijkheid om bezwaar te maken tegen dergelijke wijzigingen. Dergelijke bezwaren van de Abonnee zullen gebaseerd zijn op redelijke gronden met betrekking tot het vermogen van de nieuwe subverwerker om te voldoen aan de toepasselijke wetgeving inzake gegevensbescherming en moeten binnen 10 dagen na publicatie schriftelijk worden ingediend. Alice mag geen nieuwe subverwerker inschakelen voordat de periode van 10 dagen is verstreken. Alice zal de Abonnee op verzoek de informatie verstrekken waarover Alice beschikt en die de Abonnee redelijkerwijs kan vragen om te beoordelen of de nieuwe subverwerker in staat is om te voldoen aan de toepasselijke wetgeving inzake gegevensbescherming. Indien Alice, ondanks het bezwaar van de Abonnee, de subverwerker wil inschakelen, zullen de Partijen te goeder trouw een alternatieve oplossing bespreken en proberen te vinden die voor beide Partijen redelijkerwijs aanvaardbaar is. Als de partijen geen alternatieve oplossing kunnen vinden en de Abonnee nog steeds bezwaar maakt tegen de aanstelling van de subverwerker, en als het bezwaar van de Abonnee zou leiden tot extra kosten of uitgaven voor Alice, dan heeft Alice het recht haar tarieven op grond van de Overeenkomst aan te passen om ervoor te zorgen dat Alice wordt vergoed voor dergelijke extra en/of verhoogde kosten of uitgaven. Niettegenstaande de vorige zin kan Alice, indien het bezwaar van de Abonnee zou leiden tot kosten of operationele gevolgen die naar de mening van Alice commercieel niet redelijk zouden zijn, de Overeenkomst beëindigen met een redelijke schriftelijke kennisgeving.

‍

5. Overdrachten naar derde landen

1. De Abonnee erkent dat hij persoonlijke gegevens mag overdragen of persoonlijke gegevens op afstand beschikbaar kan stellen aan Alice in de EU, zodat Alice de diensten kan leveren.
   ‍
2. Alice kan de persoonsgegevens buiten de Europese Economische Ruimte (EER) overdragen voor zover dit gebeurt in overeenstemming met hoofdstuk V van de AVG (d.w.z. een adequaatheidsbesluit van de Europese Commissie, standaardbepalingen van de Europese Commissie voor de overdracht van persoonsgegevens aan verwerkers in derde landen (2021/914/EU); bindende bedrijfsregels, goedgekeurde gedragscodes, goedgekeurde certificeringsmechanismen of elk ander geldig instrument voor overdracht zoals bedoeld in artikel 46 van de GDPR), en in strikte overeenstemming met de verplichtingen die voortvloeien uit de Schrems-II arrest van 16 juli 2020 van het Europese Hof van Justitie en de (Europese en nationale) richtlijnen inzake gegevensoverdracht buiten de EER die toezichthoudende autoriteiten in dit verband hebben aangenomen.

‍

6. Informatiebeveiliging en vertrouwelijkheid

1. Om een adequaat beveiligingsniveau te handhaven voor de bescherming van persoonsgegevens, en onverminderd de verplichtingen op het gebied van informatiebeveiliging en vertrouwelijkheid die anderszins voortvloeien uit de Overeenkomst, verbindt Alice zich tot de passende technische en organisatorische maatregelen zoals beschreven in Bijlage C.
   ‍
2. Alice zal de persoonlijke gegevens beschermen tegen onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens die worden verzonden, opgeslagen of anderszins verwerkt. De persoonsgegevens worden ook beschermd tegen andere vormen van onwettige verwerking.
   ‍
3. Alice zorgt ervoor dat alleen personeel en andere vertegenwoordigers die toegang tot persoonsgegevens nodig hebben om aan de verplichtingen van Alice uit hoofde van de Overeenkomst te voldoen, toegang hebben tot dergelijke informatie. Alice garandeert dat alle personen die gemachtigd zijn om de persoonsgegevens te verwerken, zich tot vertrouwelijkheid verplichten of onder een passende wettelijke geheimhoudingsplicht vallen.

‍

7. Meldingen van datalekken

1. Alice zal de Abonnee onverwijld en uiterlijk binnen 72 uur nadat zij kennis heeft genomen van een inbreuk in verband met persoonsgegevens, op de hoogte brengen.
   ‍
2. Alice zal de Abonnee bijstaan met alle informatie die redelijkerwijs nodig is om te voldoen aan de meldingsvereisten van de Abonnee inzake datalekken op grond van de toepasselijke wetgeving inzake gegevensbescherming. Alle kosten in verband met dergelijke hulp zijn onderworpen aan de aansprakelijkheidsbeperkingen in de Algemene Voorwaarden.

‍

8. Effectbeoordelingen op het gebied van gegevensbescherming en voorafgaande consultaties

Alice zal, op redelijke kosten van de Abonnee, rekening houdend met de aard van de verwerking en de informatie waarover Alice beschikt, de Abonnee helpen bij het nakomen van de verplichting van de Abonnee om, indien van toepassing, gegevensbeschermingseffectbeoordelingen en voorafgaand overleg met de Gegevensbeschermingsautoriteit uit te voeren.

‍

9. Auditrechten

1. De abonnee heeft het recht om op eigen kosten audits uit te voeren van de verwerking van de persoonlijke gegevens van de abonnee door Alice om te verifiëren of Alice deze DPA naleeft. Dit auditrecht is beperkt tot één keer per Termijn of Verlengingstermijn.
   ‍
2. De abonnee schakelt een externe auditor in om de audit uit te voeren. Deze externe auditor moet onderling worden goedgekeurd door de abonnee en Alice (behalve als deze derde een toezichthouder is).
   ‍
3. Om een audit aan te vragen, moet de Abonnee ten minste één (1) maand voor de voorgestelde auditdatum een gedetailleerd voorgesteld auditplan indienen bij Alice. Het voorgestelde auditplan moet de identiteit van de voorgestelde externe auditor, de voorgestelde reikwijdte, duur en begindatum van de audit beschrijven. Alice zal het voorgestelde auditplan bekijken en eventuele zorgen of vragen aan de abonnee voorleggen. Alice zal samenwerken met de Abonnee om binnen een redelijke termijn overeenstemming te bereiken over een definitief auditplan.
   ‍
4. De audit moet tijdens de reguliere kantooruren worden uitgevoerd in de betreffende faciliteit, met inachtneming van het overeengekomen definitieve auditplan en het gezondheids- en veiligheidsbeleid van Alice of ander relevant beleid, en mag de bedrijfsactiviteiten van Alice niet op onredelijke wijze hinderen.
   ‍
5. Na afronding van de audit zal de abonnee Alice een kopie van het auditrapport verstrekken, dat onderworpen is aan de vertrouwelijkheidsvoorwaarden van de Overeenkomst. De Abonnee mag de auditverslagen alleen gebruiken om te voldoen aan de wettelijke auditvereisten en/of om de naleving van de vereisten van deze gegevensverwerkingsovereenkomst te bevestigen. Alice verbindt zich ertoe de Abonnee alle redelijke informatie en andere assistentie ter beschikking te stellen die nodig zijn om de naleving van de verplichtingen die zijn vastgelegd in deze DPA aan te tonen en om audits mogelijk te maken en eraan bij te dragen, uitgevoerd door een bevoegde en gerenommeerde auditor met een mandaat van de Abonnee, op voorwaarde dat de personen die de audits uitvoeren vertrouwelijkheidsovereenkomsten aangaan of gebonden zijn aan wettelijke geheimhoudingsplichten.
   ‍
6. In dit verband wordt opgemerkt dat er onder de klanten van Alice entiteiten kunnen zijn die onderworpen zijn aan de wettelijke regels en/of de regels van de orde van advocaten inzake vertrouwelijkheid met betrekking tot cliënten/klantenzaken (bijv. banken, financiële instellingen, advocatenkantoren, enz.). Daarom erkent de abonnee dat audits in het kader van deze DPA geen toegang omvatten tot informatie die betrekking heeft op of toebehoort aan de andere klanten van Alice.

‍

10. Termijn van de overeenkomst

De bepalingen van deze DPA zijn van toepassing zolang Alice persoonsgegevens verwerkt waarvoor de abonnee de verwerkingsverantwoordelijke is of totdat deze DPA wordt vervangen door een andere gegevensverwerkingsovereenkomst.

‍

11. Maatregelen na voltooiing van de verwerking van persoonsgegevens

1. Vóór het verstrijken van deze DPA zal Alice, naar keuze en instructie van de
   ‍
2. Abonnee, verwijder of stuur alle persoonlijke gegevens veilig terug naar de abonnee, tenzij de toepasselijke wetgeving inzake gegevensbescherming vereist dat Alice de persoonlijke gegevens opslaat, in welk geval de verplichtingen uiteengezet in clausule 11.3 (i) - (iii) van toepassing zijn.
   ‍
3. Als Alice wettelijk verplicht is om archiefkopieën te bewaren van specifieke gegevens van de Abonnee voor belasting- of soortgelijke regelgevende doeleinden, zal Alice:
   1. de abonnee hiervan schriftelijk op de hoogte brengen met vermelding van de wettelijke verplichting en de betreffende abonneegegevens,
   2. de gearchiveerde informatie niet gebruiken voor andere doeleinden dan om strikt te voldoen aan de toepasselijke wettelijke verplichting; en
   3. blijven gebonden aan haar verplichtingen uit hoofde van de Overeenkomst, met inbegrip van deze DPA, met inbegrip van haar vertrouwelijkheids- en beveiligingsverplichtingen uit hoofde van de Overeenkomst en de verplichtingen uit hoofde van deze DPA om de informatie te beschermen met behulp van passende waarborgen en om de Abonnee op de hoogte te stellen van elk beveiligingsincident waarbij de informatie betrokken is.

‍

12. Amendementen

1. Alle wijzigingen in deze DPA moeten, om geldig te zijn, schriftelijk worden overeengekomen en naar behoren worden ondertekend door bevoegde vertegenwoordigers van beide partijen.
   ‍
2. Niettegenstaande clausule 12.1 heeft de Abonnee het recht om zijn schriftelijke instructies met betrekking tot de verwerking, zoals uiteengezet in Bijlage A. Alice heeft recht op een vergoeding voor alle redelijke en geverifieerde extra kosten die Alice maakt omdat de Abonnee wijzigingen heeft aangebracht in zijn schriftelijke instructies met betrekking tot de verwerking. Niettegenstaande het voorgaande is er geen vergoeding verschuldigd als gevolg van wijzigingen in de schriftelijke instructies die rechtstreeks voortvloeien uit of rechtstreeks gebaseerd zijn op wettelijke vereisten.

‍

13. Aansprakelijkheid

De aansprakelijkheidsbepalingen en beperkingen daarvan, zoals uiteengezet in de Algemene Voorwaarden, zijn van toepassing op deze DPA.

‍

14. Toepasselijk recht en geschillenbeslechting

1. Tenzij anders vereist door de toepasselijke wetgeving inzake gegevensbescherming, wordt deze DPA beheerst door en geïnterpreteerd in overeenstemming met de toepasselijke wettelijke bepaling in de Algemene voorwaarden.
   ‍
2. Elk geschil, elke controverse of claim die voortvloeit uit of verband houdt met deze DPA, of de schending, beëindiging of ongeldigheid daarvan, zal definitief worden beslecht in overeenstemming met de bepaling inzake geschillenbeslechting zoals uiteengezet in de Algemene voorwaarden.

‍

13. Aansprakelijkheid

”Toepasselijke wetgeving inzake gegevensbescherming” betekent alle nationaal bindende wetten, jurisprudentie en verordeningen op het gebied van gegevensbescherming, met inbegrip van die (i) die van toepassing zijn binnen de Europese Unie (de”EU”), waaronder de Algemene Verordening Gegevensbescherming van de EU (”EU GDPR”), en alle andere privacy- en gegevensbeschermingswetten van de Europese Economische Ruimte (”EER”) en toepasselijke ondergeschikte wet- en regelgeving ter uitvoering van die wetten in (i) en (ii), zoals van tijd tot tijd gewijzigd en aangevuld.

”Autoriteit voor gegevensbescherming” betekent een regelgevende instantie, toezichthoudende autoriteit of andere overheidsinstantie die bevoegd is om de toepasselijke wetgeving inzake gegevensbescherming te handhaven.

”Persoonlijke gegevens” betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon („betrokkene”); een identificeerbare natuurlijke persoon kan direct of indirect worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.

De voorwaarden”verwerkingsverantwoordelijke” en”gegevensverwerker” hebben de betekenis die eraan wordt toegekend op grond van de toepasselijke wetgeving inzake gegevensbescherming.

‍

‍

Bijlage A - Specificaties van gegevensverwerking

1. Onderwerp en doeleinden van de verwerking

1. Alice biedt teams een AI-werkruimte voor juridisch werk via een SaaS-oplossing. De diensten betekenen het gebruik en de levering van het Alice AI-platform (”Alice-platform”), een juridische AI-assistent op het web, die bestaat uit een cloudservice die toegankelijk is via een webinterface via een browser en/of desktop-app (de „Alice Webapp”) en de plug-in voor Microsoft Word (de „Alice Add-on”), die de Microsoft Word-software van de abonnee verbindt met de webapp van Alice voor casusanalyse en juridische redactie op basis van input die is ingediend op de Alice Webapp.
   ‍
2. Alice verwerkt persoonsgegevens namens de abonnee met het oog op het leveren van de diensten in het kader van de overeenkomst. Alice's verwerking van persoonlijke gegevens namens de abonnee zal zo nodig zijn om de diensten uit te voeren en als verdere juridische aanvragen worden gebaseerd.

‍

2. Betrokkenen

Individuen die zijn opgenomen in de inhoud van de Abonnee, d.w.z. natuurlijke personen die worden genoemd of anderszins zijn opgenomen in de invoergegevens van de Abonnee die zijn ingediend op het Alice-platform.

‍

3. Persoonlijke gegevens

Naam, titel, e-mailadres of andere persoonlijke gegevens die zijn ingediend in zoekopdrachten, snelle zoekopdrachten of documenten die zijn geüpload naar de Services.

‍

4. Duur van de verwerkingg

De verwerking van persoonsgegevens door Alice namens de Abonnee wordt voortgezet tot het einde of de beëindiging van de Overeenkomst of zoals anderszins overeengekomen tussen de Partijen.

‍

‍

Bijlage B - Vooraf goedgekeurde subverwerkers

‍

Voor elke subverwerker die we gebruiken, passen we de principes van de minste bevoegdheid toe. Dit betekent dat elk systeem van derden alleen toegang heeft tot de minimale gegevens die nodig zijn om zijn doel te bereiken.

Apendix C - Veiligheidsmaatregelen

1. Alice is een AI-platform

Dit document beschrijft de technische en organisatorische beveiligingsmaatregelen en -controles die Alice heeft geïmplementeerd om persoonsgegevens te beschermen en de voortdurende vertrouwelijkheid, integriteit en beschikbaarheid van Alice's producten en diensten te waarborgen. Meer informatie over de maatregelen die we nemen is op aanvraag beschikbaar. Alice behoudt zich het recht voor om deze technische en organisatorische maatregelen op elk moment en zonder voorafgaande kennisgeving te herzien, zolang dergelijke herzieningen de bescherming van persoonsgegevens die Alice verwerkt bij de levering van haar producten en diensten niet wezenlijk verminderen of verzwakken.

‍

2. Hoe Alice werkt

Het Alice AI-platform is een legale AI-werkruimte die bestaat uit een cloudservice die toegankelijk is via een webinterface via een browser en/of desktop-app, plug-ins, invoegtoepassingen voor andere software en eventuele aanvullende documentatie en modules die door Alice worden geleverd. Het Alice AI-platform wordt gebruikt voor het stroomlijnen van juridisch werk en de documenten van de abonnee. Het platform is een alles-in-één oplossing voor teams om juridische vragen te behandelen en juridische workflows naadloos te vereenvoudigen.

‍

3. Subverwerkers

Alice maakt voor specifieke doeleinden gebruik van zorgvuldig gescreende subverwerkers. Voor een lijst van subverwerkers, zie bijlage B, vooraf goedgekeurde subverwerkers.

‍

4. Relatiebeheer met leveranciers

Alice zorgt ervoor dat externe leveranciers tijdens het inkoopproces aan de vastgestelde beveiligingsvereisten voldoen. Een contract met een gekozen leverancier komt tegemoet aan de eisen die aan de IT-omgeving en de informatiebeveiligingsmaatregelen van de leverancier worden gesteld. De leverancier moet zijn technologie, routines en processen, evenals het IT- en informatiebeveiligingsbeleid presenteren en verantwoorden. Alice controleert regelmatig de toegangsrechten van leveranciers en andere aspecten van de overeenkomst met de leverancier. Leveranciers komen overeen om opdrachten uit te voeren in overeenstemming met de bepalingen die zijn gespecificeerd in de toepasselijke wet- en regelgeving in de landen waar de opdrachten worden uitgevoerd.

‍

5. Toegangscontrole van het systeem

Maatregelen die voorkomen dat onbevoegde personen IT-systemen en -processen gebruiken:

1. Bij het verlenen van toegang houdt Alice zich aan het principe van de minste bevoegdheden en op rollen gebaseerde machtigingen — wat betekent dat onze medewerkers alleen bevoegd zijn om toegang te krijgen tot gegevens die ze redelijkerwijs moeten verwerken om hun functieverantwoordelijkheden te vervullen.
   ‍
2. Alice maakt gebruik van meervoudige authenticatie voor toegang tot systemen met zeer vertrouwelijke gegevens, waaronder onze productieomgeving waarin persoonsgegevens zijn opgeslagen.

‍

6. Fysieke toegangscontrole

Maatregelen om fysieke toegang van onbevoegde personen tot IT-systemen die persoonsgegevens verwerken te voorkomen:

1. Alice werkt samen met toonaangevende leveranciers van datacenters en cloudinfrastructuur. De toegang tot alle datacenters wordt streng gecontroleerd. Alle datacenters zijn uitgerust met 24x7x365 bewakings- en biometrische toegangscontrolesystemen.
   ‍
2. Datacenters zijn uitgerust met ten minste N+1-redundantie voor de infrastructuur voor voeding, netwerken en koeling.
   ‍
3. Alice repliceert gegevens op afzonderlijke, fysiek onafhankelijke en sterk beveiligde Microsoft Azure-locaties, wat zorgt voor een hoge beschikbaarheid en bescherming tegen lokale storingen zoals stroomuitval en brand.
   ‍
4. Maatregelen om fysieke toegang van onbevoegde personen tot fysieke kantoorlocaties te voorkomen:
   ‍
5. Alice zorgt ervoor dat alleen bevoegde personen toegang hebben tot fysieke kantoorlocaties door middel van uitgebreid toegangsbeheer dat bestaat uit redundante toegangspunten met sleutelkaarten. Dit wordt gedaan door externe kantooraanbieders.
6. Alice zorgt voor effectieve en onmiddellijke onboarding en offboarding van werknemers, contractanten en derden, inclusief de beveiligingstraining van genoemd personeel en de onmiddellijke teruggave en/of vernietiging van gevoelige documenten en toegangskaarten bij beëindiging

‍

7. Beheer van gegevenstoegang

Maatregelen om ervoor te zorgen dat personen die bevoegd zijn om Alice te gebruiken, alleen toegang hebben tot de persoonsgegevens die onder hun toegangsrechten vallen:

1. Alice handhaaft de complexiteit van wachtwoorden om te voldoen aan de wachtwoordaanbevelingen van OWASP om ervoor te zorgen dat sterke wachtwoorden worden gebruikt.
   ‍
2. Het herstellen van verloren wachtwoorden gebeurt door een ondertekende link naar het e-mailaccount van de gebruiker aan te vragen. Wachtwoorden worden niet in platte tekst verzonden via e-mail, chat, telefoon of een andere communicatiemethode.
   ‍
3. Alice zorgt ervoor dat wachtwoorden veilig worden gehasht (en gezouten) met behulp van bcrypt volgens de beste praktijken, en vereist op verzoek van de abonnee eenmalige aanmelding (SSO), mogelijk gemaakt door SAML 2.0, voor veilige gebruikersauthenticatie.
4. Alice gebruikt de beste tools voor het scannen van kwetsbaarheden, het detecteren van kwaadaardige activiteiten en het automatisch blokkeren van verdacht gedrag.
   ‍
5. Alice maakt gebruik van firewalls om te voorkomen dat ongewenst verkeer het netwerk binnenkomt en houdt interne systemen in aparte subnetwerken zonder toegang van buitenaf.

‍

8. Toegangscontrole voor transmissie

Maatregelen om ervoor te zorgen dat persoonlijke gegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd door onbevoegde personen tijdens elektronische verzending of tijdens transport of opslag op gegevensmedia en dat die gebieden kunnen worden gecontroleerd en geïdentificeerd waar de overdracht van persoonlijke gegevens via datatransmissiesystemen moet plaatsvinden:

1. De opgeslagen abonneegegevens worden versleuteld met AES-256 of andere algoritmen met dezelfde coderingssterkte, en de gegevens die worden verzonden, worden versleuteld met ten minste TLS 1.2.
   ‍
2. Alice wordt op de hoogte gebracht van versleutelingsproblemen door middel van periodieke risicobeoordelingen en
   ‍
3. penetratietests van derden. Alice voert jaarlijks penetratietests van derden uit, of indien nodig vanwege veranderingen in het bedrijf.
   ‍
4. We ondertekenen de gegevens ook om de integriteit ervan te waarborgen;
5. Toegangscontrole
   ‍
6. Maatregelen om ervoor te zorgen dat vervolgens kan worden beoordeeld en vastgesteld of en van wie persoonsgegevens zijn ingevoerd, gewijzigd of verwijderd in het IT-systeem:
   ‍
7. Systemen worden gecontroleerd op beveiligingsgebeurtenissen om een snelle oplossing te garanderen.
   ‍
8. Logboeken worden centraal opgeslagen en geïndexeerd. Kritieke logboeken, zoals beveiligingslogboeken, worden minstens 12 maanden bewaard. Logboeken kunnen worden herleid tot individuele unieke gebruikersnamen met tijdstempels om afwijkingen of beveiligingsgebeurtenissen te onderzoeken.

‍

9. Beschikbaarheidscontrole

Maatregelen om ervoor te zorgen dat persoonsgegevens worden beschermd tegen onbedoelde vernietiging of verlies:

1. Alice bewaart elke 4 uur een volledige reservekopie van de productiegegevens om snel herstel te garanderen in geval van een grootschalige ramp. Incrementeel/point-in-time herstel is beschikbaar voor alle primaire databases. Back-ups worden tijdens het transport versleuteld en in rust met sterke versleuteling gebruikt.
   ‍
2. Het patchbeheerproces van Alice zorgt ervoor dat systemen op tijd worden gepatcht op basis van het dreigingsniveau. Monitoring, waarschuwingen en routinematig scannen van kwetsbaarheden worden uitgevoerd om ervoor te zorgen dat alle productinfrastructuur consistent wordt gepatcht.
   ‍
3. Indien nodig repareert Alice de infrastructuur op een snelle manier als reactie op de onthulling van kritieke kwetsbaarheden om ervoor te zorgen dat de uptime van het systeem behouden blijft.
   ‍
4. De abonnee-omgevingen zijn te allen tijde logisch gescheiden. De abonnee heeft geen toegang tot andere accounts dan de accounts waaraan autorisatiegegevens zijn toegekend.

‍

10. Scheidingscontrole

Maatregelen om ervoor te zorgen dat persoonsgegevens die voor verschillende doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt:

1. Alice maakt gebruik van verschillende gegevensverwerkingssystemen voor verschillende doeleinden. Deze systemen zijn architectonisch (logisch en fysiek) gescheiden. Alle systemen hebben een geldige autorisatie nodig om toegang te krijgen.
   ‍
2. Om onbedoelde samenvoeging van gegevens te voorkomen, scheidt Alice ontwikkelings-, test-, staging- en productieomgevingen.

‍

11. Risicobeheer

Maatregelen om te zorgen voor een passend risicobeheer omvatten, maar zijn niet beperkt tot:

1. Alice voert periodieke beoordelingen en evaluaties van risico's uit, waarbij toezicht wordt gehouden op de naleving van het beleid en de procedures van Alice.
   ‍
2. Alice zorgt voor een periodieke, effectieve rapportage van informatiebeveiligingsvoorwaarden en naleving aan het senior interne management.
   ‍
3. Alice organiseert periodieke trainingen voor beveiligingsrisicobeheer, inclusief maar niet beperkt tot gegevensbescherming voor alle werknemers, waaronder een initiële onboardingstraining voor nieuwe werknemers om de naleving van actuele procedures en beleidsregels voor beveiligingsrisicobeheer te beoordelen en te waarborgen.
   ‍
4. Alice hanteert een centraal IT-beleid met richtlijnen voor internetgebruik.

‍

12. Beveiliging van de bedrijfsvoering

Maatregelen om ervoor te zorgen dat de juiste operationele beveiliging tegen kwaadaardige code wordt toegepast, omvatten maar zijn niet beperkt tot:

1. Alice heeft verschillende systemen en methoden om de IT-infrastructuur te beschermen tegen kwaadaardige code, waaronder verschillende antivirusscanners, spamfilters, beveiligingsupdates en trainingen.
   ‍
2. Alice maakt gebruik van actieve monitoring om ervoor te zorgen dat antivirusscanners en spamfilters actief en bijgewerkt zijn.
   ‍
3. Alice installeert actief de nieuwste beveiligingsupdates op systemen en toepassingen om het risico op misbruik van kwetsbaarheden te minimaliseren.

‍

13. Beveiliging met betrekking tot personeel

Maatregelen om ervoor te zorgen dat het personeel van Alice de toepasselijke wet- en regelgeving naleeft en ervoor te zorgen dat het personeel zich houdt aan de relevante voorwaarden van leveranciers- en klantovereenkomsten:

1. Het personeel van Alice moet zich gedragen op een manier die in overeenstemming is met de richtlijnen van het bedrijf met betrekking tot vertrouwelijkheid, bedrijfsethiek, gepast gebruik en professionele normen. Alice voert redelijkerwijs passende antecedentenonderzoeken uit met betrekking tot de rol van de werknemer, voor zover wettelijk toegestaan.
   ‍
2. Het personeel is verplicht een vertrouwelijkheidsovereenkomst uit te voeren en moet de ontvangst en naleving van het vertrouwelijkheids- en privacybeleid van Alice bevestigen. Het personeel krijgt een beveiligingstraining. Het personeel van Alice verwerkt geen klantgegevens zonder toestemming.

‍

14. Bewaren van persoonlijke gegevens

Gedurende de looptijd van de DPA zijn de persoonlijke gegevens die door Alice worden verwerkt onderworpen aan de bewaarvereisten die van tijd tot tijd door de abonnee worden geïnstrueerd. Na de beëindiging of het verstrijken van de DPA is clausule 11 van de DPA van toepassing.