Verwerkersovereenkomst

Verwerkingsverantwoordelijke: Klant gevestigd binnen de EU (de “Verwerkingsverantwoordelijke”) en

(De “Gegevensverwerker“)
(afzonderlijk aangeduid als een “Partij” en gezamenlijk de “Partijen”)

zijn het volgende overeengekomen:

Verwerkersovereenkomst

(De “Overeenkomst“)
met betrekking tot de verwerking van persoonsgegevens door de Verwerker namens de
Verwerkingsverantwoordelijke.

1. De verwerkte persoonsgegevens

1.1 Deze Overeenkomst is aangegaan in verband met het gebruik door de Verwerkingsverantwoordelijken van de diensten van de Gegevensverwerker als onderdeel van het abonnement en aanvullende diensten zoals beschreven in “One.com Algemene Voorwaarden” (de “Hoofdovereenkomst”).

1.2 De Gegevensverwerker verwerkt de soorten persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke met betrekking tot de betreffende betrokkenen zoals gespecificeerd in Bijlage 1. De persoonsgegevens hebben betrekking op de in Bijlage 1 vermelde betrokkenen.

1.3 De Gegevensverwerker kan na inwerkingtreding van de Overeenkomst namens Verwerkingsverantwoordelijke de verwerking van persoonsgegevens initiëren. De verwerking heeft de duur zoals gespecificeerd in de instructies in Bijlage 1 van de Overeenkomst.

1.4 De Overeenkomst en de Hoofdovereenkomst zijn onderling afhankelijk en kunnen niet afzonderlijk worden beëindigd. De Overeenkomst kan echter worden vervangen door een andere geldige Verwerkersovereenkomst zonder de Hoofdovereenkomst te beëindigen.

2. Doel

2.1 De Gegevensverwerker mag persoonsgegevens uitsluitend verwerken voor doeleinden die noodzakelijk zijn om aan de verplichtingen van Gegevensverwerker te voldoen en daarbij de diensten te verlenen die zijn vastgelegd in de Hoofdovereenkomst.

3. Verplichtingen van de Verwerkingsverantwoordelijke

3.1 De Verwerkingsverantwoordelijke garandeert dat de persoonsgegevens worden verwerkt voor legitieme en objectieve doeleinden en dat Gegevensverwerker niet meer persoonsgegevens verwerkt dan nodig is voor het vervullen van dergelijke doeleinden.

3.2 De Verwerkingsverantwoordelijke is verantwoordelijk om ervoor te zorgen dat er een geldige wettelijke basis voor de verwerking bestaat op het moment van de overdracht van de persoonsgegevens aan de Gegevensverwerker. Op verzoek van Gegevensverwerker verbindt Verwerkingsverantwoordelijke zich er schriftelijk toe de grondslag voor de verwerking te verantwoorden en/of te documenteren.

3.3 Daarnaast garandeert de Verwerkingsverantwoordelijke dat de betrokkenen waarop de persoonsgegevens betrekking hebben voldoende informatie hebben ontvangen over de verwerking van hun persoonsgegevens.

4. Verplichtingen van de Gegevensverwerker

4.1 Alle verwerking door Gegevensverwerker van de door Verwerkingsverantwoordelijke verstrekte persoonsgegevens dient in overeenstemming te zijn met de door Verwerkingsverantwoordelijke opgestelde instructies, en Gegevensverwerker is bovendien verplicht om alle van tijd tot tijd geldende wetgeving inzake gegevensbescherming na te leven. Indien het Unierecht of het recht van een EU-lidstaat waaraan de Gegevensverwerker onderworpen is, bepaalt dat de Gegevensverwerker verplicht is de in Bijlage 1 vermelde persoonsgegevens te verwerken, dient de Gegevensverwerker de Verwerkingsverantwoordelijke vóór de verwerking in kennis te stellen van die wettelijke verplichting. Dit geldt echter niet indien deze wetgeving dergelijke informatie om gewichtige redenen van algemeen belang verbiedt. De Gegevensverwerker dient de Verwerkingsverantwoordelijke onmiddellijk op de te hoogte brengen indien een instructie naar het oordeel van de Gegevensverwerker in strijd is met de Algemene Verordening Gegevensbescherming van de EU of de bepalingen inzake gegevensbescherming van een EUlidstaat.

4.2 De Gegevensverwerker dient alle noodzakelijke technische en organisatorische veiligheidsmaatregelen te nemen, waaronder eventuele aanvullende maatregelen, die nodig zijn om te voorkomen dat de persoonsgegevens per ongeluk of onrechtmatig worden vernietigd, verloren gaan of worden aangetast of ter kennis van onbevoegde derden worden gebracht, misbruikt of anderszins verwerkt op een wijze die in strijd is met de op enig moment geldende wetgeving inzake gegevensbescherming. Deze maatregelen worden nader beschreven in Bijlage 2.

4.3 De gegevensverwerker dient ervoor zorg te dragen dat medewerkers die bevoegd zijn om de persoonsgegevens te verwerken zich tot geheimhouding hebben verbonden of onderhevig zijn aan de wettelijke geheimhoudingsplicht.

4.4 Op verzoek van de Verwerkingsverantwoordelijke dient de Gegevensverwerker te verklaren en/of te documenteren dat de Gegevensverwerker voldoet aan de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, inclusief documentatie met betrekking tot de gegevensstromen van de Gegevensverwerker en procedures/beleid voor de verwerking van persoonsgegevens.

4.5 Rekening houdend met de aard van de verwerking dient de Gegevensverwerker de verwerkingsverantwoordelijke zoveel mogelijk bij te staan door middel van passende technische en organisatorische maatregelen, om te voldoen aan de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene, zoals vastgelegd in hoofdstuk 3 van de Algemene Verordening Gegevensbescherming.

4.6 De Gegevensverwerker, of een andere Gegevensverwerker (sub-gegevensverwerker), dient verzoeken en bezwaren van betrokkenen aan Verwerkingsverantwoordelijke te sturen, ten behoeve van de verdere verwerking daarvan door Verwerkingsverantwoordelijke, tenzij de Gegevensverwerker het recht heeft om een dergelijk verzoek zelf te behandelen. Op verzoek van de Verwerkingsverantwoordelijke dient de Gegevensverwerker de Verwerkingsverantwoordelijke bij te staan bij het beantwoorden van dergelijke verzoeken en/of bezwaren.

4.7 Indien de Gegevensverwerker persoonsgegevens verwerkt in een ander EU-lidstaat, dient de Gegevensverwerker zich te houden aan de wetgeving betreffende veiligheidsmaatregelen in die lidstaat.

4.8 De Gegevensverwerker dient Verwerkingsverantwoordelijke op de hoogte te stellen wanneer er sprake is van een onderbreking in de werking, een vermoeden van inbreuk op de gegevensbeschermingsregels of andere onregelmatigheden in verband met de verwerking van de persoonsgegevens. De uiterste termijn voor het melden van een beveiligingslek door de Gegevensverwerker aan de Verwerkingsverantwoordelijke is 24 uur vanaf het moment dat de Gegevensverwerker kennis krijgt van een beveiligingslek. Op verzoek van de Verwerkingsverantwoordelijke dient de Gegevensverwerker de Verwerkingsverantwoordelijke bij te staan in verband met het verduidelijken van de omvang van de inbreuk op de beveiliging, met inbegrip van het opstellen van een kennisgeving aan de relevante Gegevensbeschermingsautoriteit en/of betrokkenen.

4.9 De Gegevensverwerker dient Verwerkingsverantwoordelijke alle informatie ter beschikking te stellen die nodig is om naleving van artikel 28 van de Algemene Verordening Gegevensbescherming en de Overeenkomst aan te tonen. In dit verband staat de Gegevensverwerker audits, inclusief inspecties, toe die worden uitgevoerd door de Verwerkingsverantwoordelijke of een andere door de Verwerkingsverantwoordelijke gemachtigde auditor en draagt hij hieraan bij.

4.10 In aanvulling op het voorgaande dient Gegevensverwerker Verwerkingsverantwoordelijke bij te staan in het doen naleven van de verplichtingen van Verwerkingsverantwoordelijke uit hoofde van artikel 32-36 van de Algemene Verordening Gegevensbescherming. Bij deze bijstand wordt rekening gehouden met de aard van de verwerking en de informatie waarover de Gegevensverwerker beschikt.

5. Doorgifte van gegevens aan sub-gegevensverwerkers of derden

5.1 De Gegevensverwerker dient te voldoen aan de voorwaarden zoals gesteld in artikel 28 lid 2 en 4 van de Algemene Verordening Gegevensbescherming om een andere Gegevensverwerker (sub-gegevensverwerker) in te schakelen. Dit impliceert dat de Gegevensverwerker geen andere Gegevensverwerker (sub-gegevensverwerker) inschakelt voor de uitvoering van de Overeenkomst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke.

5.2 Verwerkingsverantwoordelijke verleent hierbij aan de Gegevensverwerker een algemene volmacht tot het aangaan van overeenkomsten met sub-gegevensverwerkers. De Gegevensverwerker dient Verwerkingsverantwoordelijke uiterlijk 30 dagen voordat een nieuwe sub-gegevensverwerker met de verwerking van de persoonsgegevens begint, op de hoogte te stellen van eventuele wijzigingen met betrekking tot de toevoeging of vervanging van subgegevensverwerkers. De Verwerkingsverantwoordelijke kan binnen 14 dagen na ontvangst van de kennisgeving redelijke en relevante bezwaren maken tegen dergelijke wijzigingen. Indien de Gegevensverwerker gebruik blijft maken van een sub-gegevensverwerker waar Verwerkingsverantwoordelijke bezwaar tegen heeft gemaakt, hebben Partijen het recht de Overeenkomst te beëindigen, cf. clausule 7.

5.3 Wanneer de Verwerkingsverantwoordelijke ermee heeft ingestemd dat de Gegevensverwerker een sub-gegevensverwerker kan gebruiken, dient de Gegevensverwerker dezelfde verplichtingen op te leggen aan de sub-gegevensverwerker als uiteengezet in de Overeenkomst. Dit gebeurt door middel van een overeenkomst of een andere rechtshandeling krachtens het EU-recht of het recht van een lidstaat. Er dient bijvoorbeeld voor te worden gezorgd dat de sub-gegevensverwerker voldoende garanties biedt om passende technische en organisatorische maatregelen te nemen zodat de verwerking voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming (“back-to-back”-voorwaarden).

5.4 Indien de sub-gegevensverwerker zijn gegevensbeschermingsverplichtingen niet nakomt, blijft de Gegevensverwerker volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de uitvoering van de verplichtingen van de sub-gegevensverwerker.

5.5 Openbaarmaking, doorgifte en intern gebruik van de persoonsgegevens van de Verwerkingsverantwoordelijke aan derde landen of internationale organisaties mag alleen plaatsvinden in overeenstemming met gedocumenteerde instructies van de Verwerkingsverantwoordelijke – tenzij bepaald door het EU-recht of het recht van een lidstaat waaraan de Gegevensverwerker onderworpen is. Als dat het geval is, dient de Gegevensverwerker de Verwerkingsverantwoordelijke vóór verwerking in kennis stellen van deze wettelijke vereiste, tenzij de wet een dergelijke kennisgeving om gewichtige redenen van algemeen belang verbiedt.

5.6 Indien de in Bijlage 1 vermelde persoonsgegevens worden overgedragen aan subgegevensverwerkers buiten de EU/EER, dient in de genoemde overeenkomst te worden vermeld dat de gegevensbeschermingswetgeving die van toepassing is in het land van de Verwerkingsverantwoordelijke van toepassing is op sub-gegevensverwerkers. Indien de ontvangende sub-gegevensverwerker in de EU/EER is gevestigd, dient bovendien in de genoemde verwerkersovereenkomst te worden vermeld dat voldaan dient te worden aan de specifieke wettelijke vereisten van het ontvangende EU-land met betrekking tot gegevensverwerkers, bijvoorbeeld met betrekking tot verzoeken om kennisgeving aan nationale autoriteiten.

5.7 Gegevensverwerker is verplicht schriftelijke gegevensverwerkersovereenkomsten aan te gaan met sub-gegevensverwerkers binnen de EU/EER. Wat betreft sub-gegevensverwerkers buiten de EU/EER, dient de Gegevensverwerker te zorgen voor voldoende overdrachtsmechanismen en een sub-gegevensverwerkersovereenkomst aan te gaan door standaardovereenkomsten aan te gaan in overeenstemming met de Standaardcontractbepalingen van de Commissie van de EU (“Standaardcontracten”) op basis van 2021/914/EU van 4 juni 2021. 5.8 Op het moment van ondertekening van deze Overeenkomst schakelt de Gegevensverwerker de in Bijlage 3 genoemde sub-gegevensverwerkers in.

6. Aansprakelijkheid

6.1 De aansprakelijkheid van Partijen wordt beheerst door de Hoofdovereenkomst.

6.2 De aansprakelijkheid van Partijen voor schade uit hoofde van deze Overeenkomst wordt beheerst door de Hoofdovereenkomst.

7. Ingangsdatum en beëindiging

7.1 Deze Overeenkomst treedt in werking op hetzelfde moment als de Hoofdovereenkomst. Bij beëindiging van de Hoofdovereenkomst eindigt ook deze Overeenkomst. De Gegevensverwerker blijft echter wel onderworpen aan de verplichtingen zoals vastgelegd in deze Overeenkomst, zolang de Gegevensverwerker persoonsgegevens verwerkt namens Verwerkingsverantwoordelijke.

7.2 Bij beëindiging van de verwerkingsdiensten is de Gegevensverwerker verplicht om op verzoek van Verwerkingsverantwoordelijke alle persoonsgegevens te verwijderen of terug te geven aan Verwerkingsverantwoordelijke, alsmede om bestaande kopieën te verwijderen, tenzij bewaring van de persoonsgegevens is voorgeschreven door EU- of nationale wetgeving.

8. Toepasselijk recht en jurisdictie

8.1 Alle vorderingen of geschillen die voortvloeien uit of verband houden met deze Overeenkomst dienen te worden beslecht door een bevoegde rechtbank van eerste aanleg in dezelfde jurisdictie en met dezelfde rechtskeuze als vermeld in de Hoofdovereenkomst.

9. Handtekeningen

Bijlage 1

Categorieën betrokkenen, soorten persoonsgegevens en instructies

1. Categorieën betrokkenen:

• De Gegevensverwerker zal contactinformatie verwerken over de werkelijke, potentiële of voormalige klanten van de Verwerkingsverantwoordelijke en of leden, werknemers, leveranciers, zakelijke en samenwerkingspartners en gelieerde ondernemingen.
• De Gegevensverwerker heeft zijn systeem voor de verwijdering van de Verwerkingsverantwoordelijke als een gehoste dienst geplaatst en het is voor Gegevensverwerker niet mogelijk om alle categorieën van betrokkenen te bepalen. Indien de Verwerkingsverantwoordelijke gegevens over verdere categorieën van betrokkenen bij de Gegevensverwerker host, is het de verplichting van de Verwerkingsverantwoordelijke om deze informatie te registreren.

2. Soorten persoonsgegevens:

• Contact- en identificatiegegevens, waaronder e-mail
• IP-adressen
• Domeinnamen
• Gebruikersnamen
• Lidmaatschapsinformatie
• Analyse- en gebruiksgegevens
• Bestelgeschiedenis en informatie
• Contracten
• Communicatie
• Ondersteuning
• Afbeeldingen
• Er kunnen zich aanvullende soorten persoonsgegevens voordoen

3. Instructies

Service

De Gegevensverwerker kan persoonsgegevens met betrekking tot de betrokkenen verwerken met het doel om de diensten van de Hoofdovereenkomst te leveren, ontwikkelen, managen, administreren en beheren, inclusief het waarborgen van de stabiliteit en uptime van onze servers en het voldoen aan wettelijke vereisten.

Bewaartermijn

De persoonsgegevens die in onze systemen zijn opgeslagen/gehost, worden verwijderd of geanonimiseerd binnen een redelijke termijn nadat de Verwerkingsverantwoordelijke de Hoofdovereenkomst volledig heeft beëindigd. Uitzonderingen zijn gegevens waarvoor de Gegevensverwerker wettelijk verplicht is deze langer op te slaan. Dit type gegevens wordt doorgaans binnen acht weken verwijderd, maar kan eerder worden verwijderd. Andere soorten gegevens die worden opgeslagen in logs enz. zullen worden verwijderd na een redelijke termijn, meestal binnen 8 weken, waarna ze worden verwijderd bij de Gegevensverwerker.

Locatie van verwerking

Verwerking van persoonsgegevens die onder de Overeenkomst vallen, mag niet plaatsvinden zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke op andere locaties dan het adres van de Gegevensverwerker en het adres van de subgegevensverwerkers zoals vermeld in Bijlage 3.

Inspectie van Gegevensverwerker

De Gegevensverwerker dient eenmaal per jaar op eigen kosten van een derde een audit/inspectierapport te verkrijgen over de naleving door de Gegevensverwerker van deze Overeenkomst en Bijlagen. Het rapport of andere auditformat dient zo snel mogelijk na het opstellen door te worden gestuurd naar de Verwerkingsverantwoordelijke of te worden gepubliceerd op de website van de Verwerkingsverantwoordelijke.

Bijlage 2

Beveiligingsmaatregelen

Domain	Procedures
Organisatie van informatiebeveiliging	Beveiligingseigendom. One.com heeft een beveiligingsmedewerker aangesteld die verantwoordelijk is voor de coördinatie en controle van de beveiligingsregels en – procedures. Een bestuur bestaande uit personen op c-niveau assisteert en begeleidt de beveiligingsmedewerker. Beveiligingsrollen en -verantwoordelijkheden. Personeel van One.com dat toegang heeft tot klantgegevens, is onderworpen aan vertrouwelijkheidsverplichtingen, die worden benadrukt bij het in dienst treden en waar men op blijft wijzen. Risicomanagement. One.com voert voortdurend een risicobeoordeling uit, onderdeel van Risicomanagement, voordat de klantgegevens worden verwerkt of diensten worden gelanceerd. De Risicomanagements-procedure maakt het mogelijk om te focussen op relevante bedreigingen door risico’s te prioriteren, structureren en te mitigeren boven wat geaccepteerd wordt. Back-up is geïmplementeerd. Gegevensverwerker bewaart diens beveiligingsdocumenten op grond van diens bewaarplichten nadat deze niet meer van kracht zijn.
Asset Management	Assetinventaris. Gegevensverwerker houdt een inventaris bij van alle media waarop klantgegevens worden opgeslagen. Toegang tot de inventarissen van dergelijke media is beperkt tot het personeel van de Gegevensverwerker dat schriftelijk gemachtigd is om dergelijke toegang te hebben. Assetverwerking – One.com classificeert klantgegevens om deze te helpen identificeren en om de toegang tot deze gegevens naar behoren te beperken. – Personeel van Gegevensverwerker dient toestemming van Gegevensverwerker te verkrijgen voordat klantgegevens op draagbare apparaten worden opgeslagen, op afstand toegang wordt verkregen tot klantgegevens of klantgegevens worden verwerkt buiten de faciliteiten van Gegevensverwerker.
Human Resources Beveiliging	Beveiligingstraining. One.com informeert haar personeel over relevante beveiligingsprocedures en hun respectievelijke rollen, evenals het aanpakken van nieuwe bedreigingen, enz. waar de medewerkers een vitale rol in spelen.
Fysieke en omgevingsbeveiliging	Fysieke toegang tot faciliteiten. One.com beperkt de toegang tot faciliteiten waar informatiesystemen die klantgegevens verwerken zich bevinden tot geïdentificeerde geautoriseerde personen. Fysieke toegang tot componenten. One.com zorgt voor voldoende beperkingen van media die klantgegevens bevatten. Bescherming tegen verstoringen. One.com maakt gebruik van een verscheidenheid aan industriestandaardsystemen om te beschermen tegen verlies van gegevens als gevolg van stroomuitval, overstroming, brand of lijninterferentie. Verwijdering van onderdelen. One.com maakt gebruik van industriestandaardprocessen om klantgegevens te verwijderen wanneer deze niet langer nodig zijn.
Communicatie en Operationeel Beheer	Operationeel beleid. One.com onderhoudt beveiligingsdocumenten met een beschrijving van haar beveiligingsmaatregelen en de relevante procedures en verantwoordelijkheden van haar personeel dat toegang heeft tot klantgegevens. Procedures voor gegevensherstel – One.com slaat kopieën van klantgegevens en procedures voor gegevensherstel op een andere plaats op dan waar de primaire computerapparatuur die de klantgegevens verwerkt zich bevindt. – One.com heeft specifieke procedures voor de toegang tot kopieën van klantgegevens. Kwaadaardige software. One.com heeft anti-malwarebesturingselementen om te voorkomen dat schadelijke software ongeautoriseerde toegang krijgt tot klantgegevens, waaronder schadelijke software die afkomstig is van openbare netwerken. Antivirus is ook geïmplementeerd. Gebeurtenissenlogboek. One.com legt, of stelt de klant in staat dat te doen, toegang en gebruik van informatiesystemen met klantgegevens vast en registreert daarbij toegang ID, tijd, autorisatie verleend of geweigerd, en relevante activiteit. Versleuteling. Communicatie via internet tussen systemen die persoonsgegevens verwerken wordt versleuteld.
Toegangscontrole	Toegangsbeleid. One.com houdt een register bij van beveiligingsrechten van personen die toegang hebben tot klantgegevens. Toegangsautorisatie – One.com deactiveert authenticatie-inloggegevens die gedurende een periode van maximaal zes maanden niet zijn gebruikt. – One.com identificeert de personeelsleden die geautoriseerde toegang tot gegevens en middelen kunnen verlenen, wijzigen of annuleren. – One.com zorgt ervoor dat wanneer meer dan één persoon toegang heeft tot systemen die klantgegevens bevatten, de personen afzonderlijke identificatoren/log-ins hebben. Minimale Bevoegdheden – One.com beperkt de toegang tot klantgegevens tot alleen die personen die dergelijke toegang nodig hebben om hun functie uit te voeren. Integriteit en Vertrouwelijkheid – One.com instrueert zijn personeel om administratieve sessies uit te schakelen wanneer ze het pand verlaten of wanneer computers anderszins onbeheerd worden achtergelaten. – One.com slaat wachtwoorden op op een manier die ze onbegrijpelijk maakt terwijl ze van kracht zijn. Authenticatie – One.com maakt gebruik van industriestandaardprocedures om gebruikers te identificeren en te authentiseren die proberen toegang te krijgen tot informatiesystemen. – Wanneer authenticatiemechanismen gebaseerd zijn op wachtwoorden, vereist Gegevensverwerker dat de wachtwoorden regelmatig worden vernieuwd. – One.com zorgt ervoor dat gedeactiveerde of verlopen identificatoren niet worden toegekend aan andere personen. – One.com monitort, of stelt de klant in staat om te monitoren, herhaalde pogingen om toegang te krijgen tot het informatiesysteem met behulp van een ongeldig wachtwoord. – One.com handhaaft industriestandaardprocedures om wachtwoorden te deactiveren die zijn beschadigd of per ongeluk openbaar zijn gemaakt. – One.com maakt gebruik van industriestandaard wachtwoordbeschermingsprocedures, inclusief procedures die zijn ontworpen om de vertrouwelijkheid en integriteit van wachtwoorden te behouden wanneer ze worden toegewezen en gedistribueerd, en tijdens opslag. Netwerkontwerp. One.com heeft controles om te voorkomen dat personen toegangsrechten aannemen die ze niet zijn toegewezen om toegang te krijgen tot klantgegevens waartoe ze geen toegang hebben.
Beheer van informatiebeveiligingsincidenten	Incidentresponsproces – One.com houdt een register bij van beveiligingslekken met een beschrijving van de inbreuk, de periode, de gevolgen van de inbreuk, de naam van de melder en aan wie de inbreuk is gemeld, en de procedure voor het herstellen van gegevens. – Voor elke inbreuk op de beveiliging die een beveiligingsincident is, gebeurt de melding door One.com zonder onnodige vertraging en in ieder geval binnen 72 uur. – One.com houdt onthullingen van klantgegevens bij, of stelt de Klant in staat deze te volgen, inclusief welke gegevens zijn onthuld, aan wie en op welk moment.
Business Continuïteit Management	– One.com onderhoudt nood- en calamiteitenplannen voor de faciliteiten waarin Gegevensverwerkerinformatiesystemen die klantgegevens verwerken zich bevinden. – One.com’s redundante opslag en de procedures voor het herstellen van gegevens zijn ontworpen om te proberen om klantgegevens te reconstrueren in de oorspronkelijke of laatst gerepliceerde staat van voor de tijd dat het verloren ging of vernietigd werd.

Bijlage 3

Lijst van sub-gegevensverwerkers

Leverancier	Locatie	Functie	Bijgewerkt
Global Connect A/S	DK	Datacenter	20/02/2021
Interxion	DK	Datacenter	12/04/2021
Interxion	DK/UK/NL/FR/DE	PoP (Point of presence)	12/04/2021
Equinix	SE	PoP (Point of presence)	12/04/2021