1. Rollen
Wanneer u Hostander gebruikt om persoonsgegevens te hosten of te verwerken, bent u de verwerkingsverantwoordelijke en is Hostander de verwerker (of, waar van toepassing, de subverwerker van uw klant). Wij verwerken persoonsgegevens uitsluitend op basis van uw gedocumenteerde instructies, waaronder de configuratie van de door u bestelde diensten.
2. Onderwerp en duur
Wij verwerken persoonsgegevens voor de duur van uw contract met ons, met het doel om de door u bestelde Managed Hosting diensten te leveren. De verwerking eindigt wanneer uw diensten worden beëindigd.
3. Aard en doel van de verwerking
Hosting, opslag, verwerking, verzending en back-up van door de klant verstrekte gegevens op infrastructuur die wij beheren, plus operationele taken (monitoring, patching, herstel) die de managed service vereist.
4. Categorieën gegevens en betrokkenen
Door u bepaald. Wij vereisen, verzoeken of inspecteren de persoonsgegevens die u op onze infrastructuur plaatst niet. Wij verwerken wat uw applicaties opslaan, namens u.
5. Verplichtingen van Hostander
- Persoonsgegevens uitsluitend verwerken op basis van uw gedocumenteerde instructies.
- Waarborgen dat geautoriseerd personeel gebonden is aan vertrouwelijkheid.
- Implementeren van passende technische en organisatorische beveiligingsmaatregelen (zie Privacybeleid, sectie 8).
- U ondersteunen bij verzoeken van betrokkenen, beveiligingsincidenten en DPIA's voor zover redelijkerwijs vereist.
- U zonder onnodige vertraging (en in ieder geval binnen 72 uur) informeren over elke inbreuk in verband met persoonsgegevens die uw gegevens betreft.
- Persoonsgegevens aan het einde van het contract verwijderen of retourneren, naar uw keuze.
6. Subverwerkers
Wij maken gebruik van een beperkte lijst van in de EU gevestigde subverwerkers, voornamelijk voor facturatie en e-mailbezorging. De actuele lijst is op aanvraag beschikbaar en wordt voorafgaand aan wijzigingen bijgewerkt. U kunt op redelijke gronden bezwaar maken tegen een nieuwe subverwerker; indien wij het bezwaar niet kunnen wegnemen, kunt u de betreffende dienst beëindigen.
7. Internationale doorgifte
Wij geven geen persoonsgegevens door buiten de EU/EER. Hostander heeft geen Amerikaans moederbedrijf, geen Amerikaanse dochteronderneming en geen Amerikaanse activiteiten. De Amerikaanse CLOUD Act is niet op ons van toepassing. Wij maken geen gebruik van Amerikaanse hyperscalers als onderdeel van ons Managed Hosting platform.
8. Beveiligingsmaatregelen
- Versleuteld transport (TLS) voor alle beheerinterfaces.
- Hardware in eigendom van Hostander, gehost in Tier III EU datacenters met biometrische toegangscontrole.
- Gescheiden beheernetwerk, principe van minimale privileges (least privilege), MFA voor alle toegang door technici.
- 24/7 monitoring en een door EU-personeel bemand NOC.
- Regulier kwetsbaarheidsbeheer en patching van platformcomponenten.
9. Audit
Wij verstrekken redelijke informatie om de naleving van deze DPA aan te tonen. Waar vereist door Artikel 28(3)(h) AVG, werken wij mee aan audits uitgevoerd door u of een onafhankelijke auditeur onder redelijke voorwaarden met betrekking tot vertrouwelijkheid en planning.
10. Aansprakelijkheid
De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de beperkingen zoals uiteengezet in onze Algemene Voorwaarden. Niets in deze DPA beperkt aansprakelijkheid die niet beperkt kan worden onder de AVG.
11. Ondertekening
Deze DPA wordt automatisch opgenomen in uw contract zodra u onze Algemene Voorwaarden accepteert. Een mede-ondertekende PDF is op aanvraag beschikbaar via legal@hostander.com.