Overeenkomst voor Gegevensverwerking

Deze Data Processing Agreement ("DPA") is van toepassing wanneer u ("Klant", "Verwerkingsverantwoordelijke") de Kapsule Cloud Services gebruikt voor het verwerken van persoonsgegevens van andere personen ("Betrokkenen"). Deze vormt onderdeel van de Servicevoorwaarden tussen u en Kapsule Group Limited ("Kapsule Cloud", "wij", "ons", "Verwerker").

Deze DPA weerspiegelt de vereisten van de New Zealand Privacy Act 2020. Indien u onderworpen bent aan andere toepasselijke privacywetten (bijvoorbeeld de EU General Data Protection Regulation, UK GDPR, of de Australian Privacy Act 1988), zijn de relevante bepalingen van deze DPA, gelezen tezamen met ons Privacybeleid en onze Sub-processors List, bedoeld om vergelijkbare bescherming te bieden als deze wetten. Waar aanvullende contractuele maatregelen vereist zijn ter ondersteuning van uw naleving van buitenlandse wetgeving, zullen wij deze op verzoek in overweging nemen.

Indien u de Services uitsluitend gebruikt voor het verwerken van uw eigen persoonsgegevens (en niet van persoonsgegevens van andere personen), is deze DPA niet van toepassing; alleen het Privacybeleid is van toepassing.

In deze DPA:

"Toepasselijke Privacywetten" betekent de Privacy Act 2020 en alle andere privacy- of gegevensbeschermingswetten die van toepassing zijn op de verwerking van persoonlijke informatie door de Klant met behulp van de Services.

"Controller" betekent de natuurlijke of rechtspersoon die de doeleinden en middelen van verwerking van persoonlijke informatie bepaalt.

"Persoonsgegevens van de Klant" betekent persoonlijke informatie die wij namens u verwerken met behulp van de Services met betrekking tot Betrokkenen.

"Betrokkene" betekent een geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens van de Klant betrekking hebben.

"Meldingsplichtige Privacyschending" heeft de betekenis gegeven in artikel 112 van de Privacy Act 2020 (een privacyschending die ernstig letsel heeft veroorzaakt, of waarschijnlijk zal veroorzaken).

"Persoonlijke Informatie" heeft de betekenis gegeven in de Privacy Act 2020.

"Processor" betekent een persoon die persoonlijke informatie namens de Controller verwerkt.

"Verwerking" betekent elke bewerking of reeks bewerkingen die op persoonlijke informatie wordt uitgevoerd, al dan niet met geautomatiseerde middelen.

"Sub-processor" betekent een derde partij die wij inschakelen om Persoonsgegevens van de Klant namens ons te verwerken.

"Standaard Contractuele Bepalingen" betekent de standaard gegevensbeschermingsbepaling aangenomen door een erkende gegevensbeschermingsautoriteit (bijvoorbeeld de EU Standard Contractual Clauses van de Europese Commissie) voor overdrachten van persoonlijke gegevens vanuit een rechtsgebied met restrictieve regels voor grensoverschrijdende gegevensoverdracht.

Andere gekapitaliseerde termen hebben de betekenis gegeven in de Algemene Voorwaarden.

#2.1 Rollen. Met betrekking tot Klantpersoonsgegevens bent u de Verwerkingsverantwoordelijke en wij zijn de Verwerker. U bent verantwoordelijk voor de rechtmatigheid van uw verzameling en verwerking van Klantpersoonsgegevens, inclusief het verstrekken van alle vereiste privacymededelingen, het verkrijgen van alle vereiste toestemmingen, en het naleven van alle Toepasselijke Privacywetten in uw omgang met Betrokkenen.

#2.2 Gedocumenteerde instructies. Wij verwerken Klantpersoonsgegevens alleen: (a) voor zover nodig om de Diensten te verlenen in overeenstemming met de Servicevoorwaarden; (b) in overeenstemming met uw redelijke, gedocumenteerde instructies (de Servicevoorwaarden, de configuratiekeuzes die u in KPanel maakt, en alle verdere schriftelijke instructies die u ons geeft worden geacht uw gedocumenteerde instructies te zijn); en (c) voor zover vereist door op ons toepasselijke wettelijke bepalingen, in welk geval wij u vóór de verwerking van de wettelijke verplichting in kennis stellen, tenzij dit door die wetgeving verboden is op gronden van zwaarwegend openbaar belang.

#2.3 Strijdige instructies. Wij zullen u inlichten indien een instructie van u naar onze redelijke mening in strijd is met een Toepasselijke Privacywet. Wij kunnen weigeren Klantpersoonsgegevens te verwerken wanneer dit zou leiden tot een schending van een Toepasselijke Privacywet.

#3.1 Wij zorgen ervoor dat elke persoon die gemachtigd is om Klantpersoonsgegevens in ons naam te verwerken, gebonden is aan vertrouwelijkheidsverplichtingen, hetzij via contract hetzij via wet, en wordt geïnformeerd over het vertrouwelijke karakter van de informatie.

#3.2 Toegang tot Klantpersoonsgegevens is beperkt op basis van noodzakelijkheid ('need-to-know') en wordt beschermd door toegangscontroles, verplichte twee-factorverificatie en audit logging.

#4.1 Wij zullen passende technische en organisatorische maatregelen implementeren en handhaven om Klantpersoonsgegevens te beschermen tegen ongeautoriseerde of onwettige verwerking, onopzettelijk verlies, vernietiging of beschadiging. Huidige maatregelen zijn samengevat in Bijlage B van deze DPA en op kapsulecloud.com/legal/security.

#4.2 Wij zullen onze beveiligingsmaatregelen regelmatig evalueren en bijwerken met inachtneming van de stand der techniek, de implementatiekosten, de aard, omvang, context en doeleinden van verwerking, en het risico voor de rechten en vrijheden van Betrokkenen.

#4.3 Wij zullen de algehele bescherming niet materieel verminderen zonder u hiervan in kennis te stellen.

#5.1 Machtiging. U machtigt ons om de Sub-processors in te schakelen die vermeld staan op kapsulecloud.com/legal/sub-processors voor de verwerking van Customer Personal Information.

#5.2 Voorwaarden Sub-processors. Wij zullen met elke Sub-processor een schriftelijk contract afsluiten dat gegevensbeschermingsverplichtingen oplegt die niet minder beschermend zijn dan die in deze DPA, inclusief verplichtingen met betrekking tot vertrouwelijkheid, beveiliging en beperkte verwerking.

#5.3 Melding van nieuwe Sub-processors. Wij zullen u op de hoogte stellen van elke nieuwe Sub-processor die Customer Personal Information zal verwerken, minimaal dertig (30) dagen voordat die Sub-processor met de verwerking begint. Melding vindt plaats per e-mail en via plaatsing op de Sub-processors pagina.

#5.4 Bezwaar. U mag bezwaar aantekenen op grond van redelijke overwegingen (bijvoorbeeld een gedocumenteerde zorg over de beveiliging, compliance of rechtsmacht van de voorgestelde Sub-processor) door een e-mail te sturen naar [email protected] binnen het periode van 30 dagen. Indien wij uw bezwaar niet redelijkerwijs kunnen accommoderen (bijvoorbeeld door van Sub-processor te wisselen of de configuratie aan te passen), kunt u de betrokken Service opzeggen en ontvangt u een pro rata restitutie van eventueel vooruitbetaalde Fees voor het ongebruikte gedeelte van de relevante factureringsperiode.

#5.5 Aansprakelijkheid voor Sub-processors. Wij blijven jegens u aansprakelijk voor de handelingen en nalatigheden van onze Sub-processors met betrekking tot Customer Personal Information alsof zij van onszelf waren.

#6.1 Wij zullen, rekening houdend met de aard van de verwerking, redelijke ondersteuning bieden om u te helpen te reageren op verzoeken van betrokkenen om hun rechten onder de Toepasselijke Privacywetten uit te oefenen, inclusief rechten op toegang, correctie, verwijdering, beperking en draagbaarheid.

#6.2 Indien wij een verzoek van een betrokkene ontvangen dat betrekking heeft op uw gebruik van de Services, zullen wij: (a) de betrokkene naar u (de Verwerkingsverantwoordelijke) doorverwijzen; en (b) tenzij wettelijk verboden, u zonder onredelijke vertraging van het verzoek in kennis stellen.

#6.3 Ondersteuning wordt geboden via de toegangs-, export- en verwijderingsfuncties van KPanel waar deze toereikend zijn, en via handmatige ondersteuning waar de technische functies niet aan het verzoek kunnen voldoen.

#6.4 Wij kunnen een redelijk tarief berekenen voor handmatige ondersteuning die aanzienlijk meer is dan routineondersteuning, indien het verzoek kennelijk ongegrond of excessief is.

#7.1 Melding. Wij zullen u zonder onnodige vertraging op de hoogte stellen van elke bevestigde Notifiable Privacy Breach die Customer Personal Information betreft, en in ieder geval binnen zesenzeventig (72) uur nadat wij ervan op de hoogte zijn gesteld.

#7.2 Inhoud van de melding. De melding zal, voor zover bekend en redelijkerwijs beschikbaar op het moment van melding, het volgende bevatten: (a) de aard van de inbreuk, inclusief, waar mogelijk, de categorieën en het geschatte aantal betrokken Data Subjects en records; (b) de waarschijnlijke gevolgen van de inbreuk; (c) de maatregelen die wij hebben genomen of voorstellen te nemen om de inbreuk aan te pakken en de mogelijke nadelige effecten ervan te beperken; en (d) het contactpunt voor verder inlichtingen.

#7.3 Vervolgmeldingen. Indien bepaalde informatie op het moment van de eerste melding niet beschikbaar is, zullen wij deze zo spoedig mogelijk in vervolgmeldingen verstrekken.

#7.4 Medewerking. Wij zullen redelijkerwijs met u samenwerken in elk vereist onderzoek, melding aan autoriteiten, melding aan betrokken Data Subjects en herstelmaatregelen.

#7.5 Verantwoordelijkheid van de klant. U blijft verantwoordelijk voor het beoordelen of een inbreuk een Notifiable Privacy Breach onder uw toepasselijke wet is en voor het doen van de noodzakelijke meldingen aan het Office of the Privacy Commissioner, betrokken Data Subjects of andere regelgevers. Wij zullen u de informatie verstrekken die u redelijkerwijs nodig hebt om dit te doen.

#8.1 Informatie. Wij zullen u de informatie ter beschikking stellen die nodig is om naleving van deze DPA aan te tonen, inclusief de Security Statement op kapsulecloud.com/legal/security, de Sub-processors-lijst en alle audit- of certificeringsrapporten van derden die wij bezitten (indien van toepassing).

#8.2 On-site audit. Indien de informatie in clausule 8.1 niet voldoende is om naleving van deze DPA met betrekking tot een specifieke zaak die u schriftelijk hebt aangeroerd aan te tonen, mag u een audit van onze naleving van deze DPA uitvoeren onder de volgende voorwaarden: (a) audits worden op uw kosten uitgevoerd (inclusief onze redelijke kosten voor ondersteuning); (b) u geeft ons ten minste dertig (30) dagen schriftelijke kennisgeving; (c) audits vinden plaats tijdens onze normale kantooruren; (d) audits worden niet meer dan eenmaal in enig periode van twaalf (12) maanden uitgevoerd, behalve na een bevestigde Notifiable Privacy Breach die u treft, in welk geval een aanvullende audit op redelijke termijn kan worden uitgevoerd; (e) de audit interfereert niet op onredelijke wijze met onze activiteiten of compromitteert niet de vertrouwelijkheid van informatie van andere klanten; (f) de auditor moet gekwalificeerd zijn, onafhankelijk zijn van onze concurrenten en gebonden zijn door vertrouwelijkheidsverplichtingen op voorwaarden die voor ons aanvaardbaar zijn; (g) wij mogen, naar onze keuze, onze auditverplichtingen nakomen door kopieën van audit- of certificeringsrapporten van derden te verstrekken (indien beschikbaar) of door te reageren op een beveiligingsvragenlijst.

#8.3 U verstrekt ons een kopie van enig auditrapport en eventuele bevindingen, en wij zullen redelijke inspanningen leveren om wezenlijke bevindingen binnen een overeengekomen periode aan te pakken.

#9.1 U erkent aan dat enkele van onze Sub-processors zich buiten Nieuw-Zeeland bevinden. De huidige locaties zijn vermeld op kapsulecloud.com/legal/sub-processors.

#9.2 Wanneer Customer Personal Information buiten Nieuw-Zeeland wordt overgedragen, zorgen wij ervoor dat vergelijkbare waarborgen van toepassing zijn, inclusief: (a) ervoor zorgen dat de Sub-processor onderworpen is aan een privacywet die naar onze mening vergelijkbare bescherming biedt als de Privacy Act 2020; of (b) contractuele waarborgen met de Sub-processor aangaan die vergelijkbare bescherming vereisen (bijvoorbeeld door verwijzing naar Standard Contractual Clauses waar passend); of (c) uw uitdrukkelijke toestemming voor de overdracht verkrijgen.

#9.3 Door deze DPA aan te gaan, autoriseer u de overdrachten beschreven in artikel 7 van het Privacy Policy en artikel 5 van deze DPA, op basis van de waarborgen in artikel 9.2.

#10.1 Tijdens de geldigheidsduur van de Services kunt u Customer Personal Information exporteren via KPanel met behulp van onze standaard exporttools (CSV, JSON, archiefdownload of database dump, afhankelijk van het gegevenstype).

#10.2 Bij beëindiging van de Services en naar uw keuze zullen wij: (a) Customer Personal Information beschikbaar stellen voor export gedurende dertig (30) dagen na beëindiging (de "Grace Period"); en (b) daarna Customer Personal Information permanent verwijderen uit live systemen.

#10.3 Versleutelde back-upcopieën worden verwijderd bij de volgende geplande rotatie-cyclus, uiterlijk dertig (30) dagen na verwijdering uit live systemen.

#10.4 Wij mogen Customer Personal Information na beëindiging behouden wanneer dit wettelijk vereist is (bijvoorbeeld facturerings- en belastingregisters onder de Tax Administration Act 1994, of om een juridische claim te verdedigen). Dergelijke bewaring zal beperkt zijn tot het minimaal noodzakelijke, en de informatie blijft onderworpen aan de vertrouwelijkheids- en beveiligingsverplichtingen in deze DPA.

#11.1 De bepalingen inzake aansprakelijkheid in de Gebruiksvoorwaarden (inclusief de beperking van aansprakelijkheid in artikel 16) zijn van toepassing op deze DPA.

#11.2 Onverminderd artikel 11.1 beperkt niets in deze DPA de aansprakelijkheid van een partij voor fraude, frauduleuze voorstelling van zaken, opzettelijk wangedrag, of enige aansprakelijkheid die onder de Toepasselijke Privacywetten niet rechtmatig kan worden beperkt.

#11.3 Indien wij een regelgevingsstraf incasseren als gevolg van, of in verband met, uw niet-naleving van uw verplichtingen onder deze DPA of de Toepasselijke Privacywetten, zal het bedrag van die straf worden beschouwd als een schadevergoeding die van u kan worden teruggevorderd, onder voorbehoud van de limieten in de Gebruiksvoorwaarden.

#11.4 De servicetegoeden onder de SLA zijn geen tegoeden onder deze DPA.

#12.1 Deze DPA wordt van kracht wanneer u de Services voor het eerst gebruikt (of 15 mei 2026, welk moment het laatst valt) en blijft van kracht totdat de Services worden beëindigd en onze verplichtingen tot verwijdering onder artikel 10 zijn voltooid.

#12.2 We kunnen deze DPA van tijd tot tijd bijwerken om wijzigingen in de wet of onze bedrijfsvoering door te voeren. Wezenlijke wijzigingen zullen ten minste dertig (30) dagen van tevoren worden meegedeeld.

#13.1 Indien er een conflict bestaat tussen deze DPA en de Terms of Service of het Privacy Policy met betrekking tot de verwerking van Customer Personal Information, prevaleert deze DPA.

#13.2 Indien er een conflict bestaat tussen deze DPA en een toepasselijke dwingende bepaling van een Applicable Privacy Law, prevaleert de dwingende bepaling voor zover het conflict zich uitstreckt.

Functionaris Gegevensbescherming

Kapsule Group Limited, Christchurch, New Zealand.

E-mail: [email protected]

A.1 Onderwerp. Verstrekking van cloudhosting, domeinregistratie, e-mailhosting en gerelateerde diensten zoals beschreven in de Servicevoorwaarden.

A.2 Duur. Voor de duur van de Diensten, plus de Grace Period en elke bewaring die wettelijk vereist is zoals uiteengezet in artikel 10.

A.3 Aard en doel. Opslag, transmissie, back-up, beveiliging, replicatie, indexering, formaatconversie (voor technische compatibiliteit), misbruikpreventie, facturering en andere verwerking die nodig is voor het exploiteren van de Diensten.

A.4 Categorieën van persoonlijke gegevens van klanten. Zoals door u bepaald en geüpload. Kan het volgende omvatten: namen, contactgegevens (e-mail, telefoonnummer, adres), accountgegevens, identiteitsverificatiegegevens, betalingsinformatie, transactiegegevens, IP-adressen, apparaatidentificatoren, foto's en andere afbeeldingen, inhoud van websites en applicaties, inhoud van e-mail, metagegevens van berichten, CRM-records, ondersteuningscommunicatie en alle andere persoonlijke gegevens die u ervoor kiest via de Diensten te verwerken.

A.5 Categorieën van betrokkenen. Zoals door u bepaald. Kan het volgende omvatten: uw werknemers, contractanten, agenten, klanten, potentiële klanten, leveranciers, leden, eindgebruikers, donateurs en andere personen wiens persoonlijke gegevens u ervoor kiest via de Diensten te verwerken.

A.6 Bijzondere categorieën. U mag geen bijzondere of gevoelige persoonlijke gegevens (zoals gezondheidsgegevens, biometrische gegevens, strafblad, religieuze overtuigingen, seksuele geaardheid of vakbondlidmaatschap) naar de Diensten uploaden zonder onze voorafgaande schriftelijke toestemming met betrekking tot passende aanvullende waarborgen. Als u dergelijke gegevens zonder onze toestemming uploadt, bent u verantwoordelijk voor de rechtmatigheid hiervan en vrijwaart u ons tegen alle gerelateerde vorderingen.

A.7 Frequentie en duur van verwerking. Continu, voor de duur van de Diensten.

Wij implementeren de volgende technische en organisatorische maatregelen, die wij van tijd tot tijd kunnen bijwerken om de algehele bescherming te handhaven of te verbeteren:

B.1 Beleidsregels en governance op het gebied van informatiebeveiliging. Gedocumenteerde beleidsregels voor informatiebeveiliging en privacy, die minimaal jaarlijks worden beoordeeld. Aangewezen Privacy Officer verantwoordelijk voor naleving. Personeelstraining op het gebied van privacy en beveiliging bij indiensttreding en daarna jaarlijks. Achtergrondcontroles op personeelsleden met toegang tot productiesystemen, waar wettelijk toegestaan.

B.2 Toegangscontroles. Strikte op rollen gebaseerde toegangscontroles volgens het beginsel van minimale bevoegdheid. Verplichte twee-factor authenticatie voor al het personeel met toegang tot productiesystemen. Periodieke toegangsbeoordelingen en onmiddellijke intrekking bij rolwisseling of vertrek. Scheiding van productie- en niet-productieomgevingen. Logging van bevoorrechte toegang.

B.3 Versleuteling en gegevensbescherming. TLS-versleuteling (minimaal TLS 1.2) voor alle gegevens in transit. Versleuteling in rust voor off-site back-ups (restic) en voor gevoelige gegevensopslag. Met Restic versleutelde off-site back-ups opgeslagen in Cloudflare R2 (Oceanië-regio). Veilig sleutelbeheer met offline kopieën van master recovery keys.

B.4 Netwerk- en systeembeveiliging. Netwerksegmentatie tussen klantenomgevingen. Web application firewall en DDoS-bescherming via Cloudflare. Regelmatige beveiligingspatches van besturingssystemen, runtimes en toepassingen. Kwetsbaarheidsscans van infrastructuur met internetverbinding. Periodieke penetratietesten.

B.5 Logging, monitoring en incident response. Gecentraliseerde logging van toegang, wijzigingen en beveiligingsgebeurtenissen. 24x7 monitoring van platformgezondheid en beveiligingssignalen. Gedocumenteerd incident response plan met gedefinieerde ernstniveaus en escalatiepaden. Meldingsprocedure voor Notifiable Privacy Breach afgestemd op de Privacy Act 2020 en clausule 7 van deze DPA.

B.6 Back-up, bedrijfscontinuïteit en disaster recovery. Dagelijkse versleutelde off-site back-ups van klantsitegegevens en e-mailgegevens. Off-site back-up retentie van minimaal dertig (30) dagen, met langere retentie bij hogere Plans. Gedocumenteerde disaster recovery-procedures en runbooks. Regelmatig testen van herstel.

B.7 Personeel en sub-processors. Vertrouwelijkheidsverplichting voor al het personeel. Schriftelijke contracten met alle Sub-processors die waarborgen opleggen die niet minder beschermend zijn dan deze DPA. Jaarlijkse beoordeling van Sub-processors op voortdurende geschiktheid.

B.8 Fysieke beveiliging. Productieservers uitgevoerd in Tier III of gelijkwaardige datacenters met gecontroleerde fysieke toegang, 24x7 beveiliging, milieucontroles en brandbestrijdingssystemen.

B.9 Toepassingsbeveiliging. Veilige software development lifecycle, inclusief code review, dependency scanning en pre-release testen. Gebruik van secrets management (geen secrets in broncode). Verplichte code review voor productiewijzigingen.

B.10 Gegevenssegregatie en verwijdering. Logische segregatie van klantengegevens. Gedocumenteerde procedures voor gegevenswissing afgestemd op clausule 10 van deze DPA. Gedocumenteerde procedures voor het afhandelen van Data Subject access, correctie en verwijderingsvragen.

Een meer gedetailleerde versie van deze maatregelen is gepubliceerd op kapsulecloud.com/legal/security en wordt van tijd tot tijd bijgewerkt.