LET OPHieronder de tekst van onze standaard-verwerkersovereenkomst. Hier kunnen alleen rechten aan worden ontleend in het geval van een door beide partijen schriftelijke versie (middels handtekening van een tekeningsbevoegd persoon) op een printversie (PDF). Handmatige aanpassingen in het document of op de ondertekende versie zijn niet geldig.
VERWERKERSOVEREENKOMST
DE ONDERGETEKENDEN:
(1) <Bedrijf>, gevestigd te <Plaats>, ten dezen rechtsgeldig vertegenwoordigd door <naam> hierna te noemen: ‘Verwerkingsverantwoordelijke’;
en
(2) Digital Marketing & Publishing International B.V., gevestigd te Heino, te dezen rechtsgeldig vertegenwoordigd door dhr. Joost J. Hoogstrate, KvK 65988256, hierna te noemen: ‘Verwerker’;
Verwerkingsverantwoordelijke (Opdrachtgever) en Verwerker (Opdrachtnemer) worden hierin gezamenlijk ook aangeduid als “Partijen” of individueel als “Partij”;
NEMEN HET VOLGENDE IN AANMERKING:
(A) Verwerkingsverantwoordelijke heeft met Verwerker een dienstverleningsovereenkomst gesloten verder te noemen: Overeenkomst. Op basis van deze Overeenkomst voert Verwerker <invullen activiteiten> uit met als doel <doel omschrijven>. Ter uitvoering van de Overeenkomst zal Verwerker persoonsgegevens verwerken ten behoeve van en in opdracht van Verwerkingsverantwoordelijke;
(B) Partijen wensen in deze Verwerkersovereenkomst hun afspraken over het verwerken van de persoonsgegevens door Verwerker in opdracht van Verwerkingsverantwoordelijke vast te leggen in overeenstemming met het Toepasselijke Recht;
EN VERKLAREN HET VOLGENDE TE ZIJN OVEREENGEKOMEN:
- Bijlage: aanhangsel bij deze Verwerkersovereenkomst, die na door beide Partijen ondertekend te zijn, deel uitmaakt van deze Verwerkersovereenkomst;
- Datalek(ken): elk incident, resulterend in (mogelijke) onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaring van of toegang tot de persoonsgegevens verzonden, opgeslagen of anderszins verwerkt, ongeacht of het incident plaatsvond ter zake van de bewerkingsfaciliteiten of elders;
- Verwerkersovereenkomst: deze Verwerkersovereenkomst die integraal deel uitmaakt van de algemene voorwaarden en onderdeel vormt van de Overeenkomst inclusief overwegingen en Bijlage(n), alsmede enige wijziging, vervanging, update of andere latere versies daarvan;
- Medewerkers: de door Verwerker voor de uitvoering van deze Verwerkersovereenkomst in te schakelen werknemers en andere (hulp)personen, die onder haar verantwoordelijkheid vallen;
- Toepasselijke Recht: de toepasselijke wet- of regelgeving, de Algemene Verordening Gegevensbescherming (EU) 2016/67 die per 25 mei 2018 van toepassing is of enige (andere) richtsnoeren, beleidsregels, instructies of aanbevelingen van enige bevoegde overheidsinstantie, van toepassing op de verwerking van de persoonsgegevens, daaronder begrepen enige wijzigingen, vervangingen, updates of andere latere versies daarvan.
- Voorwerp van deze Verwerkersovereenkomst
- In het kader van de uitvoering van de Overeenkomst en de Bijlagen daarbij is Partij 1 aan te merken als de Verwerkingsverantwoordelijke voor de verwerking van de persoonsgegevens uit hoofde van het Toepasselijke Recht, en Partij 2 als de Verwerker van de persoonsgegevens ten behoeve van Partij 1.
- Deze Verwerkersovereenkomst vormt een onderdeel van de algemene voorwaarden en vervangt alle eventuele eerder gemaakte (mondelinge of schriftelijke) afspraken tussen Verwerkingsverantwoordelijke en Verwerker ter zake van de verwerking van de persoonsgegevens.
- Bij enige tegenspraak tussen de bepalingen uit deze Verwerkersovereenkomst, de algemene voorwaarden en de Overeenkomst, prevaleren de bepalingen uit de algemene voorwaarden, tenzij uitdrukkelijk in deze Verwerkersovereenkomst anders is bepaald.
- Verwerker zal de persoonsgegevens uitsluitend verwerken in opdracht van Verwerkingsverantwoordelijke. Verwerker heeft geen zelfstandige zeggenschap over de persoonsgegevens die door haar worden verwerkt. Verwerker zal de persoonsgegevens niet ten eigen nutte, ten nutte van derden, of voor andere doeleinden verwerken, behoudens op haar rustende afwijkende wettelijke verplichtingen onder het Toepasselijke Recht.
- Verwerker garandeert dat zij de persoonsgegevens zal verwerken in overeenstemming met het Toepasselijke Recht. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar haar mening enige instructie inbreuk oplevert op het Toepasselijke Recht.
- Indien Verwerker in strijd met deze Verwerkersovereenkomst en/of het Toepasselijke Recht doeleinden en middelen van de verwerking van de persoonsgegevens bepaalt, wordt Verwerker voor die verwerkingen als de Verwerkingsverantwoordelijke in de zin van het Toepasselijke Recht beschouwd.
- Verwerking van de persoonsgegevens
- Ter uitvoering van de Overeenkomst en de Bijlagen verwerkt Verwerker de persoonsgegevens zoals nader is omschreven in Bijlage 1.
- Rekening houdend met de aard van de verwerking en de aan Verwerker ter beschikking staande informatie, zal Verwerker Verwerkingsverantwoordelijke alle benodigde bijstand verlenen bij het doen nakomen van de op Partijen rustende verplichtingen onder het Toepasselijke Recht, in het bijzonder de verplichtingen ter zake van de beveiliging van de persoonsgegevens, meldingsverplichtingen van Datalekken, verplichtingen ter zake van het uitvoeren van gegevensbeschermingeffectbeoordeling (DPIA), alsmede het laten uitvoeren van een voorafgaande raadpleging door bevoegde overheidsinstantie(s).
- Verwerker zal de persoonsgegevens uitsluitend openbaren aan die Medewerkers die de persoonsgegevens nodig hebben voor de uitvoering van hun werkzaamheden c.q. noodzakelijkerwijs van de persoonsgegevens kennis dienen te hebben ter uitvoering van de Overeenkomst en de Bijlagen, en voor het overige geheim houden, behoudens op haar rustende afwijkende wettelijke verplichtingen onder het Toepasselijke Recht.
- In Bijlage 1 staat welke (groepen) Medewerkers toegang mogen hebben tot welke persoonsgegevens. Het is Verwerker uitdrukkelijk verboden om andere (groepen) personen toegang te verschaffen tot de persoonsgegevens dan omschreven in Bijlage 1.
- Verwerker zal de in deze Verwerkersovereenkomst en in de Overeenkomst vastgelegde verplichtingen, daaronder begrepen de beveiligings- en geheimhoudingsverplichtingen, opleggen aan de door haar ingeschakelde Medewerkers. Verwerker zal ervoor zorgdragen dat deze Medewerkers zich houden aan de relevante verplichtingen uit deze Verwerkersovereenkomst, de Overeenkomst en de Bijlagen.
- Verwerker vermeldt in Bijlage 1 welke derde partijen (subverwerkers) bij de verwerking van de Persoonsgegevens ingezet worden.
- Opdrachtgever geeft toestemming aan Verwerker om andere subverwerkers in te schakelen ter uitvoering van zijn verplichtingen voortvloeiende uit de Overeenkomst.
- Verwerker zal Opdrachtgever informeren over een wijziging in de door de Verwerker ingeschakelde derde partijen. Opdrachtgever heeft het recht bezwaar te maken tegen voornoemde wijziging. Verwerker draagt ervoor zorg dat de door hem ingeschakelde derde partijen zich aan eenzelfde beveiligingsniveau committeren ten aanzien van de
bescherming van de Persoonsgegevens als het beveiligingsniveau waaraan Verwerker jegens Opdrachtgever is gebonden op grond van deze Verwerkersovereenkomst.
- Betrouwbaarheidseisen en Beveiliging
- Verwerker zal tenminste de betrouwbaarheidseisen uit Bijlage 2 in acht nemen en de eveneens in Bijlage 2 uitgewerkte technische en organisatorische beveiligingsmaatregelen implementeren.
- De door Verwerker te implementeren technische en organisatorische beveiligingsmaatregelen dienen een passend beschermingsniveau te verzekeren, onder meer met het oog op de verplichting van de Verwerkingsverantwoordelijke wat betreft het omgaan van verzoeken van betrokkenen die hun rechten uitoefenen. Dit in overeenstemming met het Toepasselijke Recht, met inachtneming van de stand der techniek, de kosten gemoeid met de implementatie en aard, omvang, context en doeleinden van de verwerking, alsmede de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen. Deze maatregelen omvatten, waar passend, in ieder geval:
- Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingsdiensten te garanderen;
- Passende preventieve maatregelen, die Verwerker in staat stellen om een Datalek onmiddellijk te onderkennen en Verwerkingsverantwoordelijke tijdig daarover te informeren, zoals intrusion detection, toekomstbestendige versleuteling, de mogelijkheid om de beschikbaarheid van de persoonsgegevens tijdig te herstellen;
- Een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische beveiligingsmaatregelen om de veiligheid van de verwerking van de persoonsgegevens te garanderen.
- Verwerker zal op regelmatige basis de getroffen technische en organisatorische beveiligingsmaatregelen evalueren en indien nodig actualiseren.
- Verwerker zal adequate procedures in stand houden, die er op gericht zijn om alle eventuele Datalekken te detecteren en daarop actie te ondernemen, daaronder begrepen procedures voor correctieve acties, en ook ter voorkoming van herhaling van enige Datalekken. Deze procedures zijn door Verwerker op een zodanige wijze ingericht dat zowel Verwerkingsverantwoordelijke als Verwerker in staat is om aan de meldplichten inzake Datalekken onder het Toepasselijke Recht te voldoen.
- Zodra Verwerker een Datalek detecteert of redelijkerwijs vermoedt dat een Datalek zich heeft voorgedaan of kan voordoen, zal Verwerker Verwerkingsverantwoordelijke hierover onmiddellijk, en in ieder geval binnen 24 uur na detectie of vermoeden van een Datalek, informeren. Een dergelijke melding zal worden gedaan via de website en telefonisch zoals vermeld in Bijlage 3.
- In het geval van een Datalek zal Verwerker zo snel mogelijk adequate herstelmaatregelen treffen. Bovendien zal Verwerker Verwerkingsverantwoordelijke voorzien van alle door Verwerkingsverantwoordelijke verzochte relevante informatie met betrekking tot het Datalek. Deze informatie omvat in ieder geval:
- Een beschrijving van de aard en de omvang van het Datalek, een inschatting van het aantal (mogelijk) getroffen betrokkenen en een indicatie van de aard van de getroffen persoonsgegevens en of deze persoonsgegevens versleuteld waren, dan wel anderszins beveiligd of ontoegankelijk waren gemaakt;
- Een beschrijving van de getroffen en te treffen correctieve maatregelen, geplande maatregelen en de aanbevolen maatregelen ter beperking van de schade, daaronder begrepen een noodplan en de verwachte oplossings- en work-around tijd;
- Informatie over welke derden, zoals overheidsinstanties en de (sociale) media, bekend zijn of kunnen zijn met het Datalek;
- De contactgegevens van de bevoegde vertegenwoordiger(s) van Verwerker bij wie Verwerkingsverantwoordelijke onmiddellijk en regelmatige updates kan verkrijgen van de status van het Datalek.
- Verwerker zal alle redelijkerwijs te verwachten assistentie aan Verwerkingsverantwoordelijke verlenen en alle noodzakelijke of door Verwerkingsverantwoordelijke gevraagde informatie met Verwerkingsverantwoordelijke delen, opdat Verwerkingsverantwoordelijke de (mogelijk) getroffen betrokkene(n) en/of de relevante overheidsinstanties of toezichthouders die bevoegd zijn te oordelen over de Verwerking van de persoonsgegevens, tijdig kan informeren over het Datalek en in staat wordt gesteld om naleving van de meldplichten inzake Datalekken onder het Toepasselijke Recht aan te tonen.
- Auditrecht van Verwerkingsverantwoordelijke
- Verwerkingsverantwoordelijke is gerechtigd, op eigen kosten, de maatregelen en de naleving van de op Verwerker rustende verplichtingen te controleren, op voorwaarde dat Verwerkingsverantwoordelijke Verwerker daarvan tien (10) werkdagen van tevoren op de hoogte stelt en op voorwaarde dat Verwerkingsverantwoordelijke bij de inspectie de redelijke aanwijzingen van Verwerker opvolgt en de inspectie de bedrijfsvoering van Verwerker niet onredelijk verstoort.
- Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de naleving van het Toepasselijke recht.
- Verwerkingsverantwoordelijke kan derde partijen (experts) inschakelen voor de uitoefening van haar auditrechten. Het uitvoeren van een audit door Verwerkingsverantwoordelijke of namens Verwerkingsverantwoordelijke zal niet leiden tot vertraging van de werkzaamheden van Verwerker of een van haar Onderaannemers. Indien een dergelijke vertraging toch dreigt, zullen Partijen in overleg treden.
- Doorgifte van persoonsgegevens
- Verwerker zal geen persoonsgegevens – anders dan omschreven in Bijlage 1 – overbrengen naar, toegankelijk maken vanuit of anderszins te verwerken in een land buiten de Europese Economische Ruimte (EER) of waarmee afspraken zijn die een passend beschermingsniveau bieden.
- Verzoeken van betrokkenen
- Verwerker zal haar volledige medewerking verlenen opdat Verwerkingsverantwoordelijke kan voldoen aan haar wettelijke verplichtingen als een betrokkene zijn rechten uitoefent op grond van het Toepasselijke Recht.
- Zodra Verwerker een daartoe strekkend verzoek, als in het vorige lid bedoeld, van een betrokkene ontvangt, zal Verwerker Verwerkingsverantwoordelijke onmiddellijk hierover informeren, en daarbij een afschrift van alle ter zake ontvangen correspondentie aan Verwerkingsverantwoordelijke overhandigen.
- Verzoeken van overheidsinstantie(s)
10.1 Indien Verwerker een verzoek van een overheidsinstantie ontvangt om (inzage in) persoonsgegevens te verschaffen, zal Verwerker Verwerkingsverantwoordelijke onmiddellijk schriftelijk hierover informeren voordat (inzage in) persoonsgegevens worden (wordt) verschaft, en daarbij een afschrift van alle ter zake ontvangen correspondentie aan Verwerkingsverantwoordelijke overhandigen. Verwerker zal uitsluitend aan een daartoe strekkend verzoek haar medewerking verlenen, indien zij daartoe uit hoofde van het Toepasselijke Recht verplicht is.
- De met de uitvoering van deze Verwerkersovereenkomst gemoeide kosten zijn niet inbegrepen in de prijzen en vergoedingen zoals overeengekomen in de Overeenkomst.
11.2 In Bijlage 4 staan de prijzen zoals deze in rekening worden gebracht, die gemoeid gaan met eventuele werkzaamheden die vallen onder de uitvoering van ondersteuning in het kader van deze verwerkersovereenkomst.
- Aansprakelijkheid en vrijwaring
De aansprakelijkheid van Verwerker voor schade voortvloeiend uit of verband houdend met het niet-nakomen van deze Verwerkersovereenkomst, dan wel handelen in strijd met het Toepasselijke Recht is beperkt overeenkomstig hetgeen bepaald in artikel 14 van de algemene voorwaarden, tenzij sprake is van opzet of bewuste roekeloosheid.
- Deze overeenkomst heeft een looptijd gelijk aan de Overeenkomst en kan niet tussentijds worden beëindigd. Artikelen die gezien hun aard, onder meer in het kader van de afwikkeling van de Verwerkersovereenkomst, bestemd zijn om na het einde van de Verwerkersovereenkomst van toepassing te blijven, blijven onverminderd van kracht na beëindiging van de Verwerkersovereenkomst.
- Wijziging van de Verwerkersovereenkomst is slechts mogelijk door schriftelijke overeenstemming door Partijen.
- Voor zover niet anders voortvloeit uit het Toepasselijke Recht, zal Verwerker, indien deze Verwerkersovereenkomst eindigt ervoor zorgdragen: (i) dat de persoonsgegevens onmiddellijk op een door Verwerkingsverantwoordelijke geschikt bevonden wijze worden geretourneerd c.q. verstrekt aan Verwerkingsverantwoordelijke of aan een door Verwerkingsverantwoordelijke aangewezen vervangende dienstverlener, dan wel (ii) dat de persoonsgegevens onmiddellijk worden vernietigd, indien Verwerkingsverantwoordelijke daar schriftelijk om verzoekt.
14 Toepasselijk recht
14.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
ALDUS OVEREENGEKOMEN EN GETEKEND:
Verwerkingsverantwoordelijke Verwerker
Naam: Naam: Joost Hoogstrate
Functie: Functie: CEO DMPI
Datum: Datum:
BIJLAGE 1 Verwerkersovereenkomst: Overzicht van de Diensten en gerelateerde verwerkingsactiviteiten
A. Algemene informatie |
Naam product en/of dienst | |
Naam Verwerker en vestigingsgegevens | |
Link naar leverancier en/of productpagina | |
Beknopte uitleg en werking product en dienst | |
B. Omschrijving specifieke diensten |
- Omschrijving van de specifiek verleende diensten en bijbehorende Verwerkingen van Persoonsgegevens:
|
a. | |
b. | |
c. | |
- Omschrijving van de optionele Verwerkingen die de Verwerker aanbiedt
|
a. | |
b. | |
C. Doeleinden voor het verwerken van gegevens |
|
D1. Categorieën Betrokkenen (aankruisen welke categorieën Betrokkenen van toepassing zijn) |
| 1: Medewerkers |
| 2: Relaties |
| 3: Anders, namelijk: |
D2. Categorieën Persoonsgegevens (aankruisen welke categorieën Persoonsgegevens van toepassing zijn) |
| Contactgegevens beperkt (naam, e-mail adres en organisatorische eenheid) |
| Contactgegevens overig (Naw, geboortedatum, titulatuur, etc.) |
| etc |
| Vul in wat verwerkt wordt aan persoonsgegevens |
Door de Verwerker te hanteren specifieke bewaartermijn van Persoonsgegevens (of toetsingscriteria om dit vast te stellen) en de afspraken daarover: |
F. Opslag Verwerking Persoonsgegevens: |
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: |
G. Subverwerkers |
Verwerker maakt ten tijde van het afsluiten van de Verwerkersovereenkomst gebruik van de volgende Subverwerkers: |
Partijnaam | Statutaire vestigingsplaats Subverwerker | Beknopte omschrijving taak/dienst waaruit blijkt welke informatie wordt Verwerkt door deze Subverwerker | Plaats/land van opslag en Verwerking Persoonsgegevens |
| | | |
Opmerking: indien de Persoonsgegevens buiten de EER worden verwerkt wordt apart opgave gedaan van de landen waar de Persoonsgegevens worden verwerkt én op welke wijze is gewaarborgd dat de gegevens rechtmatig kunnen worden doorgegeven.
H. Contactgegevens voor inhoudelijke contacten over de verwerking van Persoonsgegevens |
Partij | Naam | Functie | E-mail adres | Telefoonnummer |
Verwerkings-verantwoordelijke | | | | |
Verwerker | | | | |
I. Versie |
Versie nummer | datum (laatste) aanpassing | Omschrijving wijziging(en) |
1.0 | | |
BIJLAGE 2 verwerkersovereenkomst: Betrouwbaarheidseisen en beveiligingsmaatregelen
Om de persoonsgegevens te beveiligen zijn door DMPI BV de volgende technische en organisatorische beveiligingsmaatregelen getroffen:
Beleidsdocument voor informatiebeveiliging:
- Er is een beleidsdocument dat expliciet de maatregelen beschrijft die de verantwoordelijke treft om de verwerkte persoonsgegevens te beveiligen.
- Dit beleidsdocument is goedgekeurd op bestuurlijk c.q. leidinggevend niveau en genoegzaam kenbaar gemaakt aan alle Medewerkers betrokken bij de gegevensverwerking.
Toewijzen van verantwoordelijkheden voor informatiebeveiliging:
- Alle verantwoordelijkheden die nodig zijn voor een adequate informatiebeveiliging zijn duidelijk gedefinieerd op zowel sturend als op uitvoerend niveau. Deze verantwoordelijkheden zijn belegd bij die verantwoordelijke personen die de beveiligingsmaatregelen mogen en kunnen nemen.
Beveiligingsbewustzijn:
- Alle Medewerkers van DMPI worden geïnformeerd en regelmatig op de hoogte gesteld betreffende het informatie-beveiligingsbeleid en de informatiebeveiligingsprocedures.
- Tijdens het informeren wordt expliciet aandacht besteed aan de omgang met (bijzondere of anderszins gevoelige) Persoonsgegevens.
Fysieke beveiliging en beveiliging van apparatuur:
- De IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen. De geboden bescherming is in overeenstemming met de vastgestelde risico’s en het beveiligingsniveau dat volgens de wet- en regelgeving passend zou zijn.
Toegangsbeveiliging:
- Er gelden procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen.
- De procedures omvatten alle fasen in de levenscyclus van de gebruikerstoegang, van de eerste registratie van nieuwe gebruikers tot de uiteindelijke afmelding van gebruikers die niet langer toegang tot informatiesystemen en -diensten nodig hebben.
Correcte verwerking in toepassingssystemen:
- In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd (privacy by design).
- Tot deze beveiligingsmaatregelen behoort de controle dat de invoer, de interne verwerking en de uitvoer aan vooraf gestelde eisen voldoen (validatie).
- Systeemdelen waarin gevoelige persoonsgegevens worden verwerkt of die invloed hebben op de verwerking van gevoelige persoonsgegevens, zijn toegerust met aanvullende beveiligingsmaatregelen.
Beheer van technische kwetsbaarheden:
- Software op servers van DMPI, zoals virusscanners en operating systems, wordt up-to-date gehouden.
- DMPI evalueert de mate waarin haar systeem blootstaat aan technische kwetsbaarheden.
Incidentenbeheer:
- DMPI behandelt tijdig en doeltreffend informatiebeveiligingsincidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd. In het geval dat een informatiebeveiligingsincident optreedt beoordeelt de Verwerkingsverantwoordelijke in afstemming met DMPI de risico’s voor de betrokkenen en informeert effectief de betrokkenen en indien nodig ook de toezichthouder.
- De lessen getrokken uit de afgehandelde incidenten gebruikt DMPI om de beveiliging waar mogelijk structureel te verbeteren.
- Als een vervolgprocedure na een informatiebeveiligingsincident juridische maatregelen omvat (civiel- of strafrechtelijk), wordt het bewijsmateriaal verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.
Afhandeling van datalekken en beveiligingsincidenten:
- DMPI meldt datalekken onmiddellijk aan Verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke meldt dit lek zo spoedig mogelijk bij de betreffende toezichthouder.
- DMPI informeert, indien daartoe verplicht of gehouden, ook de betrokkenen over het beveiligingsincident of het datalek.
BIJLAGE 3 Verwerkersovereenkomst: Procedure datalekken
Contactgegevens bij inbreuk in verband met Persoonsgegevens |
Partij | Naam | Functie | E-mail adres | Telefoonnummer |
Verwerkings-verantwoordelijke | | | | |
Verwerker | | | | |
Informeren over Datalekken en/of incidenten met betrekking tot beveiliging |
Er is een procedure over het informeren in geval van datalekken en/of incidenten met betrekking tot beveiliging, en bevat ten minste te volgende punten: |
- De wijze waarop monitoring en identificatie van incidenten plaatsvindt,
- De wijze waarop informatie wordt gedeeld:
- Op welke manier (via e-mail, telefoon);
- Aan wie gericht (contactpersonen en contactgegevens);
- Met wie kan (bij vervolgacties) contact worden opgenomen.
- Informatie die in ieder geval over een incident gedeeld moet worden
- De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
- De oorzaak van het beveiligingsincident;
- De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen;
- Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin;
- De omvang van de groep betrokkenen;
- Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens of financiële gegevens).
- Eventuele afspraken of, en zo ja hoe, Verwerker een melding aan de Autoriteit Persoonsgegevens kan verrichten.
|
Versie |
versie nummer | datum laatste aanpassing |
| |
BIJLAGE 4 Verwerkersovereenkomst: Kosten ondersteuning
In het geval DMPI ondersteuning biedt, die dienen ter uitvoering van het Toepasselijk recht, die niet vastgelegd zijn in de Overeenkomst, dan brengt zij hiervoor kosten in rekening.