Common use of Beveiliging en controle Clause in Contracts

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden Verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten, en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. : een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. ; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. ; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. : Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. . Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. . Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. . Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de OnderwijsinstellingAfnemer, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling Afnemer wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling Afnemer in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling Xxxxxxx te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met OnderwijsinstellingAfnemer, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Afnemer wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de OnderwijsinstellingAfnemer, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal VerwerkerBewerker zal, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en beschermen tegen ongeoorloofde of onrechtmatige verwerking de kosten gemoeid met de implementatie en tegen onopzettelijk verliesde uitvoering van de maatregelen, vernietiging of beschadigingeen passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen. 2. Naast de De maatregelen als zoals genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen7.1 omvatten in ieder geval: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers bevoegd personeel toegang hebben heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst Bewerkersovereenkomst worden verwerkt; b. maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; c. het regelen maatregelen om zwakke plekken te identificeren ten aanzien van procedures rondom de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van toegang tot Persoonsgegevens (waaronder diensten aan de Onderwijsinstelling; d. een registratie- en afmeldprocedure passend informatiebeveiligingsbeleid voor toewijzing de Verwerking van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controlerenPersoonsgegevens. 3. Partijen zullen Bewerker zal de door haar getroffen beveiligingsmaatregelen periodiek informatiebeveiligingsmaatregelen evalueren en aanscherpenverscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm inhoud en de werkwijze frequentie van de verklaringen rapportages die Verwerker verstrekt Bewerker aan de Onderwijsinstelling oplevert over de afgesproken beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Onderwijsinstelling moet treffen. 5. De Verwerker Bewerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker Bewerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door de Bewerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. 6. In aanvulling op artikel 7, lid 4 heeft de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker Bewerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevensop eigen kosten, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker Bewerker genomen technische en organisatorische beveiligingsmaatregelen, beveiligingsmaatregelen te (doen) controleren middels een audit uitgevoerd laten toetsen door een onafhankelijke gecertificeerde externe deskundige: a. Register EDP auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, Bewerker in te schakelen externe deskundige gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport audit rapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. : een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. Persoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. Verwerkt; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. . In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. Beide Partijen zullen dragen er zorg voor dat zij de door haar eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. audit: Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. . Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. . Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. . Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. een Een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen Maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; c. het Het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te (laten) controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door haar in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede en ook op de naleving van de in artikel 8 7 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een één van de Partijen, na goedkeuring door Verwerker, in overleg met Onderwijsinstellingde andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: a. : een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); maatregelen om te waarborgen dat enkel geautoriseerde personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden Verwerkt; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten, en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. . In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. Beide Partijen zullen dragen er zorg voor dat zij de door haar eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. audit: Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. . Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. . Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. . Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport audit rapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, Onderwijsinstelling in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijenpartijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die getroffen als beschreven in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controlerenBijlage 2. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 7 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-derden- verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal VerwerkerBewerker zal, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en beschermen tegen ongeoorloofde of onrechtmatige verwerking de kosten gemoeid met de implementatie en tegen onopzettelijk verliesde uitvoering van de maatregelen, vernietiging of beschadiging. 2een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen. Naast de De maatregelen als zoals genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. 7.1 omvatten in ieder geval: maatregelen om te waarborgen dat enkel geautoriseerde medewerkers bevoegd personeel toegang hebben heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst Bewerkersovereenkomst worden verwerkt; c. het regelen ; maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; maatregelen om zwakke plekken te identificeren ten aanzien van procedures rondom de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van toegang tot Persoonsgegevens (waaronder diensten aan de Onderwijsinstelling; een registratie- en afmeldprocedure passend informatiebeveiligingsbeleid voor toewijzing de Verwerking van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)Persoonsgegevens. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen Bewerker zal de door haar getroffen beveiligingsmaatregelen periodiek informatiebeveiligingsmaatregelen evalueren en aanscherpenverscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm inhoud en de werkwijze frequentie van de verklaringen rapportages die Verwerker verstrekt Bewerker aan de Onderwijsinstelling oplevert over de afgesproken beveiligingsmaatregelen. 5. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Onderwijsinstelling moet treffen. De Verwerker Bewerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker Bewerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. Naast rapportages door de Bewerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. In aanvulling op artikel 7, lid 4 heeft de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker Bewerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevensop eigen kosten, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker Bewerker genomen technische en organisatorische beveiligingsmaatregelen, beveiligingsmaatregelen te (doen) controleren middels een audit uitgevoerd laten toetsen door een onafhankelijke gecertificeerde externe deskundige: a. Register EDP auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, Bewerker in te schakelen externe deskundige gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de OnderwijsinstellingVerwerkersverantwoordelijke, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSAinformatiebeveiliging). De Onderwijsinstelling Verwerkersverantwoordelijke wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling Verwerkersverantwoordelijke in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling Verwerkersverantwoordelijke te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met OnderwijsinstellingVerwerkersverantwoordelijke, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Verwerkersverantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de OnderwijsinstellingVerwerkersverantwoordelijke, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-derden- verklaring (TPM) afgeeft.; b. De auditor verstrekt het auditrapport alleen aan Partijen.; c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit.; d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit.; e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, Partijen zullen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en beschermen tegen ongeoorloofde of onrechtmatige verwerking de kosten gemoeid met de implementatie en tegen onopzettelijk verliesde uitvoering van de maatregelen, vernietiging of beschadigingeen passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen. 2. Naast de De maatregelen als zoals genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen6.1 omvatten in ieder geval: a. een passend beleid informatiebeveiligingsbeleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers bevoegd personeel toegang hebben heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. maatregelen om de Persoonsgegevens te beschermen tegen met name toevallige/onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; d. op regelmatige basis het regelen door haar getroffen informatiebeveiligingsbeleid te evalueren en met inachtneming van procedures rondom het verlenen de laatste stand van toegang tot de techniek dit beleid aan te vullen, verscherpen of verbeteringen aan te brengen ten aanzien van de Verwerking van Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controlerensystemen die worden ingezet in het kader van de uitvoering van de Product- en Dienstenovereenkomst. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker wordt onder meer een algemeen overzicht gegeven van de technische en organisatorische beveiligingsmaatregelen alsmede die door de Verwerker zijn genomen. Deze lijst met maatregelen wordt door de Verwerker up-to-date gehouden. 4. De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de verplichtingen die voortvloeien uit artikel 28 van de AVG aan te tonen en toezicht te houden op de naleving van de in artikel 8 van deze overeenkomst genoemde verplichtingen ten aanzien van DatalekkenInbreuken in verband met persoonsgegevens. Naast rapportages door de Verwerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. 65. In aanvulling op Ongeacht de voorgaande leden in bovenstaande alinea’s opgesomde maatregelen, heeft Onderwijsinstelling te allen tijde de Verwerkingsverantwoordelijke het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevensop eigen kosten, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, beveiligingsmaatregelen te (doen) controleren middels een audit uitgevoerd laten toetsen door een onafhankelijke gecertificeerde externe deskundige: a. auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, Verwerker in te schakelen externe deskundige gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Verwerkingsverantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-derden- verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. : een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. Persoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. Verwerkt; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te (laten) controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door haar in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 7 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. audit: Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. . Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. . Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. . Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-ISO- normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-derden- verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 17.1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de OnderwijsinstellingAfnemer, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 27.2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-ISO- normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling Afnemer wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 37.3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 47.4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 57.5. De Verwerker stelt in goed overleg de Onderwijsinstelling Afnemer in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67.6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling Xxxxxxx te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met OnderwijsinstellingAfnemer, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Afnemer wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de OnderwijsinstellingAfnemer, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de OnderwijsinstellingVerwerkingsverantwoordelijke, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. : een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. ; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. ; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling Verwerkingsverantwoordelijke wordt – ten minste - in de gelegenheid gesteld om deze logbestanden periodiek te (laten) controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 (de beveiligingsbijlage) worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling Verwerkingsverantwoordelijke in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling Verwerkingsverantwoordelijke te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. : Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met OnderwijsinstellingVerwerkingsverantwoordelijke, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. . Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. . Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Verwerkingsverantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. . Partijen komen overeen dat de kosten van deze audit voor rekening komen van de OnderwijsinstellingVerwerkingsverantwoordelijke, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-ISO- normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-derden- verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden Verwerkt; Verwerkersovereenkomst Privacyconvenant 4.0 c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten, en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.. Verwerkersovereenkomst Privacyconvenant 4.0

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. a) een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. b) maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. c) het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren.Persoonsgegevens 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doenvan a) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. b) De auditor verstrekt het auditrapport alleen aan Partijen. c. c) Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. d) Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. e) Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.de

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen De partijen zullen zorgdragen voor passende technische en organisatorische maatregelen om Persoonsgegevens persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en beschermen tegen ongeoorloofde of onrechtmatige verwerking de kosten gemoeid met de implementatie en tegen onopzettelijk verliesde uitvoering van de maatregelen, vernietiging of beschadigingeen passend beschermingsniveau verzekeren, met inachtneming van de risico’s die het verwerken van persoonsgegevens, en de aard daarvan, meebrengen. 2. Naast de De maatregelen als zoals genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen6.1 omvatten in ieder geval: a. een passend beleid informatiebeveiligingsbeleid voor de beveiliging verwerking van de Verwerking van de Persoonsgegevenspersoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers uitsluitend bevoegd personeel toegang hebben heeft tot de Persoonsgegevens persoonsgegevens die in het kader van de Verwerkersovereenkomst verwerkersovereenkomst worden verwerkt; c. maatregelen om de persoonsgegevens te beschermen tegen met name toevallige, onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; d. op regelmatige basis het regelen door de partij getroffen informatiebeveiligingsbeleid te evalueren en met inachtneming van procedures rondom het verlenen de laatste stand van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing de techniek dit beleid aan te vullen, te verscherpen of verbeteringen aan te brengen ten aanzien van toegangsrechten), en het in logbestanden vastleggen de verwerking van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt persoonsgegevens in de gelegenheid gesteld om deze logbestanden periodiek te controlerensystemen die worden ingezet in het kader van de uitvoering van de product- en dienstenovereenkomst. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker wordt onder meer een algemeen overzicht gegeven van de technische en organisatorische beveiligingsmaatregelen alsmede die door de verwerker zijn genomen. Deze lijst met maatregelen wordt door de verwerker up-to-date gehouden. 4. De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de verplichtingen die voortvloeien uit artikel 28 van de AVG aan te tonen en toezicht te houden op de naleving van de in artikel 8 van deze overeenkomst genoemde verplichtingen ten aanzien van Datalekkeninbreuken in verband met persoonsgegevens. Behalve rapportages door de verwerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. 65. In aanvulling op Ongeacht de in voorgaande leden alinea’s opgesomde maatregelen heeft Onderwijsinstelling te allen tijde de verwerkingsverantwoordelijke het recht om, in overleg met de Verwerker verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevensop eigen kosten, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder door de door Verwerker verwerker genomen technische en organisatorische beveiligingsmaatregelen, beveiligingsmaatregelen te (doen) controleren middels een audit uitgevoerd laten toetsen door een onafhankelijke gecertificeerde externe deskundige: a. auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, de verwerker in te schakelen externe deskundige gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) derdenverklaring afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling verwerkingsverantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen.. CONCEPT 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-derden- verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, Partijen zullen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en beschermen tegen ongeoorloofde of onrechtmatige verwerking de kosten gemoeid met de implementatie en tegen onopzettelijk verliesde uitvoering van de maatregelen, vernietiging of beschadiging. 2een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico's die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen. Naast de De maatregelen als zoals genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. 6.1 omvatten in ieder geval: een passend beleid informatiebeveiligingsbeleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. ; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers bevoegd personeel toegang hebben heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. ; maatregelen om de Persoonsgegevens te beschermen tegen met name toevallige/onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; op regelmatige basis het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek informatiebeveiligingsbeleid te evalueren en aanscherpenmet inachtneming van de laatste stand van de techniek dit beleid aan te vullen, aanvullen te verscherpen of verbeteren voor zover verbeteringen aan te brengen ten aanzien van de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4Verwerking van Persoonsgegevens in de systemen die worden ingezet in het kader van de uitvoering van de Product- en Dienstenovereenkomst. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker wordt onder meer een algemeen overzicht gegeven van de technische en organisatorische beveiligingsmaatregelen alsmede die door de Verwerker zijn genomen. Deze lijst met maatregelen wordt door de Verwerker up-to-date gehouden. De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de verplichtingen die voortvloeien uit artikel 28 van de AVG aan te tonen en toezicht te houden op de naleving van de in artikel 8 van deze overeenkomst genoemde verplichtingen ten aanzien van Datalekken. 6Inbreuken in verband met persoonsgegevens. In aanvulling op Naast rapportages door de voorgaande leden Verwerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. Ongeacht de in bovenstaande alinea's opgesomde maatregelen heeft Onderwijsinstelling te allen tijde de Verwerkingsverantwoordelijke het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevensop eigen kosten, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, beveiligingsmaatregelen te (doen) controleren middels een audit uitgevoerd laten toetsen door een onafhankelijke gecertificeerde externe deskundige: a. auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, Verwerker in te schakelen externe deskundige gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Verwerkingsverantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door haar in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 9 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door de Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen.. Concept 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-derden- verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid informatiebeveiligingsbeleid voor de beveiliging van de Verwerking van de Persoonsgegevens;. b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-ISO- normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek informatiebeveiligingsmaatregelen evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft de Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-derden- verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling(Onderwijs)instelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-ISO- normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling (Onderwijs)instelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling (Onderwijs)instelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling (Onderwijs)instelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling(Onderwijs)instelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling (Onderwijs)instelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling(Onderwijs)instelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. : een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. ; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. ; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, Model Verwerkersovereenkomst Digitale onderwijsmiddelen en privacy versie 3.0 – maart 2018 6 uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. : Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. . Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. . Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd geïnformeerd over de uitkomsten van de audit. e. . Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen Partijen zullen zorgdragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en beschermen tegen ongeoorloofde of onrechtmatige verwerking de kosten gemoeid met de implementatie en tegen onopzettelijk verliesde uitvoering van de maatregelen, vernietiging of beschadigingeen passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen. 2. Naast de De maatregelen als zoals genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen6.1 omvatten in ieder geval: a. een passend beleid informatiebeveiligingsbeleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers bevoegd personeel toegang hebben heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. maatregelen om de Persoonsgegevens te beschermen tegen met name toevallige/onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; d. op regelmatige basis het regelen door haar getroffen informatiebeveiligingsbeleid te evalueren en met inachtneming van procedures rondom het verlenen de laatste stand van toegang tot de techniek dit beleid aan te vullen, verscherpen of verbeteringen aan te brengen ten aanzien van de Verwerking van Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controlerensystemen die worden ingezet in het kader van de uitvoering van de Product- en Dienstenovereenkomst. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker wordt onder meer een algemeen overzicht gegeven van de technische en organisatorische beveiligingsmaatregelen alsmede die door de Verwerker zijn genomen. Deze lijst met maatregelen wordt door de Verwerker up-to-date gehouden. 4. De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de verplichtingen die voortvloeien uit artikel 28 van de AVG aan te tonen en toezicht te houden op de naleving van de in artikel 8 van deze overeenkomst genoemde verplichtingen ten aanzien van DatalekkenInbreuken in verband met persoonsgegevens. Naast rapportages door de Verwerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. 65. In aanvulling op Ongeacht de voorgaande leden in bovenstaande alinea’s opgesomde maatregelen, heeft Onderwijsinstelling te allen tijde de Verwerkingsverantwoordelijke het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevensop eigen kosten, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, beveiligingsmaatregelen te (doen) controleren middels een audit uitgevoerd laten toetsen door een onafhankelijke gecertificeerde externe deskundige: a. auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, Verwerker in te schakelen externe deskundige gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Verwerkingsverantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, Onderwijsinstelling in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport audit rapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling Het Schoolbestuur wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. Het Schoolbestuur en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg de Onderwijsinstelling met het Schoolbestuur deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling Schoolbestuur te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling Schoolbestuur wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de OnderwijsinstellingSchoolbestuur, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 46. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen beveiligings- maatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. : een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. ; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. ; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt – ten minste - in de gelegenheid gesteld om deze logbestanden periodiek te (laten) controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 (de beveiligingsbijlage) worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. : Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. . Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. . Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. . Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en vanaf (uiterlijk) 1 september 2025 het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door haar in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Onderwijsinstelling en Verwerken gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen autorisatie-mechanismen die gebruikmaken van bestaande Google- of Microsoft-accounts van de Onderwijsinstelling. In de toekomst kan worden overgeschakeld naar het KetenID waar mogelijk. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een één van de Partijen, na goedkeuring door Verwerker, in overleg met Onderwijsinstellingde andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: : a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. 3. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. 4. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-ISO- normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 35. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 46. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 57. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 68. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. : • Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. . • De auditor verstrekt het auditrapport alleen aan Partijen. c. . • Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. . • Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-derden- verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. . • Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributen set bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal VerwerkerFinly zal, gelijk de OnderwijsinstellingGebruiker, zorg dragen voor passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging ve rnietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; b. maatregelen waarbij Finly zijn (geautoriseerde) medewerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is; c. het regelen maatregelen om zwakke plekken te identificeren ten aanzien van procedures rondom de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van toegang tot diensten aan de Betrokkene; d. maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens (waaronder te garanderen; e. het beschikken over een registratie- en afmeldprocedure passend informatiebeveiligingsbeleid voor toewijzing de Verwerking van toegangsrechten), en het de Persoonsgegevens. f. de overige maatregelen zoals vastgelegd in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controlerenBijlage 2. 3. Partijen zullen de door haar hen getroffen beveiligingsmaatregelen periodiek informatiebeveiligingsmaatregelen evalueren en aanscherpenverscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden zijn de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm inhoud en de werkwijze frequentie van de verklaringen rapportages die Verwerker verstrekt Finly aan de Gebruiker oplevert over de afgesproken beveiligingsmaatregelen. 5. De Verwerker Finly stelt in goed overleg de Onderwijsinstelling Xxxxxxxxx in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker Finly van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 7 genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door Finly kan dat aan de hand van, maar niet beperkt tot, een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle - of bewijsmiddel. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling Gebruiker te allen tijde het recht om, in overleg met de Verwerker Finly en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker Finly genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een controleren. Finly zal de hier bedoelde audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. alsmede eventuele inspecties, op kosten van Xxxxxxxxx, mogelijk maken en eraan bijdragen. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door VerwerkerFinly, in overleg met Onderwijsinstelling, Gebruiker in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Gebruiker wordt in dat geval geïnformeerd over de uitkomsten van de deze audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt Verwerker houdt login bij van uitgevoerde mutaties in de gelegenheid gesteld om deze logbestanden periodiek te controlerenapplicaties van de klant. Op verzoek is dit opvraagbaar. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Instelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling Instelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling Instelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling Instelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de OnderwijsinstellingInstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (verge­ lijkbaar met de toepasselijke ISO­normering en/of vergelijkbaar met het geldende Certificerings­ schema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- registratie­ en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatie beveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen ontwik­ kelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige:Toepasselijke a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- controle­ of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker1 Bewerker zal, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en beschermen tegen ongeoorloofde of onrechtmatige verwerking de kosten gemoeid met de implementatie en tegen onopzettelijk verliesde uitvoering van de maatregelen, vernietiging of beschadigingeen passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen. 2. Naast de 2 De maatregelen als zoals genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen7.1 omvatten in ieder geval: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. a maatregelen om te waarborgen dat enkel geautoriseerde medewerkers bevoegd personeel toegang hebben heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst Bewerkersovereenkomst worden verwerkt; c. het regelen b maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; c maatregelen om zwakke plekken te identificeren ten aanzien van procedures rondom de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van toegang tot Persoonsgegevens (waaronder diensten aan de Onderwijsinstelling; d een registratie- en afmeldprocedure passend informatiebeveiligingsbeleid voor toewijzing de Verwerking van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controlerenPersoonsgegevens. 3. Partijen zullen 3 Bewerker zal de door haar getroffen beveiligingsmaatregelen periodiek informatiebeveiligingsmaatregelen evalueren en aanscherpenverscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. 4 In Bijlage 2 B worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm inhoud en de werkwijze frequentie van de verklaringen rapportages die Verwerker verstrekt Bewerker aan de Onderwijsinstelling oplevert over de afgesproken beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Onderwijsinstelling moet treffen. 5. 5 De Verwerker Bewerker stelt in goed overleg de Onderwijsinstelling in is staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op door de naleving van bewerker. Naast rapportages door de in artikel 8 genoemde verplichtingen ten aanzien van DatalekkenBewerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. 6. 6 In aanvulling op artikel 7, lid 4 heeft de voorgaande leden heeft Onderwijsinstelling te ten allen tijde het recht om, in overleg met de Verwerker Bewerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevensop eigen kosten, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker Bewerker genomen technische en organisatorische beveiligingsmaatregelen, beveiligingsmaatregelen te (doen) controleren middels een audit uitgevoerd laten toetsen door een onafhankelijke gecertificeerde externe deskundige: a. Register EDP auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, Bewerker in te schakelen externe deskundige gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerkerverwerker, gelijk de Onderwijsinstellingverwerkersverantwoordelijke, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens persoonsgegevens die in het kader van de Verwerkersovereenkomst verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-ISO- normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling verwerkersverantwoordelijke wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage bijlage 2 worden de afspraken tussen Partijen partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker verwerker stelt in goed overleg de Onderwijsinstelling verwerkersverantwoordelijke in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekkendatalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling verwerkersverantwoordelijke te allen tijde het recht om, in overleg met de Verwerker verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke toepasselijke wet- en regelgeving betreffende de Verwerking verwerking van Persoonsgegevenspersoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomstverwerkersovereenkomst, waaronder de door Verwerker verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerkerverwerker, in overleg met Onderwijsinstellingverwerkersverantwoordelijke, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijenpartijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling verwerkersverantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstellingverwerkersverantwoordelijke, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een Een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. Maatregelen om te waarborgen dat enkel geautoriseerde personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden Verwerkt; c. Het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten, en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het ketenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het ketenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden Verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten, en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling Organisatie wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. De Organisatie en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. 5. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 56. De Verwerker stelt in goed overleg met de Onderwijsinstelling Organisatie deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 67. In aanvulling op de voorgaande leden heeft Onderwijsinstelling Organisatie te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling Organisatie wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de OnderwijsinstellingOrganisatie, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. 6.1 Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, Verwerker zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. 6.2 Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst Verwerkersvoorwaarden worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-ISO-27001 of een vergelijkbare normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling Verwerkersverantwoordelijke wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. 6.3 Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. 6.4 In de Beveiligingsbijlage (Bijlage 2 2) worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. 6.5 De Verwerker stelt in goed overleg de Onderwijsinstelling Verwerkersverantwoordelijke in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 7 en 8 genoemde verplichtingen ten aanzien van Datalekkenverplichtingen. 6. 6.6 In aanvulling op de voorgaande leden heeft Onderwijsinstelling Verwerkersverantwoordelijke te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Overeenkomst en deze VerwerkersovereenkomstVerwerkersvoorwaarden, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit eventueel uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met OnderwijsinstellingVerwerkersverantwoordelijke, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft.; b. De auditor verstrekt het auditrapport alleen aan Partijen.; c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit.; d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en en e. daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Verwerkersverantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit.; e. f. Partijen komen overeen dat de kosten van deze een audit voor rekening komen van de OnderwijsinstellingVerwerkersverantwoordelijke, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- Producten en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die getroffen als beschreven in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3Bijlage 2. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 7 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. : Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. . De auditor verstrekt het auditrapport alleen aan Partijen. c. . Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. . Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. . Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de OnderwijsinstellingInstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling Instelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling Instelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling Instelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Gebruikersovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met OnderwijsinstellingInstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Instelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de OnderwijsinstellingInstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt;; CONCEPT c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-derden- verklaring (TPM) afgeeft.; b. De auditor verstrekt het auditrapport alleen aan Partijen.; c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit.; d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit.; e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren.Persoonsgegevens 3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige:van a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.de

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. 3. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. 4. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. 5. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 36. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 47. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 58. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 69. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. 10. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. 11. De auditor verstrekt het auditrapport alleen aan Partijen. c. 12. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. 13. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. 14. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: a. een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te (laten) controleren. 3. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door haar in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. 4. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 7 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: a. Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de OnderwijsinstellingVerantwoordelijke, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling Verantwoordelijke wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen zullen Ieder der partijen zal de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling Verantwoordelijke in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling Verantwoordelijke te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met OnderwijsinstellingVerantwoordelijke, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Verantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de OnderwijsinstellingVerantwoordelijke, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de OnderwijsinstellingSportorganisatie, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers gebruikers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling Sportorganisatie wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. 3. Partijen Verwerker zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. In Bijlage 2 worden de afspraken tussen Partijen wordt vastgelegd over de wat Xxxxxxxxx doet aan passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. 5. De Verwerker stelt in goed overleg de Onderwijsinstelling Sportorganisatie in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 7 genoemde verplichtingen ten aanzien van Datalekken. 6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling de Sportorganisatie te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. Partijen Verwerker kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, de Sportorganisatie in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport audit rapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen Verwerker kan in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Sportorganisatie wordt in dat geval geïnformeerd over de uitkomsten van de audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de OnderwijsinstellingSportorganisatie, tenzij uit de audit (grotekennelijke) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. 1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker) DossierData zal, gelijk de OnderwijsinstellingGebruiker, zorg dragen voor passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. ) Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: : a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; c. a) maatregelen waarbij DossierData zijn (geautoriseerde) medewerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het regelen gebruik van procedures rondom die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is; b) maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van toegang tot diensten aan de Betrokkene; c) maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens (waaronder te garanderen; d) het beschikken over een registratie- en afmeldprocedure passend informatiebeveiligingsbeleid voor toewijzing de Verwerking van toegangsrechten), en het de Persoonsgegevens. e) de overige maatregelen zoals vastgelegd in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controlerenBijlage 2. 3. ) Partijen zullen de door haar hen getroffen beveiligingsmaatregelen periodiek informatiebeveiligingsmaatregelen evalueren en aanscherpenverscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 4. ) In Bijlage 2 worden zijn de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm inhoud en de werkwijze frequentie van de verklaringen rapportages die Verwerker verstrekt DossierData aan de Gebruiker oplevert over de afgesproken beveiligingsmaatregelen. 5. De Verwerker ) DossierData stelt in goed overleg de Onderwijsinstelling Xxxxxxxxx in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker DossierData van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 7 genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door DossierData kan dat aan de hand van, maar niet beperkt tot, een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel. 6. ) In aanvulling op de voorgaande leden heeft Onderwijsinstelling Gebruiker te allen tijde het recht om, in overleg met de Verwerker DossierData en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker DossierData genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een controleren. DossierData zal de hier bedoelde audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: a. alsmede eventuele inspecties, op kosten van Gebruiker, mogelijk maken en eraan bijdragen. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door VerwerkerDossierData, in overleg met Onderwijsinstelling, Gebruiker in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring (TPM) afgeeft. b. De auditor verstrekt het auditrapport alleen aan Partijen. c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Gebruiker wordt in dat geval geïnformeerd over de uitkomsten van de deze audit. e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.