Common use of Beveiliging en controle Clause in Contracts

Beveiliging en controle. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. De auditor verstrekt het auditrapport alleen aan Partijen. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - genomen: een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); maatregelen om te waarborgen dat enkel geautoriseerde personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden Verwerkt; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten, en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. De auditor verstrekt het auditrapport alleen aan Partijen. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. De Onderwijsinstelling en Verwerker gebruiken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen (indien beschikbaar) uitsluitend het KetenID en de toepasselijke Attributenset bij alle Onderwijsdeelnemers die kunnen beschikken over het KetenID. Indien een van de Partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd in Bijlage 3. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. De auditor verstrekt het auditrapport alleen aan Partijen. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. Met inachtneming van het bepaalde in artikel 32 AVG zal VerwerkerBewerker zal, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en beschermen tegen ongeoorloofde of onrechtmatige verwerking de kosten gemoeid met de implementatie en tegen onopzettelijk verliesde uitvoering van de maatregelen, vernietiging of beschadigingeen passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen. Naast de De maatregelen als zoals genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen7.1 omvatten in ieder geval: een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers bevoegd personeel toegang hebben heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst Bewerkersovereenkomst worden verwerkt; het regelen maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; maatregelen om zwakke plekken te identificeren ten aanzien van procedures rondom de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van toegang tot Persoonsgegevens (waaronder diensten aan de Onderwijsinstelling; een registratie- en afmeldprocedure passend informatiebeveiligingsbeleid voor toewijzing de Verwerking van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)Persoonsgegevens. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. Partijen zullen Bewerker zal de door haar getroffen beveiligingsmaatregelen periodiek informatiebeveiligingsmaatregelen evalueren en aanscherpenverscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm inhoud en de werkwijze frequentie van de verklaringen rapportages die Verwerker verstrekt Bewerker aan de Onderwijsinstelling oplevert over de afgesproken beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Onderwijsinstelling moet treffen. De Verwerker Bewerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker Bewerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door de Bewerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. In aanvulling op artikel 7, lid 4 heeft de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker Bewerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevensop eigen kosten, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker Bewerker genomen technische en organisatorische beveiligingsmaatregelen, beveiligingsmaatregelen te (doen) controleren middels een audit uitgevoerd laten toetsen door een onafhankelijke gecertificeerde externe deskundige: Register EDP auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, Bewerker in te schakelen externe deskundige gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. De auditor verstrekt het auditrapport alleen aan Partijen. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, Model Verwerkersovereenkomst Digitale onderwijsmiddelen en privacy versie 3.0 – maart 2018 6 uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. De auditor verstrekt het auditrapport alleen aan Partijen. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd geïnformeerd over de uitkomsten van de audit. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die getroffen als beschreven in het kader van de Verwerkersovereenkomst worden verwerkt; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controlerenBijlage 2. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 7 genoemde verplichtingen ten aanzien van Datalekken. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige: Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft. De auditor verstrekt het auditrapport alleen aan Partijen. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, Partijen zullen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en beschermen tegen ongeoorloofde of onrechtmatige verwerking de kosten gemoeid met de implementatie en tegen onopzettelijk verliesde uitvoering van de maatregelen, vernietiging of beschadigingeen passend beschermingsniveau verzekeren, zulks met inachtneming van de risico's die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen. Naast de De maatregelen als zoals genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen6.1 omvatten in ieder geval: een passend beleid informatiebeveiligingsbeleid voor de beveiliging van de Verwerking van de Persoonsgegevens; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers bevoegd personeel toegang hebben heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; maatregelen om de Persoonsgegevens te beschermen tegen met name toevallige/onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; op regelmatige basis het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek informatiebeveiligingsbeleid te evalueren en aanscherpenmet inachtneming van de laatste stand van de techniek dit beleid aan te vullen, aanvullen te verscherpen of verbeteren voor zover verbeteringen aan te brengen ten aanzien van de eisen of (technologische) ontwikkelingen daartoe aanleiding gevenVerwerking van Persoonsgegevens in de systemen die worden ingezet in het kader van de uitvoering van de Product- en Dienstenovereenkomst. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker wordt onder meer een algemeen overzicht gegeven van de technische en organisatorische beveiligingsmaatregelen alsmede die door de Verwerker zijn genomen. Deze lijst met maatregelen wordt door de Verwerker up-to-date gehouden. De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de verplichtingen die voortvloeien uit artikel 28 van de AVG aan te tonen en toezicht te houden op de naleving van de in artikel 8 van deze overeenkomst genoemde verplichtingen ten aanzien van DatalekkenInbreuken in verband met persoonsgegevens. In aanvulling op Naast rapportages door de voorgaande leden Verwerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. Ongeacht de in bovenstaande alinea's opgesomde maatregelen heeft Onderwijsinstelling te allen tijde de Verwerkingsverantwoordelijke het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevensop eigen kosten, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, beveiligingsmaatregelen te (doen) controleren middels een audit uitgevoerd laten toetsen door een onafhankelijke gecertificeerde externe deskundige: auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, Verwerker in te schakelen externe deskundige gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. De auditor verstrekt het auditrapport alleen aan Partijen. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling Verwerkingsverantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen De partijen zullen zorgdragen voor passende technische en organisatorische maatregelen om Persoonsgegevens persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en beschermen tegen ongeoorloofde of onrechtmatige verwerking de kosten gemoeid met de implementatie en tegen onopzettelijk verliesde uitvoering van de maatregelen, vernietiging of beschadigingeen passend beschermingsniveau verzekeren, met inachtneming van de risico’s die het verwerken van persoonsgegevens, en de aard daarvan, meebrengen. Naast de De maatregelen als zoals genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen6.1 omvatten in ieder geval: een passend beleid informatiebeveiligingsbeleid voor de beveiliging verwerking van de Verwerking van de Persoonsgegevenspersoonsgegevens; maatregelen om te waarborgen dat enkel geautoriseerde medewerkers uitsluitend bevoegd personeel toegang hebben heeft tot de Persoonsgegevens persoonsgegevens die in het kader van de Verwerkersovereenkomst verwerkersovereenkomst worden verwerkt; maatregelen om de persoonsgegevens te beschermen tegen met name toevallige, onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; op regelmatige basis het regelen door de partij getroffen informatiebeveiligingsbeleid te evalueren en met inachtneming van procedures rondom het verlenen de laatste stand van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing de techniek dit beleid aan te vullen, te verscherpen of verbeteringen aan te brengen ten aanzien van toegangsrechten), en het in logbestanden vastleggen de verwerking van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt persoonsgegevens in de gelegenheid gesteld om deze logbestanden periodiek te controleren. Partijen zullen systemen die worden ingezet in het kader van de door haar getroffen beveiligingsmaatregelen periodiek evalueren uitvoering van de product- en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding gevendienstenovereenkomst. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker wordt onder meer een algemeen overzicht gegeven van de technische en organisatorische beveiligingsmaatregelen alsmede die door de verwerker zijn genomen. Deze lijst met maatregelen wordt door de verwerker up-to-date gehouden. De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de verplichtingen die voortvloeien uit artikel 28 van de AVG aan te tonen en toezicht te houden op de naleving van de in artikel 8 van deze overeenkomst genoemde verplichtingen ten aanzien van Datalekkeninbreuken in verband met persoonsgegevens. In aanvulling op Behalve rapportages door de verwerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. Ongeacht de in voorgaande leden alinea’s opgesomde maatregelen heeft Onderwijsinstelling te allen tijde de verwerkingsverantwoordelijke het recht om, in overleg met de Verwerker verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevensop eigen kosten, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder door de door Verwerker verwerker genomen technische en organisatorische beveiligingsmaatregelen, beveiligingsmaatregelen te (doen) controleren middels een audit uitgevoerd laten toetsen door een onafhankelijke gecertificeerde externe deskundige: auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker, in overleg met Onderwijsinstelling, de verwerker in te schakelen externe deskundige gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) derdenverklaring afgeeft. De auditor verstrekt het auditrapport alleen aan Partijen. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Onderwijsinstelling verwerkingsverantwoordelijke wordt in dat geval geïnformeerd over de uitkomsten van de audit. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Beveiliging en controle. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, dragen beide Partijen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - – waar passend - – genomen: een passend beleid voor de beveiliging van de Verwerking van de PersoonsgegevensPersoonsgegevens (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA); maatregelen om te waarborgen dat enkel geautoriseerde medewerkers personen die onder gezag en/of verantwoordelijkheid van de Verwerker werken, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerktVerwerkt; het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA)informatiebeveiligingsgebeurtenissen. De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te (laten) controleren. In Bijlage 2 worden de afspraken tussen Partijen zullen vastgelegd over de door haar in lid 1 en 2 bedoelde passende technische en organisatorische beveiligingsmaatregelen. Beide Partijen dragen er zorg voor dat zij de eigen getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen. De Verwerker stelt in goed overleg met de Onderwijsinstelling deze in staat om effectief te kunnen voldoen aan zijn haar wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 7 genoemde verplichtingen ten aanzien van Datalekken. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst Verwerking van Persoonsgegevens in relatie tot de Onderliggende Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundigeaudit: Partijen kunnen spreken in onderling overleg afspreken af dat de audit wordt uitgevoerd door een door Verwerkeréén van de Partijen, in overleg met Onderwijsinstellingna goedkeuring door de andere Partij, in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring derdenverklaring (TPM) afgeeft. De auditor verstrekt het auditrapport alleen aan Partijen. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring derdenverklaring gebruikt kan kunnen worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit. Partijen komen overeen dat de kosten van deze een audit als bedoeld in sub a voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen Partijen in overleg over de verdeling van de kosten van de audit.