Common use of Beveiligingsmaatregelen Clause in Contracts

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision Volgende maatregelen worden getroffen ter beveiliging van de mededeling van de persoonsgegevens, vermeld in artikel 2: De encryptiesleutel van het elektronisch bestand wordt via een ander transportkanaal aan [INSTANTIE 2] overhandigd dan het kanaal waarlangs het bestand verstuurd wordt. Bij voorkeur wordt de encryptiesleutel via sms bezorgd. Indien het elektronisch bestand via mail verstuurd wordt, dient er een disclaimer aan de e-mail toegevoegd te worden dat ‘de e-mail onmiddellijk verwijderd dient te worden indien de ontvanger niet de bestemde ontvanger is. [INSTANTIE 2] verbindt zich ertoe om het ontvangen beveiligd elektronisch bestand zo snel mogelijk op een door [INSTANTIE 2] gecontroleerde omgeving te plaatsen en te verwijderen uit het oorspronkelijke transportmedium (bijvoorbeeld de e-mail). Het Agentschap Integratie en Inburgering heeft een Security Officer die verantwoordelijk is functionaris voor gegevensbescherming (DPO) aangewezen en heeft een adequaat informatiebeveiligingsbeleid actueel veiligheidsbeleid en veiligheidsplan dat jaarlijks wordt herzien. [INSTANTIE 2] verbindt zich ertoe om de gepaste organisatorische maatregelen te nemen om de gegevens en de daaruit voorvloeiende maatregelen waaronder het stimuleren van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronderverwerking ervan te beveiligen. [INSTANTIE 2] verbindt zich ertoe de personen die onder hun verantwoordelijkheid of gezag werken kennis te geven van: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen bepalingen van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met Algemene Verordening Gegevensbescherming 2016/679 van 27 april 2016; elk voorschrift betreffende de stand bescherming van de techniek, de uitvoeringskosten persoonlijke levenssfeer ten opzichte van de beveiligingsmaatregelen, de aard, omvang en de context verwerking van de verwerkingen, de doeleinden en het beoogd gebruik persoonsgegeven; enig ander voorschrift dat van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker toepassing is standaard niet ingericht op de verwerking van bijzondere categorieën gegevens in het kader van de opdracht waarop deze overeenkomst van toepassing is. [INSTANTIE 2] garandeert dat de personen die in hun naam en voor hun rekening werken uitsluitend toegang hebben tot de gegevens die ze nodig hebben om hun taak of opdracht in het kader van dit Protocol uit te voeren. Dit geldt voor personeel, ingehuurd of tijdelijk personeel en eventuele derde partijen die rechtstreeks of onrechtstreeks betrokken zijn bij de uitvoering van de opdracht. [INSTANTIE 2] heeft een functionaris voor gegevensbescherming (DPO) aangewezen en heeft minstens een actueel veiligheidsbeleid en -plan dat jaarlijks wordt herzien. [INSTANTIE 2] verbindt zich er toe alle (pogingen tot) onrechtmatige of anderszins ongeautoriseerde verwerkingen of toegangen tot persoonsgegevens of andere vertrouwelijke gegevens betreffende strafrechtelijke veroordelingen te melden. [INSTANTIE 2] meldt dit onmiddellijk aan het Agentschap Integratie en Inburgering, ten laatste 24 uur na het vaststellen van het incident. Daarnaast zal [INSTANTIE 2] in geval van datalek alle redelijkerwijs benodigde maatregelen treffen om (verdere) schending van de beveiligingsmaatregelen te voorkomen of strafbare feitente beperken. Tenzij [INSTANTIE 2] verbindt zich ertoe om de gepaste technische maatregelen te nemen om de Gegevens en de verwerking ervan te beveiligen. [INSTANTIE 2] waarborgt, voor zover dit schriftelijk overeengekomen technisch mogelijk is, de integriteit, de beschikbaarheid en de vertrouwelijkheid van alle gegevens die zij in het kader van dit contract verwerken. Dit doen zij minstens door het implementeren en gebruiken van beveiligingstechnologieën en – technieken, die in overeenstemming zijn met de best practices op dat vlak. Dit is inclusief mechanismen om kwetsbaarheden te detecteren en/of te identificeren en het tijdig doorvoeren van patches en/of updates. [INSTANTIE 2] voorkomt door middel van functiescheiding dat een combinatie van toegangsrechten kan leiden tot ongeautoriseerde handelingen en/of toegang tot gegevens. [INSTANTIE 2] neemt maatregelen met betrekking tot de preventie en opsporing van fraude en elk ander oneigenlijk gebruik van of toegang tot systemen en netwerken. Het netwerk en de informatiesystemen worden actief gemonitord en beheerd door de [INSTANTIE 2]. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van het Agentschap Integratie en Inburgering. [INSTANTIE 2] verstrekt op basis redelijk verzoek van arthet Agentschap Integratie en Inburgering de nodige informatie over de mechanismen voor fysieke en/of elektronische toegang tot de systemen en gegevens van het Agentschap Integratie en Inburgering. 4.8. 7.5 Verwerker streeft ernaar Deze mechanismen moeten een aantoonbaar veilige manier voorzien om toegang tot de gegevens te verschaffen. [INSTANTIE 2] verzekert dat, voor zover zij dit redelijkerwijze horen te weten, geen enkele uitrusting of software die zij in het kader van dit protocol gebruiken een inbreuk maakt op het intellectuele eigendomsrecht van een derde (zoals het auteursrecht, octrooi, recht sui generis, merk, …). [INSTANTIE 2] moet kunnen aantonen dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik in dit artikel opgesomde maatregelen werden getroffen. Op eenvoudig verzoek van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar Agentschap Integratie en Inburgering moet [INSTANTIE 2] hiervan aan het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op Agentschap Integratie en Inburgering het risico van bewijs overmaken. In het geval [INSTANTIE 2] voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers), doet de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen [INSTANTIE 2] uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de algemene verordening gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. [INSTANTIE 2] sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 van de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om algemene verordening gegevensbescherming. Partijen bezorgen elkaar een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomstoverzicht van de verwerkers die de gevraagde gegevens verwerken, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellenactualiseren dit overzicht zo nodig. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid Verwerker spant zich in om voldoende en passende organisatorische en technische maatregelen te nemen tegen elke vorm van onrechtmatige verwerking met betrekking tot de daaruit voorvloeiende maatregelen waaronder het stimuleren door haar te verrichten verwerkingen van beveiligingsbewustzijnde Persoonsgegevens. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen Het beveiligingsniveau van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met maatregelen dient tenminste te voldoen aan een niveau dat niet onredelijk is in het kader van de daaraan verbonden kosten, gevoeligheid van de betreffende Persoonsgegevens alsmede de stand van de techniek, de uitvoeringskosten techniek en risico’s met inachtneming van de beveiligingsmaatregelen(door bijv. LinkedIn) gestelde beveiligingsmaatregelen alvorens een aanvang wordt gemaakt met de verwerking van persoonsgegevens. Verwerker staat er niet voor in dat de door haar genomen beveiligingsmaatregelen te allen tijde, onder alle omstandigheden doeltreffend zijn. In overleg kunnen partijen andere aanvullende of nadere beveiligingsmaatregelen nemen. 7.3 Verwerker heeft een eigen verantwoordelijkheid om zichzelf en/of haar medewerkers en in te schakelen derden op de aardhoogte te stellen van alle protocollen, omvang het (beveiligings)beleid en de context van de verwerkingen, de doeleinden andere instructies die een veilige verwerking mogelijk maken en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtenbevorderen. 7.4 Het product of Verwerker is verantwoordelijk en aansprakelijk voor haar deel van de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8verwerking. 7.5 Indien er sprake is van een inbreuk in de beveiliging van de Persoonsgegevens, welke schade kan veroorzaken of nadelige gevolgen kan hebben voor de bescherming van de Persoonsgegevens dient Verwerker, Verwerkingsverantwoordelijke hierover onmiddellijk, althans zonder onredelijke vertraging, maar uiterlijk binnen 24 uur, nadat Verwerker streeft ernaar dat hiervan redelijkerwijs op de door hem hoogte had kunnen zijn, te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik informeren conform de procedure inzake de wijze van het product of de dienstmelden en afhandelen van een datalek zoals vastgelegd. 7.6 De omschreven beveiligingsmaatregelen biedenIngevolge de meldplicht van Verwerker, naar het oordeel dient de melding van een inbreuk te bestaan uit tenminste de volgende componenten: • de aard van de opdrachtgeverinbreuk in verband met persoonsgegevens, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico waar mogelijk onder vermelding van de verwerking categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; • de naam en de contactgegevens van de door hem gebruikte functionaris voor gegevensbescherming of verstrekte een ander contactpunt waar meer informatie kan worden verkregen; • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; • de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband • met persoonsgegevens afgestemd beveiligingsniveauaan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om Verwerkingsverantwoordelijke dient een passend beveiligingsniveau register van alle inbreuken bij te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellenhouden conform artikel 33 lid 5 AVG. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Indien een inbreuk op de beveiliging van de Persoonsgegevens heeft plaatsgevonden bij Verwerker, is Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door eigen kosten passende maatregelen te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek treffen ter voorkoming van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementerentoekomstige incidenten en/of inbreuken.

Beveiligingsmaatregelen. 7.1 Kodision heeft Verwerkingsverantwoordelijke en Verwerker komen overeen dat Verwerker (ten minste) de volgende beveiligingsmaatregelen toepast en geïmplementeerd in zijn organisatie van Verwerker: De Verwerker hanteert een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker is standaard niet ingericht beleidsdocument dat expliciet ingaat op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 maatregelen die de Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van treft om de verwerking van de gegevens te beveiligen, alsmede de privacy te waarborgen. Dit beleidsdocument is gebaseerd op algemeen gehanteerde beveiligingsstandaarden zoals de ISO 27002:2013 en NEN7510 of de BIR/BIG. De bedrijfsmiddelen zijn geïnventariseerd en geclassificeerd. De verantwoordelijkheden, zowel op sturend als uitvoerend niveau, zijn duidelijk gedefinieerd en belegd. De werknemers van de Verwerker die betrokken zijn bij de verwerking van persoonsgegevens zijn gehouden aan een geheimhoudingsplicht en indien van toepassing heeft voorafgaand aan de indiensttreding een screening plaatsgevonden. Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met (bijzondere categorieën van; of anderszins gevoelige) persoonsgegevens. IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door hem gebruikte onbevoegden en tegen schade en storingen. Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen. Bij transport van door de Verwerkingsverantwoordelijke expliciet als zodanig aangemerkte vertrouwelijke informatie over netwerken dient altijd adequate encryptie te worden toegepast. Voor het beheer van certificaten en de bijbehorende zijn strikte procedures van toepassing. Er zijn procedures voor de verwerving, ontwikkeling, onderhoud en vernietiging van data en informatiesystemen. Activiteiten die gebruikers uitvoeren (met persoonsgegevens) worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot mutatie of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 verlies van persoonsgegevens. In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd waaronder een adequaat toegangsbeheer. Het netwerk en de informatiesystemen worden actief gemonitord en beheerd. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. De Verwerker kan wijzigingen aanbrengen in zorg er voor dat zijn ICT-infrastructuur tijdig wordt voorzien van beveiligingsupdates. Verwerker heeft een ISMS (Information Security Management System) ingericht volgens de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om normeisen van ISO27001 en NEN7510. Alternatief ter vervanging van 1 t/m 15: Verwerker beschikt over een passend beveiligingsniveau te blijven biedeninformatiebeveiligingsbeleid voor haar activiteiten als Gemeente, welke maatregelen zijn afgestemd op de BIG. Verwerker garandeert aan verantwoordelijke een (minimaal) gelijk beschermingsniveau aan het beveiligingsniveau dat zij haar eigen medewerkers biedt voor gelijksoortige verwerkingen. Indien gewenst treden Verwerker en Verwerkingsverantwoordelijke met elkaar in overleg om aanvullende beveiligingsmaatregelen af te stemen. Indien één van de partijen persoonsgegevens en/of andere vertrouwelijke gegevens aan de andere partij wenst te verstrekken via e-mail, USB-geheugen of een andere draagbaar medium: Dan zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van de partij die wijzigingen de informatie verstrekt deze informatie versleutelen voordat de gegevens worden toegevoegd aan de e-mail c.q. voordat de gegevens op de hoogte stellen. 7.8 Opdrachtgever draagbare media worden geplaatst. De gebruikte versleutelingsmethode dient (minstens) gelijkwaardig te zijn aan AES-256. De bij het versleutelen gebruikte sleutels zullen minimaal 15 tekens lang zijn. Partijen zullen de codeersleutels via een separate niet- of zeer moeilijk te onderscheppen verbinding aan elkaar verstrekken zoals via mondeling, telefonisch of SMS. Codeersleutels zullen NIET aan elkaar gemaild worden. Partijen zullen, tenzij in onderling overleg anders wordt besloten, het programma 7zip gebruiken voor het versleutelen en ontsleutelen van bestanden. Partijen zullen dit programma (laten) installeren op alle werkstations waar zij de betreffende bestanden willen versleutelen of ontsleutelen. De betreffende programmatuur kan verwerker verzoeken nadere beveiligingsmaatregelen te treffenworden gedownload van xxxx://xxx.0-xxx.xxx. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan Naam sub-Verwerker: Vestigingsplaats: KvK-nummer: Beschrijving werkzaamheden: Verwerkingen in: NL / EER/ buiten EER Voorwaarden van de kosten verband houdende met Verwerkingsverantwoordelijke gesteld aan toestemming: Naam sub-Verwerker: Vestigingsplaats: KvK-nummer: Beschrijving werkzaamheden: Verwerkingen in: NL / EER/ buiten EER Voorwaarden van de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.Verwerkingsverantwoordelijke gesteld aan toestemming:

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is Zoals opgenomen in art. 7 van deze Overeenkomst, worden hieronder de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen. De getroffen maatregelen zijn opgenomen in deze Bijlage en worden aangevuld of gewijzigd indien dat nodig is. Verwerkingsverantwoordelijke acht genoemde maatregelen passend voor een adequaat informatiebeveiligingsbeleid de Verwerking van de Persoonsgegevens. De online-omgeving en de daaruit voorvloeiende maatregelen waaronder het stimuleren van beveiligingsbewustzijn. 7.2 Een uitgebreide hosting wordt verzorgd door sub-verwerker Aspex. Unit4 en Aspex hebben gezamenlijk de volgende set van specifieke maatregelen beveiligingsmaatregelen genomen. o Er is een beveiligingsbeleid dat periodiek geüpdatet wordt o Er zijn geheimhoudingsverplichtingen in de arbeidscontracten. o Alle data wordt afgeschermd per klant door middel van rechten. o Alle data wordt afgeschermd per klant door middel van id + wachtwoord. o Er worden backups genomen van alle systemen en er is een disaster recovery plan. o Alle kritische componenten zijn opgezet in een High Availability modus. In geval van calamiteiten in het ene datacenter wordt er overgeschakeld op een ander datacenter. o Het beveiligingsprogramma van Aspex is opgebouwd op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derdenISO 27001. ▪ Logische toegangscontroleo De sub-verwerker Aspex beschikt over een ISAE 3402 type II certificaat, gebruik makend van sterke wachtwoordenwelke door Unit4 jaarlijks wordt gecontroleerd. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen o De toegang van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met Aspex-medewerkers tot de stand data wordt maandelijks gecontroleerd. o Er zijn procedures van de techniekkracht die voor nieuwe, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de vertrekkende of muterende medewerker rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product toekennen of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feitenwegnemen. Tenzij dit schriftelijk overeengekomen is, of o Alle toegang tot data verloopt over beveiligde verbindingen. o Alle data wordt afgeschermd op basis van arteen rechtensysteem. 4.8. 7.5 Verwerker streeft ernaar dat o Het beveiligingsbeleid is gebaseerd op risico. o Periodiek wordt een risico-analyse uitgevoerd om zwakke plekken te detecteren en aan te pakken. o Er is een incident management proces voor efficiënt en effectief opvolgen van incidenten. De toegang tot de door hem te treffen beveiligingsmaatregelen passend online-omgeving vanuit Unit4 is beperkt tot enkele gebruikers die in het kader van hun opdracht toegang moeten hebben. Deze personen zijn uitdrukkelijk alleen gerechtigd tot activiteiten die noodzakelijk zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel onderhoud van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op software en het risico verlenen van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveauondersteuning. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision heeft Verwerker spant zich in om voldoende en passende organisatorische en technische maatregelen te nemen tegen elke vorm van onrechtmatige verwerking met betrekking tot de door hem te verrichten verwerkingen van de persoonsgegevens, een Security Officer en ander binnen de redelijke mogelijkheden die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren (software)leveranciers van beveiligingsbewustzijnVerwerker bieden. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen Het beveiligingsniveau van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met maatregelen dient tenminste te voldoen aan een niveau dat niet onredelijk is in het kader van de daaraan verbonden kosten, gevoeligheid van de betreffend persoonsgegevens alsmede de stand van de techniektechniek en risico’s. Verwerker staat er niet voor in dat de genomen beveiligingsmaatregelen te allen tijde, onder alle omstandigheden doeltreffend zijn. 7.3 Verwerkingsverantwoordelijke is verantwoordelijk voor de uitvoeringskosten naleving van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtendoor partijen gemaakte afspraken. 7.4 Het product of Verwerkingsverantwoordelijke dient zelf alle (beveiligings)maatregelen te treffen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van Verwerkingsverantwoordelijke, en toegang heeft tot de dienst Diensten van verwerker is standaard niet ingericht op Verwerker, slechts de verwerking betreffende opgeslagen (persoons)gegevens in opdracht van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8Verwerkingsverantwoordelijke verwerkt. 7.5 Indien er sprake is van een lek in de beveiliging of data, welke schade kan veroorzaken of nadelige gevolgen kan hebben voor de bescherming van de persoonsgegevens dient Verwerker streeft ernaar dat Verwerkingsverantwoordelijke hierover onmiddellijk, althans zonder onredelijke vertraging, doch binnen 24 uur nadat Verwerker hiervan redelijkerwijs op de door hem hoogte had kunnen zijn, te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of informeren. Indien de dienstkennisgeving zoals in voorgaande zin bedoeld binnen 24 uur redelijkerwijs niet mogelijk is, treden partijen met elkaar in overleg om een redelijke termijn vast te stellen, waarbinnen Verwerker wel in staat is om Verwerkingsverantwoordelijke te informeren. Verwerkingsverantwoordelijke zal vervolgens de Autoriteit Persoonsgegevens binnen 72 uur en eventuele betrokkenen zo spoedig mogelijk informeren over de inbreuk. 7.6 De omschreven beveiligingsmaatregelen biedenIngevolge de meldplicht van Verwerker, naar het oordeel dient de melding van een lek te bestaan uit tenminste de volgende componenten: 7.7 Verwerkingsverantwoordelijke en Verwerker dienen elk een register van Datalekken bij te houden conform artikel 33 lid 5 AVG. Verwerker dient alle datalekken te documenteren, met inbegrip van de opdrachtgeverfeiten omtrent de inbreuk in verband met persoonsgegevens, rekening houdend met de gevolgen daarvan en de genomen corrigerende maatregelen. Op verzoek zal de Verwerker de Verwerkingsverantwoordelijke hier inzage in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellenverschaffen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Indien een inbreuk op de beveiliging van de persoonsgegevens heeft plaatsgevonden bij Verwerker, is Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door eigen kosten passende maatregelen te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek treffen ter voorkoming van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementerentoekomstige incidenten en/of inbreuken.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid Verwerker spant zich in om voldoende en passende organisatorische en technische maatregelen te nemen tegen elke vorm van onrechtmatige verwerking met betrekking tot de daaruit voorvloeiende maatregelen waaronder het stimuleren door haar te verrichten verwerkingen van beveiligingsbewustzijnde Persoonsgegevens. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen Het beveiligingsniveau van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met maatregelen dient tenminste te voldoen aan een niveau dat niet onredelijk is in het kader van de daaraan verbonden kosten, gevoeligheid van de betreffende Persoonsgegevens alsmede de stand van de techniek, de uitvoeringskosten techniek en risico’s met inachtneming van de beveiligingsmaatregelen(door bijv. LinkedIn) gestelde beveiligingsmaatregelen alvorens een aanvang wordt gemaakt met de verwerking van persoonsgegevens. 7.3 Verwerker heeft een eigen verantwoordelijkheid om zichzelf en/of haar medewerkers en in te schakelen derden op de hoogte te stellen van alle protocollen, de aard, omvang het (beveiligings)beleid en de context van de verwerkingen, de doeleinden andere instructies die een veilige verwerking mogelijk maken en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtenbevorderen. 7.4 Het product of Verwerker is verantwoordelijk en aansprakelijk voor haar deel van de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8verwerking. 7.5 Indien er sprake is van een inbreuk in de beveiliging van de Persoonsgegevens, welke schade kan veroorzaken of nadelige gevolgen kan hebben voor de bescherming van de Persoonsgegevens dient Verwerker, Verwerkingsverantwoordelijke hierover onmiddellijk, althans zonder onredelijke vertraging, maar uiterlijk binnen 24 uur, nadat Verwerker streeft ernaar dat hiervan redelijkerwijs op de door hem hoogte had kunnen zijn, te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik informeren conform de procedure inzake de wijze van het product of de dienstmelden en afhandelen van een datalek zoals vastgelegd in Bijlage 1 van deze overeenkomst. 7.6 De omschreven beveiligingsmaatregelen biedenIngevolge de meldplicht van Verwerker, naar het oordeel dient de melding van een inbreuk te bestaan uit tenminste de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau.volgende componenten: 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om Verwerkingsverantwoordelijke dient een passend beveiligingsniveau register van alle inbreuken bij te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellenhouden conform artikel 33 lid 5 AVG. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Indien een inbreuk op de beveiliging van de Persoonsgegevens heeft plaatsgevonden bij Verwerker, is Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door eigen kosten passende maatregelen te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek treffen ter voorkoming van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementerentoekomstige incidenten en/of inbreuken.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer 3.1 Verwerker neemt alle passende technische en organisatorisch maatregelen die verantwoordelijk is voor een nodig zijn om de Persoonsgegevens adequaat informatiebeveiligingsbeleid te beveiligen en de daaruit voorvloeiende maatregelen waaronder het stimuleren beveiligd te houden tegen verlies of enige vorm van beveiligingsbewustzijnon- zorgvuldig, ondeskundig of onrechtmatig gebruik of Verwerking. 7.2 Een uitgebreide set van specifieke 3.2 Verwerker kan niet garanderen dat deze maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derdenonder alle omstandigheden doeltreffend zijn. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen nemen van de technische en organisatorische beveiligingsmaatregelen heeft verwerker is rekening gehouden met de huidige stand van der techniek en de techniek, de uitvoeringskosten kosten van de beveiligingsmaatregelen. 3.3 De maatregelen als bedoeld in het vorige lid omvatten in ieder geval: a. maatregelen om te waarborgen dat enkel bevoegde Medewerkers toegang hebben tot de Persoons- gegevens die in het kader van de Verwerkersovereenkomst worden verwerkt; b. maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrecht- matige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; c. maatregelen om zwakke plekken te identificeren ten aanzien van de aard, omvang Verwerking van Persoonsge- gevens in de systemen die worden ingezet voor het verlenen van diensten aan Verantwoordelijke; d. een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens. 3.4 Verantwoordelijke heeft kennisgenomen van deze genomen beveiligingsmaatregelen en is van mening dat deze een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de context risico’s van de verwerkingen, Verwerking. Verwerker informeert Verantwoordelijke wanneer een van de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtenbeveiligingsmaatregelen substantieel wijzigt. 7.4 Het product 3.5 Verantwoordelijke mag controleren of en op welke wijze de dienst genomen beveiligingsmaatregelen worden nageleefd. De kosten van verwerker is standaard niet ingericht op deze controle (audit) zijn voor rekening van de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8Verantwoordelijke. 7.5 3.6 Verwerker streeft ernaar garandeert dat iedere Verwerking van Persoonsgegevens onder deze Verwerkersover- eenkomst (inclusief eventuele sub-verwerking) binnen de door hem te treffen beveiligingsmaatregelen passend zijn Europese Economische Ruimte (EER) zal plaats vinden. Wanneer de Verwerking buiten de EER plaatsvindt, zal Verwerker daar eerst schriftelijke toestem- ming voor het door verwerker beoogde gebruik van het product of de dienstvragen en daarover aanvullende afspraken maken met Verantwoordelijke. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision heeft Volgende maatregelen worden getroffen ter beveiliging van de mededeling van de persoonsgegevens, vermeld in artikel 2: Lijst van maatregelen in het kader van de gegevensmededeling : Partijen zijn ertoe gehouden om maatregelen te treffen die onder meer het volgende kunnen omvatten: alle bestanden worden versleuteld met een Security Officer die verantwoordelijk is codeermethode van het type : AES- 256. Hiervoor wordt gebruik gemaakt van het comprimeerprogramma “7z” De bijhorende decoderingssleutel wordt overhandigd aan de ICT verantwoordelijke van ontvangende instantie via een beveiligde en tijdelijke link. Hiervoor zal gebruik gemaakt worden van het platform “XxxXxxxXxxxxx.xxx” dat toelaat een sleutel/wachtwoord éénmalig te delen met een persoon. De vervalperiode voor deze link zal ingesteld worden op “1 uur”. Na het versturen van de link, zal deze gedurende 1 uur beschikbaar blijven voor de persoon hierboven vermeld. Eenmaal de link bekeken zal deze eveneens onbruikbaar worden. Om zeker te zijn dat de link tijdig zal worden bekeken door de bestemmeling, zal mits voorafgaandelijke telefonische afspraak tussen partijen het tijdstip worden bepaald waarop de link wordt verstuurd. • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen • het vermogen om bij een adequaat informatiebeveiligingsbeleid fysiek of technisch incident de beschikbaarheid van en de daaruit voorvloeiende maatregelen waaronder toegang tot de persoonsgegevens tijdig te herstellen • een procedure voor het stimuleren op gezette tijdstippen testen, beoordelen en evalueren van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen doeltreffendheid van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico maatregelen ter beveiliging van de verwerking De Ontvangende Instantie treft ten minste volgende organisatorische en technische beveiligingsmaatregelen ter beveiliging van de door hem gebruikte of verstrekte ontvangen persoonsgegevens afgestemd beveiligingsniveaubij verdere verwerking: [OPSOMMING BEVEILIGINGSMAATREGELEN]. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en Volgende maatregelen worden getroffen ter beveiliging van de daaruit voorvloeiende maatregelen waaronder het stimuleren mededeling van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen de persoonsgegevens, vermeld in artikel 2: - De gegevens worden ontsloten naar Wonen-Vlaanderen op basis van een online bevraging via webservice van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel MAGDAplatform; - Voor de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen beveiliging van de overdracht van de gegevens wordt verwezen naar de Vlaamse Dienstenintegrator; - De werking met het MAGDAplatform (als interface platform) werd reeds goedgekeurd door de VTC; - Wonen-Vlaanderen heeft een veiligheidsbeleid (dd. 17 oktober 2017) met een veiligheidsplan; - Wonen-Vlaanderen heeft een veiligheidsconsulent en een informatieveiligheidscel; - De bekomen en verwerkte gegevens zullen opgenomen worden in het verwerkingsregister van Wonen-Vlaanderen; - Opgroeien regie heeft een veiligheidsbeleid met een veiligheidsplan; - Opgroeien regie heeft een veiligheidsconsulent en een informatieveiligheidscel. Wonen-Vlaanderen moet kunnen aantonen dat de in dit artikel opgesomde maatregelen werden getroffen. Op eenvoudig verzoek van Opgroeien regie moet Wonen-Vlaanderen hiervan aan Opgroeien regie het bewijs overmaken. In het geval Wonen-Vlaanderen voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers), doet Wonen- Vlaanderen uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met maatregelen bieden opdat de stand verwerking aan de vereisten van de techniek, algemene verordening gegevensbescherming voldoet en de uitvoeringskosten bescherming van de beveiligingsmaatregelen, de aard, omvang en de context rechten van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker betrokkene is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feitengewaarborgd. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel Wonen-Vlaanderen sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van algemene verordening gegevensbescherming. Wonen-Vlaanderen doet voor de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveaudie het voorwerp zijn van voorliggend protocol beroep op Vlaamse Maatschappij voor Sociaal Wonen (KBO-nummer 236.506.487). Deze verwerker staat in voor de volgende taken: Hosting servers en patching Windows-servers, databases met periodiek en incidentieel onderhoud inclusief patching, DNS, technische monitoring van de servers, toegang verzoeken voor Wonen-Vlaanderen via SSL VPN. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision heeft 1. Verwerker spant zich in om voldoende en passende organisatorische en technische maatregelen te nemen tegen elke vorm van onrechtmatige verwerking met betrekking tot de door hem te verrichten verwerkingen van de persoonsgegevens, een Security Officer en ander binnen de redelijke mogelijkheden die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren (software)leveranciers van beveiligingsbewustzijnVerwerker bieden. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden2. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen Het beveiligingsniveau van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met maatregelen dient tenminste te voldoen aan een niveau dat niet onredelijk is in het kader van de daaraan verbonden kosten, gevoeligheid van de betreffend persoonsgegevens alsmede de stand van de techniektechniek en risico’s. Verwerker staat er niet voor in dat de genomen beveiligingsmaatregelen te allen tijde, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s onder alle omstandigheden doeltreffend zijn. 3. Verwerkingsverantwoordelijke is verantwoordelijk voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking naleving van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveaupartijen gemaakte afspraken. 7.7 Verwerker kan wijzigingen aanbrengen 4. Verwerkingsverantwoordelijke dient zelf alle (beveiligings)maatregelen te treffen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van Verwerkingsverantwoordelijke, en toegang heeft tot de Diensten van Verwerker, slechts de betreffende opgeslagen (persoons)gegevens in opdracht van Verwerkingsverantwoordelijke verwerkt. 5. Indien er sprake is van een lek in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. beveiliging of data, welke schade kan veroorzaken of nadelige gevolgen kan hebben voor de bescherming van de persoonsgegevens dient Verwerker zal belangrijke wijzigingen vastleggenVerwerkingsverantwoordelijke hierover onmiddellijk, bijvoorbeeld in een aangepaste verwerkersovereenkomstalthans zonder onredelijke vertraging, en zal opdrachtgever waar relevant van die wijzigingen doch binnen 24 uur nadat Verwerker hiervan redelijkerwijs op de hoogte had kunnen zijn, te informeren. Indien de kennisgeving zoals in voorgaande zin bedoeld binnen 24 uur redelijkerwijs niet mogelijk is, treden partijen met elkaar in overleg om een redelijke termijn vast te stellen, waarbinnen Verwerker wel in staat is om Verwerkingsverantwoordelijke te informeren. Verwerkingsverantwoordelijke zal vervolgens de Autoriteit Persoonsgegevens binnen 72 uur en eventuele betrokkenen zo spoedig mogelijk informeren over de inbreuk. 7.8 Opdrachtgever 6. Ingevolge de meldplicht van Verwerker, dient de melding van een lek te bestaan uit tenminste de volgende componenten: 1. de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; 2. de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan verwerker verzoeken nadere beveiligingsmaatregelen worden verkregen; 3. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; 4. de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te treffenpakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. 7. Verwerkingsverantwoordelijke en Verwerker dienen elk een register van Datalekken bij te houden conform artikel 33 lid 5 AVG. Verwerker dient alle datalekken te documenteren, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Op verzoek zal de Verwerker de Verwerkingsverantwoordelijke hier inzage in verschaffen. 8. Indien een inbreuk op de beveiliging van de persoonsgegevens heeft plaatsgevonden bij Verwerker, is niet Verwerker verplicht om op een dergelijk verzoek wijzigingen door eigen kosten passende maatregelen te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek treffen ter voorkoming van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementerentoekomstige incidenten en/of inbreuken.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden1. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen van de Verwerker neemt alle passende technische en organisatorische beveiligingsmaatregelen heeft verwerker maatregelen om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de stand van de techniek. 2. Verwerker heeft in ieder geval de volgende maatregelen genomen: a) Beveiliging van netwerkverbindingen. b) Periodieke controle van beveiligingsmaatregelen. c) Beveiligd versturen van documenten via email. 3. Verwerker staat ervoor in dat personen die handelen onder zijn gezag de Persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze overeenkomst, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang AVG en/of andere toepasselijke wet- en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtenregelgeving zullen verwerken. 7.4 Het product 4. Indien Verwerker tekortschiet in het nemen van passende technische en organisatorische beveiligingsmaatregelen en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd zijn overige rechten voortvloeiende uit deze overeenkomst en/of uit de dienst wet, deze maatregelen op kosten van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens Verwerker uit te voeren of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8te laten voeren. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden5. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen Verantwoordelijke onmiddellijk gedetailleerd op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffenstellen van ieder Datalek betreffende de Persoonsgegevens. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren doet dit uiterlijk binnen 36 uur na ontdekking van het Datalek. De Verwerker brengt hier geen kosten voor in zijn beveiligingsmaatregelenrekening. Deze melding omvat: a) de aard van de inbreuk; b) de (mogelijk) getroffen Persoonsgegevens; c) de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen; en d) de maatregelen die Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat of de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen Verwerker ingeschakelde personen hebben getroffen en ondertekend door partijen, heeft verwerker zullen treffen om de verplichting deze beveiligingsmaatregelen daadwerkelijk negatieve gevolgen van de inbreuk te implementerenbeperken.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een 1. Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat informatiebeveiligingsbeleid te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de daaruit voorvloeiende maatregelen waaronder het stimuleren stand van beveiligingsbewustzijnde techniek. 7.2 Een uitgebreide set van specifieke 2. Verwerker heeft in ieder geval de volgende maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ genomen: a. Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie of via vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerdtechnologie die minimaal eenzelfde beveiligingsniveau levert. 7.3 Bij b. beveiligd versturen van documenten via email. 3. Verwerker staat ervoor in dat personen die handelen onder zijn gezag de Persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze overeenkomst, de AVG en/of andere toepasselijke wet- en regelgeving zullen verwerken. 4. Indien Verwerker tekortschiet in het treffen nemen van de passende technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd zijn overige rechten voortvloeiende uit deze overeenkomst en/of uit de stand wet, deze maatregelen op kosten van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtenVerwerker uit te voeren of te laten voeren. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden5. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen Verantwoordelijke onmiddellijk gedetailleerd op de hoogte stellenstellen van ieder Datalek betreffende de Persoonsgegevens. Verwerker doet dit uiterlijk binnen 24 uur na ontdekking van het Datalek. De Verwerker brengt hier geen kosten voor in rekening. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen6. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de zal op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat Verantwoordelijke informatie aan Verantwoordelijke geven over de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen genomen maatregelen om aan de verplichtingen op grond van de AVG, en/of andere toepasselijke wet- en ondertekend door partijenregelgeving, heeft verwerker deze overeenkomst en de verplichting deze beveiligingsmaatregelen daadwerkelijk overige instructies van Verantwoordelijke te implementerenvoldoen.

Beveiligingsmaatregelen. 7.1 Kodision heeft a) Verwerker spant zich in om voldoende en passende organisatorische en technische maatregelen te nemen tegen elke vorm van onrechtmatige verwerking met betrekking tot de door hem te verrichten verwerkingen van de persoonsgegevens, een Security Officer en ander binnen de redelijke mogelijkheden die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren (software)leveranciers van beveiligingsbewustzijnVerwerker bieden. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen b) Het beveiligingsniveau van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met maatregelen dient tenminste te voldoen aan een niveau dat niet onredelijk is in het kader van de daaraan verbonden kosten, gevoeligheid van de betreffend persoonsgegevens alsmede de stand van de techniektechniek en risico’s. Verwerker staat er niet voor in dat de genomen beveiligingsmaatregelen te allen tijde, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtenonder alle omstandigheden doeltreffend zijn. In overleg kunnen partijen andere aanvullende of nadere beveiligingsmaatregelen nemen. 7.4 Het product of de dienst van verwerker c) Xxxxxxxxx is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn verantwoordelijk voor het door verwerker beoogde gebruik treffen van het product voldoende passende organisatorische en technische maatregelen om onrechtmatige verwerking tegen te gaan. Xxxxxxxxx heeft een eigen verantwoordelijkheid om zichzelf en/of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de diens medewerkers en in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen schakelen derden op de hoogte stellente stellen van alle protocollen, het (beveiligings)beleid en andere instructies die een veilige verwerking mogelijk maken. 7.8 Opdrachtgever d) Verwerker is slechts verantwoordelijk en aansprakelijk voor zijn deel van de verwerking. Verwerkingsverantwoordelijke is en blijft eindverantwoordelijk voor de verwerkingen door Verwerker. e) Indien er sprake is van een lek in de beveiliging of data, welke schade kan verwerker verzoeken nadere beveiligingsmaatregelen veroorzaken of nadelige gevolgen kan hebben voor de bescherming van de persoonsgegevens dient Verwerker Verwerkingsverantwoordelijke hierover onmiddellijk, althans zonder onredelijke vertraging, doch binnen 24 uur nadat Verwerker hiervan redelijkerwijs op de hoogte had kunnen zijn, te treffeninformeren. Verwerkingsverantwoordelijke zal vervolgens de Autoriteit Persoonsgegevens binnen 72 uur en eventuele betrokkenen zo spoedig mogelijk informeren over de inbreuk. f) Ingevolge de meldplicht van Verwerker, dient de melding van een lek te bestaan uit tenminste de volgende componenten: i) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; ii) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; iii) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; iv) de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. g) Verwerkingsverantwoordelijke en Verwerker dienen elk een register van Datalekken bij te houden conform artikel 33 lid 5 AVG. Verwerker is niet verplicht om dient alle datalekken te documenteren, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Op verzoek zal Verwerker de Verwerkingsverantwoordelijke hier inzage in verschaffen. h) Indien een inbreuk op een dergelijk verzoek wijzigingen door de beveiliging van de persoonsgegevens heeft plaatsgevonden bij Verwerker, dienen Verwerker en Verwerkingsverantwoordelijke passende maatregelen te voeren in zijn beveiligingsmaatregelentreffen ter voorkoming van toekomstige incidenten en/of inbreuken. Verwerker kan Elke partij dient hierbij de helft van de kosten verband houdende te dragen, tenzij vast komt te staan dat de veroorzakende partij nalatig en/of met opzet gehandeld heeft. De andere partij kan haar kosten (de andere 50%) verhalen op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementerenveroorzakende partij.

Beveiligingsmaatregelen. 7.1 Kodision heeft De maatregelen waaraan Verwerker minimaal voldoet: 1. De Verwerker hanteert een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker is standaard niet ingericht beleidsdocument dat expliciet ingaat op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 maatregelen die de Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van treft om de verwerking van de gegevens te beveiligen, alsmede de privacy te waarborgen. 2. De werknemers van de Verwerker die betrokken zijn bij de verwerking van persoonsgegevens zijn gehouden aan een geheimhoudingsplicht/integriteitscode en indien van toepassing heeft voorafgaand aan de indiensttreding een screening plaatsgevonden. 3. Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met persoonsgegevens. 4. IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door hem gebruikte onbevoegden en tegen schade en storingen. 5. Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen. 6. Bij transport van door de Verwerkingsverantwoordelijke expliciet als zodanig aangemerkte vertrouwelijke informatie over netwerken dient altijd adequate encryptie te worden toegepast. 7. Voor het beheer van certificaten en de bijbehorende sleutels is een actueel sleutelplan van toepassing waarin bevoegdheden en functiescheiding geborgd zijn. 8. Er zijn procedures voor de verwerving, ontwikkeling, onderhoud en vernietiging van data en informatiesystemen. 9. Activiteiten die gebruikers uitvoeren (met persoonsgegevens) worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verstrekte persoonsgegevens afgestemd beveiligingsniveauverlies van persoonsgegevens. Logging van specifieke data is mogelijk op basis van maatwerk via een offerte. 10. In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd waaronder een adequaat toegangsbeheer. 11. Het netwerk en de informatiesystemen worden actief gemonitord en beheerd. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van de Verwerkingsverantwoordelijke. 12. De Verwerker installeert tijdig oplossingen die de leveranciers uitbrengen voor beveiligingslekken. Dit alles uitsluitend indien en voor zover de betreffende software door de Verwerker is/wordt geleverd, of gebruikt, of onderhouden ten behoeve van de Verwerkingsverantwoordelijke. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision Kotuur heeft een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ • Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ • Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ • Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van 5 opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid 11.1 Tijdens de duur van deze Overeenkomst treft en handhaaft de daaruit voorvloeiende maatregelen waaronder het stimuleren van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen van de VERWERKER passende technische en organisatorische beveiligingsmaatregelen heeft verwerker maatre- gelen op zulke wijze dat de verwerking aan de voorschriften van de Verordening voldoet en de bescherming van de rechten van de Betrokkene gewaarborgd is. De VERWERKER zal onder meer technische en organisatori- sche maatregelen treffen tegen ongeoorloofde of onrechtmatige verwerking en regelmatig de geschiktheid van de Beveiligings- maatregelen beoordelen en zo nodig aanpassen. 11.2 De VERWERKER zal meer in het bijzonder passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, volgens artikel 32 van de Verordening. 11.3 Bij de beoordeling van het passende beveiligingsniveau werd met name rekening gehouden met de stand verwerkingsrisico’s, vooral als gevolg van de techniekvernietiging, het verlies, de uitvoeringskosten wijziging of de ongeoorloofde verstrekking van, of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoons- gegevens, hetzij per ongeluk hetzij onrechtmatig. 11.4 De VERWERKINGSVERANTWOORDELIJKE behoudt zich het recht voor om de Hoofdovereenkomst te schorsen en/of te beëindigen, wanneer de VERWERKER niet langer kan voorzien in technische en organisatorische maatregelen die afgestemd zijn op het verwerkingsrisico. 11.5 De VERWERKER heeft onder meer, maar niet uitsluitend, de volgende algemene fysieke, logische, technische en organisato- rische beveiligingsmaatregelen getroffen: • Persoonsgegevens worden opgeslagen in een veilige infra- structuur van Microsoft Azure; • Alle databanken zijn gevestigd in Nederland met een failover (systeem dat de taken overneemt wanneer het andere systeem het begeeft) in Ierland waardoor alles binnen de Europese Unie blijft; • Persoonsgegevens worden zowel in rust (opgeslagen in de databank) als in transport (tijdens de verzending naar de gebruiker) versleuteld en afgeschermd in rust; • Persoonsgegevens zijn alleen toegankelijk voor de Gege- vensverwerkingsverantwoordelijke en meer specifiek voor de gemachtigde personeelsleden van de beveiligingsmaatregelenGegevensver- werkingsverantwoordelijke op een “need-to-know”-basis (alleen de strikt noodzakelijke gegevens); • Het platform gebruikt 256-bit SSL voor de identificatie bij het inloggen; • Alle API-calls worden geauthenticeerd door het API-beheer van Microsoft; • Alleen code testen in een ontwikkelingsomgeving zonder toegang tot de gegevens van de VERWERKINGSVERANT- WOORDELIJKE; • De hardware van de Werknemer van de VERWERKER is beveiligd door een tweefactorauthenticatie; • Gebruik van cloudbased opslag oplossingen om het risico op gegevensdiefstal te verminderen; • Een uitgewerkt Kennisgevingsbeleid voor inbreuken in verband met gegevensbescherming dat door alle Werkne- mers van de VERWERKER toegepast wordt; • Werknemers krijgen beperkte toegang tot de gegevens van de VERWERKINGSVERANTWOORDELIJKE (alleen via het platform) en alleen na de schriftelijke toestemming van de VERWERKINGSVERANTWOORDELIJKE; • Elke activiteit van de Werknemers van de VERWERKER op de account van de VERWERKINGSVERANTWOORDELIJKE wordt automatisch bijgehouden; • Bij de beëindiging van de Hoofdovereenkomst, de aard, omvang en de context gegevens van de verwerkingen, de doeleinden en het beoogd gebruik VERWERKINGSVERANTWOORDELIJKE uitsluitend voor een periode van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.zes maanden opslaan;

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een 1. Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat informatiebeveiligingsbeleid te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de daaruit voorvloeiende maatregelen waaronder het stimuleren stand van beveiligingsbewustzijnde techniek. 7.2 Een uitgebreide set van specifieke 2. Verwerker heeft in ieder geval de volgende maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ genomen: a. Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie of via vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerdtechnologie die minimaal eenzelfde beveiligingsniveau levert. 7.3 Bij het treffen b. Alle gegevens worden encrypted/geanonimiseerd. c. Een alarmsysteem en camera van de NVD. 3. Verwerker staat ervoor in dat personen die handelen onder zijn gezag de Persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze overeenkomst, de AVG en/of andere toepasselijke wet- en regelgeving zullen verwerken. 4. Indien Verwerker tekortschiet in het nemen van passende technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd zijn overige rechten voortvloeiende uit deze overeenkomst en/of uit de stand wet, deze maatregelen op kosten van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtenVerwerker uit te voeren of te laten voeren. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden5. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen Verantwoordelijke onmiddellijk gedetailleerd op de hoogte stellenstellen van ieder Datalek betreffende de Persoonsgegevens. Verwerker doet dit uiterlijk binnen 24 uur na ontdekking van het Datalek. De Verwerker brengt hier geen kosten voor in rekening. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen6. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de zal op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat Verantwoordelijke informatie aan Verantwoordelijke geven over de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen genomen maatregelen om aan de verplichtingen op grond van de AVG, en/of andere toepasselijke wet- en ondertekend door partijenregelgeving, heeft verwerker deze overeenkomst en de verplichting deze beveiligingsmaatregelen daadwerkelijk overige instructies van Verantwoordelijke te implementerenvoldoen.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die 1. Partijen zijn conform artikel 28 AVG verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid de bescherming van Persoonsgegevens en de daaruit voorvloeiende maatregelen waaronder het stimuleren persoonlijke levenssfeer van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derdenXxxxxxxxxx(n). ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen van de ADD Arbo zal passende technische en organisatorische beveiligingsmaatregelen heeft verwerker treffen om de vertrouwelijkheid, integriteit en beschikbaarheid van de Persoonsgegevens Werknemers veilig te stellen, alsmede de rechten van Betrokkene(n) te waarborgen. Bij de te treffen maatregelen zal ADD Arbo rekening gehouden houden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelenuitvoeringskosten, de aard, omvang omvang, context en verwerkingsdoeleinden en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes de Betrokken(n). 2. De achterliggende software van het werkgeversportaal van ADD Arbo is ISO 27001 gecertificeerd. De organisatorische en beveiligingsmaatregelen die hij gezien zij treft om uitvoering te geven aan het beoogd bepaalde in artikel 7.1 zijn opgenomen in de Verklaring van Toepasselijkheid. Hieronder vallen onder meer de volgende maatregelen: a) Van Persoonsgegevens Werknemers wordt een real time back-up gemaakt zodat verlies van Persoonsgegevens Werknemers wordt tegengegaan; b) De onder sub a) genoemde back-ups worden op een fysiek gescheiden (brand)veilige locatie bewaard; c) ADD Arbo treft voorzieningen voor een adequate toegangsbeveiliging zodat de Persoonsgegevens Werknemers alleen toegankelijk zijn voor geautoriseerd personeel; d) ADD Arbo heeft een adequaat en actueel mechanisme in werking om kwaadaardige software, waaronder – maar niet beperkt tot – computervirussen, op te sporen en af te wenden; e) ADD Arbo maakt gebruik van zijn producten en diensten mocht verwachtenbeveiligde netwerkverbindingen. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een 1. Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat informatiebeveiligingsbeleid te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de daaruit voorvloeiende maatregelen waaronder het stimuleren stand van beveiligingsbewustzijnde techniek. 7.2 Een uitgebreide set 2. Verwerker heeft in ieder geval de volgende maatregelen genomen: a. Encryptie (versleuteling) van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ digitale bestanden met Persoonsgegevens. b. Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie of via vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerdtechnologie die minimaal eenzelfde beveiligingsniveau levert. 7.3 Bij 3. Verwerker staat ervoor in dat personen die handelen onder zijn gezag de Persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze overeenkomst, de AVG en/of andere toepasselijke wet- en regelgeving zullen verwerken. 4. Indien Verwerker tekortschiet in het treffen nemen van de passende technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd zijn overige rechten voortvloeiende uit deze overeenkomst en/of uit de stand wet, deze maatregelen op kosten van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtenVerwerker uit te voeren of te laten voeren. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden5. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen Verantwoordelijke onmiddellijk gedetailleerd op de hoogte stellenstellen van ieder Datalek betreffende de Persoonsgegevens. Verwerker doet dit uiterlijk binnen 96 uur na ontdekking van het Datalek. De Verwerker brengt hier geen kosten voor in rekening. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen6. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de zal op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat Verantwoordelijke informatie aan Verantwoordelijke geven over de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen genomen maatregelen om aan de verplichtingen op grond van de AVG, en/of andere toepasselijke wet- en ondertekend door partijenregelgeving, heeft verwerker deze overeenkomst en de verplichting deze beveiligingsmaatregelen daadwerkelijk overige instructies van Verantwoordelijke te implementerenvoldoen.

Beveiligingsmaatregelen. 7.1 Kodision heeft Verwerker spant zich in om voldoende en passende organisatorische en technische maatregelen te nemen tegen elke vorm van onrechtmatige verwerking met betrekking tot de door hem te verrichten verwerkingen van de persoonsgegevens, een Security Officer en ander binnen de redelijke mogelijkheden die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren (software)leveranciers van beveiligingsbewustzijnVerwerker bieden. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen Het beveiligingsniveau van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met maatregelen dient tenminste te voldoen aan een niveau dat niet onredelijk is in het kader van de daaraan verbonden kosten, gevoeligheid van de betreffend persoonsgegevens alsmede de stand van de techniektechniek en risico’s. Verwerker staat er niet voor in dat de genomen beveiligingsmaatregelen te allen tijde, onder alle omstandigheden doeltreffend zijn. 7.3 Verwerkingsverantwoordelijke is verantwoordelijk voor de uitvoeringskosten naleving van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtendoor partijen gemaakte afspraken. 7.4 Het product of Verwerkingsverantwoordelijke dient zelf alle (beveiligings)maatregelen te treffen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van Verwerkingsverantwoordelijke, en toegang heeft tot de dienst Diensten van verwerker is standaard niet ingericht op Verwerker, slechts de verwerking betreffende opgeslagen (persoons)gegevens in opdracht van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8Verwerkingsverantwoordelijke verwerkt. 7.5 Indien er sprake is van een lek in de beveiliging of data, welke schade kan veroorzaken of nadelige gevolgen kan hebben voor de bescherming van de persoonsgegevens dient Verwerker streeft ernaar dat Verwerkingsverantwoordelijke hierover onmiddellijk, althans zonder onredelijke vertraging, doch binnen 24 uur nadat Verwerker hiervan redelijkerwijs op de door hem hoogte had kunnen zijn, te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of informeren. Indien de dienstkennisgeving zoals in voorgaande zin bedoeld binnen 24 uur redelijkerwijs niet mogelijk is, treden partijen met elkaar in overleg om een redelijke termijn vast te stellen, waarbinnen Verwerker wel in staat is om Verwerkingsverantwoordelijke te informeren. Verwerkingsverantwoordelijke zal vervolgens de Autoriteit Persoonsgegevens binnen 72 uur en eventuele betrokkenen zo spoedig mogelijk informeren over de inbreuk. 7.6 De omschreven beveiligingsmaatregelen biedenIngevolge de meldplicht van Verwerker, naar het oordeel dient de melding van een lek te bestaan uit tenminste de volgende componenten: ● de aard van de opdrachtgeverinbreuk in verband met persoonsgegevens, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico waar mogelijk onder vermelding van de verwerking categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; ● de naam en de contactgegevens van de door hem gebruikte functionaris voor gegevensbescherming of verstrekte een ander contactpunt waar meer informatie kan worden verkregen; ● de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; ● de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens afgestemd beveiligingsniveauaan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. 7.7 Verwerkingsverantwoordelijke en Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om dienen elk een passend beveiligingsniveau register van Datalekken bij te blijven biedenhouden conform artikel 33 lid 5 AVG. Verwerker dient alle datalekken te documenteren, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Op verzoek zal belangrijke wijzigingen vastleggen, bijvoorbeeld de Verwerker de Verwerkingsverantwoordelijke hier inzage in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellenverschaffen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Indien een inbreuk op de beveiliging van de persoonsgegevens heeft plaatsgevonden bij Verwerker, is Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door eigen kosten passende maatregelen te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek treffen ter voorkoming van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementerentoekomstige incidenten en/of inbreuken.

Beveiligingsmaatregelen. 7.1 Kodision 4.1 Vavendel heeft een Security Officer die verantwoordelijk ten tijde van opmaak van deze Bijlage de hierna genoemde beveiligingsmaatregelen. Bij het nemen van de beveiligingsmaatregelen is voor een adequaat informatiebeveiligingsbeleid rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de daaruit voorvloeiende kosten van de beveiligingsmaatregelen. Beveiligingsmaatregelen kunnen wijzigen in de loop van de tijd. Vavendel neemt ten tijde van opstellen van deze Bijlage de volgende technische en organisatorische maatregelen waaronder het stimuleren ter bescherming van beveiligingsbewustzijnde Persoonsgegevens tegen verlies of onrechtmatige Verwerking: On-site en online back-up van data, gebruik van een firewall en virusbescherming, gebruik van een Password Manager, password op de computeraccounts. 7.2 Een uitgebreide set 4.2 De Klant heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Vavendel heeft genomen en is van specifieke mening dat deze maatregelen op basis een beveiligingsniveau hebben dat past bij de aard van het Internal Control framework (zie art 8) waaronder: ▪ de Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrolede omvang, gebruik makend context, doeleinden en risico’s van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerdVerwerking. 7.3 Bij het treffen 4.4 Vavendel biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden met betrekking tot de te verrichten Verwerkingen. Als de Klant de wijze waarop Vavendel de beveiligingsmaatregelen naleeft wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Vavendel doen. Vavendel maakt hierover Gezamenlijk met de stand Klant afspraken. De kosten van een inspectie zijn voor rekening van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feitenKlant. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik De Klant stelt aan Vavendel een kopie van het product of de dienstinspectierapport ter beschikking. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen van de technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden 6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelenuitvoeringskosten, alsook met de aard, omvang de omvang, de context en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten personen, treft de Verwerker passende technische en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Waar passend dienden deze maatregelen onder meer te omvatten: a) De pseudonimisering en versleuteling van persoonsgegevens b) Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen, c) Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen, d) Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking Bij de beoordeling van het passend beveiligingsniveau zal de door hem gebruikte Verwerker met name rekening houden met de verwerkingsrisico’s, vooral als gevolg van vernietiging, het verlies, de wijziging of verstrekte persoonsgegevens afgestemd beveiligingsniveaude ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerker gegevens, hetzij per ongelijk, hetzij onrechtmatig. 7.7 6.2 De Verwerker kan wijzigingen aanbrengen staat er niet voor in dat de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven biedenbeveiliging onder alle omstandigheden doeltreffend is. Verwerker zal belangrijke wijzigingen vastleggenzich inspannen om de beveiliging te laten voldoen aan een niveau dat, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen gelet op de hoogte stellenstand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is. 7.8 Opdrachtgever kan verwerker verzoeken nadere 6.3 De Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen te treffendie de Verwerker heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking. De Verwerkingsverantwoordelijke stelt dan ook enkel Persoonsgegevens ter verwerking aan de Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in ter beschikking, indien de Verwerkingsverantwoordelijke zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementerengetroffen.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en de daaruit voorvloeiende maatregelen waaronder het stimuleren van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis van het Internal Control framework (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt en daarmee niet toegankelijk voor derden54.1. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen van de Paronix neemt alle benodigde technische en organisatorische beveiligingsmaatregelen heeft verwerker maatregelen om de persoonsgegevens te beveiligen tegen verlies of enige andere vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening gehouden houdend met de stand van de techniek, techniek en de uitvoeringskosten kosten van de beveiligingsmaatregelentenuitvoerlegging, een passend beveiligingsniveau gelet op de aard, omvang risico’s die de verwerking en de context aard van de verwerkingenpersoonsgegevens met zich meebrengen. 54.2. De volgende beveiligingsmaatregelen worden o.a. genomen: a. het gebruiken van systemen met sterke authenticatiemethoden om toegang door onbevoegden tot systemen te voorkomen; b. de gegevens worden opgeslagen op beveiligde servers; c. back-ups van de gegevens worden via encrypted verbindingen getransporteerd naar de back-up omgevingen van Paronix; d. het gebruiken van beveiligde netwerkverbindingen; e. fysieke bescherming van IT-voorzieningen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s apparatuur en de qua waarschijnlijkheid server met de data tegen toegang door onbevoegden en ernst uiteenlopende risico’s tegen schade; 54.3. Periodiek wordt de beveiliging getest. 54.4. Indien beveiligingsmaatregelen wijzigingen ondergaan welke van invloed zijn op de informatieverwerking, dan stelt Paronix de opdrachtgever in kennis van deze wijzigingen. 54.5. De opdrachtgever stelt enkel persoonsgegevens aan Paronix ter beschikking voor verwerking, indien hij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. 54.6. Paronix verschaft op verzoek de opdrachtgever alle informatie die voor de rechten en vrijheden opdrachtgever nodig is om vast te stellen dat Paronix zijn verplichtingen die volgen uit deze algemene voorwaarden nakomt. Paronix handelt alle verzoeken om inlichtingen van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op opdrachtgever met betrekking tot de verwerking van bijzondere categorieën van de persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8vlot en behoorlijk af. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor 54.7. Indien in het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico kader van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveaueen gegevensbeschermingseffectbeoordeling noodzakelijk is, dan zal Paronix daaraan zijn medewerking verlenen. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Beveiligingsmaatregelen. 7.1 Kodision heeft een Security Officer die verantwoordelijk is voor een adequaat informatiebeveiligingsbeleid en Volgende maatregelen worden getroffen ter beveiliging van de daaruit voorvloeiende maatregelen waaronder het stimuleren mededeling van beveiligingsbewustzijn. 7.2 Een uitgebreide set van specifieke maatregelen op basis de opgevraagde persoonsgegevens, vermeld in artikel 2: ● Beveiligde transfer van het Internal Control framework Materiaal en Metadata naar meemoo’s datacenter, waarbij gehandeld wordt conform het beveiligingsbeleid van meemoo ● Beveiligde digitale transfer (zie art 8) waaronder: ▪ Persoonsgegevens zijn geëncrypt met authenticatie en daarmee niet toegankelijk voor derden. ▪ Logische toegangscontrole, gebruik makend van sterke wachtwoorden. ▪ Beveiliging van netwerkverbindingen via Secure Socket Layer of vergelijkbare technologie. Zowel de hosting-, saasomgeving als de geleverde standaardsoftware ondergaan periodiek een pentest en worden geaudit en gecertificeerd. 7.3 Bij het treffen encryptie) van de Metadata naar Stad Kortrijk, waarbij gehandeld wordt conform het beveiligingsbeleid van meemoo Partijen treffen ten minste volgende organisatorische en technische beveiligingsmaatregelen ter beveiliging van de ontvangen persoonsgegevens bij verdere verwerking: analyse en inschatting van de verschillende risico's, formele procedures en richtlijnen (bvb. bij verlies van USB-stick of diefstal van laptop), functionaris voor de gegevensbescherming (extern of intern), organisatie van de beveiliging van gebouwen, kantoorruimtes, server-ruimtes, computers etc., afspraken i.v.m. vertrouwelijkheid door het personeel laten ondertekenen, beveiliging van de fysieke toegang (werken met badge- systeem, toegangscodes), voldoende en passende back-up systemen, logische beveiliging van de toegang (codes etc.), lijst van de geautoriseerde personeelsleden, logging, opsporing en analyse van de toegang. Partijen moeten kunnen aantonen dat de in dit artikel opgesomde maatregelen werden getroffen. Op eenvoudig verzoek van de ene Partij moet de andere Partij hiervan aan de ene Partij het bewijs overmaken. In het geval een Partij voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, een beroep doet op een verwerker (of meerdere verwerkers), doet deze Partij uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische beveiligingsmaatregelen heeft verwerker rekening gehouden maatregelen bieden opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd, in het bijzonder wanneer er beroep wordt gedaan op non-EER verwerkers of wanneer er een doorgifte gebeurt naar een land buiten de EER. De Partij sluit met de stand verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 AVG, of maakt wanneer de wetgeving dit vereist toepassing van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenes die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachtenstandaard contractbepalingen. 7.4 Het product of de dienst van verwerker is standaard niet ingericht op de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Tenzij dit schriftelijk overeengekomen is, of op basis van art. 4.8. 7.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door verwerker beoogde gebruik van het product of de dienst. 7.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de opdrachtgever, rekening houdend met de in deze verwerkersovereenkomst genoemde factoren, een op het risico van de verwerking van de door hem gebruikte of verstrekte persoonsgegevens afgestemd beveiligingsniveau. 7.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste verwerkersovereenkomst, en zal opdrachtgever waar relevant van die wijzigingen op de hoogte stellen. 7.8 Opdrachtgever kan verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van opdrachtgever doorgevoerde wijzigingen in rekening brengen bij opdrachtgever. Pas nadat de door opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door partijen, heeft verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.