Datalekken. 1. Beide Partijen hebben een passend beleid voor de omgang met Datalekken.
2. Indien Onderwijsinstelling of Verwerker een Datalek bij de uitvoering van de Onderliggende Overeenkomst of van deze Verwerkersovereenkomst vaststelt, dan zal deze de andere Partij daarover zonder onredelijke vertraging informeren, zodra zij of hij kennis heeft genomen van dat Xxxxxxx. Verwerker verstrekt in geval van een Datalek alle relevante informatie aan Onderwijsinstelling met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen.
3. In aanvulling op lid 2 informeert Verwerker de Onderwijsinstelling onverwijld indien een vermoeden bestaat dat een Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34 lid 1 AVG.
4. Verwerker stelt bij een Datalek de Onderwijsinstelling in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Verwerker dient hierbij aansluiting te zoeken bij de bestaande processen die Onderwijsinstelling daartoe heeft ingericht, voor zover deze aan Verwerker bekend zijn gemaakt. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking van de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, te voorkomen of te beperken.
5. In geval van een Datalek voldoet Onderwijsinstelling aan eventuele wettelijke meldingsplichten.
6. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
7. Partijen documenteren alle Datalekken in een (incidenten)register, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
8. Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, informeert de Verwerker de Onderwijsinstelling conform de afspraken zoals beschreven in Bijlage 2.
Datalekken. 5.1 Als er sprake is van een Datalek dan stellen Wij U daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit Xxxxxxx hebben ontdekt, of zo snel mogelijk nadat wij daarover door Onze Sub-verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze Overeenkomst. Wij zullen U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze Sub-verwerker aan u door. Ook van de door Ons, of onze Sub-verwerker, naar aanleiding van het Datalek genomen maatregelen houden Wij U op de hoogte.
5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid.
5.3 Het (bij)houden van een register van Datalekken is altijd Uw eigen verantwoordelijkheid.
Datalekken. 1. In het geval van inbreuk in verband met persoonsgegevens, zal Fundaments zich naar beste kunnen inspannen om Klant daarover onverwijld, maar uiterlijk binnen 72 uur, te informeren naar aan leiding waarvan Klant beoordeelt of hij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Fundaments spant zich naar beste kunnen in om volledige, correcte en accurate informatie te verstrekken.
2. Onder een inbreuk in verband met persoonsgegevens wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of an- derszins verwerkte gegevens.
3. Klant zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist zal Fundaments meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen.
4. De meldplicht behelst in ieder geval het melden van het feit dat er een inbreuk is geweest, alsmede (voor zover deze gegevens voorhanden zijn):
a. wat de (vermeende) oorzaak is;
b. wat het (bekende of te verwachten) gevolg is;
c. wat de (voorgestelde) oplossing is;
d. contactgegevens voor de opvolging van de melding;
e. wie geïnformeerd is (zoals betrokkene zelf en/of de toezichthouder); en
f. wat de reeds genomen maatregelen zijn.
Datalekken. 7.1 In geval van een ontdekking van een mogelijk Datalek zal Verwerker Verwerkingsverantwoordelijke hierover informeren binnen een termijn van 24 uur overeenkomstig het proces volgend uit Bijlage 3, zodat Verwerkingsverantwoordelijke indien nodig een melding van het Datalek bij de Toezichthouder kan doen.
7.2 Verwerker zal Verwerkingsverantwoordelijke op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek, ook zal Verwerker de getroffen maatregelen om het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen, overleggen aan Verwerkingsverantwoordelijke.
7.3 Verwerker mag geen melding van een Datalek aan de Toezichthouder doen, wanneer bij het Datalek Persoonsgegevens van Verwerkingsverantwoordelijke betrokken zijn. Ook mag Verwerker de Betrokkenen niet informeren over het Datalek. Deze verantwoordelijkheid ligt bij Verwerkingsverantwoordelijke.
7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.
Datalekken. 1. Partijen hebben een passend beleid voor de omgang met Datalekken.
2. Indien Onderwijsinstelling of Verwerker een Datalek vaststelt, dan zal deze de andere Partij daarover zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van dat Xxxxxxx. Verwerker verstrekt ingeval van een Datalek alle relevante informatie aan Onderwijsinstelling met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen.
Datalekken. 1. Indien er sprake is van een Datalek dan zal Verwerkingsverantwoordelijke zo spoedig mogelijk hiervan op de hoogte worden gesteld. Verwerker streeft ernaar dit te doen binnen 24 uur nadat zij dit Xxxxxxx heeft ontdekt. Verwerker zal Verwerkingsverantwoordelijke daarbij voorzien van de informatie die Verwerkings- verantwoordelijke redelijkerwijs nodig heeft om – indien nodig – een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens c.q. de Toezichthouder en eventueel Betrokkene(n).
2. Indien zich een datalek heeft voorgedaan, dient Verwerker in ieder geval informatie te verstrekken over het volgende:
a. de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal Betrokkenen in kwestie;
b. de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie;
c. de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen;
d. de maatregelen die Verwerker heeft getroffen en zal treffen om de inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van de inbreuk.
3. De verantwoordelijkheid voor het doen van de melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) rust op Verwerkingsverantwoordelijke, hetgeen eveneens het geval is voor het (bij)houden van een register van datalekken.
4. Verwerker zal alle maatregelen treffen die nodig zijn om de (mogelijke) schade van een inbreuk op de beveiliging te beperken en zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.
5. Een dergelijke melding door Verwerkingsverantwoordelijke zal niet als tekortkoming in de nakoming van deze Onderhavige bepalingen of Overeenkomst of anderszins als onrechtmatige handeling worden beschouwd.
Datalekken. 5.1 Als er sprake is van een (vermoedelijk) datalek, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. De verwerker streeft erna om dit zo snel mogelijk zonder onredelijke vertraging bij de verwerkingsverantwoordelijke door te geven óf zo snel mogelijk nadat de verwerker daarover door zijn sub-verwerkers is geïnformeerd. De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Verwerker informeert de verwerkingsverantwoordelijke daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de verwerkingsverantwoordelijke tijdig de melding kan doen bij de Autoriteit Persoonsgegevens
5.2 De verwerker voorziet de verwerkingsverantwoordelijke van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n). Voor de duidelijkheid: als er een datalek is bij een leverancier van verwerkingsverantwoordelijke waarvan verwerkingsverantwoordelijke op de hoogte wordt gesteld, dan meldt verwerkingsverantwoordelijke dit uiteraard ook aan de verwerker.
5.3 Alleen de verwerkingsverantwoordelijke is bevoegd tot het doen van meldingen aan de Autoriteit Persoonsgegevens.
5.4 De verwerkingsverantwoordelijke documenteert alle vermoedelijke inbreuken in verband met persoonsgegevens.
5.5 Indien verwerkingsverantwoordelijke een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij verwerkingsverantwoordelijke, terwijl zonder meer voor de verwerker duidelijk is dat bij verwerkingsverantwoordelijke geen sprake is van een datalek dan is de verwerkersverantwoordelijke aansprakelijk voor alle door verwerker geleden schade en kosten. De verwerkingsverantwoordelijke is daarnaast verplicht een dergelijke melding direct in te trekken.
Datalekken. 1. Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van iedere “inbreuk in verband met Persoonsgegevens” als bedoeld in artikel 4 sub 12 AVG2. Zo’n inbreuk wordt hierna: “Datalek” genoemd.
2. Verwerker verschaft Verwerkingsverantwoordelijke tijdig alle informatie die zij bezit en die nodig is om aan de verplichtingen uit artikel 33 AVG3 te voldoen. Verwerker verschaft de betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar formaat.
3. Verwerker stelt de Verwerkingsverantwoordelijke over een Datalek niet op de hoogte indien het aanstonds duidelijk is dat dat Datalek geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien er ruimte is voor twijfel daaromtrent, meldt Verwerker het Datalek wel aan de Verwerkingsverantwoordelijke teneinde deze in staat te stellen omtrent een eventuele melding van het Datalek een eigen oordeel te vormen. Verwerker zal álle inbreuken, ook die niet aan de Verwerkingsverantwoordelijke gemeld hoeven te worden, documenteren en die documentatie eenmaal per kwartaal aan Verwerkingsverantwoordelijke verstrekken.
4. Het is uitsluitend aan Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens en/of aan betreffende betrokkenen.
Datalekken. 6.1 Verwerkingsverantwoordelijke is verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een Datalek aan een toezichthoudende autoriteit en/of Betrokkene(n).
6.2 De Coördinator van Verwerker zal enig Datalek of vrees daarvoor, na ontdekking hiervan door Xxxxxxxxx, zo snel mogelijk rapporteren aan de Coördinator van Verwerkingsverantwoordelijke overeenkomstig de in bijlage 2 opgenomen werkwijze. Verwerker vermeldt hierbij ten minste de in bijlage 2 opgenomen gegevens.
6.3 Verwerker zal op verzoek van Verwerkingsverantwoordelijke meewerken aan het informeren van Xxxxxxxxxxx of de toezichthoudende instanties over het Datalek, en zich beschikbaar houden voor overleg met Verwerkingsverantwoordelijke. Verwerkingsantwoordelijke en Verwerker betrachten strikte geheimhouding jegens ieder ander dan elkaar omtrent het Datalek, eventuele vrees voor een Datalek en verdere gerelateerde zaken. Verwerker publiceert in geen geval informatie over een Datalek zonder de voorgaande expliciete schriftelijke toestemming van en goedkeuring door Verwerkingsverantwoordelijke van de beoogde berichtgeving
Datalekken. 14.1 Indien bij Beheerder of de VvE een datalek heeft plaatsgevonden waarbij het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een (hoog) risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dient de partij waarbij het datalek heeft plaatsgevonden dit binnen 24 uur na ontdekking bij de ander te melden, alsook binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens via haar meldloket.
14.2 Als niet duidelijk is of het datalek bij Beheerder dan wel bij de VvE heeft plaatsgevonden, dan maakt degene onder wiens verantwoording de betreffende Persoonsgegevens vallen melding van het datalek bij de Autoriteit Persoonsgegevens.
14.3 Beheerder en de VvE verlenen elkaar alle informatie en medewerking die is vereist indien sprake is van een datalek en houden elkaar volledig op de hoogte over de voortgang na de melding van het datalek.
14.4 De kosten om het Datalek op te (laten) lossen komen voor de partij waar het datalek heeft plaatsgevonden, dan wel indien daarover onduidelijkheid bestaat, voor de partij onder wiens verantwoording de betreffende Persoonsgegevens vallen.