Common use of Datalekken Clause in Contracts

Datalekken. 5.1 Als er sprake is van een (vermoedelijk) datalek, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. De verwerker streeft erna om dit zo snel mogelijk zonder onredelijke vertraging bij de verwerkingsverantwoordelijke door te geven óf zo snel mogelijk nadat de verwerker daarover door zijn sub-verwerkers is geïnformeerd. De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Verwerker informeert de verwerkingsverantwoordelijke daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de verwerkingsverantwoordelijke tijdig de melding kan doen bij de Autoriteit Persoonsgegevens 5.2 De verwerker voorziet de verwerkingsverantwoordelijke van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n). Voor de duidelijkheid: als er een datalek is bij een leverancier van verwerkingsverantwoordelijke waarvan verwerkingsverantwoordelijke op de hoogte wordt gesteld, dan meldt verwerkingsverantwoordelijke dit uiteraard ook aan de verwerker. 5.3 Alleen de verwerkingsverantwoordelijke is bevoegd tot het doen van meldingen aan de Autoriteit Persoonsgegevens. 5.4 De verwerkingsverantwoordelijke documenteert alle vermoedelijke inbreuken in verband met persoonsgegevens. 5.5 Indien verwerkingsverantwoordelijke een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij verwerkingsverantwoordelijke, terwijl zonder meer voor de verwerker duidelijk is dat bij verwerkingsverantwoordelijke geen sprake is van een datalek dan is de verwerkersverantwoordelijke aansprakelijk voor alle door verwerker geleden schade en kosten. De verwerkingsverantwoordelijke is daarnaast verplicht een dergelijke melding direct in te trekken.

Datalekken. 5.1 Als er sprake is van een (vermoedelijk) datalek, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. De verwerker streeft erna om dit zo snel mogelijk zonder onredelijke vertraging bij de verwerkingsverantwoordelijke door te geven óf zo snel mogelijk nadat de verwerker daarover door zijn sub-verwerkers is geïnformeerd. De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. 6.1 Verwerker informeert de verwerkingsverantwoordelijke daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de verwerkingsverantwoordelijke tijdig de melding kan doen bij de Autoriteit Persoonsgegevens 5.2 De verwerker voorziet de verwerkingsverantwoordelijke van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n). Voor de duidelijkheid: als er een datalek is bij een leverancier van verwerkingsverantwoordelijke waarvan verwerkingsverantwoordelijke zal Verwerkingsverantwoordelijke op de hoogte wordt gesteld, dan meldt verwerkingsverantwoordelijke dit uiteraard ook aan de verwerker. 5.3 Alleen de verwerkingsverantwoordelijke is bevoegd tot het doen stellen van meldingen aan de Autoriteit Persoonsgegevens. 5.4 De verwerkingsverantwoordelijke documenteert alle vermoedelijke inbreuken iedere “inbreuk in verband met persoonsgegevens” als bedoeld in artikel 4 sub 12 AVG2. Zo’n inbreuk wordt hierna: “Datalek” genoemd. 5.5 6.2 Verwerker verschaft Verwerkingsverantwoordelijke tijdig alle informatie die zij bezit en die nodig is om aan de verplichtingen uit artikel 33 AVG3 te voldoen. Verwerker verschaft de betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar formaat. 6.3 Verwerker stelt de Verwerkingsverantwoordelijke over een Datalek niet op de hoogte indien het aanstonds duidelijk is dat dat Datalek geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien verwerkingsverantwoordelijke er ruimte is voor twijfel daaromtrent, meldt Verwerker het Datalek wel aan de Verwerkingsverantwoordelijke teneinde deze in staat te stellen omtrent een (voorlopige) eventuele melding verricht van het Datalek een eigen oordeel te vormen. Verwerker zal álle inbreuken, ook die niet aan de Verwerkingsverantwoordelijke gemeld hoeven te worden, 1 Betreffende Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene. 2 inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens; 3 Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit documenteren, en die documentatie eenmaal per kwartaal aan Verwerkingsverantwoordelijke verstrekken. 6.4 Het is uitsluitend aan Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij verwerkingsverantwoordelijke, terwijl zonder meer voor de verwerker duidelijk is dat bij verwerkingsverantwoordelijke geen sprake is van een datalek dan is de verwerkersverantwoordelijke aansprakelijk voor alle door verwerker geleden schade en kosten. De verwerkingsverantwoordelijke is daarnaast verplicht een dergelijke melding direct in te trekkenaan betreffende betrokkenen.

Datalekken. 5.1 Per 1 januari 2016 is de Wbp gewijzigd en geldt een meldplicht bij datalekken. Een datalek houdt in dat sprake is van een inbreuk op de beveiliging van persoonsgegevens. Als er sprake is van een (vermoedelijk) datalekdatalek dient de verantwoordelijke, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan dit zal doorgaans de toezichthouder of betrokkenepraktijkhouder zijn, dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. De verwerker streeft erna om dit zo snel mogelijk zonder onredelijke vertraging bij de verwerkingsverantwoordelijke door te geven óf zo snel mogelijk nadat de verwerker daarover door zijn sub-verwerkers is geïnformeerd. De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Verwerker informeert de verwerkingsverantwoordelijke daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de verwerkingsverantwoordelijke tijdig de melding kan doen bij de Autoriteit Persoonsgegevens 5.2 De verwerker voorziet de verwerkingsverantwoordelijke van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n). Voor de duidelijkheid: als er een datalek is bij een leverancier van verwerkingsverantwoordelijke waarvan verwerkingsverantwoordelijke op de hoogte wordt gesteld, dan meldt verwerkingsverantwoordelijke dit uiteraard ook aan de verwerker. 5.3 Alleen de verwerkingsverantwoordelijke is bevoegd tot het doen van meldingen aan de Autoriteit Persoonsgegevens. 5.4 De verwerkingsverantwoordelijke documenteert alle vermoedelijke inbreuken in verband met persoonsgegevens. 5.5 Indien verwerkingsverantwoordelijke een (voorlopige) melding verricht onverwijld bij de Autoriteit Persoonsgegevens te melden als de kans op nadelige gevolgen aanzienlijk is dan wel de datalek ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Naast het doen van melding bij de Autoriteit Persoonsgegevens moet ook de betrokkene op wie de persoonsgegevens betrekking heeft, dus de patiënt, onverwijld worden geïnformeerd over de datalek als dit waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Er dient uitleg te worden gegeven over de aard van de inbreuk en bij welke instantie meer informatie over de inbreuk kan worden verkregen. Ook dient er advies te worden gegeven over maatregelen die de betrokkene zelf kan nemen om de gevolgen van de inbreuk te beperken. Uitzondering op deze informatieplicht is mogelijk als er passende technische maatregelen ter bescherming van de persoonsgegevens zijn genomen waardoor deze onbegrijpelijk of ontoegankelijk zijn voor degene die geen recht heeft op kennisname van deze gegevens. Indien niet – tijdig – melding wordt gedaan, kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen van de zesde categorie als bedoeld in artikel 23 lid 4 Wetboek van Strafrecht. Dit komt neer op een boete van ten hoogste € 810.000,-. Belangrijker is echter om datalekken te voorkomen door persoonsgegevens voldoende te beveiligen en daartoe de nodige maatregelen te nemen. Als bij de verwerking van persoonsgegevens een bewerker, dat wil zeggen een ander die ten behoeve van de verantwoordelijke zonder aan diens rechtstreeks gezag te zijn onderworpen, wordt ingeschakeld, dient erop bedacht te zijn dat schriftelijk wordt overeengekomen dat een datalek onverwijld aan de verantwoordelijke wordt gemeld of dat de bewerker direct tot melding overgaat zodat niet onnodig tijd verloren gaat. Ook is het van belang om met de bewerker af te spreken dat passende en technische beveiligingsmaatregelen worden genomen ter voorkoming van verlies en/of de betrokkene(n) over een datalek bij verwerkingsverantwoordelijke, terwijl zonder meer voor de verwerker duidelijk is dat bij verwerkingsverantwoordelijke geen sprake is onrechtmatige verwerking van een datalek dan is de verwerkersverantwoordelijke aansprakelijk voor alle door verwerker geleden schade en kosten. De verwerkingsverantwoordelijke is daarnaast verplicht een dergelijke melding direct in te trekkenpersoonsgegevens.

Datalekken. 5.1 Als er sprake is 6.1Verwerker zal de contactpersoon van een (vermoedelijk) datalekVerwerkingsverantwoordelijke zo spoedig mogelijk, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. De verwerker streeft erna om dit zo snel mogelijk zonder onredelijke vertraging bij de verwerkingsverantwoordelijke door te geven óf zo snel mogelijk nadat de verwerker daarover door zijn sub-verwerkers is geïnformeerd. De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 in elk geval binnen 24 uur na ontdekking. Verwerker informeert de verwerkingsverantwoordelijke daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de verwerkingsverantwoordelijke tijdig de melding kan doen bij de Autoriteit Persoonsgegevens 5.2 De verwerker voorziet de verwerkingsverantwoordelijke van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n). Voor de duidelijkheid: als er een datalek is bij een leverancier van verwerkingsverantwoordelijke waarvan verwerkingsverantwoordelijke op de hoogte wordt gesteld, dan meldt verwerkingsverantwoordelijke dit uiteraard ook aan de verwerker. 5.3 Alleen de verwerkingsverantwoordelijke is bevoegd tot het doen van meldingen aan de Autoriteit Persoonsgegevens. 5.4 De verwerkingsverantwoordelijke documenteert informeren over alle vermoedelijke (vermoedelijke) inbreuken in verband met persoonsgegevens. 5.5 Indien verwerkingsverantwoordelijke persoonsgegevens (‘Datalek’). De melding van een (voorlopige) melding verricht Datalek wordt gedaan aan de contactpersoon van Verwerkingsverantwoordelijke. 6.2Bij een Datalek treft Verwerker direct herstelmaatregelen. Verwerker verleent volledige medewerking aan Verwerkingsverantwoordelijke bij het tot stand brengen en het uitvoeren van een responseplan. Verwerker zal Verwerkingsverantwoordelijke bijstand verlenen bij het adequaat informeren van de betrokken individuen en de toezichthouder(s). 6.3Verwerker voorziet Verwerkingsverantwoordelijke bij de Autoriteit Persoonsgegevens melding van alle relevante informatie, waaronder in ieder geval over a) de aard van het Datalek, b) de (mogelijk) getroffen persoonsgegevens, c) de geconstateerde en de vermoedelijke gevolgen van het Datalek, en d) de maatregelen die getroffen zijn of zullen worden om het Datalek op te lossen dan wel de gevolgen/of schade zoveel mogelijk te beperken. Als het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de betrokkene(ninformatie zonder onredelijke vertraging in stappen worden verstrekt. 6.4Verwerker houdt in haar administratie Datalekken van Verwerkingsverantwoordelijke en de getroffen maatregelen bij en geeft Verwerkingsverantwoordelijke daar op verzoek inzage in. Artikel 7Inschakelen van derden 7.1Verwerker mag alleen derden (‘Subverwerkers’) over een datalek bij verwerkingsverantwoordelijkede verwerking inschakelen met voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Dit geldt ook voor beoogde veranderingen van Subverwerkers, terwijl zonder meer waarbij Verwerkingsverantwoordelijke haar goedkeuring niet op onredelijke gronden zal onthouden. 7.2Verwerker blijft volledig verantwoordelijk en aansprakelijk tegenover Verwerkingsverantwoordelijke voor de verwerker duidelijk naleving van de bepalingen uit deze Verwerkersovereenkomst door de Subverwerker. 7.3Verwerker draagt er zorg voor dat Subverwerkers contractueel gebonden zijn aan dezelfde verplichtingen inzake persoonsgegevensbescherming als die waaraan Xxxxxxxxx op grond van de Verwerkersovereenkomst gebonden is, met name aan de verplichting met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de verwerking aan de wettelijke vereisten voldoet en blijft voldoen. 7.4Verwerker stelt aan Verwerkingsverantwoordelijke, op haar verzoek, alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen uit dit artikel aan te tonen. Verwerker zal Verwerkingsverantwoordelijke desgevraagd inzage verlenen in de relevante delen van met de Subverwerkers gesloten overeenkomsten. Voor zover Verwerkingsverantwoordelijke dat bij verwerkingsverantwoordelijke geen sprake is noodzakelijk acht, kan zij wijzigingen voorstellen. Verwerker zal de voorgestelde wijzigingen doorvoeren als dit redelijkerwijs van een datalek dan is de verwerkersverantwoordelijke aansprakelijk voor alle door verwerker geleden schade en kosten. De verwerkingsverantwoordelijke is daarnaast verplicht een dergelijke melding direct in te trekkenVerwerker kan worden gevraagd.

Datalekken. 5.1 Als er sprake is van een (vermoedelijk) datalek, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. De verwerker streeft erna om dit zo snel mogelijk 4.1 Verwerker zal Verwerkingsverantwoordelijke zonder onredelijke vertraging bij de verwerkingsverantwoordelijke door te geven óf zo snel mogelijk nadat de verwerker daarover door zijn sub-verwerkers is geïnformeerd. De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 vertraging, maar in ieder geval binnen 24 uur na ontdekking. Verwerker informeert de verwerkingsverantwoordelijke daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de verwerkingsverantwoordelijke tijdig de melding kan doen bij de Autoriteit Persoonsgegevens 5.2 De verwerker voorziet de verwerkingsverantwoordelijke van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n). Voor de duidelijkheid: als er een datalek is bij een leverancier van verwerkingsverantwoordelijke waarvan verwerkingsverantwoordelijke op de hoogte wordt gesteld, dan meldt verwerkingsverantwoordelijke dit uiteraard ook aan de verwerker. 5.3 Alleen de verwerkingsverantwoordelijke is bevoegd tot het doen stellen van meldingen aan de Autoriteit Persoonsgegevens. 5.4 De verwerkingsverantwoordelijke documenteert alle vermoedelijke inbreuken iedere “inbreuk in verband met persoonsgegevens” als bedoeld in artikel 4 sub 12 AVG. Zo’n inbreuk wordt hierna: “Datalek” genoemd. 5.5 4.2 Verwerker verschaft Verwerkingsverantwoordelijke zonder onredelijke vertraging van alle informatie die zij bezit en die nodig is om aan de verplichtingen uit artikel 33 AVG te voldoen en zal alle door verantwoordelijke verzochte medewerking zal verlenen. Verwerker verschaft de betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar formaat. Verder zal Verwerker Verwerkingsverantwoordelijke op de hoogte houden van eventuele nieuwe ontwikkelingen rond het Datalek evenals alle redelijke maatregelen nemen teneinde het Datalek te verhelpen en de (mogelijke) gevolgen daarvan zo veel mogelijk te beperken. Verwerker zal tevens die maatregelen treffen die noodzakelijk zijn om een herhaling van het Datalek te voorkomen. 4.3 Verwerker stelt de Verwerkingsverantwoordelijke over een Datalek niet op de hoogte indien het volkomen duidelijk is dat dat Datalek geen enkel risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien verwerkingsverantwoordelijke er ruimte is voor twijfel daaromtrent, meldt Verwerker het Datalek wel aan de Verwerkingsverantwoordelijke teneinde deze in staat te stellen omtrent een (voorlopige) eventuele melding verricht van het Datalek een eigen oordeel te vormen. Verwerker zal álle inbreuken, ook die niet aan de Verwerkingsverantwoordelijke gemeld hoeven te worden, documenteren, en die documentatie eenmaal per kwartaal aan Verwerkingsverantwoordelijke verstrekken of eerder wanneer Verwerkingsverantwoordelijke daar om verzoekt. De documentatie bevat minimaal de informatie zoals bedoeld in Bijlage 4. 4.4 Het is uitsluitend aan Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens bevoegde autoriteit en/of de betrokkene(n) over een datalek bij verwerkingsverantwoordelijke, terwijl zonder meer voor de verwerker duidelijk is dat bij verwerkingsverantwoordelijke geen sprake is van een datalek dan is de verwerkersverantwoordelijke aansprakelijk voor alle door verwerker geleden schade en kosten. De verwerkingsverantwoordelijke is daarnaast verplicht een dergelijke melding direct in te trekkenaan betreffende betrokkenen.

Datalekken. 5.1 Als er sprake is 1. Xxxxxxxxx heeft een passend beleid voor de omgang met Datalekken. Op verzoek van Verantwoordelijke geeft Verwerker passende informatie over het door Verwerker ingerichte beleid. 2. Indien Verwerker een (vermoedelijk) datalekDatalek vaststelt, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. De verwerker streeft erna om dit zo snel mogelijk zal deze Verantwoordelijke daarover zonder onredelijke vertraging bij de verwerkingsverantwoordelijke door te geven óf zo snel mogelijk nadat de verwerker daarover door zijn sub-verwerkers is geïnformeerd. De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uiterlijk binnen 24 uur na ontdekkingkennisneming informeren. Verwerker verstrekt ingeval van een Datalek alle relevante informatie aan Verantwoordelijke met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek en de maatregelen die Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen. 3. Verwerker informeert Verantwoordelijke onverwijld indien de verwerkingsverantwoordelijke daarom inbreuk op de beveiliging waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34 lid 1, AVG. 4. Xxxxxxxxx stelt bij een Datalek Verantwoordelijke in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Partijen nemen zo snel mogelijkspoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, uiterlijk binnen 48 uur na en meer in het ontdekken bijzonder (verdere) schending van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, te voorkomen of te beperken. 5. In geval van een datalekDatalek, zodat de verwerkingsverantwoordelijke tijdig de melding kan doen bij de Autoriteit Persoonsgegevens 5.2 De verwerker voorziet de verwerkingsverantwoordelijke van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen zal Verantwoordelijke voldoen aan eventuele wettelijke meldingsplichten aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n)Betrokkenen. Voor de duidelijkheid: als er een datalek is bij een leverancier Verwerker onthoudt zich van verwerkingsverantwoordelijke waarvan verwerkingsverantwoordelijke op de hoogte wordt gesteld, dan meldt verwerkingsverantwoordelijke dit uiteraard ook aan de verwerker. 5.3 Alleen de verwerkingsverantwoordelijke is bevoegd tot het doen van meldingen aan de Autoriteit Persoonsgegevensdergelijke meldingen, tenzij Schriftelijk anders is overeengekomen met Verantwoordelijke. 5.4 De verwerkingsverantwoordelijke documenteert alle vermoedelijke inbreuken in verband met persoonsgegevens. 5.5 Indien verwerkingsverantwoordelijke een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij verwerkingsverantwoordelijke, terwijl zonder meer voor de verwerker duidelijk is dat bij verwerkingsverantwoordelijke geen sprake is van een datalek dan is de verwerkersverantwoordelijke aansprakelijk voor alle door verwerker geleden schade en kosten. De verwerkingsverantwoordelijke is daarnaast verplicht een dergelijke melding direct in te trekken.

Datalekken. 5.1 Als er sprake Verwerker is verplicht Verwerkingsverantwoordelijke ter stond schriftelijk te informeren over een inbreuk op de Maatregelen, beveiligingsincidenten en datalekken waarvan kan worden vermoed dat deze inbreuk leidt tot een (risico op) onbevoegd kennisnemen, verlies of onrechtmatige verwerking van de Persoonsgegevens (“Inbreuk”). De in dit lid vermelde kennisgeving aan Verwerkingsverantwoordelijke omvat in ieder geval (i) de aard en de omvang van de Inbreuk (en de getroffen Persoonsgegevens) en (ii) de door Verwerker genomen maatregelen en de nog te nemen maatregelen om de Inbreuk te (doen) beëindigen dan wel door (ongewijzigd) negatieve gevolgen van de Inbreuk te beperken. 5.2 Verwerker zal in geval van een (vermoedelijk) datalek, alsmede andere incidenten die op grond Inbreuk alle instructies van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. De verwerker streeft erna om dit zo snel mogelijk zonder onredelijke vertraging bij de verwerkingsverantwoordelijke door te geven óf zo snel mogelijk nadat de verwerker daarover door zijn sub-verwerkers is geïnformeerd. De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekkingVerwerkingsverantwoordelijke dienaangaande opvolgen. Verwerker informeert de verwerkingsverantwoordelijke daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken zal in geval van een datalek, zodat de verwerkingsverantwoordelijke tijdig de melding kan doen bij de Autoriteit Persoonsgegevens 5.2 De verwerker voorziet de verwerkingsverantwoordelijke Inbreuk meewerken aan het adequaat informeren van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n). Voor de duidelijkheid: als er een datalek is bij een leverancier van verwerkingsverantwoordelijke waarvan verwerkingsverantwoordelijke op de hoogte wordt gesteld, dan meldt verwerkingsverantwoordelijke dit uiteraard ook aan de verwerkerbetrokkenen. 5.3 Alleen De Verwerker doet geen informatie uitgaan over de verwerkingsverantwoordelijke is bevoegd tot het doen Inbreuk zonder schriftelijke toestemming van meldingen aan de Autoriteit PersoonsgegevensVerwerkingsverantwoordelijke. 5.4 De verwerkingsverantwoordelijke documenteert alle vermoedelijke inbreuken in verband met persoonsgegevensPartijen komen uitdrukkelijk overeen dat een Inbreuk wordt aangemerkt als een voldoende zwaarwegende reden voor Verwerkingsverantwoordelijke om de Verwerkersovereenkomst en eventuele andere tussen partijen gesloten overeenkomsten op te zeggen of te ontbinden. 5.5 Indien verwerkingsverantwoordelijke een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens Verwerkingsverantwoordelijke en/of de betrokkene(n) over Verwerker kunnen verplicht zijn een datalek bij verwerkingsverantwoordelijkeInbreuk te melden aan een toezichthouder/autoriteit. Een dergelijke melding zal nimmer als een tekortkoming van deze Verwerkersovereenkomst, terwijl zonder meer voor de verwerker duidelijk is dat bij verwerkingsverantwoordelijke geen sprake is van een datalek dan is de verwerkersverantwoordelijke aansprakelijk voor alle door verwerker geleden schade en kosten. De verwerkingsverantwoordelijke is daarnaast verplicht Onderliggende Overeenkomst of als een dergelijke melding direct in te trekkenonrechtmatige daad worden beschouwd.