Common use of Gegevensbescherming Clause in Contracts

Gegevensbescherming. 15.1 Partijen erkennen dat Securitas in het kader van de uitvoering van de Overeenkomst persoonsgegevens kan verwerken in de zin van de Algemene Verordening Gegevensbescherming (”AVG”) over personen die werkzaam zijn bij Opdrachtgever. Afhankelijk van de aard van de dienstverlening kan Securitas daarbij onder de AVG aangemerkt worden als verantwoordelijke of als verwerker. 15.2 In het geval Securitas zelf het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt (zoals bij mobiele surveillance of meldkamerdienstverlening), geldt dat zij zich bij de verwerking van persoonsgegevens zal houden aan de verplichtingen die de AVG oplegt aan verantwoordelijken. 15.3 In het geval Securitas persoonsgegevens uitsluitend ten behoeve van Opdrachtgever verwerkt en niet zelf het doel en de middelen van de verwerking bepaalt (zoals bij manbewaking en cameradienstverlening), geldt dat Opdrachtgever er als verantwoordelijke voor instaat dat sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens, en zal Securitas zich bij de verwerking van persoonsgegevens houden aan de verplichtingen die de AVG oplegt aan verwerkers, de persoonsgegevens uitsluitend verwerken op basis van de instructies van Opdrachtgever en zich bij de verwerking van persoonsgegevens houden aan de verplichtingen uit deze bepaling, die op grond van de AVG bij de inschakeling van een verwerker in een overeenkomst moeten worden vastgelegd. 15.4 Securitas zal technische, fysieke en organisatorische maatregelen implementeren, om de persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang en tegen alle andere vormen van onrechtmatige verwerking. Deze maatregelen zullen onder andere bestaan uit fysieke beveiliging, toegangsbeveiliging, pseudonimisering en versleuteling, logging en controle, correcte verwerking in toepassingssystemen, beheer van incidenten en technische kwetsbaarheden, continuïteitsbeheer en de afhandeling van datalekken, en zullen een adequaat beschermingsniveau verzekeren, gelet op de risico’s die de verwerking en de aard van te beschermen persoonsgegevens meebrengen. 15.5 Indien Securitas een sub-verwerker inschakelt, legt zij deze in een schriftelijke overeenkomst in elk geval de verplichtingen op waaraan zij zelf als verwerker gehouden is jegens Opdrachtgever. 15.6 Securitas verleent medewerking aan Opdrachtgever voor het naleven van zijn verplichtingen op grond van de AVG. In het bijzonder zal Securitas Opdrachtgever redelijkerwijs ondersteunen in het nakomen van zijn verplichtingen (i) om verzoeken te beantwoorden van personen die hun rechten uitoefenen onder de AVG en (ii) met betrekking tot de beveiliging van de verwerking van de persoonsgegevens, (iii) de melding van datalekken aan de bevoegde autoriteiten en de betrokkenen, (iv) een mogelijk vereiste gegevensbeschermingseffectbeoordeling en (v) voorafgaande raadpleging van de bevoegde toezichthouder. 15.7 Securitas zal Opdrachtgever onverwijld op de hoogte stellen van inbreuken op de beveiliging die persoonsgegevens van Opdrachtgever betreffen, inclusief alle informatie betreffende de feiten en omstandigheden van de inbreuk in verband met persoonsgegevens, en de informatie die Opdrachtgever nodig heeft om inzicht te krijgen in de (mogelijke) gevolgen van een dergelijke inbreuk en deze zoveel mogelijk te beperken. 15.8 De Opdrachtgever mag maximaal 1 maal per jaar een audit (doen) uitvoeren bij Securitas om de naleving van de in deze bepaling neergelegde verplichtingen te toetsen. Op verzoek van Opdrachtgever stelt Securitas alle informatie ter beschikking die hiertoe nodig is. De kosten van dergelijke verzoeken of audits zijn voor rekening van Opdrachtgever. 15.9 Op verzoek van Opdrachtgever zal Securitas de persoonsgegevens verwijderen of vernietigen, tenzij op Securitas een wettelijke verplichting rust om de persoonsgegevens te blijven verwerken.

Gegevensbescherming. 15.1 Partijen erkennen dat Securitas Norstat kan in het kader van een opdracht aan Klant persoonsgegevens van respondenten verstrekken die aan een specifiek onderzoek deelnemen, zullen deelnemen of hebben deelgenomen. Het is Klant niet toegestaan die persoonsgegevens te gebruiken anders dan in het strikte kader van dat specifieke onderzoek, noch om die persoonsgegevens te delen met derden. Klant is in het kader van dat gebruik de uitvoering van de Overeenkomst persoonsgegevens kan verwerken verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (”AVG”) over personen die werkzaam zijn bij Opdrachtgeververordening gegevensbescherming. Afhankelijk Klant draagt er zorg voor dat de persoonsgegevens niet voor andere doelen dan het betreffende onderzoek worden gebruikt, dat de persoonsgegevens niet direct of indirect ter beschikking komen van derden, met uitzondering van de aard eventuele opdrachtgever van Klant, en dat de dienstverlening kan Securitas daarbij onder de AVG aangemerkt persoonsgegevens direct na ge- bruik in het kader van het onderzoek worden als verantwoordelijke of als verwerker. 15.2 In het geval Securitas zelf het doel van en de middelen vernietigd. De wettelijke grondslag voor de verwerking van de persoonsgegevens bepaalt (zoals bij mobiele surveillance die door Norstat aan Klant wor- den verstrekt is het gerechtvaardigd belang van Norstat en Klant, of, waar de wet dat voorschrijft, de toestemming van de betrokkene. Klant dient alle noodzakelijke technische en organisatorische veiligheidsmaatregelen te nemen om ervoor te zorgen dat persoonsgegevens niet per ongeluk of meldkamerdienstverlening)onrechtmatig worden vernietigd, geldt verloren gaan, beschadigd raken, ter kennis van onbevoegde derden worden gebracht, worden misbruikt of anderszins worden verwerkt op een manier die in strijd is met de wet. Klant dient in dat zij zich bij de verwerking kader zorg te dragen voor: 6.3.1. inlog- en wachtwoordprocedures en het instellen en onderhouden van persoonsgegevens zal houden aan de verplichtingen die de AVG oplegt aan verantwoordelijkeneen firewall en antivirussoftware. 15.3 In het geval Securitas persoonsgegevens uitsluitend ten behoeve van Opdrachtgever verwerkt en niet zelf het 6.3.2. procedures waardoor alleen werknemers met een noodzakelijk doel en de middelen van de verwerking bepaalt (zoals bij manbewaking en cameradienstverlening), geldt dat Opdrachtgever er als verantwoordelijke voor instaat dat sprake is van een rechtmatige grondslag voor het verwerken van toegang hebben tot de persoonsgegevens, en zal Securitas zich bij de verwerking van persoonsgegevens houden aan de verplichtingen die de AVG oplegt aan verwerkers, de persoonsgegevens uitsluitend verwerken op basis van de instructies van Opdrachtgever en zich bij de verwerking van persoonsgegevens houden aan de verplichtingen uit deze bepaling, die op grond van de AVG bij de inschakeling van een verwerker in een overeenkomst moeten worden vastgelegd. 15.4 Securitas zal technische, fysieke en organisatorische maatregelen implementeren, 6.3.3. procedures die verzekeren dat medewerkers die geautoriseerd zijn om de persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking verwerken zich hebben verplicht tot geheimhouding of ongeoorloofde toegang een passende wettelijke geheimhoudingsplicht hebben. 6.3.4. beveiligde opslag van gegevensdragers zodat deze niet toegankelijk zijn voor derden. 6.3.5. beveiliging van gebouwen en tegen alle andere vormen van onrechtmatige verwerking. Deze maatregelen zullen onder andere bestaan uit fysieke beveiliging, toegangsbeveiliging, pseudonimisering en versleuteling, logging en controle, correcte verwerking in toepassingssystemen, beheer van incidenten en technische kwetsbaarheden, continuïteitsbeheer en de afhandeling van datalekkensystemen die worden gebruikt bij gegevensverwerking, en zullen een adequaat beschermingsniveau verzekeren, gelet op de risico’s het gebruik van alleen hoogwaardige hardware en software die de verwerking en de aard van te beschermen persoonsgegevens meebrengenregelmatig wordt bijgewerkt. 15.5 Indien Securitas een sub-verwerker inschakelt, legt zij deze 6.3.6. veilige vernietiging van persoonsgegevens in een schriftelijke overeenkomst in elk geval overeenstemming met de verplichtingen op waaraan zij zelf als verwerker gehouden is jegens Opdrachtgeverwettelijke vereisten binnen zes maanden na verstrekking door Norstat. 15.6 Securitas verleent medewerking aan Opdrachtgever 6.3.7. een goede opleiding en adequate instructies en richtlijnen voor het naleven van zijn verplichtingen op grond van de AVG. In het bijzonder zal Securitas Opdrachtgever redelijkerwijs ondersteunen in het nakomen van zijn verplichtingen (i) om verzoeken te beantwoorden van personen die hun rechten uitoefenen onder de AVG en (ii) met betrekking tot de beveiliging van werknemers over de verwerking van de persoonsgegevens, (iii) en bekendheid van werknemers met de melding beveiligingseisen. Klant beoordeelt voortdurend de technische en organisatorische maatregelen voor de bescherming van datalekken aan persoonsgegevens, in overeenstemming met de bevoegde autoriteiten en de betrokkenen, (iv) toepasselijke wetgeving inzake gegevensbescherming. Als Klant persoonsgegevens verwerkt in een mogelijk vereiste gegevensbeschermingseffectbeoordeling en (v) voorafgaande raadpleging van de bevoegde toezichthouder. 15.7 Securitas zal Opdrachtgever onverwijld andere EU/EER-lidstaat dan Nederland moet Klant alle wetgeving met betrekking tot beveiligingsmaatregelen in die lidstaat naleven. Klant dient Norstat onmiddellijk op de hoogte stellen te brengen van een vermoeden dat de regels voor ge- gevensbescherming zijn geschonden of van andere onregelmatigheden in verband met de verwerking van de persoonsgegevens. In het geval van inbreuken op de beveiliging die persoonsgegevens van Opdrachtgever betreffen, inclusief alle informatie betreffende de feiten en omstandigheden informeert Klant Norstat zo snel mogelijk na het ontdekken van de inbreuk in verband met persoonsgegevens, en de informatie die Opdrachtgever nodig heeft om inzicht te krijgen in de (mogelijke) gevolgen van een dergelijke inbreuk en deze zoveel mogelijk te beperken. 15.8 De Opdrachtgever mag maximaal 1 maal per jaar een audit (doen) uitvoeren bij Securitas om de naleving van de in deze bepaling neergelegde verplichtingen te toetseninbreuk. Op verzoek van Opdrachtgever stelt Securitas alle informatie ter beschikking die hiertoe nodig is. De kosten Norstat assisteert Klant bij het ophelderen van dergelijke verzoeken of audits zijn voor rekening van Opdrachtgeverde inbreuk op de beveiliging, bij rapportage aan de relevante gegevensbeschermingsautoriteit(en) en de betrokkenen. 15.9 Op verzoek van Opdrachtgever zal Securitas de persoonsgegevens verwijderen of vernietigen, tenzij op Securitas een wettelijke verplichting rust om de persoonsgegevens te blijven verwerken.

Gegevensbescherming. 15.1 Partijen erkennen dat Securitas in In het kader van deze overheidsopdracht mag de uitvoering aanbestedende overheid uitsluitend een beroep doen op opdrachtnemers die afdoende garanties bieden met betrekking tot de bescherming van de Overeenkomst persoonsgegevens kan verwerken persoonlijke levenssfeer. De opdrachtnemers verbinden er zich toe de geldende reglementering in de zin van de Algemene Verordening Gegevensbescherming (”AVG”) over personen die werkzaam zijn bij Opdrachtgever. Afhankelijk van de aard van de dienstverlening kan Securitas daarbij onder de AVG aangemerkt worden als verantwoordelijke of als verwerker. 15.2 In het geval Securitas zelf het doel van en de middelen voor verband met de verwerking van persoonsgegevens bepaalt na te leven, en in het bijzonder de verordening (zoals bij mobiele surveillance EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (hierna ‘Algemene Verordening Gegevensbescherming’ – AVG of meldkamerdienstverlening‘General Data Protection Regulation’ – GDPR), geldt dat zij zich bij . Het gaat meer in het bijzonder over ‘het toepassen van passende technische en organisatorische beveiligingsmaatregelen opdat de verwerking van persoonsgegevens zal houden aan de verplichtingen die de AVG oplegt aan verantwoordelijken. 15.3 In het geval Securitas persoonsgegevens uitsluitend ten behoeve vereisten van Opdrachtgever verwerkt en niet zelf het doel deze verordening voldoet en de middelen bescherming van de verwerking bepaalt (zoals bij manbewaking en cameradienstverlening), geldt dat Opdrachtgever er als verantwoordelijke voor instaat dat sprake rechten van de betrokkene is gewaarborgd’. In Deel 3 - bijlage 6 wordt een voorbeeld gevoegd van een rechtmatige grondslag voor het verwerken van overeenkomst. Deze wordt door de persoonsgegevensondernemer aan wie de opdracht wordt gegund, aangepast en zal Securitas zich bij gepreciseerd volgens de verwerking van persoonsgegevens houden aan de verplichtingen die de AVG oplegt aan verwerkers, de persoonsgegevens uitsluitend verwerken betrokken verwerkingsprestatie en op basis van de instructies concrete verplichtingen en wordt, na akkoord van Opdrachtgever de aanbestedende overheid, ondertekend en zich bij de verwerking offerte gevoegd. Deze overeenkomst heeft tot doel de voorwaarden vast te leggen waaronder de opdrachtnemer zich verbindt om voor rekening van de aanbestedende overheid de persoonsgegevens houden aan te verwerken. Overeenkomstig deze instructies en de verplichtingen uit deze bepaling, die op grond bepalingen van de AVG bij de inschakeling van een verwerker (of GDPR) moet in een deze overeenkomst moeten het volgende worden vastgelegd. 15.4 Securitas zal technische, fysieke en organisatorische maatregelen implementeren, om de persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang en tegen alle andere vormen van onrechtmatige verwerking. Deze maatregelen zullen onder andere bestaan uit fysieke beveiliging, toegangsbeveiliging, pseudonimisering en versleuteling, logging en controle, correcte verwerking in toepassingssystemen, beheer van incidenten en technische kwetsbaarheden, continuïteitsbeheer omschreven: - het onderwerp en de afhandeling duur van datalekken, de verwerking; - de aard en zullen een adequaat beschermingsniveau verzekeren, gelet op het doel van de risico’s die de verwerking verwerking; - het soort persoonsgegevens en de aard categorieën van te beschermen persoonsgegevens meebrengen. 15.5 Indien Securitas betrokkenen; - de rechten en verplichtingen van de verwerker (opdrachtnemer) en verwerkingsverantwoordelijke (aanbestedende overheid). Wanneer de opdrachtnemer een sub-verwerker onderaannemer inschakelt, legt zij moet tussen de opdrachtnemer en de onderaannemer een identieke overeenkomst worden opgesteld als deze in een schriftelijke overeenkomst in elk geval die tot stand kwam tussen de verplichtingen op waaraan zij zelf als verwerker gehouden is jegens Opdrachtgever. 15.6 Securitas verleent medewerking aan Opdrachtgever voor het naleven van opdrachtnemer en de onderaannemer. Wanneer de onderaannemer zijn verplichtingen op grond inzake gegevensbescherming niet nakomt, blijft de opdrachtnemer ten aanzien van de AVG. In het bijzonder zal Securitas Opdrachtgever redelijkerwijs ondersteunen in aanbestedende overheid volledig aansprakelijk voor het nakomen van zijn verplichtingen (i) om verzoeken te beantwoorden van personen die hun rechten uitoefenen onder de AVG en (ii) verplichtingen. De hierboven gestelde eisen worden als substantieel beschouwd. Indien geen verwerkersovereenkomst wordt gesloten met betrekking tot de beveiliging van hoogst gerangschikte opdrachtnemer, wordt de verwerking van de persoonsgegevens, (iii) de melding van datalekken aan de bevoegde autoriteiten en de betrokkenen, (iv) een mogelijk vereiste gegevensbeschermingseffectbeoordeling en (v) voorafgaande raadpleging van de bevoegde toezichthouder. 15.7 Securitas zal Opdrachtgever onverwijld op de hoogte stellen van inbreuken op de beveiliging die persoonsgegevens van Opdrachtgever betreffen, inclusief alle informatie betreffende de feiten en omstandigheden van de inbreuk in verband met persoonsgegevensofferte niet aanvaard, en wordt de informatie die Opdrachtgever nodig heeft om inzicht te krijgen tweede gerangschikte gecontacteerd. Onder dezelfde voorwaarden kan vervolgens met de volgende in de (mogelijke) gevolgen van een dergelijke inbreuk en deze zoveel mogelijk te beperkenrangschikking contact worden opgenomen. 15.8 De Opdrachtgever mag maximaal 1 maal per jaar een audit (doen) uitvoeren bij Securitas om de naleving van de in deze bepaling neergelegde verplichtingen te toetsen. Op verzoek van Opdrachtgever stelt Securitas alle informatie ter beschikking die hiertoe nodig is. De kosten van dergelijke verzoeken of audits zijn voor rekening van Opdrachtgever. 15.9 Op verzoek van Opdrachtgever zal Securitas de persoonsgegevens verwijderen of vernietigen, tenzij op Securitas een wettelijke verplichting rust om de persoonsgegevens te blijven verwerken.

Gegevensbescherming. 15.1 Partijen erkennen dat Securitas 11.1 Ingeval de Afnemer, in het kader de loop van de uitvoering van het desbetreffende contract, van MBS of op andere wijze persoonlijke gegevens ontvangt met betrekking tot werknemers van MBS (hierna “Persoonsgegevens” genoemd), zijn de Overeenkomst persoonsgegevens kan verwerken in de zin volgende bepalingen van de Algemene Verordening Gegevensbescherming (”AVG”) over personen die werkzaam zijn bij Opdrachtgever. Afhankelijk van de aard van de dienstverlening kan Securitas daarbij onder de AVG aangemerkt worden als verantwoordelijke of als verwerkertoepassing. 15.2 In het geval Securitas zelf het doel van en de middelen voor 11.2 Indien de verwerking van persoonsgegevens bepaalt Persoonsgegevens, die op voornoemde wijze werden verstrekt, niet wordt uitgevoerd namens MBS, heeft de Afnemer enkel het recht om Persoonsgegevens te verwerken voor de uitvoering van het desbetreffende contract. Behoudens toegestaan door de toepasselijke wetgeving, zal Afnemer deze Persoonsgegevens voor geen andere doeleinden verwerken, in het bijzonder Persoonsgegevens aan derden verstrekken en/of deze gegevens analyseren voor zijn eigen doeleinden en/of een profiel opstellen. 11.3 Indien en voor zover toegestaan door de toepasselijke wetgeving, heeft de Afnemer het recht om de Persoonsgegevens verder te verwerken, in het bijzonder om Persoonsgegevens door te geven aan zijn verbonden ondernemingen met het oog op het uitvoeren van het desbetreffende contract. 11.4 De Afnemer staat ervoor in dat Persoonsgegevens enkel toegankelijk zijn voor zijn werknemers, indien en voor zover deze werknemers toegang nodig hebben voor de uitvoering van het desbetreffende contract (zoals bij mobiele surveillance need-to-know- principle). 11.5 De Afnemer zal zijn interne organisatie zodanig structureren dat wordt voldaan aan de eisen van de wetgeving inzake gegevensbescherming. De Afnemer zal in het bijzonder passende technische en organisatorische maatregelen treffen om een op het risico van misbruik en verlies van Persoonsgegevens afgestemd beveiligingsniveau te waarborgen. 11.6 De Afnemer verkrijgt geen eigendom van of meldkamerdienstverlening)andere eigendomsrechten op de Persoonsgegevens en is volgens de toepasselijke wetgeving verplicht, geldt dat zij zich bij om de verwerking van persoonsgegevens zal houden aan de verplichtingen die de AVG oplegt aan verantwoordelijken. 15.3 In het geval Securitas persoonsgegevens uitsluitend ten behoeve van Opdrachtgever verwerkt en niet zelf het doel en de middelen Persoonsgegevens te rectificeren, te wissen en/of te beperken. Elk retentierecht van de verwerking bepaalt (zoals bij manbewaking en cameradienstverlening), geldt dat Opdrachtgever er als verantwoordelijke voor instaat dat sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens, en zal Securitas zich bij de verwerking van persoonsgegevens houden aan de verplichtingen die de AVG oplegt aan verwerkers, de persoonsgegevens uitsluitend verwerken op basis van de instructies van Opdrachtgever en zich bij de verwerking van persoonsgegevens houden aan de verplichtingen uit deze bepaling, die op grond van de AVG bij de inschakeling van een verwerker in een overeenkomst moeten worden vastgelegd. 15.4 Securitas zal technische, fysieke en organisatorische maatregelen implementeren, om de persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang en tegen alle andere vormen van onrechtmatige verwerking. Deze maatregelen zullen onder andere bestaan uit fysieke beveiliging, toegangsbeveiliging, pseudonimisering en versleuteling, logging en controle, correcte verwerking in toepassingssystemen, beheer van incidenten en technische kwetsbaarheden, continuïteitsbeheer en de afhandeling van datalekken, en zullen een adequaat beschermingsniveau verzekeren, gelet op de risico’s die de verwerking en de aard van te beschermen persoonsgegevens meebrengen. 15.5 Indien Securitas een sub-verwerker inschakelt, legt zij deze in een schriftelijke overeenkomst in elk geval de verplichtingen op waaraan zij zelf als verwerker gehouden is jegens Opdrachtgever. 15.6 Securitas verleent medewerking aan Opdrachtgever voor het naleven van zijn verplichtingen op grond van de AVG. In het bijzonder zal Securitas Opdrachtgever redelijkerwijs ondersteunen in het nakomen van zijn verplichtingen (i) om verzoeken te beantwoorden van personen die hun rechten uitoefenen onder de AVG en (ii) Afnemer met betrekking tot de beveiliging van de verwerking van de persoonsgegevens, (iii) de melding van datalekken aan de bevoegde autoriteiten en de betrokkenen, (iv) een mogelijk vereiste gegevensbeschermingseffectbeoordeling en (v) voorafgaande raadpleging van de bevoegde toezichthouderPersoonsgegevens is uitgesloten. 15.7 Securitas 11.7 Naast zijn wettelijke verplichtingen zal Opdrachtgever onverwijld de Afnemer, in geval van een inbreuk op Persoonsgegevens, in het bijzonder bij verlies, onverwijld, doch uiterlijk binnen 24 uur na hiervan kennis te hebben genomen, MBS hiervan in kennis stellen. Bij beëindiging of afloop van het desbetreffende contract zal Afnemer, volgens de hoogte stellen van inbreuken op toepasselijke wetgeving, de beveiliging die persoonsgegevens van Opdrachtgever betreffen, Persoonsgegevens inclusief alle informatie betreffende de feiten en omstandigheden van de inbreuk in verband met persoonsgegevens, en de informatie die Opdrachtgever nodig heeft om inzicht te krijgen in de (mogelijke) gevolgen van een dergelijke inbreuk en deze zoveel mogelijk te beperkenkopieën ervan wissen. 15.8 De Opdrachtgever mag maximaal 1 maal per jaar een audit (doen) uitvoeren bij Securitas om de naleving van de in deze bepaling neergelegde verplichtingen te toetsen. Op verzoek van Opdrachtgever stelt Securitas alle informatie ter beschikking die hiertoe nodig is. De kosten van dergelijke verzoeken of audits zijn voor rekening van Opdrachtgever. 15.9 Op verzoek van Opdrachtgever zal Securitas de persoonsgegevens verwijderen of vernietigen, tenzij op Securitas een wettelijke verplichting rust om de persoonsgegevens te blijven verwerken.

Gegevensbescherming. 15.1 16.1. Partijen erkennen dat Securitas RJS totaalbouw & renovatie in het kader van de uitvoering van de Overeenkomst persoonsgegevens kan verwerken in de zin van de Algemene Verordening Gegevensbescherming (”AVG”) over personen die werkzaam zijn bij Opdrachtgever. Afhankelijk van de aard van de dienstverlening kan Securitas RJS totaalbouw & renovatie daarbij onder de AVG aangemerkt worden als verantwoordelijke of als verwerker. 15.2 16.2. In het geval Securitas RJS totaalbouw & renovatie zelf het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt (zoals bij mobiele surveillance of meldkamerdienstverlening), geldt dat zij zich bij de verwerking van persoonsgegevens zal houden aan de verplichtingen die de AVG oplegt aan verantwoordelijken. 15.3 16.3. In het geval Securitas RJS totaalbouw & renovatie persoonsgegevens uitsluitend ten behoeve van Opdrachtgever verwerkt en niet zelf het doel en de middelen van de verwerking bepaalt (zoals bij manbewaking en cameradienstverlening), geldt dat Opdrachtgever er als verantwoordelijke voor instaat dat sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens, en zal Securitas RJS totaalbouw & renovatie zich bij de verwerking van persoonsgegevens houden aan de verplichtingen die de AVG oplegt aan verwerkers, de persoonsgegevens uitsluitend verwerken op basis van de instructies van Opdrachtgever en zich bij de verwerking van persoonsgegevens houden aan de verplichtingen uit deze bepaling, die op grond van de AVG bij de inschakeling van een verwerker in een overeenkomst moeten worden vastgelegd. 15.4 Securitas 16.4. RJS totaalbouw & renovatie zal technische, fysieke en organisatorische maatregelen implementeren, om de persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang en tegen alle andere vormen van onrechtmatige verwerking. Deze maatregelen zullen onder andere bestaan uit fysieke beveiliging, toegangsbeveiliging, pseudonimisering en versleuteling, logging en controle, correcte verwerking in toepassingssystemen, beheer van incidenten en technische kwetsbaarheden, continuïteitsbeheer en de afhandeling van datalekken, en zullen een adequaat beschermingsniveau verzekeren, gelet op de risico’s die de verwerking en de aard van te beschermen persoonsgegevens meebrengen. 15.5 16.5. Indien Securitas RJS totaalbouw & renovatie een sub-verwerker inschakelt, legt zij deze in een schriftelijke overeenkomst in elk geval de verplichtingen op waaraan zij zelf als verwerker gehouden is jegens Opdrachtgever. 15.6 Securitas verleent medewerking aan Opdrachtgever voor het naleven van zijn verplichtingen op grond van de AVG. In het bijzonder zal Securitas Opdrachtgever redelijkerwijs ondersteunen in het nakomen van zijn verplichtingen (i) om verzoeken te beantwoorden van personen die hun rechten uitoefenen onder de AVG en (ii) met betrekking tot de beveiliging van de verwerking van de persoonsgegevens, (iii) de melding van datalekken aan de bevoegde autoriteiten en de betrokkenen, (iv) een mogelijk vereiste gegevensbeschermingseffectbeoordeling en (v) voorafgaande raadpleging van de bevoegde toezichthouder. 15.7 Securitas zal Opdrachtgever onverwijld op de hoogte stellen van inbreuken op de beveiliging die persoonsgegevens van Opdrachtgever betreffen, inclusief alle informatie betreffende de feiten en omstandigheden van de inbreuk in verband met persoonsgegevens, en de informatie die Opdrachtgever nodig heeft om inzicht te krijgen in de (mogelijke) gevolgen van een dergelijke inbreuk en deze zoveel mogelijk te beperken. 15.8 De Opdrachtgever mag maximaal 1 maal per jaar een audit (doen) uitvoeren bij Securitas om de naleving van de in deze bepaling neergelegde verplichtingen te toetsen. Op verzoek van Opdrachtgever stelt Securitas alle informatie ter beschikking die hiertoe nodig is. De kosten van dergelijke verzoeken of audits zijn voor rekening van Opdrachtgever. 15.9 Op verzoek van Opdrachtgever zal Securitas de persoonsgegevens verwijderen of vernietigen, tenzij op Securitas een wettelijke verplichting rust om de persoonsgegevens te blijven verwerken.

Gegevensbescherming. 15.1 Partijen erkennen dat Securitas in In het kader van deze overheidsopdracht mag de uitvoering aanbestedende overheid uitsluitend een beroep doen op opdrachtnemers die afdoende garanties bieden met betrekking tot de bescherming van de Overeenkomst persoonsgegevens kan verwerken persoonlijke levenssfeer. De opdrachtnemers verbinden er zich toe de geldende reglementering in de zin van de Algemene Verordening Gegevensbescherming (”AVG”) over personen die werkzaam zijn bij Opdrachtgever. Afhankelijk van de aard van de dienstverlening kan Securitas daarbij onder de AVG aangemerkt worden als verantwoordelijke of als verwerker. 15.2 In het geval Securitas zelf het doel van en de middelen voor verband met de verwerking van persoonsgegevens bepaalt na te leven, en in het bijzonder de verordening (zoals EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (hierna ‘Algemene Verordening Gegevensbescherming’ – AVG of ‘General Data Protection Regulation’ – GDPR). Het gaat meer in het bijzonder over ‘het toepassen van passende technische en organisatorische beveiligingsmaatregelen opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd’. De inschrijver voegt bij mobiele surveillance of meldkamerdienstverlening), geldt dat zij zich bij zijn offerte een voorstel van overeenkomst met bepalingen betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, waarin de bepalingen van artikel 28 van de Europese verordening worden opgenomen. Deze overeenkomst heeft tot doel de voorwaarden vast te leggen waaronder de opdrachtnemer zich verbindt om voor rekening van de aanbestedende overheid de persoonsgegevens zal houden aan de verplichtingen die de AVG oplegt aan verantwoordelijken. 15.3 In het geval Securitas persoonsgegevens uitsluitend ten behoeve van Opdrachtgever verwerkt en niet zelf het doel te verwerken. Overeenkomstig deze instructies en de middelen van de verwerking bepaalt (zoals bij manbewaking en cameradienstverlening), geldt dat Opdrachtgever er als verantwoordelijke voor instaat dat sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens, en zal Securitas zich bij de verwerking van persoonsgegevens houden aan de verplichtingen die de AVG oplegt aan verwerkers, de persoonsgegevens uitsluitend verwerken op basis van de instructies van Opdrachtgever en zich bij de verwerking van persoonsgegevens houden aan de verplichtingen uit deze bepaling, die op grond bepalingen van de AVG (of GDPR) moet in deze overeenkomst het volgende worden omschreven: - het onderwerp en de duur van de verwerking; - de aard en het doel van de verwerking; - het soort persoonsgegevens en de categorieën van betrokkenen; - de rechten en verplichtingen van de verwerker (opdrachtnemer) en verwerkingsverantwoordelijke (aanbestedende overheid). Indien de inschrijver dit wenst, kan hij bij de inschakeling aanbestedende overheid een voorbeeld van dergelijke overeenkomst opvragen via xxxxxxx@xxx.xx. Wanneer de opdrachtnemer een verwerker in een overeenkomst moeten worden vastgelegd. 15.4 Securitas zal technischeonderaannemer inschakelt, fysieke en organisatorische maatregelen implementeren, om moet tussen de persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang en tegen alle andere vormen van onrechtmatige verwerking. Deze maatregelen zullen onder andere bestaan uit fysieke beveiliging, toegangsbeveiliging, pseudonimisering en versleuteling, logging en controle, correcte verwerking in toepassingssystemen, beheer van incidenten en technische kwetsbaarheden, continuïteitsbeheer opdrachtnemer en de afhandeling van datalekken, en zullen onderaannemer een adequaat beschermingsniveau verzekeren, gelet op identieke overeenkomst worden opgesteld als deze die tot stand komt tussen de risico’s die de verwerking opdrachtnemer en de aard opdrachtgever. Een kopie van te beschermen persoonsgegevens meebrengen. 15.5 Indien Securitas een sub-verwerker inschakelt, legt zij deze in een schriftelijke overeenkomst in elk geval wordt voor de verplichtingen op waaraan zij zelf als verwerker gehouden is jegens Opdrachtgever. 15.6 Securitas verleent medewerking aanvang van de opdracht aan Opdrachtgever voor het naleven van de aanbestedende overheid bezorgd. Wanneer de onderaannemer zijn verplichtingen op grond inzake gegevensbescherming niet nakomt, blijft de opdrachtnemer ten aanzien van de AVG. In het bijzonder zal Securitas Opdrachtgever redelijkerwijs ondersteunen in aanbestedende overheid volledig aansprakelijk voor het nakomen van zijn verplichtingen (i) om verzoeken te beantwoorden van personen die hun rechten uitoefenen onder de AVG en (ii) met betrekking tot de beveiliging van de verwerking van de persoonsgegevens, (iii) de melding van datalekken aan de bevoegde autoriteiten en de betrokkenen, (iv) een mogelijk vereiste gegevensbeschermingseffectbeoordeling en (v) voorafgaande raadpleging van de bevoegde toezichthouderverplichtingen. 15.7 Securitas zal Opdrachtgever onverwijld op de hoogte stellen van inbreuken op de beveiliging die persoonsgegevens van Opdrachtgever betreffen, inclusief alle informatie betreffende de feiten en omstandigheden van de inbreuk in verband met persoonsgegevens, en de informatie die Opdrachtgever nodig heeft om inzicht te krijgen in de (mogelijke) gevolgen van een dergelijke inbreuk en deze zoveel mogelijk te beperken. 15.8 De Opdrachtgever mag maximaal 1 maal per jaar een audit (doen) uitvoeren bij Securitas om de naleving van de in deze bepaling neergelegde verplichtingen te toetsen. Op verzoek van Opdrachtgever stelt Securitas alle informatie ter beschikking die hiertoe nodig is. De kosten van dergelijke verzoeken of audits zijn voor rekening van Opdrachtgever. 15.9 Op verzoek van Opdrachtgever zal Securitas de persoonsgegevens verwijderen of vernietigen, tenzij op Securitas een wettelijke verplichting rust om de persoonsgegevens te blijven verwerken.

Gegevensbescherming. 15.1 Partijen erkennen 20.1 De Leverancier erkent en stemt ermee in dat Securitas in het kader van de uitvoering van Overeenkomsten de Overeenkomst persoonsgegevens kan verwerken in de zin van de Algemene Verordening Gegevensbescherming (”AVG”) over personen die werkzaam zijn bij Opdrachtgever. Afhankelijk van de aard van de dienstverlening kan Securitas daarbij onder de AVG aangemerkt worden als verantwoordelijke of als verwerker. 15.2 In het geval Securitas zelf het doel van en de middelen voor de verwerking beschikbaarstelling door ARVATO mee zich meebrengt van persoonsgegevens bepaalt (zoals bij mobiele surveillance of meldkamerdienstverlening)van zijn werknemers, geldt dat zij opdrachtgevers, andere leveranciers en andere derden. Door het aangaan van een Overeenkomst verplicht de Leverancier zich bij er onherroepelijk en onvoorwaardelijk toe alle persoonsgegevens die hij in verband daarmee van ARVATO ontvangt uitsluitend te gebruiken voor adequate nakoming van zijn verplichtingen krachtens de verwerking desbetreffende Overeenkomst. Op verzoek van persoonsgegevens ARVATO zal houden de Leverancier volledig meewerken aan de verplichtingen die de AVG oplegt aan verantwoordelijken. 15.3 In het geval Securitas persoonsgegevens uitsluitend ten behoeve van Opdrachtgever verwerkt en niet zelf het doel en de middelen van de verwerking bepaalt (zoals bij manbewaking en cameradienstverlening), geldt dat Opdrachtgever er als verantwoordelijke voor instaat dat sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens, en zal Securitas zich bij de verwerking van persoonsgegevens houden aan de verplichtingen die de AVG oplegt aan verwerkers, de persoonsgegevens uitsluitend verwerken op basis van de instructies van Opdrachtgever en zich bij de verwerking van persoonsgegevens houden aan de verplichtingen uit deze bepaling, die op grond van de AVG bij de inschakeling van een verwerker in een overeenkomst moeten worden vastgelegd. 15.4 Securitas zal technische, fysieke en organisatorische maatregelen implementeren, om de persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang en tegen alle andere vormen van onrechtmatige verwerking. Deze maatregelen zullen onder andere bestaan uit fysieke beveiliging, toegangsbeveiliging, pseudonimisering en versleuteling, logging en controle, correcte verwerking in toepassingssystemen, beheer van incidenten en technische kwetsbaarheden, continuïteitsbeheer en de afhandeling van datalekken, en zullen een adequaat beschermingsniveau verzekeren, gelet op de risico’s die de verwerking en de aard van te beschermen persoonsgegevens meebrengen. 15.5 Indien Securitas een sub-verwerker inschakelt, legt zij deze in een schriftelijke overeenkomst in elk geval de verplichtingen op waaraan zij zelf als verwerker gehouden is jegens Opdrachtgever. 15.6 Securitas verleent medewerking aan Opdrachtgever voor het naleven nakoming door ARVATO van zijn verplichtingen op grond van de AVG. In het bijzonder zal Securitas Opdrachtgever redelijkerwijs ondersteunen in het nakomen van zijn verplichtingen (i) om verzoeken te beantwoorden van personen die hun rechten uitoefenen onder de AVG en (ii) enige regelgeving met betrekking tot de beveiliging bescherming van persoonsgegevens (met inbegrip van maar niet beperkt tot de Algemene Verordening Gegevensbescherming). 20.2 De Leverancier verklaart en garandeert: (a) dat hij alle passende technische en organisatorische maatregelen heeft genomen om alle van ARVATO ontvangen persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking; (b) dat iedere verwerking van de persoonsgegevensvan ARVATO ontvangen persoonsgegevens te allen tijde volledig zal voldoen aan alle relevante toepasselijke wetgeving (met inbegrip van maar niet beperkt tot de Algemene Verordening Gegevensbescherming), (iii) de melding van datalekken aan de bevoegde autoriteiten en de betrokkenen, (iv) een mogelijk vereiste gegevensbeschermingseffectbeoordeling en (v) voorafgaande raadpleging van de bevoegde toezichthouder. 15.7 Securitas zal Opdrachtgever onverwijld in het bijzonder dat hij ARVATO onmiddellijk op de hoogte zal stellen van inbreuken op de beveiliging ieder datalek dat tijdens die persoonsgegevens verwerking wordt ontdekt. 20.3 Behalve in geval van Opdrachtgever betreffen, inclusief alle informatie betreffende de feiten en omstandigheden opzet of bewuste roekeloosheid van de inbreuk kant van ARVATO, is de Leverancier gehouden ARVATO te vrijwaren tegen alle vorderingen van derden (met inbegrip van maar niet beperkt tot de Autoriteit Persoonsgegevens) die kunnen worden ingediend of gemaakt als gevolg van enige verwerking van persoonsgegevens in verband strijd met persoonsgegevens, en relevante toepasselijke wetgeving (met inbegrip van maar niet beperkt tot de informatie die Opdrachtgever nodig heeft om inzicht te krijgen in de (mogelijke) gevolgen van een dergelijke inbreuk en deze zoveel mogelijk te beperkenAlgemene Verordening Gegevensbescherming). 15.8 20.4 De Opdrachtgever mag maximaal 1 maal per jaar Leverancier is gehouden om, wanneer daartoe wordt verzocht door ARVATO, een audit (doen) uitvoeren bij Securitas om verwerkersovereenkomst met ARVATO te sluiten waarvan de naleving bepalingen in aanmerkelijke mate identiek zijn aan die van de in deze bepaling neergelegde verplichtingen te toetsen. Op verzoek het door ARVATO van Opdrachtgever stelt Securitas alle informatie ter beschikking die hiertoe nodig is. De kosten van dergelijke verzoeken of audits zijn voor rekening van Opdrachtgevertijd tot tijd gebruikte sjabloon. 15.9 Op verzoek van Opdrachtgever zal Securitas de persoonsgegevens verwijderen of vernietigen, tenzij op Securitas een wettelijke verplichting rust om de persoonsgegevens te blijven verwerken.

Gegevensbescherming. 15.1 Partijen erkennen dat Securitas 8.1 Indien en voor zover persoonsgegevens worden verwerkt bij het gebruik van de IT middelen ten behoeve van de uitvoering van zijn dienst(en)/bedrijfsactiviteiten van Gebruiker op de Luchthaven (hierna: “Persoonsgegevens”), wordt Gebruiker aangemerkt als Verwerkingsverantwoordelijke en EANV als Verwerker van de Persoonsgegevens en verbinden zij zich ertoe de verplichtingen van de AVG na te leven. 8.2 Verwerker verbindt zich onder de voorwaarden van deze Voorwaarden in opdracht van Verwerkingsverantwoordelijke de Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de diensten die EANV uitvoert met behulp van de IT middelen ten behoeve van de uitvoering van de Overeenkomst persoonsgegevens kan verwerken dienst(en)/bedrijfsactiviteiten van Gebruiker op de Luchthaven, alsmede die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald. Onder deze doeleinden wordt in de zin ieder geval begrepen het anonimiseren van de Algemene Verordening Gegevensbescherming Persoonsgegevens en gebruik van de geanonimiseerde gegevens door EANV ten behoeve van een deugdelijke, efficiënte en kwalitatief hoogwaardige operatie en afhandeling op de Luchthaven. EANV verbindt zich ertoe om: a. de Persoonsgegevens enkel te verwerken op basis van instructies en onder verantwoordelijkheid van Gebruiker, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een derde land of aan een internationale organisatie, met dien verstande dat de inhoud van deze voorwaarden de instructies omvatten van Gebruiker voor de verwerking van de Persoonsgegevens. Indien en voor zover EANV in afwijking van de rechtmatige instructie(s) van Gebruiker de doeleinden en de middelen voor verwerking van de Persoonsgegevens voor IT middelen bepaalt dan wordt EANV (”AVGdeels) als Verwerkingsverantwoordelijke beschouwd voor het afwijkende gebruik van de Persoonsgegevens; b. erop toe te zien dat haar personeelsleden en het personeel van haar hulppersonen (hierna: “Sub-verwerkers”) over personen die werkzaam gemachtigd zijn bij Opdrachtgever. Afhankelijk om de Persoonsgegevens te verwerken, zich ertoe (schriftelijk) verbinden om vertrouwelijkheid in acht te nemen ten aanzien van de Persoonsgegevens; c. rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, de passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen; d. voor zover mogelijk en rekening houdend met de aard van de dienstverlening kan Securitas daarbij onder desbetreffende verwerking, de AVG aangemerkt worden als verantwoordelijke of als verwerkerGebruiker door middel van passende technische en organisatorische maatregelen bijstand te verlenen bij het vervullen van diens plicht om verzoeken van betrokkenen om hun rechten uit te oefenen zoals voorzien in de AVG, te beantwoorden. 15.2 In het geval Securitas zelf het doel e. rekening houdend met de aard van de desbetreffende verwerking en de middelen informatie waarover EANV beschikt, Gebruiker bijstand te verlenen bij de naleving van zijn kennisgevingsverplichtingen voorzien in de AVG, wat voor EANV inhoudt dat bij een (vermoedelijke) Inbreuk in verband met Persoonsgegevens (“Inbreuk”) Gebruiker onverwijld na de bewustwording van de (vermoedelijke) Inbreuk op de hoogte wordt gebracht. In geval van een Inbreuk neemt EANV zo snel mogelijk alle mogelijke en redelijke maatregelen om de Inbreuk te herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen. Gebruiker beslist of de Inbreuk moet worden gemeld bij de toezichthoudende autoriteit en/of Betrokkene(n). Deze bepaling laat onverlet de mogelijkheid van EANV om – na kennisgeving aan Gebruiker – een melding te doen bij de toezichthoudende autoriteit en/of Betrokkene(n) indien zij daartoe verplicht is als zelfstandige Verwerkingsverantwoordelijke. f. na tijdig voorafgaand verzoek van Xxxxxxxxx en rekening houdend met de aard van de desbetreffende verwerking en de informatie waarover EANV beschikt, Gebruiker alle redelijke bijstand te verlenen bij de uitvoering van gegevensbeschermingseffectbeoordelingen, evenals voor de uitvoering van de raadpleging van de toezichthoudende autoriteit, in voorkomend geval. Gebruiker draagt de kosten die voortvloeien uit de verlening van dergelijke bijstand door XXXX; g. voor zover mogelijk, naar keuze van Xxxxxxxxx en tenzij een wet, een reglement of een gerechtelijke of administratieve overheid de bewaring van deze Persoonsgegevens vereist, alle Persoonsgegevens te wissen of deze terug te bezorgen na afloop van het gebruik of aan het einde van de bewaarperiode en al de bestaande kopieën te vernietigen, onder voorbehoud van de back-upkopieën en de Persoonsgegevens geregistreerd in de logs, die bewaard zullen worden tot de vervaldag van deze back-up- en logbestanden overeenkomstig de beleidslijnen van EANV; h. alle benodigde medewerking aan audits over de nakoming van de in dit artikel 6 neergelegde verplichtingen aan Gebruiker of een door hem gemachtigde auditor te verlenen, tenzij EANV schriftelijk heeft aangetoond dat EANV de gemaakte afspraken nakomt. Ten aanzien van dergelijke audits geldt dat Gebruiker het recht heeft om één (1) audit per jaar uit te voeren, behalve indien EANV ernstig tekortkomt in de nakoming van haar verplichtingen, in welk geval Gebruiker gerechtigd is om een bijkomende audit te vragen. Gebruiker zal, met het oog op de uitvoering van een audit, EANV per aangetekende brief met ontvangstbevestiging minstens zes (6) weken voor de voorziene auditdatum inlichten over deze aanvraag en in deze kennisgeving een gedetailleerd auditplan meesturen. De audit dient plaats te vinden op zodanige wijze dat de bedrijfsvoering van EANV en de activiteiten van derde partijen op de Luchthaven niet worden gehinderd. De kosten van een audit worden gedragen door Gebruiker. i. Gebruiker onmiddellijk te informeren indien, volgens XXXX, een instructie van Xxxxxxxxx een inbreuk oplevert van de AVG. 8.3 Onverminderd het bepaalde in artikel 82 AVG, is Gebruiker als Verwerkingsverantwoordelijke volledig verantwoordelijk en aansprakelijk voor de verwerking van persoonsgegevens bepaalt de (zoals bij mobiele surveillance of meldkamerdienstverlening), geldt Persoons)gegevens. Gebruiker staat er voor in dat zij zich bij (de verwerking van persoonsgegevens zal houden aan de verplichtingen die de AVG oplegt aan verantwoordelijken. 15.3 In het geval Securitas persoonsgegevens uitsluitend ten behoeve van Opdrachtgever verwerkt en niet zelf het doel en de middelen van de verwerking bepaalt (zoals bij manbewaking en cameradienstverlening), geldt dat Opdrachtgever er als verantwoordelijke voor instaat dat sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens, en zal Securitas zich bij de verwerking van persoonsgegevens houden aan de verplichtingen die de AVG oplegt aan verwerkers, de persoonsgegevens uitsluitend verwerken op basis van de instructies van Opdrachtgever en zich bij de verwerking van persoonsgegevens houden aan de verplichtingen uit deze bepaling, die op grond van de AVG bij de inschakeling van een verwerker in een overeenkomst moeten worden vastgelegd. 15.4 Securitas zal technische, fysieke en organisatorische maatregelen implementeren, om de persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang en tegen alle andere vormen van onrechtmatige verwerking. Deze maatregelen zullen onder andere bestaan uit fysieke beveiliging, toegangsbeveiliging, pseudonimisering en versleuteling, logging en controle, correcte verwerking in toepassingssystemen, beheer van incidenten en technische kwetsbaarheden, continuïteitsbeheer en de afhandeling van datalekken, en zullen een adequaat beschermingsniveau verzekeren, gelet op de risico’s die de verwerking en de aard van te beschermen persoonsgegevens meebrengen. 15.5 Indien Securitas een sub-verwerker inschakelt, legt zij deze in een schriftelijke overeenkomst in elk geval de verplichtingen op waaraan zij zelf als verwerker gehouden is jegens Opdrachtgever. 15.6 Securitas verleent medewerking aan Opdrachtgever voor het naleven van zijn verplichtingen op grond van de AVG. In het bijzonder zal Securitas Opdrachtgever redelijkerwijs ondersteunen in het nakomen van zijn verplichtingen (iinhoud van) om verzoeken te beantwoorden van personen die hun rechten uitoefenen onder de AVG en (ii) met betrekking tot de beveiliging van de verwerking van de persoonsgegevens(Persoons)gegevens niet onrechtmatig is en geen inbreuk maakt op enig recht van een derde. Gebruiker vrijwaart EANV tegen elke rechtsvordering van een derde, (iii) de melding van datalekken aan de bevoegde autoriteiten en de betrokkenenuit welke hoofde dan ook, (iv) een mogelijk vereiste gegevensbeschermingseffectbeoordeling en (v) voorafgaande raadpleging van de bevoegde toezichthouder. 15.7 Securitas zal Opdrachtgever onverwijld op de hoogte stellen van inbreuken op de beveiliging die persoonsgegevens van Opdrachtgever betreffen, inclusief alle informatie betreffende de feiten en omstandigheden van de inbreuk in verband met persoonsgegevens, en de informatie die Opdrachtgever nodig heeft om inzicht te krijgen in verwerking van de (mogelijke) gevolgen Persoons)gegevens of de uitvoering van een dergelijke inbreuk en deze zoveel mogelijk te beperkende dienst(en)/bedrijfsactiviteiten van Gebruiker op de Luchthaven. 15.8 De Opdrachtgever mag maximaal 1 maal per jaar een audit (doen) uitvoeren bij Securitas om 8.4 Gebruiker verleent hierbij algemene schriftelijke toestemming voor de naleving inschakeling van Sub- verwerkers door XXXX. Bij de in deze bepaling neergelegde verplichtingen te toetsen. Op verzoek inschakeling van Opdrachtgever stelt Securitas alle informatie ter beschikking die hiertoe nodig is. De kosten Sub-verwerkers blijven artikel 28 lid 2 en 4 AVG onverkort van dergelijke verzoeken of audits zijn voor rekening van Opdrachtgeverkracht. 15.9 Op verzoek van Opdrachtgever zal Securitas de persoonsgegevens verwijderen of vernietigen, tenzij op Securitas een wettelijke verplichting rust om de persoonsgegevens te blijven verwerken.

Gegevensbescherming. 15.1 Partijen erkennen dat Securitas Ingeval de koper, in het kader de loop van de uitvoering van het desbetreffende contract, van MBSASB of op andere wijze persoonlijke gegevens ontvangt met betrekking tot werknemers van MBSASB (hierna “Persoonsgegevens” genoemd), zijn de Overeenkomst persoonsgegevens kan verwerken in de zin volgende bepalingen van de Algemene Verordening Gegevensbescherming (”AVG”) over personen die werkzaam zijn bij Opdrachtgevertoepassing. Afhankelijk van de aard van de dienstverlening kan Securitas daarbij onder de AVG aangemerkt worden als verantwoordelijke of als verwerker. 15.2 In het geval Securitas zelf het doel van en de middelen voor Indien de verwerking van persoonsgegevens bepaalt Persoonsgegevens, die op voornoemde wijze werden verstrekt, niet wordt uitgevoerd namens MBSASB, heeft de koper enkel het recht om Persoonsgegevens te verwerken voor de uitvoering van het desbetreffende contract. Behoudens toegestaan door de toepasselijke wetgeving, zal koper deze Persoonsgegevens voor geen andere doeleinden verwerken, in het bijzonder Persoonsgegevens aan derden verstrekken en/of deze gegevens analyseren voor zijn eigen doeleinden en/of een profiel opstellen. Indien en voor zover toegestaan door de toepasselijke wetgeving, heeft de koper het recht om de Persoonsgegevens verder te verwerken, in het bijzonder om Persoonsgegevens door te geven aan zijn verbonden ondernemingen met het oog op het uitvoeren van het desbetreffende contract. De koper staat ervoor in dat Persoonsgegevens enkel toegankelijk zijn voor zijn werknemers, indien en voor zover deze werknemers toegang nodig hebben voor de uitvoering van het desbetreffende contract (zoals bij mobiele surveillance need-to-know-principle). De koper zal zijn interne organisatie zodanig structureren dat wordt voldaan aan de eisen van de wetgeving inzake gegevensbescherming. De koper zal in het bijzonder passende technische en organisatorische maatregelen treffen om een op het risico van misbruik en verlies van Persoonsgegevens afgestemd beveiligingsniveau te waarborgen. De koper verkrijgt geen eigendom van of meldkamerdienstverlening)andere eigendomsrechten op de Persoonsgegevens en is volgens de toepasselijke wetgeving verplicht, geldt dat zij zich bij om de verwerking van persoonsgegevens zal houden aan de verplichtingen die de AVG oplegt aan verantwoordelijken. 15.3 In het geval Securitas persoonsgegevens uitsluitend ten behoeve van Opdrachtgever verwerkt en niet zelf het doel en de middelen Persoonsgegevens te rectificeren, te wissen en/of te beperken. Elk retentierecht van de verwerking bepaalt (zoals bij manbewaking en cameradienstverlening), geldt dat Opdrachtgever er als verantwoordelijke voor instaat dat sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens, en zal Securitas zich bij de verwerking van persoonsgegevens houden aan de verplichtingen die de AVG oplegt aan verwerkers, de persoonsgegevens uitsluitend verwerken op basis van de instructies van Opdrachtgever en zich bij de verwerking van persoonsgegevens houden aan de verplichtingen uit deze bepaling, die op grond van de AVG bij de inschakeling van een verwerker in een overeenkomst moeten worden vastgelegd. 15.4 Securitas zal technische, fysieke en organisatorische maatregelen implementeren, om de persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang en tegen alle andere vormen van onrechtmatige verwerking. Deze maatregelen zullen onder andere bestaan uit fysieke beveiliging, toegangsbeveiliging, pseudonimisering en versleuteling, logging en controle, correcte verwerking in toepassingssystemen, beheer van incidenten en technische kwetsbaarheden, continuïteitsbeheer en de afhandeling van datalekken, en zullen een adequaat beschermingsniveau verzekeren, gelet op de risico’s die de verwerking en de aard van te beschermen persoonsgegevens meebrengen. 15.5 Indien Securitas een sub-verwerker inschakelt, legt zij deze in een schriftelijke overeenkomst in elk geval de verplichtingen op waaraan zij zelf als verwerker gehouden is jegens Opdrachtgever. 15.6 Securitas verleent medewerking aan Opdrachtgever voor het naleven van zijn verplichtingen op grond van de AVG. In het bijzonder zal Securitas Opdrachtgever redelijkerwijs ondersteunen in het nakomen van zijn verplichtingen (i) om verzoeken te beantwoorden van personen die hun rechten uitoefenen onder de AVG en (ii) koper met betrekking tot Persoonsgegevens is uitgesloten. Naast zijn wettelijke verplichtingen zal de beveiliging koper, in geval van een inbreuk op Persoonsgegevens, in het bijzonder bij verlies, onverwijld, doch uiterlijk binnen 24 uur na hiervan kennis te hebben genomen, MBSASB hiervan in kennis stellen. Bij beëindiging of afloop van het desbetreffende contract zal koper, volgens de verwerking van toepasselijke wetgeving, de persoonsgegevens, (iii) de melding van datalekken aan de bevoegde autoriteiten en de betrokkenen, (iv) een mogelijk vereiste gegevensbeschermingseffectbeoordeling en (v) voorafgaande raadpleging van de bevoegde toezichthouder. 15.7 Securitas zal Opdrachtgever onverwijld op de hoogte stellen van inbreuken op de beveiliging die persoonsgegevens van Opdrachtgever betreffen, Persoonsgegevens inclusief alle informatie betreffende de feiten en omstandigheden van de inbreuk in verband met persoonsgegevens, en de informatie die Opdrachtgever nodig heeft om inzicht te krijgen in de (mogelijke) gevolgen van een dergelijke inbreuk en deze zoveel mogelijk te beperkenkopieën ervan wissen. 15.8 De Opdrachtgever mag maximaal 1 maal per jaar een audit (doen) uitvoeren bij Securitas om de naleving van de in deze bepaling neergelegde verplichtingen te toetsen. Op verzoek van Opdrachtgever stelt Securitas alle informatie ter beschikking die hiertoe nodig is. De kosten van dergelijke verzoeken of audits zijn voor rekening van Opdrachtgever. 15.9 Op verzoek van Opdrachtgever zal Securitas de persoonsgegevens verwijderen of vernietigen, tenzij op Securitas een wettelijke verplichting rust om de persoonsgegevens te blijven verwerken.

Gegevensbescherming. 15.1 Partijen erkennen dat Securitas in het kader 1. Het verwerken van persoonsgegevens bij de uitvoering van de Overeenkomst persoonsgegevens kan verwerken in de zin geschiedt met inachtneming van de Algemene Verordening Gegevensbescherming (”AVG”) over personen die werkzaam zijn bij Opdrachtgever. Afhankelijk bepalingen van de aard Overeenkomst en de vigerende privacy wet- en regelgeving, waaronder, doch niet gelimiteerd tot, de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). 2. Partijen verwerken binnen de uitvoering van de dienstverlening kan Securitas daarbij onder de AVG aangemerkt worden als verantwoordelijke of als verwerkerOvereenkomst uitsluitend persoonsgegevens indien dit noodzakelijk is voor het bereiken van duidelijke en vooraf bepaalde doeleinden. 15.2 In het geval Securitas zelf het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt (zoals bij mobiele surveillance of meldkamerdienstverlening), geldt dat zij zich bij de verwerking van persoonsgegevens 3. Hogeschool Leiden zal houden aan de verplichtingen die de AVG oplegt aan verantwoordelijken. 15.3 In het geval Securitas persoonsgegevens uitsluitend ten behoeve van Opdrachtgever verwerkt en niet zelf het doel en de middelen van de verwerking bepaalt (zoals bij manbewaking en cameradienstverlening), geldt dat Opdrachtgever er als verantwoordelijke voor instaat dat sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens, en zal Securitas zich bij de verwerking van persoonsgegevens houden aan de verplichtingen die de AVG oplegt aan verwerkers, de persoonsgegevens uitsluitend verwerken op basis van de instructies van Opdrachtgever en zich bij de verwerking van persoonsgegevens houden aan de verplichtingen uit deze bepaling, die op grond van de AVG bij de inschakeling van een verwerker in een overeenkomst moeten worden vastgelegd. 15.4 Securitas zal technische, fysieke passende technische en organisatorische maatregelen implementeren, om treffen teneinde de persoonsgegevens Persoonsgegevens te beschermen beveiligen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking verlies of ongeoorloofde toegang en tegen alle andere vormen enige vorm van onrechtmatige verwerking. Deze maatregelen zullen onder andere bestaan uit fysieke beveiliginggaranderen, toegangsbeveiliging, pseudonimisering en versleuteling, logging en controle, correcte verwerking in toepassingssystemen, beheer rekening houdend met de stand van incidenten en technische kwetsbaarheden, continuïteitsbeheer de techniek en de afhandeling kosten van datalekkende tenuitvoerlegging, en zullen een adequaat beschermingsniveau verzekeren, passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen persoonsgegevens de Persoonsgegevens met zich meebrengen. De maatregelen zijn tevens gericht op het voorkomen van onnodige verzameling en verdere verwerking van de Persoonsgegevens. 15.5 Indien Securitas een sub-verwerker inschakelt4. Partijen informeren elkaar onverwijld, legt zij deze en stellen elkaar in een schriftelijke overeenkomst ieder geval binnen vierentwintig (24) uur, op de hoogte van (a) enige inbreuk, zoals bedoeld in elk geval artikel 33 AVG, op de verplichtingen op waaraan zij zelf als verwerker gehouden is jegens Opdrachtgever. 15.6 Securitas verleent medewerking aan Opdrachtgever voor het naleven beveiliging van zijn verplichtingen op grond de Persoonsgegevens of (b) verzoeken van derden, waaronder officiële autoriteiten, om Persoonsgegevens te verstrekken of in te zien. Partijen zullen in samenspraak met elkaar in voorkomende gevallen nadere stappen ondernemen en niet zonder toestemming contact opnemen met betrokkenen in de zin van de AVG, autoriteiten of derden. 5. In het bijzonder zal Securitas Afspraken tussen Opdrachtgever redelijkerwijs ondersteunen in het nakomen van zijn verplichtingen (i) om verzoeken te beantwoorden van personen die hun rechten uitoefenen onder de AVG en (ii) Hogeschool Leiden met betrekking tot de beveiliging van de verwerking van de persoonsgegevenspersoonsgegevens zullen wanneer van toepassing worden vastgelegd in een verwerkersovereenkomst, (iii) de melding van datalekken aan de bevoegde autoriteiten en de betrokkenen, (iv) een mogelijk vereiste gegevensbeschermingseffectbeoordeling en (v) voorafgaande raadpleging van de bevoegde toezichthoudergezamenlijk verwerkingsverantwoordelijkenovereenkomst of gegevensuitwisselingsovereenkomst. 15.7 Securitas zal Opdrachtgever onverwijld op de hoogte stellen van inbreuken op de beveiliging die persoonsgegevens van Opdrachtgever betreffen, inclusief alle informatie betreffende de feiten en omstandigheden van de inbreuk in verband met persoonsgegevens, en de informatie die Opdrachtgever nodig heeft om inzicht te krijgen in de (mogelijke) gevolgen van een dergelijke inbreuk en deze zoveel mogelijk te beperken. 15.8 De Opdrachtgever mag maximaal 1 maal per jaar een audit (doen) uitvoeren bij Securitas om de naleving van de in deze bepaling neergelegde verplichtingen te toetsen. Op verzoek van Opdrachtgever stelt Securitas alle informatie ter beschikking die hiertoe nodig is. De kosten van dergelijke verzoeken of audits zijn voor rekening van Opdrachtgever. 15.9 Op verzoek van Opdrachtgever zal Securitas de persoonsgegevens verwijderen of vernietigen, tenzij op Securitas een wettelijke verplichting rust om de persoonsgegevens te blijven verwerken.