Meldplicht datalekken. 6.1. Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte van een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 van de AVG (hierna: “Datalek”). Daarbij zal Verwerker redelijke maatregelen treffen om de gevolgen van het Datalek te beperken en verdere en toekomstige Datelekken te voorkomen.
6.2. Verwerker zal bijstand verlenen aan Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, ten aanzien van (nieuwe ontwikkelingen ten aanzien van) het Datalek.
6.3. De kennisgeving aan de Verwerkingsverantwoordelijke omvat, voor zover op dat moment bekend, in ieder geval:
a. de aard van het Datalek;
b. de (te verwachten) gevolgen van het Datalek;
c. welke categorieën persoonsgegevens zijn getroffen door het Datalek;
d. of en hoe de betreffende persoonsgegevens waren beveiligd;
e. de (voorgestelde) maatregelen om de gevolgen van het Datalek te beperken of verdere Datalekken te voorkomen;
f. de categorieën betrokkenen;
g. het (geschatte) aantal betrokkenen; en
h. eventueel afwijkende contactgegevens voor de opvolging van de melding.
Meldplicht datalekken. 1 In het geval van een Datalek, zal Verwerker de Verwerkingsverantwoordelijke zonder onredelijke vertraging en uiterlijk binnen 48 uur na kennisneming informeren door contact op te nemen met de in Bijlage B opgenomen contactpersoon van Verwerkingsverantwoordelijke.
2 Verwerker zal de hiervoor genoemde melding, voorzien van de informatie die is opgenomen in Bijlage B.
3 De Verwerker neemt maatregelen om (verdere) onbevoegde kennisneming, wijziging en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke gegevens te beëindigen en in de toekomst te voorkomen.
4 Verwerker zal op verzoek van Verwerkingsverantwoordelijke, voor zover mogelijk, bijstand verlenen bij het informeren van de bevoegde autoriteiten en Betrokkene(n).
5 Verwerker maakt schriftelijke afspraken met Sub-Verwerker(s) inzake de meldingsplicht van mogelijke Datalekken aan Verwerker, welke de Verwerker en de Verwerkingsverantwoordelijke in staat stellen verplichtingen, in het geval van een Datalek zoals beschreven in lid 1 van dit artikel, na te leven.
a. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de Sub-Verwerker de Verwerker uiterlijk binnen 18 uur na de eerste ontdekking zal informeren over een Datalek zoals beschreven in lid 1 van dit artikel door contact op te nemen met de in Bijlage B opgenomen contactpersoon van Verwerker.
b. In deze afspraken moet in ieder geval worden opgenomen dat de Sub-Verwerker op verzoek van de Verwerkingsverantwoordelijke zal meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
6 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is de verantwoordelijkheid van de Verwerkingsverantwoordelijke.
Meldplicht datalekken. 4.1. Verwerker zal de Verantwoordelijke zo spoedig mogelijk na de eerste ontdekking informeren over alle (vermoedelijke) inbreuken op de beveiliging alsmede andere incidenten die (mede) betrekking kan hebben op de Persoonsgegevens en die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene(n), onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken. Verwerker zal voorts, op het eerste verzoek van Verantwoordelijke, alle inlichtingen verschaffen die de Verantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen.
4.2. Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken en zal de Verantwoordelijke op diens verzoek inzage verschaffen in het plan.
4.3. Verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de Verantwoordelijke.
4.4. Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n).
4.5. Verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen en geeft daar op eerste verzoek van de Verantwoordelijke inzage in.
4.6. Melding door Xxxxxxxxx dan wel Verantwoordelijke van datalekken aan bevoegde instanties, krachtens wettelijke verplichting, kunnen nooit leiden tot toerekenbaar tekortschieten of onrechtmatig handelen jegens de andere partij.
Meldplicht datalekken. Het Touwhuis zal in geval van een datalek binnen de website, dit direct melden aan het webdesignbedrijf Designpro. Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Designpro zal op haar beurt binnen de gestelde termijn een melding doen bij de autoriteit persoonsgegevens. Alle betrokkenen zullen tevens geïnformeerd worden over het datalek en er zal met spoed in kaart worden gebracht welk risico er gelopen wordt met het ontstane datalek. Indien er een datalek ontstaat via andere wegen, zal Het Touwhuis daar net zo zorgvuldig mee omgaan als hierboven beschreven, waarbij Het Touwhuis zelf de nodige meldingen zal doen. U mag Het Touwhuis vragen om inzage in de gegevens die van u zijn opgeslagen. Ook kunt u Het Touwhuis verzoeken deze gegevens te wijzigen, aan te vullen of te verwijderen. Dit kunt u doen door contact op te nemen via xxxx@xxxxxxxx.xx. Na ontvangst van uw verzoek wordt deze getoetst naar wettelijke standaarden voorgaande de gegevens te verwijderen. U kunt bezwaar maken tegen de verwerking van uw gegevens of u kunt uw toestemming om gegevens te verwerken intrekken. Het Touwhuis zal uw bezwaar/intrekking toetsen, d.w.z. kijken of uw bezwaar de verwerking van de doeleinden niet in gevaar brengt. Indien u klachten heeft over de verwerking van persoonsgegevens kunt u uw klacht richten aan: xxxxxxxxxxxxxxxxxxxxxxxxxx.xx
Meldplicht datalekken. 7.1 In het geval van ontdekking van een datalek (een inbreuk op de beveiliging van persoons- gegvens die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ern- stige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens zoals be- doeld in art. 33 lid 1 AVG) zal Subverwerker de Verwerker daarover zonder onredelijke vertraging informeren, naar aanleiding waarvan de Verwerker beoordeelt of zij de Autori- teit Persoonsgegevens en/of betrokkene(n) zal informeren of niet. Verwerker is verant- woordelijk voor het voldoen aan eventuele wettelijke meldplichten. De meldplicht geldt enkel indien het lek daadwerkelijk heeft plaatsgevonden.
7.2 De meldplicht van verwerker aan verwerkingsverantwoordelijke behelst in ieder geval het melden van het feit dat er een lek is geweest alsmede, voor zover bekend bij Subverwer- ker: • wat de (vermeende) oorzaak is van het lek; • wat het (vooralsnog bekende en/of te verwachten) gevolg is; • wat de (voorgestelde) oplossing is; • contactgegevens voor de opvolging van de melding; • het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt); • een omschrijving van de groep personen van wie gegevens zijn gelekt; • het soort of de soorten persoonsgegevens die gelekt zijn; • de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden); • de datum en het tijdstip waarop het lek bekend is geworden bij Subverwerker of bij een door hem ingeschakelde derde of onderaannemer; • of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of on- toegankelijk zijn gemaakt voor onbevoegden; • Wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dich- ten en om de gevolgen van het lek te beperken.
7.3 Verwerker zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. In- dien de wet- en/of regelgeving dit vereist zal Subverwerker meewerken aan het informe- ren van de terzake relevante autoriteiten en/of betrokkenen.
7.4 Indien de Verwerker een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Subverwerker, zonder dat de Verwerker dit vooraf heeft besproken met Subverwerker, dan is de Verwerker aansprakelijk voor door Subverwerker geleden schade en kosten. De Verwerker is daarnaast verplicht een derge- lijke melding direct in te trekken.
Meldplicht datalekken. In het geval van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op ernstige gevolgen, dan wel ernstige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, zoals bedoeld in artikel 34a Wbp) zal Verwerker, zich naar beste kunnen inspannen om Webwinkelier daarover onverwijld dan wel uiterlijk binnen 36 uur te informeren naar aanleiding waarvan Webwinkelier beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt enkel indien het lek daadwerkelijk heeft plaatsgevonden. Webwinkelier zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede: − wat de (vermeende) oorzaak is van het datalek; − wat het (vooralsnog bekende en/of te verwachten) gevolg is; − wat de (voorgestelde) oplossing is; − contactgegevens voor de opvolging van de melding; − wie geïnformeerd is (zoals betrokkene zelf, Webwinkelier, toezichthouder).
Meldplicht datalekken. De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
Meldplicht datalekken. De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n), op basis van artikel 33-34 AVG.
Meldplicht datalekken. 6.1. Nadat Xxxxxxxxx een Datalek heeft ontdekt of daarover door zijn sub-verwerker is geïnformeerd stelt Verwerker de Verwerkingsverantwoordelijke zo spoedig mogelijk, uiterlijk binnen 36 uur, in kennis daarvan via de contactgegevens zoals beschreven in Bijlage 1. Verwerker zal per email het volgende vermelden:
a.) welke persoonsgegevens het betreft en wie door de inbreuk is getroffen; b.) de aard van de inbreuk;
c.) de aanbevolen maatregelen; en
d.) de geconstateerde en vermoedelijke gevolgen van de inbreuk, voor zover Verwerker hier kennis van heeft.
6.2. Verwerker zal medewerking verlenen aan het onderzoek rondom het Datalek en zal voldoende informatie en ondersteuning verschaffen in relatie tot alle onderzoeken daartoe. De kosten die Verwerker in dat kader maakt kan Verwerker doorberekenen aan Verwerkingsverantwoordelijke.
Meldplicht datalekken. (1) De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Opdrachtnemer zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Opdrachtnemer als verwerker de Opdrachtgever juist, tijdig en volledig informeren over relevante incidenten, zodat de Opdrachtgever als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
(2) Als een verwerkingsverantwoordelijke zicht bewust is geworden van een datalek, moet hij dit meteen, waar mogelijk binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Is dit niet mogelijk dan moet een verklaring worden gegeven voor de vertraging.
(3) De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
(4) Een verwerkingsverantwoordelijke is verplicht alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen correctie maatregelen.
(5) Voor het bepalen van een datalek gebruikt Opdrachtnemer de AVG en de Beleidsregels meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e- mailadressen zichtbaar zijn voor alle geadresseerden, een malwarebesmetting of een calamiteit zoals brand in een datacenter.
(6) Indien de Opdrachtgever een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Opdrachtnemer, terwijl zonder meer voor de Opdrachtgever duidelijk is dat bij Opdrachtnemer geen sprake is van een datalek, dan is de Opdrachtgever aansprakelijk voor alle door Opdrachtnemer in dat kader geleden schade en kosten, waaronder begrepen de reputatieschade die Opdrachtnemer daardoor lijdt. De Opdrachtgever is daarnaast verplicht een dergelijke melding direct in te trekken.
(7) Indien blijkt dat bij Opdrachtnemer sprake is van een datalek, dat door de Opdrachtgever gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal Opdrachtnemer de Opdrachtgever da...