Bijlage 2. Model overeenkomst voor de verwerking van persoonsgegevens

Bijlage 2. Model overeenkomst voor de verwerking van persoonsgegevens

Overeenkomst voor de verwerking van persoonsgegevens

De ondergetekenden:

1.

VZW Werken Glorieux, gevestigd te 0000 Xxxxx, Glorieuxlaan 55 en met KBO-nummer

………………………………………………….., vertegenwoordigd door de xxxx Xxxxxxx Xxxxxx en de xxxx Xxx Xxxxxxx hierna “Opdrachtgever”;

en

2. De firma «naam», gevestigd te «PC» «Stad», «Straat» en met KBO-nummer «KBO_nummer» , vertegenwoordigd door de heer / mevrouw ,

hierna “Verwerker”;

Opdrachtgever en Verwerker worden hierna samen aangeduid als “Partijen”;

Overwegingen:

I. Partijen hebben een samenwerkingsovereenkomst, gebaseerd op een ondertekende dienstenovereenkomst, een toegewezen aanbesteding of een dienstenorder met volgende referentie:

……………………………………………., (hierna “Dienstenovereenkomst”).

In het kader van deze Dienstenovereenkomst verwerkt Verwerker persoonsgegevens in opdracht van de Opdrachtgever. Nieuwe wetgeving leidt tot gewijzigde afspraken, die Partijen in deze overeenkomst voor de verwerking van persoonsgegevens (hierna “Overeenkomst”) uiteenzetten en die indien afwijkend vroegere bepalingen vervangen.

II. De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna “Privacywet”) zal vanaf 25 mei 2018 worden vervangen door de Algemene Verordening Gegevensbescherming (EU Verordening 2016/679, hierna “AVG”). Deze Overeenkomst past de bepalingen van de AVG reeds toe voor de verwerking van persoonsgegevens in het kader van de Dienstenovereenkomst.

III. Opdrachtgever treedt in het kader van deze Overeenkomst op als verantwoordelijke voor de verwerking van persoonsgegevens. Indien Opdrachtgever in het kader van deze Overeenkomst zelf als verwerker in opdracht van een verwerkingsverantwoordelijke optreedt, vermeldt hij de naam en contactgegevens van deze verwerkingsverantwoordelijke in Bijlage 1. In dat geval brengt deze Overeenkomst op geen enkele wijze enige verplichtingen mee in hoofde van Verwerker ten aanzien van de verwerkingsverantwoordelijke namens wie Opdrachtgever als verwerker optreedt.

IV. De Verwerker handelt in opdracht van de Opdrachtgever. De specificaties van de verwerkingsopdracht worden bepaald door de Opdrachtgever en worden uiteengezet in Bijlage 1. Hierbij wordt tevens aangeduid of het verzamelen, valideren en beheren van de te verwerken persoonsgegevens, onder verantwoordelijkheid van de Opdrachtgever, deel uitmaakt van de verwerkingsopdracht dan wel vooraf plaatsvindt door de Opdrachtgever of de verantwoordelijke in wiens opdracht de Opdrachtgever als verwerker optreedt.

Komen overeen als volgt:

Art. 1 Definities en bijlagen

1.1 In deze Overeenkomst betekenen de volgende begrippen hetgeen daarbij hieronder is vermeld wanneer zij met een hoofdletter worden geschreven:

Persoonsgegeven(s):

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die Verwerker in het kader van deze Overeenkomst verwerkt.

Betrokkene(n):

De geïdentificeerde of identificeerbare natuurlijke perso(o)n(en) op wie een Persoonsgegeven betrekking heeft.

Gegevenslek(ken):

Een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot Persoonsgegevens.

1.2 Tot deze Overeenkomst behoren de volgende bijlagen:

Bijlage 1: Nadere beschrijving van de verwerkingsopdracht zoals bepaald door Opdrachtgever.

Bijlage 2: Beschrijving van de door Verwerker getroffen beveiligingsmaatregelen.

Bijlage 3: Beschrijving van back-up, bewaring en vernietiging van Persoonsgegevens door Verwerker.

Bijlage 4: Het door Verwerker te gebruiken formulier bij het melden van Gegevenslekken aan de Opdrachtgever

Art. 2 Onderwerp

2.1 Bij de verwerking van Persoonsgegevens in het kader van deze Overeenkomst handelen Verwerker en Opdrachtgever in overeenstemming met de bepalingen van de wet- en regelgeving inzake gegevensbescherming, hierin begrepen de AVG.

2.2 Opdrachtgever treedt hierbij op als verwerkingsverantwoordelijke in de zin van artikel 4, lid 7 AVG en heeft en behoudt volledige zeggenschap over de Persoonsgegevens en het onderwerp, de aard, de middelen, het doel en de duur van de verwerking van Persoonsgegevens door Verwerker in het kader van deze Overeenkomst, alsook het soort Persoonsgegevens en de categorieën van Betrokkenen. De nadere beschrijving van de verwerkingsopdracht zoals bepaald door Opdrachtgever is opgenomen in bijlage 1. Indien Opdrachtgever zelf als verwerker optreedt namens een verwerkingsverantwoordelijke, wijzigt dit niets aan de zeggenschap en verantwoordelijkheid van Opdrachtgever ten aanzien van de Persoonsgegevens in het kader van deze Overeenkomst.

2.3 Verwerker treedt in het kader van deze Overeenkomst op als verwerker in de zin van artikel 4, lid 8 AVG. Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze en verwerkt de Persoonsgegevens uitsluitend conform de schriftelijke instructies van de Opdrachtgever zoals beschreven in deze Overeenkomst. Behoudens andersluidende bepalingen in deze Overeenkomst, zal Verwerker de Persoonsgegevens niet voor eigen doeleinden of die van derden verwerken, noch de Persoonsgegevens aan derden verstrekken, noch deze doorsturen naar een land gelegen buiten de EER zonder daartoe schriftelijke instructie te hebben ontvangen van Opdrachtgever.

2.4 Indien een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling dan wel een bindende beslissing van een overheid of gerechtelijke instantie hem evenwel tot een bepaalde verwerking verplicht, stelt Verwerker Opdrachtgever, voorafgaand aan deze verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving of beslissing deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

2.5 Opdrachtgever garandeert dat zijn instructies aan Verwerker in overeenstemming zullen zijn met de in artikel 2.1 genoemde wet- en regelgeving, die hij correct en volledig toepast, alsook met de instructies die door de verwerkingsverantwoordelijke werden verstrekt aan Opdrachtgever indien Opdrachtgever niet zelf als verwerkingsverantwoordelijke optreedt. Opdrachtgever garandeert Verwerker eveneens dat

alle Persoonsgegevens die Verwerker worden toevertrouwd rechtmatig werden verkregen en rechtmatig kunnen worden verwerkt door Verwerker gedurende de gehele duur van de Overeenkomst. Opdrachtgever vrijwaart Verwerker integraal tegen elke klacht, actie of vordering van Xxxxxxxxxxx, derden, overheden, en de verwerkingsverantwoordelijke indien Opdrachtgever zelf als verwerker optreedt, die in dit verband wordt ingesteld tegen alsook elke schade die hieruit voortvloeit voor Verwerker.

2.6 Indien Verwerker zou oordelen dat de instructies van Opdrachtgever een inbreuk opleveren op de wet- en regelgeving inzake gegevensbescherming maakt hij hiervan onverwijld melding aan Opdrachtgever en is hij niet gehouden om de verwerking uit te voeren. Een eventueel gebrek aan melding in hoofde van Verwerker doet niets af aan de aansprakelijkheid van Opdrachtgever ten aanzien van Verwerker tengevolge de onrechtmatige instructie.

Art. 3 Beveiligingsmaatregelen

3.1 Verwerker neemt naar best vermogen passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatig gebruik of verwerking, waarbij onder meer rekening wordt gehouden met de stand van de techniek. Bijlagen 2 en 3 bevatten hieromtrent verdere toelichting.

3.2 Verwerker zorgt ervoor dat zijn personeel dat betrokken is bij de verwerking van Persoonsgegevens de in deze Overeenkomst opgenomen verplichtingen van Verwerker kent en verplicht is die na te komen. Dat gebeurt door het ondertekenen van een geheimhoudingsverklaring, het vastleggen van de nodige werkinstructies en het organiseren van opleidingssessies op regelmatige basis.

3.3 Indien Opdrachtgever afdoende aantoont dat Verwerker tekortschiet in het nemen van passende technische en organisatorische beveiligingsmaatregelen en vervolgens nalaat passende maatregelen te treffen binnen een door de Opdrachtgever gestelde redelijke termijn die minstens 2 maanden bedraagt, is Opdrachtgever gerechtigd, onverminderd diens overige rechten uit deze Overeenkomst en/of uit de wet, de Dienstenovereenkomst te verbreken en/of de verwerkingsopdracht stop te zetten.

3.4 Verwerker aanvaardt om Opdrachtgever in de mate van het mogelijke tegen een redelijke vergoeding bij te staan bij het nakomen van diens verplichtingen in verband met gegevensbeschermingseffectbeoordelingen en het behandelen van Gegevenslekken.

Art. 4 Gegevenslekken

4.1 Verwerker zal Opdrachtgever gedetailleerd op de hoogte stellen van ieder gegevenslek dat heeft plaatsgevonden bij Verwerker, zonder onredelijke vertraging en uiterlijk binnen 24 uur nadat Verwerker hiervan kennis heeft genomen.

4.2 Verwerker verschaft uit eigen beweging aan Opdrachtgever alle beschikbare informatie betreffende het gegevens, waaronder in ieder geval de aard van de Persoonsgegevens, de hoeveelheid Persoonsgegevens, het aantal Betrokkenen en de getroffen beveiligingsmaatregelen. Verwerker zal daarbij gebruik maken van het Meldingsformulier Gegevensleklekken opgenomen in bijlage 4.

4.3 Opdrachtgever, dan wel de verwerkingsverantwoordelijke namens wie Opdrachtgever optreedt, kan onder omstandigheden verplicht zijn het gegevenslek te melden aan de Commissie voor de bescherming van de persoonlijke levenssfeer (hierna “Gegevensbeschermingsautoriteit”). Verwerker zal onder geen omstandigheid overgaan tot het zelfstandig melden van enig gegevenslek aan de Gegevensbeschermingsautoriteit.

4.4 Opdrachtgever, dan wel de verwerkingsverantwoordelijke namens wie Opdrachtgever optreedt, kan onder omstandigheden eveneens verplicht zijn het Gegevenslek te melden aan de Betrokkenen. Verwerker zal evenmin onder enige omstandigheid overgaan tot het zelfstandig melden van enig Gegevenslek aan de Betrokkenen.

4.5 Verwerker zal de Opdrachtgever alle redelijkerwijs benodigde medewerking verlenen ten behoeve van het verkrijgen van inzicht in de ernst en (mogelijke) gevolgen van een vastgesteld Gegevenslek bij Verwerker. In het bijzonder zal Verwerker aan de Opdrachtgever alle informatie, voorzover beschikbaar, verschaffen waarvan Opdrachtgever aangeeft dat deze noodzakelijk is bij de beoordeling of het Gegevenslek gemeld moet worden aan de Gegevensbeschermingsautoriteit of aan Betrokkenen, tenzij dit Verwerker wettelijk niet is toegestaan.

Art. 5 Inschakeling derden

5.1 Verwerker is niet gerechtigd bij de verwerking van de Persoonsgegevens een derde in te schakelen zonder voorafgaande schriftelijke toestemming van Opdrachtgever. Indien Opdrachtgever zijn toestemming geeft, draagt Verwerker ervoor zorg dat de betreffende derde een gelijkaardig niveau van gegevensbescherming biedt als opgenomen voor Verwerker in deze Overeenkomst.

5.2 Verwerker zal bij de verwerking van de Persoonsgegevens geen derden buiten de EU inschakelen, tenzij mits voorafgaande schriftelijke toestemming van Opdrachtgever. Daarbij garandeert Verwerker, onverminderd het voorgaande lid, dat deze derde een passend niveau van bescherming en veiligheid van Persoonsgegevens waarborgt in de zin van de AVG en bezorgt Verwerker hiervan op schriftelijk verzoek de nodige informatie aan Opdrachtgever.

5.3 Toestemming als bedoeld in artikel 5.1 en artikel 5.2 zal niet zonder redelijke grond worden geweigerd. In geval van weigering behoudt Verwerker zich het recht voor om in voorkomend geval deze Overeenkomst te beëindigen en/of wijzigingen aan de modaliteiten ervan voor te stellen zonder daarvoor schadevergoeding verschuldigd te zijn aan Opdrachtgever.

5.4 Verwerker informeert Opdrachtgever overeenkomstig artikel 4, en voor zover de informatie beschikbaar is, van iedere gegevenslek vastgesteld bij een door de Verwerker ingeschakelde derde en dit zonder onredelijke vertraging xxxxx Xxxxxxxxx hiervan op de hoogte is.

Art. 6 Geheimhoudingsplicht

6.1 Verwerker houdt de Persoonsgegevens geheim. Verwerker draagt ervoor zorg dat de Persoonsgegevens niet direct of indirect ter beschikking komen van derden, waaronder ook het personeel van Verwerker wordt begrepen voor zover het niet noodzakelijk is dat zij in het kader van deze Overeenkomst kennis hoeft te nemen van de Persoonsgegevens. Deze verplichting geldt niet indien in deze Overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of beslissing van een overheid of gerechtelijke instantie tot enige bekendmaking verplicht.

6.2 Verwerker zorgt dat zijn personeel gebonden is aan de in dit artikel opgenomen geheimhoudingsplicht en dat Verwerker van die gebondenheid schriftelijk bewijs bezit. Op eerste schriftelijk verzoek van Opdrachtgever verstrekt Verwerker Opdrachtgever dat bewijs. De geheimhoudingsverklaring levert daarvan bewijs mits ondertekend ofwel bepalingen van soortgelijke strekking die onderdeel uitmaken van het met de personeelsleden afgesloten arbeidscontract.

Art. 7 Vernietiging en back-up

7.1 De wijze waarop Verwerker reservekopieën van de Persoonsgegevens maakt, wordt beschreven in

bijlage 3 van deze Overeenkomst.

7.2 Na afloop van de in bijlage 1 vooropgestelde bewaartermijn verwijdert Verwerker de Persoonsgegevens volledig en onherroepelijk. Verwerker kan op schriftelijk verzoek van Opdrachtgever aantonen dat dit daadwerkelijk gebeurd is.

7.3 Op schriftelijk verzoek kan Opdrachtgever Verwerker verzoeken om Persoonsgegevens volledig en onherroepelijk te verwijderen voor het verstrijken van de in bijlage 1 vooropgestelde bewaartermijn, en dit uiterlijk binnen 10 werkdagen na ontvangst van het verzoek van Opdrachtgever. Verwerker is hierbij gerechtigd op een redelijke vergoeding vanwege Opdrachtgever.

7.4 Behoudens indien dit deel uitmaakt van de verwerkingsopdracht zoals beschreven in bijlage 1, kan Opdrachtgever op schriftelijk verzoek Verwerker verzoeken om Persoonsgegevens terug te bezorgen in het formaat waarin Opdrachtgever deze aan Verwerker heeft overgemaakt, vanaf het moment van ontvangst van de Persoonsgegevens door Verwerker tot het verstrijken van de in bijlage 1 vooropgestelde bewaartermijn. Verwerker bezorgt de Persoonsgegevens aan Opdrachtgever terug uiterlijk binnen 10 werkdagen na ontvangst van het verzoek van Opdrachtgever en verwijdert bestaande kopieën. Verwerker is hierbij gerechtigd op een redelijke vergoeding vanwege Opdrachtgever.

7.5 Verwerker kan afwijken van de in artikel 7.2 tot 7.4 voorziene verwijdering voor zover dat noodzakelijk is om tegenover Opdrachtgever nakoming van zijn verbintenissen te bewijzen, of in geval van een wettelijke verplichting of bindende beslissing van een overheid of gerechtelijke instantie.

Art. 8 Rechten van Betrokkene(n)

8.1 In de mate dat het beantwoorden door Opdrachtgever van verzoeken om uitoefening van de rechten van betrokkenen, zoals bepaald in hoofdstuk III van de AVG, dit vereist en Opdrachtgever niet zelf over de mogelijkheid beschikt, zal Verwerker op schriftelijk verzoek van Opdrachtgever naar best vermogen overgaan tot:

(i) het schriftelijk verstrekken van alle benodigde informatie, voor zover beschikbaar, en

(ii) het verbeteren, aanvullen, verwijderen, overdragen of afschermen van Persoonsgegevens, conform de instructies van Opdrachtgever en voor zover redelijkerwijze mogelijk.

8.2 Voor zover de in artikel 8.1 bedoelde dienstverlening toepasselijk, passend en mogelijk is, zullen Partijen de modaliteiten hiervan overeenkomen en opnemen in het kader van de Dienstenovereenkomst, alsook de redelijke vergoeding waarop Verwerker voor deze dienstverlening gerechtigd is vanwege Opdrachtgever.

Art. 9 Aansprakelijkheid

9.1 In geval van bewijs van een aan Verwerker toerekenbare tekortkoming in de nakoming van de Overeenkomst, is Verwerker uitsluitend aansprakelijk voor door Opdrachtgever geleden directe schade die bewezen en zeker is, mits Opdrachtgever Verwerker voorafgaandelijk en schriftelijk in gebreke heeft gesteld waarbij aan Verwerker een redelijke termijn wordt gegund om alsnog aan zijn verplichtingen te voldoen. Verwerker kan niet aansprakelijk worden gesteld, zelfs niet in geval van grove nalatigheid, voor indirecte, immateriële en/of gevolgschade, waaronder gederfde winst, verlies aan kansen, verlies en/of schade aan gegevens, verlies aan reputatie, sancties of boetes die aan Opdrachtgever en/of de verwerkingsverantwoordelijke worden opgelegd, en onvoorzienbare schade.

9.2 De aansprakelijkheid van Verwerker ten aanzien van Opdrachtgever is in ieder geval beperkt tot het totale bedrag dat Opdrachtgever gedurende de voorbije 12 maanden aan Verwerker heeft betaald in het kader van de Dienstenovereenkomst, en zal in geen geval meer bedragen dan 1.000.000 EUR.

Art. 10 Controle

10.1 Verwerker laat de naleving van deze Overeenkomst door Verwerker controleren door een onafhankelijke daartoe gecertificeerde partij, in het kader van de ISO 27001 certificatie. Opdrachtgever kan inzage vragen in de meest recente resultaten, mits inachtneming van de geheimhoudingsplicht voorzien in de Dienstenovereenkomst.

10.2 Opdrachtgever heeft steeds het recht om, mits naleving van de geheimhoudingsplicht voorzien in de Dienstenovereenkomst, zelf de naleving door Verwerker van deze Overeenkomst te controleren door (i) informatie op te vragen bij Verwerker die aantoont dat Verwerker de in deze Overeenkomst vervatte verplichtingen naleeft, en (ii) na toestemming van Verwerker, zelf of door een daartoe gecertificeerde auditor, een controle uit te voeren bij Verwerker.

10.3 Een in artikel 10.2 voorziene controle mag de bedrijfsactiviteiten van Verwerker niet onnodig verstoren. Opdrachtgever zal de controle minimaal tien werkdagen voor aanvang schriftelijk aankondigen aan Verwerker. Voor de aanvang van de controle zullen Partijen in onderlinge overeenstemming het controleproces bepalen alsook de onderdelen waarop de controle zal gebeuren.

10.4 Opdrachtgever draagt de kosten van de in artikel 10.2 voorziene controle. Opdrachtgever is hierbij eveneens gehouden tot een redelijke vergoeding voor de inspanning van begeleidend personeel van Verwerker.

10.5 Verwerker geeft toestemming aan Opdrachtgever om eindresultaten die uit artikel 10.1 en 10.2 voortkomen, te delen met de verwerkingsverantwoordelijke (mits dit door een geheimhoudingsovereenkomst gedekt is die minstens dezelfde waarborgen biedt als de geheimhoudingsplicht voorzien in de Dienstenovereenkomst).

Art. 11 Overig

11.1 Wijzigingen van deze Overeenkomst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen. Dit geldt evenwel niet voor wat betreft (i) de eventuele wijzigingen en/of updates die Verwerker aanbrengt met betrekking tot de maatregelen, processen en certificaten beschreven in Bijlagen 2 en 3 teneinde aan zijn verplichtingen in het kader van deze Overeenkomst te kunnen blijven voldoen, en (ii) eventuele wijzigingen die noodzakelijk zijn om te voldoen aan wettelijke verplichtingen in hoofde van de Verwerker dan wel bindende beslissingen van een overheid of gerechtelijke instantie.

11.2 Partijen zullen te goeder trouw onderhandelen over eventuele wijzigingen aan deze Overeenkomst indien de Europese Commissie of de Belgische toezichthoudende autoriteit standaardcontractbepalingen uitvaardigen in overeenstemming met artikel 28, lid 7 en/of artikel 28, lid 8 AVG.

11.3 Deze Overeenkomst eindigt van rechtswege op het moment dat de Dienstenovereenkomst eindigt, om welke reden ook. De bepalingen van deze Overeenkomst blijven gelden voor zover nodig voor de afwikkeling van deze Overeenkomst en voor zover die bedoeld zijn het einde van deze Overeenkomst te overleven. Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.

11.4 Deze Overeenkomst prevaleert boven alle overige overeenkomsten tussen Opdrachtgever en Verwerker die betrekking hebben op de verwerking van Persoonsgegevens door Verwerker.

11.5 Op deze Overeenkomst is uitsluitend Belgisch recht van toepassing.

11.6 Partijen zullen hun geschillen verband houdende met deze Overeenkomst uitsluitend voorleggen aan de Belgische rechter. De bevoegde Belgische rechter is de rechter vermeld in de Dienstenovereenkomst. Indien daar niet bepaald is het de rechter van het arrondissement waarin Verwerker is gevestigd.

Aldus overeengekomen en in tweevoud opgemaakt te Ronse op         

(Opdrachtgever) (Verwerker)

Xxx. Xxxxxxx Xxxxxx

Algemeen Directeur

Xxx. xx. Xxx Xxxxxxx

Directeur Planning en Logistiek

Xxx. xx. Xxxx Xxx Xxxxxxxxxxx

Data Protection Officer

Bijlage 1 – Nadere beschrijving van de verwerkingsopdracht zoals bepaald door Opdrachtgever

I. De categorieën Persoonsgegevens die Opdrachtgever laat verwerken door Verwerker (aanduiden wat van toepassing is) :

o contactgegevens

o financiële gegevens

o factuurgegevens

o loongegevens

o medische gegevens

o marketing gegevens

o andere (te specificeren) :

II. De Verantwoordelijke voor de Persoonsgegevens:

De Opdrachtgever voor deze overeenkomst is zelf de Verantwoordelijke van de verwerking

De Data Protection Officer of andere verantwoordelijke contactpersoon bij Opdrachtgever:

Naam: Xxx Xxxxxxxxxxx Xxxx Contactgegevens: XXX@xxxxxxxxxx.xx

III. Het gebruik (= wijze(n) van verwerking) van de Persoonsgegevens (aanduiden wat van toepassing is) :

o Ontvangen van gegevens en/of documenten, het generen en printen, het envelopperen en versturen van documenten die persoonsgegevens bevatten naar de ‘ontvangers’

o Ontvangen van gegevens en/of documenten, het generen en versturen van documenten die persoonsgegevens bevatten naar de ‘ontvangers’ via SMS, émail, of andere digitale kanalen zoals bv POM,

DOCCLE, ZOOMIT,…

o Ontvangen van gegevens en/of documenten en het elektronisch archiveren van documenten die persoonsgegevens bevatten.

IV. De gebruiks- en bewaartermijnen van de (verschillende categorieën) Persoonsgegevens:

Verwerker bewaart de verwerkte data na het uitvoeren van de verwerking op adequaat beveiligde wijze gedurende maximaal de contractueel afgesproken termijn of bij ontbreken gedurende maximaal de termijn bepaald door opdrachtgever. Dit met het oog op eventuele remediëring op verzoek van Opdrachtgever of ter controle bij betwistingen. Dit is te beschouwen als onderdeel van de verwerkingsopdracht.

V. Doorgifte van Persoonsgegevens

DEZE BIJLAGE IS ONDERDEEL VAN DE OVEREENKOMST VOOR VERWERKING VAN PERSOONSGEGEVENS TUSSEN

OPDRACHTGEVER EN VERWERKER VAN ……/…../……… EN MOET DOOR PARTIJEN GEPARAFEERD WORDEN.

PARAAF OPDRACHTGEVER:

PARAAF VERWERKER:

Opdrachtgever geeft hierbij expliciet de toelating aan verwerker om voor onderdelen van de verwerking of voor ondersteunende activiteiten een beroep te doen op gekwalificeerde leveranciers, met in achtname van de in artikel 5 van deze Overeenkomst vermelde maatregelen. Dit is onder meer het geval voor postbedeling, transport en koerierdiensten, voor elektronische aflevering en archivering, voor afvalverwerking en vernietiging van datadragers, voor ICT ondersteuning (infrastructuur of toepassingen) en voor het uitvoeren van productiestappen in onderaanneming. Opdrachtgever kan inzage krijgen in de lijst van gekwalificeerde leveranciers, voor zover ze voor het uitvoeren van deze Overeenkomst daadwerkelijk worden ingezet.

Bijlage 2 - De informatiebeveiliging

Beschrijving van de door Verwerker getroffen beveiligingsmaatregelen

DEZE BIJLAGE IS ONDERDEEL VAN DE OVEREENKOMST VOOR VERWERKING VAN PERSOONSGEGEVENS TUSSEN

OPDRACHTGEVER EN VERWERKER VAN ....../....../……… EN MOET DOOR PARTIJEN GEPARAFEERD WORDEN.

PARAAF OPDRACHTGEVER:

PARAAF VERWERKER:

Bijlage 3 - Back-up en vernietiging Persoonsgegevens

DEZE BIJLAGE IS ONDERDEEL VAN DE OVEREENKOMST VOOR VERWERKING VAN PERSOONSGEGEVENS TUSSEN

OPDRACHTGEVER EN VERWERKER VAN ……/……/……… EN MOET DOOR PARTIJEN GEPARAFEERD WORDEN.

PARAAF OPDRACHTGEVER:

PARAAF VERWERKER:

Beschrijving van back-up, bewaring en vernietiging van Persoonsgegevens door Xxxxxxxxx

Bijlage 4

Meldingsformulier Gegevenslekken

Datum :

Bedrijfsnaam :

Adres:

Postcode:

BTW-nummer

Wie heeft de inbreuk geconstateerd?

Naam:

Functietitel:

Wanneer is de inbreuk geconstateerd:

Datum:

Tijd:

Omschrijf het beveiligingsincident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan:

Wanneer heeft de inbreuk plaatsgevonden?

a. Op (datum + tijd)

b. Tussen (datum + tijd) en (datum + tijd)

c. Is nog niet vastgesteld

d. Er is sprake van een anonieme melding door een derde

Vastleggen context van de data betrokken bij de inbreuk :

Classificatie van de data :

a. Geen, de gegevens zijn niet herleidbaar tot een individu

b. NAW-gegevens

c. Telefoonnummers

d. E-mail adressen, Facebook ID’s, Twitter ID’s etc.

e. Gebruikersnamen, wachtwoorden of andere inloggegevens, klantnummers

f. Financiële gegevens : rekeningnummers, creditcardnummers

g. rijksregisternummer

h. Kopieën van identiteitsbewijzen

i. Geslacht, geboortedatum, en/of leeftijd

j. Gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid of

lidmaatschap van een vakvereniging

k. Gegevens over iemands gezondheid of seksuele geaardheid

l. Strafrechtelijke persoonsgegevens of persoonsgegevens over onrechtmatig of hinderlijk gedrag

in verband met een opgelegd verbod naar aanleiding van dat gedrag

m. Gegevens over iemand financiële of economische situatie, gegevens over schulden, salaris- en

betalingsgegevens

n. Afgeleide financiële data (inkomenscategorie, huizenbezit, autobezit)

o. Lifestyle kenmerken (o.a. gezinssamenstelling, woonsituatie, interesses, demografische

kenmerken (leeftijd, geslacht, nationaliteit, beroep, onderwijs)

p. Data verkregen uit (openbare) sociale profielen (Facebook-, LinkedIn- en Twitteraccounts, …)

q. Overig, namelijk :

Classificatie van de context betrokken bij de inbreuk :

Van hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk?

a. Geen, de gegevens zijn niet herleidbaar tot een individu

b. Nog niet vastgesteld

c. Ten minste …………………………………… (aantal), maar niet meer dan (aantal)

betrokkenen

Omschrijf de groep mensen waarvan persoonsgegevens zijn betrokken bij de inbreuk:

Omstandigheden van de gegevenslek :

a. Alleen lezen (een niet geautoriseerde derde heeft (vertrouwelijke) data kunnen inzien.

Verwerker heeft de data nog in zijn bezit.) - confidentialiteit is in gevaar

b. Kopiëren (een niet-geautoriseerde derde heeft data kunnen kopiëren. De data is ook nog in het

bezit van Verwerker.) - confidentialiteit is in gevaar

c. Wijzigen (een niet-geautoriseerde derde heeft data (kunnen) wijzigen in systemen van

Verwerker - Integriteit is in gevaar

d. Verwijderen of vernietigen (een niet-geautoriseerde derde heeft data verwijderd uit de

systemen van Verwerker of data vernietigd.) - Beschikbaarheid is in gevaar

e. Diefstal - Beschikbaarheid is in gevaar

f. Nog niet bekend

Zijn de Persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt voor ongeautoriseerde derden, bijvoorbeeld door encryptie en hashing ?

Ja

Nee

Deels, namelijk

Zo ja, op welke manier zijn de Persoonsgegevens versleuteld:

Heeft de inbreuk betrekking op personen uit andere EU-landen?

Ja

Nee

Zo ja, welke EU-landen:

Welke beveiligingsmaatregelen (technisch en organisatorisch) zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?

Wie kan benaderd worden voor meer informatie over de inbreuk?

Naam Data Protection officer :

E-mail :

Telefoonnummer: