Inhoud

Verito Service b.v. statutair gevestigd te Apeldoorn en kantoorhoudende te Apeldoorn aan de Xxxxxxxxxxxxxxxxxxx 00 verder te noemen de verwerker, ten deze rechtsgeldig vertegenwoordigd door de heer J.R. Xxxxx, directeur,

verklaren te zijn overeengekomen een verwerkersovereenkomst als bedoeld in artikel 28 van de Algemene Verordening Gegevensbescherming (AVG), tussen de verantwoordelijke en de verwerker.

Deze verwerkersovereenkomst is een document dat aansluit op de hoofdovereenkomst die partijen reeds zijn overgekomen in de “Onderhoudsovereenkomst”. Wanneer er tegenstrijdigheden staan in de Verwerkersovereenkomst en de Onderhoudsovereenkomst, heeft hetgeen in de artikelen van de Onderhoudsovereenkomst staat voorrang ten opzichte van de artikelen uit deze Verwerkersovereenkomst.

Artikel 1. Definities

1.1 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

1.2 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;.

1.3 Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.

1.4 Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

1.5 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

1.6 Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de verwerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de verwerker gemachtigd is om persoonsgegevens te verwerken.

1.7 Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt Overheidsinstanties die mogelijk persoonsgegevens ontvangen.

1.8 Toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

1.9 Toezichthoudende autoriteit: dat is de Autoriteit Persoonsgegevens

1.10 Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens.

1.11 Bijlagen: aanhangsels bij deze overeenkomst, die na door beide partijen te zijn geparafeerd, deel uitmaken van deze overeenkomst.

Artikel 2. Ingangsdatum en duur

2.1 Deze overeenkomst gaat in op het moment van ondertekening en duurt voort zolang er gegevens worden bewerkt voor de verantwoordelijke ofwel deze gegevens nog niet zijn vernietigd.

2.2 Het is de verantwoordelijke te allen tijde toegestaan om wijzigingen op deze overeenkomst voor te stellen indien verandering in wetgeving of andere redelijke wensen van de verantwoordelijke hier aanleiding toe geven. Hierbij blijft de oude overeenkomt van kracht tot het moment van ingang van de nieuwe overeenkomst. Wijzigingen dienen plaats te vinden conform artikel 10.1.

2.3 Op het moment van beëindiging van de Onderhoudsovereenkomst zullen partijen in overleg treden om deze Verwerkersovereenkomst zo snel mogelijk te laten beëindigingen.

2.4 De verplichtingen van Verwerker uit hoofde van deze Verwerkersovereenkomst duren ook na beëindiging van de Onderhoudsovereenkomst onverminderd voort, indien en voor zover Verwerker nog toegang heeft tot Persoonsgegevens.

Artikel 3. Onderwerp van deze overeenkomst

3.1 De verwerker verwerkt persoonsgegevens in opdracht van de verantwoordelijke in het kader van de reeds genoemde Onderhoudsovereenkomst . De door de verwerker uit te voeren werkzaamheden waar deze verwerkersovereenkomst betrekking op heeft, worden nader omschreven in bijlage 1.

3.2 De verwerker verbindt zich om in het kader van die werkzaamheden de door de verantwoordelijke ter beschikking gestelde persoonsgegevens behoorlijk en zorgvuldig te verwerken conform de instructies van verantwoordelijke.

3.3 Zodra de verwerker persoonsgegevens meeneemt buiten de werkomgeving van verantwoordelijke, neemt hij passende technische en organisatorische beveiligingsmaatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze beveiligingsmaatregelen garanderen een passend beveiligingsniveau gelet op de te verrichten verwerkingen.

Artikel 4. Naleving wet- en regelgeving

4.1 Dezelfde persoon die in de Onderhoudsovereenkomst wordt aangeduid als zijnde de contactpersoon van ~relatienaam treedt namens de verantwoordelijke op als contactpersoon. Een eventuele wijziging hiervan zal schriftelijk worden doorgegeven.

4.2 De verwerker verwerkt gegevens uitsluitend ten behoeve van de verantwoordelijke en voor zover nodig bij of in verband met de uitvoering van de tussen partijen gesloten overeenkomst. Verwerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan de door verantwoordelijke bepaalde verwerkingsdoeleinden.

4.3 De verwerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze overeenkomst komt nimmer bij de verwerker te berusten.

4.4 De verwerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 3 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de bescherming van persoonsgegevens. De verwerker verwerkt persoonsgegevens slechts in opdracht van de verantwoordelijke en zal alle redelijke instructies van de contactpersoon, als bedoeld in het eerste lid, dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen.

4.5 Het verwerken van gegevens door Verwerker zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de gegevens afkomstig ui de datasets van Verwerkersverantwoordelijke. Het combineren van gegevens afkomstig van Verwerkingsverantwoordelijke met eigen gegevens door Verwerker is niet toegestaan.

4.6 De verwerker zal onmiddellijk bij het ontdekken van beveiligingsinbreuken of datalekken deze melden aan de verantwoordelijke.

4.7 De verwerker zal te allen tijde op eerste verzoek van de contactpersoon, als bedoeld in het eerste lid, persoonsgegevens met betrekking tot deze verwerkersovereenkomst ter hand stellen, voor zover verwerker deze gegevens in zijn bezit heeft.

4.8 De verwerker zal alle van de verantwoordelijke afkomstige persoonsgegevens met betrekking tot deze verwerkersovereenkomst op een nader te bepalen wijze vernietigen op het moment van beëindigen van deze overeenkomst, dan wel op uitdrukkelijk verzoek van de verantwoordelijke de gegevens te vernietigen op een nader te bepalen wijze.

4.9 De partijen stellen elkaar te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

Artikel 5. Geheimhoudingsplicht

5.1 Verwerker is verplicht de Persoonsgegevens geheim te houden en deze niet direct of indirect ter beschikking te stellen aan derden.

5.2 Verwerker zal ervoor zorgen dat die leden van het personeel en eventuele derde(n) die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen zich houden aan onderhavige geheimhoudingsverplichting, door hen een geheimhoudings- en integriteitsverklaring te laten ondertekenen. Bedoelde verklaringen worden in file gehouden bij Verwerker en worden digitaal en/of fysiek beschikbaar gesteld aan Verwerkingsverantwoordelijke op eerste verzoek daartoe.

5.3 Indien Verwerker een verzoek van een toezichthouder, waaronder maar niet beperkt tot de Autoriteit Persoonsgegevens en de Autoriteit Consument & Markt, ontvangt om inzage in Persoonsgegevens of (privacy)compliance gerelateerde (productie)systemen, processen of voorzieningen te verschaffen, zal Verwerker hier uitsluitend gehoor aan geven na kennisgeving aan en onder regie van Verwerkingsverantwoordelijke. Verwerker zal Verwerkingsverantwoordelijke van een dergelijk verzoek per ommegaande in kennis stellen.

5.4 In het geval dat een betrokkene een verzoek tot inzage richt aan de Verwerkingsverantwoordelijke zal Verwerker, indien Verwerkingsverantwoordelijke dit verlangt, medewerking verlenen voor zover mogelijk en voor zover redelijk is.

5.5 Indien aan de afhandeling van een verzoek als bedoeld in dit artikel substantiële kosten zijn verbonden voor Verwerker, dan treden Verwerkingsverantwoordelijke en Verwerker eerst in overleg over deze gevolgen en de mogelijkheid tot vergoeding van deze kosten.

Artikel 6. Meldplicht datalekken en beveiligingsincidenten

6.1 De verwerker zal de verantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 24 uur na de eerste ontdekking – informeren over alle inbreuken op de beveiliging alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan een toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken. Dit alles beperkt tot die zaken van de beveiliging waarvoor de verwerker direct verantwoordelijk kan worden gesteld.

6.2 De verwerker verschaft uit eigen beweging aan de verantwoordelijke alle informatie betreffende ieder datalek, dit bestaat uit:

a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken,

waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

De verwerker zal daarbij gebruik maken van bijlage 2, het meldingsformulier datalekken.

6.3 De verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de verantwoordelijke.

6.4 De verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n).

6.5 De verwerker houdt een gedetailleerd logboek bij van alle inbreuken op de beveiliging waarvoor de verwerker verantwoordelijk was, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen, en geeft daar op eerste verzoek van de verantwoordelijke inzage in.

Artikel 7. Beveiligingsmaatregelen

7.1 De verwerker neemt daar waar hij invloed op heeft in overleg met verantwoordelijke alle passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de verantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onzorgvuldig, ondeskundig of ongeoorloofd gebruik.

7.2 Onverminderd het vorig lid van dit artikel, heeft Verwerker ten minste de beveiligingsmaatregelen getroffen als omschreven in Bijlage 3 van deze Verwerkersovereenkomst. Verwerker zal deze beveiligingsmaatregelen steeds actualiseren voor zover nodig gelet op de stand der techniek.

7.3 Verwerker garandeert dat door haar ingeschakelde Subverwerkers ten minste beschikken over een vergelijkbaar niveau van bescherming van Persoonsgegevens als Verwerker zelf op basis van de Verwerkersovereenkomst wordt geacht te hebben.

7.4 De verantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens te (doen) controleren. De verwerker is verplicht de verantwoordelijke of controlerende instantie in opdracht van verantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.

7.5 De verantwoordelijke zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de verwerker.

7.6 De verwerker verbindt zich om binnen een door de verantwoordelijke te bepalen termijn de verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de verwerker van deze overeenkomst. De verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.

7.7 Verwerker staat er voor in, de door de verantwoordelijke of ingeschakelde derde, aangegeven aanbevelingen ter verbetering binnen de daartoe door de verantwoordelijke te bepalen termijn uit te voeren.

7.8 De verwerker rapporteert over de dingen waar hij invloed op heeft jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze overeenkomst.

7.9 Naast rapportages door de verwerker en audits door de verantwoordelijke of controlerende instantie in opdracht van de verantwoordelijke, kunnen beide partijen ook overeenkomen gebruik te maken van een Third Party Memorandum (TPM) opgesteld door een onafhankelijke externe deskundige.

Artikel 8. Inschakeling subverwerkers

8.1 De verwerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan subverwerkers na voorafgaande schriftelijke toestemming van de verantwoordelijke. Indien de verantwoordelijke zijn toestemming geeft, draagt de verwerker ervoor zorg dat de betreffende partij tenminste dezelfde verplichtingen op zich neemt als opgenomen voor de verwerker in deze overeenkomst.

8.2 Met overeenstemming van Verantwoordelijke schakelt Verwerker bij de uitvoering van haar werkzaamheden de in Bijlage 4 opgenomen subverwerker(s) in.

8.3 De verantwoordelijke kan aan de schriftelijke toestemming nadere voorwaarden verbinden die door de verwerker aan de subverwerker moeten worden opgelegd.

8.4 De verwerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze verwerkersovereenkomst, inclusief de naleving van de nadere voorwaarden als bedoeld in het voorgaande lid.

8.5 Verwerker zal bij de uitvoering van haar werkzaamheden geen subverwerkers buiten de EU inschakelen, tenzij Verwerkingsverantwoordelijke daarvoor voorafgaande schriftelijke toestemming heeft gegeven en Verwerker garandeert dat betreffende partij een passend niveau van bescherming en veiligheid van Persoonsgegevens waarborgt in de zin van de AVG en daarvan het bewijs aan Verwerkingsverantwoordelijke overlegt.

Artikel 9. Termijnen

9.1 Verwerker verwerkt de Persoonsgegevens met inachtneming van de door Verantwoordelijke vastgestelde termijnen in Bijlage 5.

9.2 Verwerker kan slechts afwijken van het in het voorgaande lid bepaalde, voor zover ten aanzien van bepaalde Persoonsgegevens sprake is van een voor hem geldende wettelijke bewaartermijn of voor zover dat noodzakelijk is om tegenover Verantwoordelijke nakoming van zijn verbintenissen te bewijzen.

Artikel 10. Wijziging overeenkomst

10.1 Wijziging van deze overeenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel. Wijzigingen in de Onderhoudsovereenkomst zullen altijd beoordeelt moeten worden op hun uitwerking binnen deze Verwerkersovereenkomst.

10.2 Zodra de samenwerking is beëindigd, zal de verwerker naar keuze van de

verantwoordelijke (i) alle of een door verantwoordelijke bepaald gedeelte van haar in het kader van deze overeenkomst ter beschikking gestelde persoonsgegevens aan de verantwoordelijke ter beschikking stellen (ii) de persoonsgegevens die hij van de verantwoordelijke heeft ontvangen op alle locaties vernietigen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. De verantwoordelijke kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging. Indien na het einde van deze overeenkomst vaststaat dat de verantwoordelijke alle persoonsgegevens in een door de verantwoordelijke schriftelijk formaat bezit, verwijdert de verwerker alle persoonsgegevens volledig en onherroepelijk binnen veertien dagen. Hiervan wordt een verslag gemaakt.

10.3 De verwerker zal te allen tijde de in het vorig lid beschreven dataportabiliteit waarborgen zodanig dat er geen sprake is van verlies van (delen van) de gegevens.

10.4 Verantwoordelijke en verwerker treden met elkaar in overleg over wijzigingen in deze overeenkomst als een wijziging in regelgeving of een wijziging in de uitleg van regelgeving daartoe aanleiding geven.

Artikel 11. Aansprakelijkheid

11.1 Voor de artikelen rondom Aansprakelijkheid wordt verwezen naar de bovenliggende Service overeenkomst, zie ook artikel 3.1.

Artikel 12. Toepasselijk recht

12.1 Voor de artikelen rondom Toepasselijk recht wordt verwezen naar de bovenliggende Onderhoudsovereenkomst, zie ook artikel 3.1.

Ondertekening

Aldus in tweevoud opgesteld en getekend op datum ondertekening. Namens ~relatienaam, ~ondertekenaar, ~functie.

Datum:

Handtekening:

Namens Verito Service b.v., de heer J.R. Xxxxx, directeur.

Datum:

Handtekening:

Bijlage 1: Omschrijving werkzaamheden ter uitwerking van artikel 3

1. De werkzaamheden van de verwerker (de verleende diensten en de bijbehorende verwerking).

Onder de werkzaamheden die verwerker mogelijk uitvoert kunnen vallen:

• Applicatiebeheer

• Technisch beheer

• Database beheer

• Helpdesk

• Vernietiging van gegevensdragers

2. Omschrijving van de werkzaamheden van de derden (subverwerkers) als deze er zijn, als bedoeld in artikel 8.

Lijstje opnemen met werkzaamheden die veel voorkomen zoals:

• Applicatiebeheer

• Technisch beheer

• Database beheer

• Helpdesk

Bijlage 2: Meldingsformulier Datalekken

Datum:

Tijd:

Bedrijfsnaam:

Adres:

Postcode:

Registratienummer KvK:

Wie heeft de inbreuk geconstateerd?

Naam:

Functietitel:

E-mail:

Telefoonnummer:

Wanneer is de inbreuk geconstateerd?

Datum:

Tijd:

Omschrijf het beveiligingsincident waarbij de inbreuk op de beveiliging van Persoonsgegevens zich heeft voorgedaan:

Van hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk?

a. Geen, het betreft zakelijke gegevens (bedrijfsdata)

b. Nog niet vastgesteld.

c. Ten minste …….., maar niet meer dan betrokkenen

Omschrijf de groep mensen waarvan persoonsgegevens zijn betrokken bij de inbreuk:

Wanneer heeft de inbreuk plaatsgevonden?

a. Op (datum + tijd)

b. Tussen (datum + tijd) en (datum + tijd)

c. Is nog niet vastgesteld

d. Er is sprake van een anonieme melding door een derde (Responsible Disclosure)

Aard van de inbreuk:

a. Alleen lezen (een niet geautoriseerde derde heeft (vertrouwelijke) data kunnen

inzien. Verwerker heeft de data nog in zijn bezit.)

b. Kopiëren (Een niet-geautoriseerde derde heeft data kunnen kopiëren. De data is ook

nog in het bezit van Verwerker.)

c. Wijzigen (Een niet-geautoriseerde derde heeft data (kunnen) wijzigen in systemen van

Verwerker.)

d. Verwijderen of vernietigen (Een niet-geautoriseerde derde heeft data verwijderd uit

de systemen van Verwerker of data vernietigd.)

e. Diefstal

f. Nog niet bekend

Categorie(ën) Persoonsgegevens betrokken bij de inbreuk:

a. Geen, de gegevens zijn niet herleidbaar tot een individu

b. NAW-gegevens

c. Telefoonnummers

d. E-mailadressen, Facebook ID’s, Twitter ID’s etc.

e. Gebruikersnamen, wachtwoorden of andere inloggegevens, klantnummers

f. Financiële gegevens: rekeningnummers, creditcardnummers

g. BSN-nummers of sofinummers

h. Kopieën van identiteitsbewijzen

i. Geslacht, geboortedatum, en/of leeftijd

j. Gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid of

lidmaatschap van een vakvereniging

k. Gegevens over iemands gezondheid of seksuele geaardheid

l. Strafrechtelijke persoonsgegevens of persoonsgegevens over onrechtmatig of

hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag

m. Gegevens over iemand financiële of economische situatie, gegevens over schulden, salaris- en betalingsgegevens

n. Afgeleide financiële data (inkomenscategorie, huizenbezit, autobezit)

o. Lifestylekenmerken (o.a. gezinssamenstelling, woonsituatie, interesses, demografische kenmerken)

p. Data verkregen uit (openbare) sociale profielen (Facebook-, LinkedIn- en Twitteraccounts etc.)

q. Overig, namelijk:

Zijn de Persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt voor ongeautoriseerde derden, bijvoorbeeld door encryptie en hashing?

Nee

Deels, namelijk:

Zo ja, op welke manier zijn de Persoonsgegevens versleuteld:

Heeft de inbreuk betrekking op personen uit andere EU-landen?

Nee

Onbekend

Zo ja, welke EU-landen:

Welke beveiligingsmaatregelen (technisch en organisatorisch) zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?

Wie kan benaderd worden voor meer informatie over de inbreuk?

a. Degene die het lek heeft geconstateerd;

b. Naam contactpersoon:

Functietitel:

E-Mail:

Telefoonnummer:

Bijlage 3: Informatiebeveiligingsbeleid/ opsomming van de getroffen technische en organisatorisch beveiligingsmaatregelen

Personele en organisatorische maatregelen:

• Geheimhoudingsplicht omtrent klanten en klantgegevens zoals vastgelegd in de arbeidsvoorwaarden.

• Gedragsregels omtrent het gebruik van email en gegevensdragers zoals PC, laptop, mobiele telefoons en andere door de werkgever verstrekte gegevensdragers zoals vastgelegd in de arbeidsvoorwaarden.

Organisatorische maatregelen:

• Aanstellen van een functionaris gegevensbescherming die onder meer verantwoordelijk is voor de uitvoer van de data policy.

• Periodieke interne audits omtrent de uitgevoerde data policy met de daarbij horende rapportages.

Onderhoudsovereenkomst:

• Alle maatregelen omtrent informatiebeveiliging voortkomend uit de onderhoudsovereenkomst.

Interne informatiebeveiliging:

• Beveiligd toegangsbeheer voor het interne netwerk, portals en onderliggende gegevens.

• Beveiligingsmaatregelen voor fysieke locaties.

• Anonimiseren van klantgegevens noodzakelijk voor support.

• Periodiek opstellen van een risicomatrix met bijbehorende maatregelen.

• Update en upgrade policy voor besturings- en beveiligingssystemen.

Bijlage 4: Subverwerkers

Met overeenstemming van Verwerkingsverantwoordelijke schakelt Verwerker bij de uitvoering van haar werkzaamheden de hieronder genoemde subverwerker(s) in, conform artikel 8 van deze Verwerkersovereenkomst.

Bijlage 5: Bewaartermijnen

Deze worden nog nader en in overleg bepaald door Verantwoordelijke en Verwerker.

Document Metadata

Table of Contents

Inhoud

Document Metadata