overwegende dat:

Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de door u (wederpartij) en Easy2Meet

B.V. (afgesloten hoofdovereenkomst(en) en de daarop van toepassing zijnde algemene voorwaarden. Easy2Meet B.V. is de verwerker (hierna: “Verwerker”) van de persoonsgegevens en wederpartij is verwerkingsverantwoordelijk (hierna: “Verwerkingsverantwoordelijke”) voor de persoonsgegevens.

Verwerker en Verwerkingsverantwoordelijke, gezamenlijk te noemen als “Partijen”,

overwegende dat:

• Verwerkingsverantwoordelijke beschikt over persoonsgegevens van diverse klanten of klanten van klanten (hierna: Xxxxxxxxxxx);

• Verwerkingsverantwoordelijke gebruik maakt van de dienstverlening van Verwerker en/of de door Xxxxxxxxx ontwikkelde en aangeboden vergaderapplicatie Easy2Meet® voor het aanmaken van vergaderingen, vaststellen van agenda’s en het verzenden van vergaderstukken en het maken van annotaties;

• Verwerkingsverantwoordelijke door middel van het gebruik van de vergaderapp van Verwerker persoonsgegevens laat verwerken door Verwerker waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst. Dit in het kader van de overeenkomst tussen Partijen (hierna te noemen: Xxxxxxxxxxxxxxxxx);

• Verwerker de verplichtingen omtrent beveiliging en andere aspecten van de wet- en regelgeving betreffend de bescherming van persoonsgegevens (zoals de Algemene Verordening Gegevensbescherming (AVG)) nakomt, dit uiteraard voor zover dit binnen haar verantwoordelijkheid ligt;

• Partijen, mede gelet op het vereiste uit artikel 28 lid 3 van de AVG, hun rechten en plichten door middel van deze verwerkersovereenkomst (hierna: Verwerkersovereenkomst) schriftelijk wensen vast te leggen;

• Verwerker bij de uitvoering van de Hoofdovereenkomst aangemerkt kan worden als Verwerker in de zin van artikel 4 lid 8 van de AVG;

• Verwerkingsverantwoordelijke aangemerkt wordt als Verantwoordelijke in de zin van artikel 4 lid 7 van de AVG;

• Waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, persoonsgegevens in de zin van artikel 4 lid 1 van de AVG worden bedoeld;

• Waar in deze Verwerkersovereenkomst termen uit de Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG worden bedoeld;

komen het volgende overeen:

Artikel 1. Doeleinden van verwerking

1.1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking vindt uitsluitend plaats in het kader van deze Verwerkersovereenkomst en de doeleinden zoals vastgelegd in de Hoofdovereenkomst. Verwerkingsverantwoordelijke stelt Verwerker schriftelijk op de hoogte van de verwerkingsdoelen voor zover deze niet reeds in deze Hoofdovereenkomst zijn genoemd en/of van daaruit zijn af te leiden.

1.2. Verwerker heeft geen zeggenschap over het doel en de middelen voor verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.

Artikel 2. Verdeling van verantwoordelijkheid

2.1. Partijen dragen zorg voor de naleving van toepasselijke privacywet- en regelgeving.

2.2. De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een (semi-) geautomatiseerde omgeving.

2.3. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of andere doeleinden, is Verwerker niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerkingsverantwoordelijke.

2.4. Verwerkingsverantwoordelijke staat ervoor in dat de inhoud, het gebruik en de opdracht tot verwerkingen van persoonsgegevens, zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.

Artikel 3. Verplichtingen Verwerker

3.1. Ten aanzien van de in artikel 1 genoemde verwerkingen, draagt Verwerker zorg voor de naleving van de voorwaarden die, op grond van de AVG, worden gesteld aan het verwerken van persoonsgegevens door Verwerker vanuit diens rol.

3.2. Verwerker informeert Verwerkingsverantwoordelijke, op diens eerste verzoek en binnen een redelijke termijn, over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze Verwerkersovereenkomst.

3.3. Verwerker stelt Verwerkingsverantwoordelijke in kennis indien naar zijn mening een instructie van Verwerkingsverantwoordelijke in strijd is met relevante privacywet- en regelgeving.

3.4. Verwerker verleent Verwerkingsverantwoordelijke de noodzakelijke medewerking wanneer er in het kader van de verwerking een gegevensbeschermingseffectbeoordeling, of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn.

3.5. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot medewerkers, in de ruimste zin van het woord.

3.6. De verwerking vindt plaats onder de verantwoordelijkheid van Verwerkingsverantwoordelijke.

3.7. Verwerker stelt de Persoonsgegevens uitsluitend aan die medewerkers ter beschikking die de Persoonsgegevens nodig hebben voor de uitvoering van hun werkzaamheden c.q. noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen in het kader van en ter uitvoering van de Overeenkomst, en voor het overige geheimhouden, behoudens op hem rustende afwijkende wettelijke verplichtingen.

Artikel 4. Doorgifte van persoonsgegevens

4.1. De bij het werken met c.q. in Easy2Meet® gebruikte persoonsgegevens worden opgeslagen in een datacentrum binnen de Europese Economische Ruimte (EER). Hierbij zij vermeld dat met betrekking tot de opslag van documenten het uiteindelijk de Verwerkingsverantwoordelijke zelf is die documenten opslaat.

4.2 De persoonsgegevens van Verwerkingsverantwoordelijke zelf, niet zijnde ten behoeve van het werken met Easy2Meet®, maar welke gebruikt worden om Verwerkingsverantwoordelijke in administratieve zin optimaal te kunnen bedienen, worden opgeslagen in het CRM van Verwerker welke op een gehoste omgeving uit de USA draait en waarop het EU-US Privacy Shield van toepassing is.

Artikel 5. Inschakelen van derden of subverwerkers

5.1. Verwerker maakt met instemming van Verwerkingsverantwoordelijke voor haar diensten gebruik van de Azure infrastructuur van Microsoft, die als zodanig kan worden aangemerkt als subverwerker. Een verdere duiding met betrekking tot de rechten en plichten aangaande de diensten van Microsoft wordt gegeven op xxxxx://xxxxxxxx.xxxxxx.xxx/xx-xx/xxxxxxxx/xxxxxx-000- trust-center-compliance.

5.2. Indien Verwerker op enig moment (aanvullend) gebruik gaat maken van derden of subverwerkers, geschiedt dit met inachtneming van het karakter van deze overeenkomst. Voorafgaand wordt de FG van Verwerkingsverantwoordelijke hierover geïnformeerd en in de gelegenheid gesteld bezwaar aan te tekenen; de termijn hiervoor is 1 maand na moment voor informering.

Artikel 6. Beveiliging

6.1. Verwerker treft passende technische en organisatorische maatregelen om de persoonsgegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens) als bedoeld in artikel 32 AVG. Verwerker heeft hiertoe de in bijlage 1 genoemde beveiligingsmaatregelen genomen.

6.2. Verwerker is verantwoordelijk voor de naleving van de genomen beveiligingsmaatregelen.

Artikel 7. Meldplicht datalekken

7.1. In het geval van een beveiligingslek en/of datalek informeert Xxxxxxxxx zo snel mogelijk doch uiterlijk binnen 48 uur Verwerkingsverantwoordelijke, naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen informeert of niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. Melding vindt plaats aan de Functionaris Persoonsgegevens van Verwerkingsverantwoordelijke.

7.2. In het geval van een beveiligingsincident (waaronder wordt verstaan: elk element en/of ondeugdelijkheid in de door Verwerker gebruikte middelen voor de verwerking van Persoonsgegevens dat/die in potentie kan/kunnen leiden tot een inbreuk in verband met persoonsgegevens) spant Verwerker zich naar beste kunnen in om Verwerkingsverantwoordelijke daarover zo snel mogelijk doch uiterlijk binnen 48 uur te informeren naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen informeert of niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. Melding vindt plaats aan de Functionaris Persoonsgegevens van Verwerkingsverantwoordelijke.

Verwerker treft alle passende technische en organisatorische maatregelen om de gevolgen van een beveiligingsincident te beperken en/of een nieuw beveiligingsincident te voorkomen.

7.3. Verwerkingsverantwoordelijke draagt zorg voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist, werkt Xxxxxxxxx mee aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen.

7.4. De meldplicht wordt afgehandeld conform de in bijlage 2 verwoorde procedure.

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1. In het geval dat een Betrokkene een verzoek over zijn persoonsgegevens richt aan Verwerker, stuurt Verwerker het verzoek door aan Verwerkingsverantwoordelijke. Verwerker mag de Betrokkene daarvan op de hoogte stellen. Verwerker verleent Verwerkingsverantwoordelijke de noodzakelijke medewerking bij het afhandelen van het verzoek. Indien blijkt dat de Verwerkingsverantwoordelijke hulp nodig heeft van Verwerker voor de uitvoering van een verzoek

van een Betrokkene, dan kan dit kosten met zich mee brengen. Alsdan wordt hierover overleg gevoerd en indien dit voor de uitvoering onoverkoombaar is, door Verwerker in rekening gebracht.

Artikel 9. Geheimhouding en vertrouwelijkheid

9.1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker gebruikt deze informatie niet voor een ander doel dan waarvoor hij deze heeft verkregen. Tenzij deze gegevens in een zodanige vorm is gebracht dat deze niet tot betrokkenen – direct of indirect – herleidbaar is en geen bedrijfsvertrouwelijke gegevens bevat, alsdan gebruikt Verwerker de geageerde en geanonimiseerde gegevens uitsluitend voor analyses.

9.2. Deze geheimhoudingsplicht is niet van toepassing:

• voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen; of

• indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Hoofdovereenkomst of deze Verwerkersovereenkomst; en

• indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

9.3. De Verwerker houdt de Persoonsgegevens die hij verwerkt in het kader van de uitvoering van de Verwerkersovereenkomst geheim en treft alle nodige maatregelen om geheimhouding van de Persoonsgegevens te verzekeren.

9.4. Personen in dienst van, dan wel werkzaam ten behoeve van Verwerker, waaronder Subverwerkers en Derden worden geacht geheimhouding te betrachten met betrekking tot de Persoonsgegevens waarvan zij kennis (kunnen) nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht.

9.5. Indien de Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, verifieert de Verwerker de grondslag van het verzoek en de identiteit van de verzoeker en informeert de Verwerker Verwerkingsverantwoordelijke onmiddellijk, voorafgaand aan de verstrekking van gegevens. In voorkomend geval ontvangt Verwerkingsverantwoordelijke van Verwerker een kopie van de verstrekte gegevens.

Artikel 10. Audit

10.1. Verwerkingsverantwoordelijke heeft het recht een audit uit te voeren of laten voeren door een deskundige onafhankelijke derde die aan geheimhouding is gebonden, ter controle van naleving van alle punten uit deze Verwerkersovereenkomst, en alles wat daar direct verband mee houdt.

10.2. Deze audit vindt uitsluitend plaats nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke relevante auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen.

Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt twee weken na voorgaande aankondiging door Verwerkingsverantwoordelijke, maximaal eens per kalenderjaar plaats.

10.3. Verwerker werkt aan de audit mee en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.

10.4. De bevindingen naar aanleiding van de uitgevoerde audit worden door Partijen in onderling overleg beoordeeld. Naar aanleiding daarvan worden wijzigingen al dan niet doorgevoerd in de beveiliging door één van de Partijen of door beide Partijen gezamenlijk.

10.5. Alle kosten van de audit worden door Verwerkingsverantwoordelijke gedragen, tenzij blijkt dat Verwerker verplichtingen uit deze Verwerkersovereenkomst niet is nagekomen.

Artikel 11. Aansprakelijkheid

11.1. De aansprakelijkheid van Verwerker wordt conform artikel 82 AVG geregeld.

11.2. Wanneer door Verwerkingsverantwoordelijke schade wordt geleden, dan wordt deze zoals verwoord staat in artikel 12 van de algemene voorwaarden van Verwerker afgehandeld.

11.3. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Verwerkingsverantwoordelijke de schade zo spoedig mogelijk na het bekend worden daarmee schriftelijk en aangetekend bij Verwerker meldt. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke vervalt door het enkele verloop van drie maanden nadat Verwerkingsverantwoordelijke bekend is geworden met het feit dat hij schade heeft geleden.

11.4. Verwerker is uitdrukkelijk niet aansprakelijk voor schade van Verwerkingsverantwoordelijke als gevolg van een boete opgelegd door een van de nationale toezichthouders, waaronder de Autoriteit Persoonsgegevens, onder andere in het kader van wettelijke meldplichten. Tenzij vast is komen te staan dat de Verwerker bij de verwerking niet heeft voldaan aan de geldende wet- en regelgeving dan wel door de Verwerker buiten of in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke is gehandeld, of door hem ingeschakelde medewerkers, Subverwerkers of Derden.

Artikel 12. Duur en beëindiging

12.1. Deze Verwerkersovereenkomst komt tot stand door het accoord geven op de Hoofdovereenkomst tijdens het plaatsen van een bestelling.

12.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Hoofdovereenkomst tussen Partijen en, bij gebreke daarvan, in ieder geval voor de duur van de samenwerking.

12.3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, geeft Xxxxxxxxx de mogelijkheid om alle persoonsgegevens die bij hem aanwezig zijn in originele vorm of kopievorm in een Excel-, CSV- of Pdf-bestand te downloaden of te exporteren aan Verwerkingsverantwoordelijke.

12.4. Persoonsgegevens welke Verwerker in haar bezit heeft worden nadat de wettelijke bewaarplicht en/of -termijn is verstreken verwijderd c.q. vernietigd.

12.5. Wijzigingen van de Verwerkersovereenkomst worden voorafgaand kenbaar gemaakt. Eventuele bezwaren kunnen binnen 1 maand na aankondiging worden ingediend, waarna Verwerker gehouden is de voorgenomen wijziging aan te houden en in contact te treden met de bezwaarde(n). Slechts indien er sprake is dat een voorgenomen wijziging het karakter van de Verwerkersovereenkomst daadwerkelijk aantast, wordt een bezwaar gehonoreerd en kan de voorgenomen wijziging niet worden doorgevoerd.

Artikel 13. Overige bepalingen

13.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2. Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter te Rotterdam.

13.3. Logs en gedane metingen door Verwerker gelden als dwingend bewijs, behoudens tegenbewijs te leveren door Verwerkingsverantwoordelijke.

13.4. In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:

• de Hoofdovereenkomst;

• de Algemene Voorwaarden van Verwerker zoals gedeponeerd bij de KvK te Rotterdam;

• deze Verwerkersovereenkomst;

• eventuele aanvullende voorwaarden.

Aldus opgemaakt en ondertekend, Zwijndrecht, augustus 2019,

P.A. de Graaf Algemeen Directeur

Bijlage 1: Specificatie persoonsgegevens

Verwerker verwerkt in het kader van de Hoofdovereenkomst en in opdracht van Verwerkingsverant- woordelijke de volgende persoonsgegevens:

In algemene zin de NAW-gegevens zoals genoemd in de Hoofdovereenkomst alsmede voorkomend in vergaderstukken; daarnaast:

• Contactgegevens (e-mailadres en telefoonnummer);

• Geslacht;

• IP-adres;

• Betaalgegevens;

• Inlognamen (geen wachtwoorden).

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens volledig en correct zijn en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.

Met betrekking tot de verwerking heeft Xxxxxxxxx heeft de volgende beveiligingsmaatregelen genomen:

• Logische toegangscontrole, gebruik makend van twee factor authenticatie;

• Toegang tot database en bestanden bij Verwerker op basis van beperkte set IP-adressen;

• Encryptie (versleuteling) van de database waarin persoonsgegevens zijn opgeslagen;

• Organisatorische maatregelen voor toegangsbeveiliging;

• Beveiliging van netwerkverbindingen via Transport Layer Security (TLS) technologie;

• Geheimhoudingsplicht medewerkers en ingeschakelde derden.

Deze maatregelen vinden plaats binnen de kaders van ISO27001.

Bijlage 2: Procedure bij Beveiligingsincident

Een beveiligingsincident is een incident waarbij sprake is van (dreiging van) aantasting van de integriteit, vertrouwelijkheid of beschikbaarheid van de Persoonsgegevens. Zoals, maar niet beperkt tot: ongeautoriseerde toegang, onrechtmatige verwerking, onopzettelijke verwijdering of verlies, onbevoegde openbaarmaking, of enige aanwijzing dat een dergelijke inbreuk plaatsvindt of heeft plaatsgevonden. Het gaat daarbij om gegevens die aan een persoon zijn te koppelen, al dan niet direct, zoals: naam, adressen, contactgegevens, IP- of MAC-adressen, unieke identificerende nummers (burgerservice- nummer, personeelsnummer).

Xxxxxxx van een beveiligingsincident wordt onderzocht of daarbij persoonsgegevens zijn betrokken en wat de gevolgen daarvan zijn. Een melding aan de Autoriteit Persoonsgegevens (AP) moet plaatsvinden bij elk incident met betrekking tot persoonsgegevens, tenzij niet waarschijnlijk is dat het datalek een risico inhoudt. Melding aan de AP door de Verwerkingsverantwoordelijke dient te geschieden binnen 72 uur na ontdekking van het datalek. Bovendien dient een melding aan de betrokkenen plaats te vinden indien het datalek waarschijnlijk een hoog risico inhoudt.

De afweging of er sprake is van een meldingsplicht aan de AP respectievelijk de betrokkene ligt volledig binnen de verantwoordelijkheid van de Verwerkingsverantwoordelijke.

Verwerker informeert Verwerkingsverantwoordelijke onverwijld, en niet later dan 24 uur na ontdekking van het beveiligingsincident, dat zich een beveiligingsincident heeft voorgedaan. Hierbij wordt door Verwerker alle informatie over de aard en impact van het beveiligingsincident verschaft alsook de getroffen of nog te nemen maatregelen.

Elke beveiligingsincident wordt aangemeld bij de daarvoor aangestelde functionaris (CISO, PO of FG) van Verwerkingsverantwoordelijke.

Informatie die Verwerker in ieder geval met betrekking tot het beveiligingsincident verstrekt is de volgende:

1) Contactgegevens melder

Naam, functie, emailadres, telefoonnummer.

2) Tijdlijn

De inbreuk (ingevuld hetgeen van toepassing is):

a) Vond plaats op (exacte datum) of tussen (startdatum periode) en (einddatum

periode).

b) De inbreuk duurt nog wel/niet meer voort.

c) De inbreuk werd ontdekt op ………………….

d) De inbreuk is later dan 24 uur na ontdekking gemeld, omdat ………………………………..

3) Gegevens over het datalek

Aard van de inbreuk.

a) Inbreuk op de vertrouwelijkheid van de gegevens.

b) Inbreuk op de integriteit van de gegevens.

c) Inbreuk op de beschikbaarheid van de gegevens. Aard van het incident.

d) De aard van het incident waarbij er een inbreuk op de beveiliging van persoonsgegevens is geweest.

e) Samenvatting van het incident waarbij er een inbreuk op de beveiliging van persoonsgegevens is geweest.

4) Persoonsgegevens in het algemeen

Om welke categorieën algemene persoonsgegevens het gaat (meerdere mogelijkheden aankruisen):

a) Naam.

b) Xxxxxxxx, geboortedatum en/of leeftijd.

c) Burgerservicenummer (BSN).

d) Contactgegevens.

e) Toegangs- of identificatiegegevens.

f) Financiële gegevens.

g) (Kopieën van) paspoorten of andere legitimatiebewijzen.

h) Locatiegegevens.

i) Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

j) Onbekend/anders, geef dit aan.

Hoeveel (eventueel bij benadering) gegevensrecords ("gegevensregisters") zijn getroffen door de inbreuk.

5) De groep van mensen van wie persoonsgegevens betrokken zijn bij het datalek

Categorieën betrokkenen.

a) Werknemers.

b) Klanten (huidige en potentieel).

c) Leerlingen of studenten.

d) Patiënten.

e) Minderjarigen.

f) Personen uit kwetsbare groepen.

Omschrijving van de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk. Minimaal hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk?

Xxxxxxxx hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk?

6) Maatregelen die zijn getroffen voordat het datalek plaatsvond

a) Of de persoonsgegevens op het moment dat de inbreuk zich voordeed versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk voor onbevoegden waren.

b) Als de persoonsgegevens deels onbegrijpelijk of ontoegankelijk waren, om welk deel dat gaat.

c) Als de persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk waren gemaakt, op welke manier dat is gebeurd.

7) Gevolgen van het datalek

Gevolgen van de inbreuk op de vertrouwelijkheid, de integriteit en/of de beschikbaarheid van de gegevens.

a) Onbevoegden hebben kennis kunnen nemen van de gegevens.

b) De gegevens kunnen op een onbehoorlijke of onrechtmatige manier worden misbruikt.

c) Er worden binnen uw eigen organisatie mogelijk onjuiste, onvolledige of achterhaalde persoonsgegevens gebruikt.

d) Er worden mogelijk onjuiste, onvolledige of achterhaalde persoonsgegevens hergebruikt voor andere doeleinden of doorgegeven aan andere organisaties.

e) Een essentiële dienst kan tijdelijk niet meer worden verleend aan de betrokkenen.

f) Een essentiële dienst kan permanent niet meer worden verleend aan de betrokkenen.

g) Xxxxxx, geef dan (ook) aan.

Lichamelijke, materiële en immateriële schade voor de betrokkenen.

h) Xxxxx gevolgen de inbreuk voor de persoonlijke levenssfeer van de betrokkenen kan hebben.

i) Discriminatie.

j) Identiteitsdiefstal of -fraude.

k) Financiële verliezen.

l) Reputatieschade.

m) Verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens.

n) Ongeoorloofde ongedaanmaking van pseudonimisering.

o) Betrokkenen hun rechten en vrijheden niet kunnen uitoefenen.

p) Betrokkenen worden verhinderd controle over hun persoonsgegevens uit te oefenen.

q) Andere gevolgen, geef aan.

De ernst van de mogelijke gevolgen voor de betrokkenen wordt als volgt ingeschat op:

• Verwaarloosbaar.

• Beperkt.

• Aanzienlijk.

• Zeer groot.

8) Vervolgacties naar aanleiding van het datalek

Maatregelen om de inbreuk aan te pakken

a) De volgende technische en organisatorische maatregelen zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen.

Internationale aspecten

b) De inbreuk heeft zich wel/niet voorgedaan in een grensoverschrijdende gegevensverwerking; de AP is voor deze verwerking wel/niet de leidende toezichthouder.

• Xx, het gaat om de volgende EU-landen: …………………………………………………………..

• Nee.

9) Overig

Is alles gemeld dat van belang is?

a) Ja.

b) Xxx, aanvullend wordt het volgende nog gemeld: ………………………………………………………….