Partijen:

Partijen:

MODEL                        BEWERKERS-/VERWERKERSOVEREENKOMST

Opmerking [MH1]: Dit model kan dienen ter inspiratie. Deze zal nog aangepast dienen te worden aan de specifieke dienstverlening, de exacte persoonsgegevens die worden verwerkt en het doel van de uitbesteding. De verplichte

1. [Volledige naam en rechtsvorm], de [straat] te [plaats], hierna te noemen

“Verantwoordelijke”; en

2. [Volledige naam], wonend aan de [straat] te [plaats], hierna te noemen “Bewerker” hierna gezamenlijk te noemen: ‘Partijen’

OVERWEGENDE DAT

A. Verantwoordelijke en Bewerker een overeenkomst hebben gesloten op [datum], hierna de “Overeenkomst”. In het kader van de uitvoering van de Overeenkomst verleent Bewerker diensten aan Verantwoordelijke.

B. Bewerker in het kader de uitvoering van de Overeenkomst ook Persoonsgegevens verwerkt voor Verantwoordelijke.

C. Partijen verplicht zijn op grond van de geldende privacy wet- en regelgeving om afspraken te maken en vast te leggen met betrekking tot de verwerking van Persoonsgegevens door Xxxxxxxx;

D. de bepalingen van deze Bewerkersovereenkomst vóór gaan op alle andere afspraken die tussen Partijen gelden en betrekking hebben op de verwerking van Persoonsgegevens door Bewerker voor Verantwoordelijke.

KOMEN ALS VOLGT OVEREEN:

Artikel 1. Definities

1.1 Naast de wettelijke definities hebben de volgende termen de volgende betekenis:

“AP” Autoriteit Persoonsgegevens, ook College Bescherming Persoonsgegevens genoemd, de toezichthoudende autoriteit voor de naleving van de geldende privacywetgeving;

“AVG” Algemene Verordening Gegevensbescherming, voluit: Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Xxxxxxxxx 95/46/EG;

“Betrokkene” de natuurlijke persoon waarop de Persoonsgegevens die Bewerker verwerkt voor Verantwoordelijke en/of haar opdrachtgevers in het kader van de uitvoering van de Overeenkomst betrekking hebben;

“Beveiligingsincident” een inbreuk op de beveiliging die per ongeluk of op

onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;

afspraken op grond van de Wbp en de Algemene Verordening Gegevensbescherming zijn in dit model verwerkt. Voor vragen kan contact worden opgenomen met Xxxxxxx Xxxxxxxxx van Hekkelman Advocaten en Notarissen via x.xxxxxxxxx@xxxxxxxxx.xx

“Bewerkersovereenkomst” de onderhavige overeenkomst inclusief alle bijlagen die

onlosmakelijk hieraan zijn verbonden;

“Bijlage” Iedere bijlage bij deze Bewerkersovereenkomst, welke een onlosmakelijk deel daarvan uitmaakt;

"Derde" een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verantwoordelijke, noch de Bewerker, noch de personen die onder rechtstreeks gezag van de Verantwoordelijke of de bewerker gemachtigd zijn om de Persoonsgegevens te verwerken;

“Diensten” Alle diensten die Bewerker aan Verantwoordelijke verleend, zoals omschreven in de Overeenkomst;

“EER” Europese Economische Ruimte;

“Overeenkomst” de tussen partijen gesloten overeenkomst met betrekking tot

de dienstverlening die Bewerker verricht voor Verantwoordelijke’;

“Persoonsgegevens” alle informatie over een geïdentificeerde of identificeerbare

natuurlijke persoon die Bewerker ontvangt van of verwerkt voor Verantwoordelijke in het kader van de uitvoering van de Overeenkomst;

“Sub-bewerker” een partij die door Xxxxxxxx wordt ingeschakeld voor de

uitvoering van de Overeenkomst en de daarbij horende verwerking van Persoonsgegevens;

“Verwerken” elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

“Wbp” Wet bescherming persoonsgegevens;

Artikel 2. Algemeen

2.1 Verantwoordelijke wordt ten aanzien van de Persoonsgegevens die Bewerker in haar opdracht verwerkt beschouwd als Verantwoordelijke in de zin van de Wbp en Verwerkingsverantwoordelijke in de zin van de AVG. Bewerker is Bewerker in de zin van de Wbp en Verwerker in de zin van de AVG.

2.2 Bewerker en Verantwoordelijke verstrekken elkaar over en weer tijdig alle benodigde infor- matie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

Artikel 3. Verwerken van Persoonsgegevens

3.1 Verantwoordelijke zal de Persoonsgegevens in overeenstemming met de geldende wet- en regelgeving verwerken en heeft de categorieën van Betrokkenen, het soort Persoonsgegevens en de aard en het doel waarvoor de Persoonsgegevens worden verwerkt opgenomen in Bijlage 1. Bewerker zal de Persoonsgegevens niet voor andere doeleinden of

op andere wijze gebruiken dan voor het doel waarvoor de Persoonsgegevens zijn verstrekt of haar bekend zijn geworden.

3.2 Bewerker zal de Persoonsgegevens uitsluitend verwerken op basis van de schriftelijke instructies van Verantwoordelijke in het kader van de uitvoering van de Overeenkomst en de te verlenen Diensten, dan wel in verband met een wettelijke verplichting.

3.3 Bewerker zal de Persoonsgegevens niet aan een Derde verstrekken, tenzij deze uitwisseling plaatsvindt in het kader van de uitvoering van de Overeenkomst, in opdracht van of met toestemming van Verantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.

3.4 Bewerker draagt er zorg voor dat de Persoonsgegevens niet buiten de EER worden verwerkt, tenzij Verantwoordelijke daar schriftelijke toestemming voor heeft gegeven. Bij ondertekening van de Bewerkersovereenkomst heeft Verantwoordelijke toestemming gegeven voor Verwerking van de Persoonsgegevens in de landen die zijn opgenomen in Bijlage 1.

3.5 Indien Verantwoordelijke een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de Overeenkomst zal Bewerker alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Tevens zal Xxxxxxxx alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de AP nodig is op grond van de geldende privacywetgeving. Verantwoordelijke zal Bewerker de in dit kader gemaakte redelijke kosten vergoeden.

Artikel 4. Geheimhouding

4.1 Bewerker houdt de Persoonsgegevens die zij verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren. Bewerker zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen.

4.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien Verantwoordelijke uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.

Artikel 5. Beveiliging Persoonsgegevens

5.1 Verantwoordelijke zal in overeenstemming met de geldende wettelijke regels de beveiliging van de Persoonsgegevens waarborgen en daartoe passende technische en organisatorische maatregelen treffen.

5.2 Bewerker zal in overeenstemming met geldende wettelijke regels technische en organisatorische maatregelen treffen, in stand houden en zo nodig aanpassen om een op het risico afgestemd beveiligingsniveau te waarborgen. Om hieraan te kunnen voldoen zal Verantwoordelijke Bewerker informeren over de betrouwbaarheidseisen die op de verwerking van toepassing zijn en tijdig de benodigde informatie verstrekken in geval van wijzigingen in de verwerking van Persoonsgegevens.

5.3 Bewerker zal bij het treffen van beveiligingsmaatregelen rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

5.4 In Bijlage 2 zijn de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen die Bewerker treft. Deze maatregelen worden periodiek geëvalueerd en indien nodig aangepast.

Artikel 6. Controle

6.1 Verantwoordelijke heeft het recht om maximaal één maal per jaar op eigen kosten door onafhankelijke deskundigen een audit te laten uitvoeren inzake de verwerking van Persoonsgegevens door Bewerker ter controle op de naleving van deze Bewerkersovereenkomst. Bewerker zal alle redelijke medewerking verlenen aan een audit, waaronder het verlenen van toegang tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie. Partijen kunnen overeenkomen dat de hiervoor bedoelde audit wordt vervangen door een Third Party Mededeling (TPM) vanuit Bewerker.

6.2 Bewerker zal in overleg met Verantwoordelijke de aanbevelingen ter verbetering van de onafhankelijke deskundigen zo spoedig mogelijk en naar redelijkheid uitvoeren.

6.3 In geval van een onderzoek door de AP of een andere bevoegde autoriteit zal Bewerker alle redelijke medewerking verlenen en Verantwoordelijke zo snel mogelijk informeren. Partijen zullen met elkaar in overleg treden over de wijze van optreden en de vergoeding van de gemaakte kosten.

Artikel 7. Beveiligingsincidenten

7.1 Bewerker informeert Verantwoordelijke zo spoedig mogelijk nadat Xxxxxxxx kennis heeft genomen van een Beveiligingsincident met betrekking tot de verwerking van de Persoonsgegevens.

7.2 In geval van een Beveiligingsincident zal Bewerker alle redelijke maatregelen treffen om de gevolgen van het incident te beperken en/of een nieuw incident te voorkomen. Bewerker zal alle medewerking verlenen aan Verantwoordelijke om aan haar meldplicht datalekken en haar eventuele plicht tot het informeren van Xxxxxxxxxxx te kunnen voldoen.

7.3 Partijen leggen hun afspraken over de informatie-uitwisseling in verband met incidenten vast in een “Procedure Meldplicht Datalekken” in Bijlage 3. Deze bijlage kan ten allen tijde in overleg door Partijen worden gewijzigd. De bijlage zal in ieder geval worden aangepast indien de regelgeving omtrent de Meldplicht Datalekken of de uitleg daarvan wijzigt.

7.4 In geval van een Beveiligingsincident bij Bewerker dat leidt tot een meldplicht of een informatieplicht voor Verantwoordelijke, zal de melding of de informatieverstrekking in overleg met Bewerker door Verantwoordelijke worden verricht. Partijen zullen in goed overleg afspraken maken over de verdeling van de kosten die daarmee zijn gemoeid.

Artikel 8. Verzoeken van Betrokkenen

8.1 Indien Bewerker een verzoek of bezwaar van een Betrokkene ontvangt, zoals een verzoek om informatie, inzage, rectificatie, gegevenswissing, verwerkingsbeperking, overdracht van de Persoonsgegevens, stuurt Bewerker dat verzoek onmiddellijk door naar Verantwoordelijke.

8.2 Bewerker verleent Verantwoordelijke alle redelijke medewerking om ervoor te zorgen dat Verantwoordelijke binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving. De redelijke kosten voor deze medewerking zullen door Verantwoordelijke aan Bewerker worden vergoed.

Artikel 9. Sub-bewerkers

9.1 Bewerker heeft bij de verwerking van de Persoonsgegevens de mogelijkheid om, met schriftelijke toestemming van Verantwoordelijke, Sub-bewerkers in te schakelen. Verantwoordelijke zal een redelijk verzoek om toestemming niet onthouden. In Bijlage 1 worden de relevante gegevens over de Sub-bewerkers opgenomen waarvoor verantwoordelijke toestemming heeft verleend. Bij wijzigingen zal Bewerker Verantwoordelijke daarover informeren en na toestemming de gegevens in Bijlage 1 aanpassen.

9.2 Bewerker zal met de door haar ingeschakelde Sub-bewerkers een overeenkomst sluiten die in overeenstemming is met de relevante wet- en regelgeving en deze Bewerkersovereenkomst. Bewerker zal in ieder geval iedere Sub-Bewerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na laten leven met betrekking tot de verwerking van de Persoonsgegevens.

10. Toegang tot de Persoonsgegevens

10.1 De zeggenschap over de Persoonsgegevens blijft volledig berusten bij Verantwoordelijke. Op verzoek van Verantwoordelijke en tegen vergoeding van de redelijke kosten zal Bewerker (een deel van) de Persoonsgegevens in gangbaar formaat ter beschikking stellen aan Verantwoordelijke.

10.2 Bewerker zal ervoor zorgdragen dat Verantwoordelijke te allen tijde toegang behoudt tot de Persoonsgegevens en zal in geval van een geschil tussen Partijen deze toegang niet blokkeren. Bewerker zal maatregelen treffen om ervoor te zorgen dat Verantwoordelijke ook in geval van faillissement of surséance van betaling van Bewerker toegang blijft houden tot de Persoonsgegevens.

11. Aansprakelijkheid en vrijwaring                    

11.1 Indien een Partij tekortschiet in de nakoming van de Bewerkersovereenkomst is deze Partij aansprakelijk voor de schade en kosten die de andere Partij daardoor lijdt of heeft geleden, met in achtneming van de in de Overeenkomst opgenomen beperkingen.

11.2 Bewerker vrijwaart Verantwoordelijke voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verantwoordelijke worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende privacywetgeving door Xxxxxxxx met in achtneming van de genoemde beperkingen in artikel

11.1. Om een beroep te kunnen doen op deze vrijwaring is Verantwoordelijke gehouden om:

(i) Bewerker terstond op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,

(ii) in samenspraak met Xxxxxxxx te handelen en te communiceren richting de toezichthouder

én

(iii) tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is.

11.3 Verantwoordelijke vrijwaart Bewerker voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Bewerker worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende privacywetgeving door Verantwoordelijke. Om een beroep te kunnen doen op deze vrijwaring is Bewerker gehouden om:

(i) Verantwoordelijke terstond op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,

(ii) in samenspraak met Verantwoordelijke te handelen en te communiceren richting de toezichthouder

en

(iii) tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is.

12. Duur en beëindiging

12.1 Deze Bewerkersovereenkomst treedt in werking op de datum van ondertekening en eindigt van rechtswege bij beëindiging van de Overeenkomst.

12.2 Bewerker zal bij beëindiging van de Overeenkomst op verzoek van Verantwoordelijke en tegen vergoeding van de redelijke kosten de Persoonsgegevens in een gangbaar formaat ter

Opmerking [MH2]: Dit is een voorbeeld waar tussen partijen naar wens van kan worden afgeweken.

beschikking stellen aan Verantwoordelijke of aan een door Verantwoordelijke aangewezen Derde.

12.3 Bewerker zal na overdracht van de Persoonsgegevens aan Verantwoordelijke de nog aanwezige Persoonsgegevens vernietigen, tenzij een langere opslag wettelijk verplicht is. Bewerker zal tevens zorgdragen voor vernietiging van de Persoonsgegevens bij de Sub- bewerkers.

13. Wijziging Bewerkersovereenkomst

13.1 In geval van wijzigingen in de Diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de Persoonsgegevens zullen Partijen in overleg treden over de eventueel benodigde wijziging van de Bewerkersovereenkomst. De wijzigingen in de tekst van deze Bewerkersovereenkomst kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.

13.2 Wijzigingen in de Bijlagen kunnen door Partijen op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.

14. Toepasselijk recht / Bevoegde rechter

14.1 Op deze Bewerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

14.2 Alle geschillen die ontstaan naar aanleiding van deze Bewerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.

ALDUS OVEREENGEKOMEN EN IN TWEEVOUD GETEKEND

Namens Verantwoordelijke
Naam:	Functie:	Datum:
Handtekening:
Namens Bewerker Naam:	Functie:	Datum:
Handtekening:

BIJLAGE 1

A. Categorieën Betrokkenen

Opmerking [MH3]: In te vullen door verantwoordelijke.

De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval:

− [invullen]

B. Soort Persoonsgegevens

De Persoonsgegevens die door Bewerker worden verwerkt zijn in ieder geval:

− NAW-gegevens, telefoonnummers, e-mailadressen,

Opmerking [MH4]: In te vullen door verantwoordelijke.

− [aanpassen en/of aanvullen]

C. Aard en doel van de verwerking

De aard van de verwerking is [korte omschrijving dienstverlening];

De Persoonsgegevens worden in ieder geval voor de volgende doelen verwerkt:

Opmerking [MH5]: In te vullen door verantwoordelijke.

− Doel van de verwerking [doeleinden van de uitbesteding/dienstverlening]         

D. Verwerking buiten de EER

De Persoonsgegevens worden in de volgende landen buiten de EER verwerkt (denk ook aan onderhoud door personen die zich buiten de EER bevinden of cloudopslag bij een cloudprovider van buiten de EER, zoals uit de VS):

Opmerking [MH6]: In te vullen door bewerker.

landen

]

[

E. Gegevens Sub-bewerkers

Opmerking [MH7]: In te vullen door bewerker.

Bewerker maakt voor de Diensten gebruik van de volgende Sub-bewerkers: […]

F. Contactgegevens

Voor vragen of opmerkingen over de Bewerkersovereenkomst en Bijlagen is de contactpersoon van Verantwoordelijke: [contactgegevens]

Bewerker: [contactgegevens]

Versie

[versie nummer en datum]

BIJLAGE 2                              

Omschrijving van de technische en organisatorische beveiligingsmaatregelen die door de Bewerker zijn geïmplementeerd

Zoals opgenomen in art. 5 worden hieronder de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen die Bewerker treft. De getroffen maatregelen zijn opgenomen in deze bijlage en worden aangevuld of gewijzigd indien dat nodig is.

A. Algemene informatie over getroffen beveiligingsmaatregelen:

Certificeringen: […] Audits/Derden-verklaringen: […]

B. Maatregelen om te zorgen dat uitsluitend bevoegd personeel toegang heeft tot de Persoonsgegevens:

Autorisaties: […] Logging: […] [aanvullen]

C. Maatregelen om de Persoonsgegevens te beschermen tegen verlies of wijziging en tegen onbevoegde of onrechtmatige verwerking, toegang of openbaarmaking:

Beveiliging systemen voor opslag: […] Beveiliging verbindingen: […] [aanvullen]

D. Maatregelen voor opsporen van zwakke plekken en incidentenbeheer:

[invullen]

Versie

[versie nummer en datum]

Opmerking [MH8]: In te vullen door bewerker

BIJLAGE 3 “Procedure Meldplicht Datalekken”:

Tussen Partijen zijn met betrekking tot de meldplicht datalekken de volgende afspraken gemaakt:

1) Bewerker registreert alle Beveiligingsincidenten;

2) In geval van een Beveiligingsincident informeert Bewerker Verantwoordelijke zonder onredelijke vertraging en zal de relevante informatie over het incident melden aan de hand van de hieronder opgenomen vragenlijst;

3) Verantwoordelijke zal beoordelen of een melding verricht dient te worden bij de AP. Verantwoordelijke zal daarbij in overleg treden met Xxxxxxxx;

4) Voordat Verantwoordelijke de melding bij de AP verricht zal Verantwoordelijke de inhoud van de melding met Bewerker bespreken;

5) Indien Verantwoordelijke oordeelt dat tevens betrokkenen geïnformeerd dienen te worden, zal Verantwoordelijke de inhoud van die informatie met Bewerker bespreken.

[eventueel aan te vullen met verdere concrete afspraken]

Versie

[versie nummer en datum]

Vragenlijst Beveiligingsincident – bij de Procedure Meldplicht Datalekken    

De contactpersonen bij Verantwoordelijke voor de meldplicht datalekken zijn: [A + gegevens]

[B + gegevens]

Bewerker zal bij een Beveiligingsincident de volgende vragen beantwoorden:

□ Geef een omschrijving van het Beveiligingsincident:

…………………………………………………………………………………………………………………….... (bijvoorbeeld “gestolen laptop met klantgegevens” of “een hack op systeem [X]” of “inloggegevens verstuurd naar ontvanger Y ipv X”)

□ De persoonsgegevens van hoeveel personen zijn getroffen door het Beveiligingsincident?

…………………………………………………………………………………………………………………….... (geef een minimum en maximum aantal aan)

□ Omschrijf de groep personen waarop de Persoonsgegevens betrekking hebben.

…………………………………………………………………………………………………………………….... (bijvoorbeeld sollicitanten of cliënten van Verantwoordelijke)

Is er sprake van één van deze specifieke groepen personen (omcirkel het antwoord):

Ouderen: JA / NEE Kinderen: JA / NEE

Zieken of mensen met een verstandelijke beperking: JA / NEE

□ Datum en tijdstip van het incident:

…………………………………………………………………………………………………………………….... (kan een vast tijdstip zijn of een periode, als dit niet bekend is “onbekend” invullen)

□ Wanneer is het beveiligingsincident ontdekt?

……………………………………………………………………………………………………………………....

□ Wat is de aard van de inbreuk? Omcirkel de antwoorden en vul in waar nodig

Kan een onbevoegde de gegevens lezen: JA / NEE

Kunnen/zijn de gegevens (worden) gekopieerd door een onbevoegde: JA / NEE Kunnen/zijn de (bron)gegevens (worden) gewijzigd (bijv. hack in het systeem): JA / NEE

Kunnen/zijn de (bron)gegevens (worden) verwijderd of vernietigd (bijv. ransom ware of brand datacenter): JA / NEE

Zijn de gegevens gestolen: JA / NEE

Overig: ……………………………………………………………………………………………………………

(invullen, of als de aard niet bekend is: “onbekend” invullen)

□ Om welk type gegevens gaat het? Omcirkel de antwoorden en vul in waar nodig:

Opmerking [MH9]: Deze is gebaseerd op het meldformulier van de AP, zie xxxxx://xxxxxxxxxx.xxxxxxxxxxxxxxxxxxxxxx xxxx.xx/xxxxxxx/xxxxxxxx?0

Naam-, adres- en woonplaatsgegevens: JA / NEE Telefoonnummer: JA / NEE

E-mailadres of andere adres voor elektronische communicatie: JA / NEE

Inloggegevens (gebruikersnaam/wachtwoord, klantnummer of ander identificatienummer): JA / NEE, zo ja; welke gegevens zijn het: (invullen)

Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer): JA / NEE Burgerservicenummer (BSN) of sofinummer: JA / NEE

Paspoortkopieën of kopieën van andere legitimatiebewijzen: JA / NEE Geslacht: JA / NEE

Geboortedatum en/of leeftijd: JA / NEE (Pas)foto: JA / NEE

Geboorteland: JA / NEE

Medische gegevens (waaronder ook medicijnen of medische hulpmiddelen): JA / NEE Biometrische gegevens (bijv. vingerafdruk, DNA): JA / NEE,

zo ja; welke gegevens zijn het: (invullen)

Gegevens over schulden/kredieten: JA / NEE Inkomensgegevens: JA / NEE

Gegevens over iemands betalingsverkeer: JA / NEE

Gegevens over wettelijke vertegenwoordiging (bewindvoerder/mentor): JA / NEE Verslavingsgegevens: JA / NEE

School/werkprestaties: JA / NEE

Gegevens over relationele problemen: JA / NEE Gegevens over (vermoeden van) mishandeling: JA / NEE Religie: JA / NEE

Strafrechtelijke gegevens (ook bijv. straatverboden): JA / NEE Politieke overtuiging: JA / NEE

Vakbondslidmaatschap: JA / NEE Seksuele voorkeur/geaardheid: JA / NEE

Overige gegevens: (invullen)

□ Welke gevolgen kan de inbreuk hebben voor de getroffen personen? Omcirkel de antwoorden en vul in waar nodig:

Stigmatisering of uitsluiting: JA / NEE Schade aan de gezondheid: JA / NEE Xxxx op identiteitsfraude: JA / NEE

Kans op financiële schade (bijv. fraude met creditcardgegevens): JA / NEE Blootstelling aan spam of phishing: JA / NEE

Andere gevolgen, namelijk: …………………………………………………………………………...

(invullen)

□ Omschrijf welke technische en organisatorische maatregelen zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?

……………………………………………………………………………………………………………………....

□ Zijn de gelekte persoonsgegevens beveiligd? Omcirkel de antwoorden en vul in waar nodig:

Zijn de gegevens versleuteld: JA /NEE,

zo ja; welke versleuteling (invullen)

geldt deze versleuteling voor alle persoonsgegevens of voor een deel? Indien voor een deel, voor welk deel (invullen)

Zijn de gegevens gehasht: JA /NEE,

zo ja; op welke wijze: (invullen)

Kunnen de gegevens vanaf afstand worden gewist: JA /NEE,

zo ja; is dat gebeurd en wanneer is dat gebeurd: (invullen)

Zijn de gegevens op een andere manier onbegrijpelijk of ontoegankelijk gemaakt: JA /NEE,

zo ja; op welke manier (invullen)

□ Zijn er Persoonsgegevens van personen in andere EU-landen getroffen door het Beveiligingsincident? Zo ja, welke uit welke landen:

……………………………………………………………………………………………………………………....