Verwerkersvoorwaarden
Benelux Financiële Diensten
Deze verwerkersvoorwaarden zijn van toepassing op alle Opdrachten c.q. Overeenkomsten tussen Opdrachtgever en Opdrachtnemer, respectievelijk hun rechtsopvolgers, alsmede op alle daaruit voortvloeiende en/of samenhangende overeenkomsten, alsmede op alle door Opdrachtnemer gedane aanbiedingen en/of offertes.
De firma Benelux Financiële Diensten, met postadres: Xxxxxxx 000 0000 XX Xxxxx, gevestigd te Rhoon, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 52465071, hierna ‘opdrachtnemer’,
En
Opdrachtgever, zoals benoemd in de klantovereenkomst hierna ‘opdrachtgever’, in aanmerking nemend dat:
• Opdrachtnemer diensten verricht ten xxxxxxx van opdrachtgever, zoals beschreven in bijlage 1 bij deze overeenkomst (hierna: de diensten);
• De diensten met zich brengen dat persoonsgegevens worden verwerkt, waarvoor opdrachtgever verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG);
• Opdrachtnemer de betreffende gegevens verwerkt louter in opdracht van opdrachtgever en niet voor eigen doeleinden. Opdrachtnemer is in dat kader aan te merken als verwerker in de zin van de AVG;
• Partijen verplicht zijn op grond van de geldende privacy wet- en regelgeving afspraken te maken en deze vast te leggen met betrekking tot de verwerking van persoonsgegevens door opdrachtnemer;
• Partijen middels deze overeenkomst de afspraken met betrekking tot de verwerking van persoonsgegevens in het kader van de diensten wensen vast te leggen.
Artikel 1. Diensten waarbij persoonsgegevens worden verwerkt
Opdrachtnemer verricht ten behoeve van opdrachtgever de in bijlage 1 beschreven diensten overeenkomstig de daartoe separaat gesloten overeenkomsten. Het verlenen van de diensten brengt verwerkingen van persoonsgegevens met zich waarvoor opdrachtgever verwerkingsverantwoordelijke is in de zin van de AVG.
Opdrachtnemer fungeert daarbij als verwerker in de zin van de AVG. Opdrachtnemer en opdrachtgever verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.
Artikel 2. Uitgangspunten bij het verwerken van persoonsgegevens
Opdrachtnemer zal de in artikel 1 bedoelde persoonsgegevens te allen tijde verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke wet- en regelgeving (waaronder de AVG), de (specifieke) instructies en aanwijzingen van opdrachtgever alsmede een eventueel toepasselijke gedragscode van opdrachtgever.
Opdrachtgever heeft de categorieën van betrokkenen, het soort persoonsgegevens en de aard en het doel waarvoor de persoonsgegevens worden verwerkt opgenomen in bijlage 2.
Opdrachtnemer zal de persoonsgegevens voorts louter verwerken voor zover noodzakelijk voor het verlenen van de diensten en/of het uitvoeren van de specifieke instructies en aanwijzingen van opdrachtgever. Het is opdrachtnemer niet toegestaan persoonsgegevens voor andere doeleinden te verwerken, tenzij daartoe een wettelijke verplichting bestaat.
Opdrachtnemer zal de verwerking van persoonsgegevens louter binnen de grenzen van de Europese Economische Ruimte (“EER”) (doen) uitvoeren.
Artikel 3. Beveiligings- en betrouwbaarheidsmaatregelen en gegevens-beschermings- effect-beoordeling
Opdrachtnemer zal in overeenstemming met de geldende wettelijke regels de beveiliging van persoonsgegevens waarborgen en technische- en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zullen passend zijn, rekening houdend met de stand van de techniek en de kosten die ermee gemoeid zijn en zullen er mede op gericht zijn onnodige verzamelingen en verdere verwerking van persoonsgegevens te voorkomen. Opdrachtnemer zal in dat kader ten minste een niveau van beveiliging realiseren en de beveiligingsmaatregelen treffen zoals beschreven in bijlage 3 bij deze overeenkomst.
Opdrachtnemer zal voorts maatregelen treffen teneinde een passende mate van betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de verwerkte persoonsgegevens te garanderen.
Indien opdrachtgever een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de diensten, zal opdrachtnemer alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende
wet- en regelgeving uit te kunnen voeren. Tevens zal opdrachtnemer alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de Autoriteit Persoonsgegevens nodig is op grond van de geldende privacywetgeving. Opdrachtgever zal opdrachtnemer de in dit kader gemaakte redelijke kosten vergoeden.
Artikel 4. Meldplicht beveiligings-incidenten
Zodra zich een inbreuk op de beveiliging in verband met persoonsgegevens voordoet als bedoeld in artikel 33 AVG, die betrekking heeft (of kan hebben) op de persoonsgegevens waarvoor opdrachtgever verwerkingsverantwoordelijke is en die op grond van de AVG mogelijk moet worden gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkene, zal opdrachtnemer opdrachtgever hierover zo spoedig mogelijk na ontdekking informeren, doch uiterlijk binnen 48 uur na ontdekking, ongeacht of op het moment van ontdekking nog onduidelijk is of de inbreuk op grond van de AVG inderdaad gemeld dient te worden en onverminderd de eigen verplichtingen van opdrachtnemer in dat geval direct zelf doeltreffende maatregelen te nemen teneinde de uit de inbreuk voortvloeiende negatieve gevolgen zo veel mogelijk ongedaan te maken en verdere negatieve gevolgen zo veel mogelijk te beperken.
Opdrachtnemer houdt een gedetailleerd logboek bij van alle incidenten als bedoeld in het vorige artikel, evenals de maatregelen die in vervolg op dergelijke incidenten zijn genomen, en geeft daar op eerste verzoek van opdrachtgever xxxxxx in.
Voor zover opdrachtgever het noodzakelijk acht de betrokkenen te informeren over één of meer incidenten als bedoeld in de voorgaande artikelen zal opdrachtnemer daar alle noodzakelijke medewerking aan verlenen.
Partijen leggen hun afspraken over de informatie-uitwisseling in verband met incidenten vast in een “Procedure Meldplicht Datalekken”. De procedure is toegevoegd als bijlage 4. Deze bijlage kan te allen tijde in overleg door partijen worden gewijzigd. De bijlage zal in ieder geval worden aangepast indien de regelgeving omtrent de meldplicht datalekken of de uitleg daarvan wijzigt.
Opdrachtnemer is nimmer aansprakelijk voor de op opdrachtgever rustende (correcte en/of tijdige) meldplicht in de zin van de AVG. Het is opdrachtnemer toegestaan om met de Autoriteit Persoonsgegevens in contact te treden inzake een voorgevallen incident.
Artikel 5. Geheimhouding
Opdrachtnemer zal de persoonsgegevens die in het kader van de diensten worden verwerkt, evenals alle andere informatie die opdrachtnemer in het kader van de uitvoering van de onderhavige overeenkomst ter kennis komt, tegenover derden strikt geheim houden en niet openbaar maken, anders dan voor zover noodzakelijk voor het verlenen van de diensten dan wel voor zover een wettelijk voorschrift of rechterlijk bevel opdrachtnemer tot mededeling c.q. verstrekking verplicht. Tevens zal opdrachtnemer alle nodige maatregelen treffen om geheimhouding van de persoonsgegevens te garanderen. Opdrachtnemer staat er voor in en garandeert dat alle personen die handelen onder zijn gezag en/of toegang hebben tot de persoonsgegevens eveneens onder dezelfde voorwaarden geheimhouding zullen betrachten ten aanzien van voornoemde informatie.
De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien opdrachtgever uitdrukkelijk schriftelijk toestemming heeft gegeven om de persoonsgegevens aan een derde te verstrekken, of een wettelijke verplichting bestaat om de persoonsgegevens aan een derde te verstrekken.
Artikel 6. Bewaren van persoonsgegevens
Opdrachtnemer zal de persoonsgegevens die hij verwerkt in het kader van de diensten niet langer bewaren dan noodzakelijk. Uitgangspunt daarbij is dat het bewaren van persoonsgegevens niet langer noodzakelijk is nadat het verlenen van de diensten is voltooid, tenzij de verwerker op andere gronden gehouden is de persoonsgegevens te bewaren.
Opdrachtnemer zal opdrachtgever informeren wanneer hij de gegevens niettemin langer wenst te bewaren, onder vermelding van de redenen hiertoe, evenals de wettelijke grondslag voor dit bewaren.
Artikel 7. Teruggave dan wel vernietiging persoonsgegevens
Indien en zodra het bewaren van persoonsgegevens zoals bedoeld in artikel 6 niet langer plaats zal vinden, zal opdrachtnemer opdrachtgever de keuze geven de verwerkte persoonsgegevens hetzij (1) (terug) te leveren c.q. over te dragen, dan wel (2) te vernietigen. Opdrachtnemer zal hangende de keuze van opdrachtgever de persoonsgegevens blijven bewaren voor rekening en risico van opdrachtgever en met dien verstande dat opdrachtgever zijn keuze binnen een periode van één maand kenbaar moet maken aan opdrachtnemer.
Het (terug) leveren van persoonsgegevens als bedoeld in lid 1, zal geschieden in een algemeen aanvaard bestandsformaat. Opdrachtnemer zal opdrachtgever daarbij tevens voorzien van deugdelijke en volledige documentatie met een gedetailleerde beschrijving van de (meer specifieke) bestandsindeling waarin opdrachtnemer de gegevens aanlevert.
Opdrachtnemer is gerechtigd voor het (terug) leveren de in bijlage 5 beschreven tarieven in rekening te brengen.
Het vernietigen van de persoonsgegevens als bedoeld in lid 1 geschiedt zo spoedig mogelijk nadat opdrachtgever daartoe de opdracht heeft gegeven. Opdrachtnemer zal opdrachtgever desgewenst bewijs verstrekken van de vernietiging van de betreffende persoonsgegevens. Opdrachtnemer zal voor de vernietiging van persoonsgegevens geen kosten in rekening brengen.
Artikel 8. Medewerking aan verzoeken van betrokkenen
Opdrachtgever heeft op grond van de AVG-verplichtingen tegenover de betrokkenen (de personen wier persoonsgegevens door de opdrachtnemer ten behoeve van opdrachtgever worden verwerkt). Die verplichtingen zien onder meer op het verstrekken van informatie, het geven van xxxxxx in persoonsgegevens, het corrigeren van persoonsgegevens, het verwijderen van persoonsgegevens, het beperken van verwerking en overdracht van de persoonsgegevens. De verantwoordelijkheid van de nakoming van deze verplichtingen rust
op opdrachtgever. Indien opdrachtnemer een verzoek of bezwaar van een betrokkene ontvangt, stuurt opdrachtnemer dat verzoek onmiddellijk door naar opdrachtgever.
Opdrachtnemer zal alle noodzakelijke medewerking verlenen aan de door opdrachtgever na te komen verplichtingen. Opdrachtnemer staat er in dat kader voor in dat hij een opdracht van opdrachtgever tot het uitvoeren van een bepaalde persoonsgegevensverwerking of tot het verschaffen van bepaalde informatie omtrent door hem uitgevoerde persoonsgegevensverwerkingen steeds binnen 3 werkdagen zal uitvoeren. Opdrachtnemer is gerechtigd voor deze werkzaamheden de in bijlage 5 beschreven tarieven in rekening te brengen.
Artikel 9. Inschakeling subverwerkers
Opdrachtnemer kan, met behoud van volledige aansprakelijkheid voor de naleving van de verplichtingen uit de onderhavige overeenkomst, de verwerking van persoonsgegevens of delen daarvan uitbesteden aan een derde, een zogenaamde subverwerker, mits:
• Opdrachtnemer middels een overeenkomst met de subverwerker borgt dat de betreffende subverwerker zich eveneens richt naar de instructies van opdrachtgever;
• Opdrachtnemer middels een overeenkomst met de subverwerker borgt dat alle verplichtingen die op grond van deze overeenkomst rusten op opdrachtnemer mede komen te rusten op deze subverwerker;
• Opdrachtnemer opdrachtgever tijdig vooraf informeert over het inschakelen van de subverwerker en in dat kader ten minste de naam en afschrift van de met de betreffende subverwerker (reeds of bijna) gesloten overeenkomst verstrekt;
• Opdrachtgever heeft ingestemd met inschakeling van de subverwerker. In bijlage 2 worden de relevante gegevens over de subverwerker(s) opgenomen waarvoor opdrachtnemer toestemming heeft verleend.
Artikel 10. Controle
Opdrachtgever is gerechtigd, al dan niet door een externe partij, te (laten) controleren of en zo ja in hoeverre opdrachtnemer de verplichtingen uit deze overeenkomst naleeft.
Opdrachtnemer zal aan een dergelijke controle zijn volledige medewerking verlenen, waaronder uitdrukkelijk wordt verstaan het verlenen van toegang tot de locatie waarop de diensten worden verleend, het geven van inzage in de administratie met betrekking tot de diensten en al het overige dat noodzakelijk is om te kunnen controleren in hoeverre opdrachtnemer zich aan de verplichtingen uit onderhavige overeenkomst houdt.
In geval van een onderzoek door de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit zal opdrachtnemer alle redelijke medewerking verlenen en opdrachtgever zo snel mogelijk informeren. Partijen zullen met elkaar in overleg treden over de wijze van optreden en de vergoeding van de door opdrachtnemer gemaakte kosten.
Artikel 11. Aansprakelijkheid
Ten aanzien van de aansprakelijkheid van opdrachtnemer onder deze overeenkomst en de in deze overeenkomst opgenomen vrijwaringsverplichtingen voor opdrachtnemer geldt onverkort de in artikel (verwijzen naar artikel dat ziet op beperking van de aansprakelijkheid en is opgenomen in de overeenkomst van opdracht met betrekking tot de dienstverlening) van de overeenkomst van opdracht opgenomen regeling inzake de beperking van aansprakelijkheid.
Onverminderd het bepaalde in dit artikel, is opdrachtnemer slechts aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij deze verwerking niet is voldaan aan specifiek tot de opdrachtnemer gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van opdrachtgever is gehandeld.
Artikel 12. Vrijwaring
Opdrachtgever is aansprakelijk voor de verwerking van persoonsgegevens in het kader van deze overeenkomst. Opdrachtgever garandeert dat de opdracht tot verwerking van de persoonsgegevens in overeenstemming is met de geldende wet- en regelgeving.
Opdrachtgever vrijwaart opdrachtnemer tegen alle aanspraken van derden, waaronder de toezichthouder(s), welke voortvloeien uit het niet naleven van deze garantie.
Artikel 13. Duur van de overeenkomst
De duur van deze overeenkomst is gelijk aan de duur van de overeenkomst(en) met betrekking tot de diensten, met dien verstande dat de duur van de onderhavige overeenkomst naar rato wordt verlengd zolang het terug leveren dan wel vernietigen van gegevens overeenkomstig artikel 7 nog niet is voltooid.
Artikel 14. Wijzigingen en aanvullingen op de overeenkomst
In geval van wijzigingen in de diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de persoonsgegevens zullen partijen in overleg treden over de eventueel benodigde wijziging van de verwerkersovereenkomst. Eventuele aanvullingen of wijzigingen op deze overeenkomst zijn alleen geldig voor zover ze schriftelijk (waaronder per e-mail) zijn vastgelegd. Mondelinge mededelingen, toezeggingen of afspraken zullen schriftelijk (dan wel per e-mail) worden bevestigd.
Wijzigingen in de bijlagen kunnen door partijen op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.
Artikel 15. Wijziging overeenkomst bij gewijzigde omstandigheden
Indien een wijziging in de verwerkte persoonsgegevens of een wijziging in de betrouwbaarheidseisen opdrachtgever aanleiding geeft deze overeenkomst (waaronder de bijlagen) te wijzigen en opdrachtnemer niet bereid is op redelijke voorwaarden met die wijziging in te stemmen c.q. te kennen geeft deze (gewijzigde) diensten niet te kunnen verrichten, is opdrachtgever gerechtigd deze overeenkomst en de bijbehorende overeenkomst met betrekking tot de diensten met onmiddellijke ingang op te zeggen.
Artikel 16. Gevolgen van het beëindigen van de overeenkomst
Artikel 7 is van overeenkomstige toepassing bij het, op welke grond dan ook, eindigen van de overeenkomst. Artikel 5 en artikel 19 blijven ook na het beëindigen van de overeenkomst van kracht.
Opdrachtnemer zal bij beëindiging van de overeenkomst op verzoek van opdrachtgever en tegen vergoeding van de redelijke kosten de persoonsgegevens in een gangbaar formaat ter beschikking stellen aan opdrachtgever of aan een door opdrachtgever aangewezen derde.
Opdrachtnemer zal na overdracht van de persoonsgegevens aan opdrachtgever de nog aanwezige persoonsgegevens vernietigen, tenzij een langere opslag wettelijk verplicht is. Opdrachtnemer zal tevens zorgdragen voor vernietiging van de persoonsgegevens bij de sub verwerkers.
Artikel 17. Rangorde
Voor zover enige bepaling van deze overeenkomst en/of de daarbij horende bijlagen in strijd is met hetgeen in de overeenkomst(en) met betrekking tot de diensten is bepaald, prevaleert hetgeen in de onderhavige overeenkomst c.q. de bijlagen is bepaald.
Artikel 18. Leesbaarheid
Omwille van de leesbaarheid is steeds “hij, hem of zijn” gebruikt in de tekst. Uiteraard kan hiervoor ook “zij of haar” worden gelezen.
Artikel 19. Toepasselijk recht en bevoegde rechter
Op deze overeenkomst is Nederlands recht uitsluitend van toepassing. Behoudens voor zover de overeenkomst(en) met betrekking tot de diensten een exclusief bevoegde rechter aanwijzen, is de rechter gevestigd in het arrondissement waar opdrachtnemer woonplaats heeft exclusief bevoegd.
Overzicht bijlagen
1. Beschrijving diensten
2. Overzicht van categorieën van betrokkenen, het soort persoonsgegevens en de aard en het doel waarvoor de persoonsgegevens worden verwerkt en sub verwerkers.
3. Beschrijving beveiliging
4. Procedure Meldplicht Datalekken
5. Beschrijving tarieven
Bijlage 1 bij verwerkersovereenkomst: Beschrijving diensten
Deze verwerkersovereenkomst heeft betrekking op de volgende door opdrachtnemer te verrichten diensten:
• Financiële administratie
• Salarisadministratie
• Fiscale aangiftes
• Deponering kamer van koophandel
• Overige financiële en fiscale diensten
• De specifieke diensten die betrekking hebben op de opdrachtgever zijn opgenomen in de individuele klantovereenkomst.
Bijlage 2 bij verwerkersovereenkomst: Overzicht van categorieën van betrokkenen, het soort persoonsgegevens en de aard en het doel waarvoor de persoonsgegevens worden verwerkt en subverwerkers.
• Categorieën betrokkenen
• De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval:
• Medewerkers van opdrachtgever
• Klanten van opdrachtgever
• Leveranciers van opdrachtgever
• Soort persoonsgegevens
• De Persoonsgegevens die door opdrachtnemer worden verwerkt zijn in ieder geval:
• (Bedrijfs)Naam
• KvK-nummer
• NAW-gegevens
• E-mailadres
• Geslacht
• Burgerlijke staat
• Telefoonnummer
• BSN
• Geboortedatum
• Profielfoto
• IP-adres
• Factuurgegevens
• Financiële bedrijfsdata in de ruimste zin van het woord
• Financiële privédata in de ruimste zin van het woord
• Salarisgegevens in de ruimste zin van het woord
• Alle overige persoonsgegevens voor zover die door opdrachtgever in de software betrokken in de opdracht zijn opgeslagen.
Daarnaast is het mogelijk dat medewerkers van verwerker in contact komen met bijzondere persoonsgegevens voor zover die door opdrachtgever in de software zijn opgeslagen of op een andere manier worden gedeeld door opdrachtgever.
Aard en doel van de verwerking
De aard van de verwerking is het verzorgen van belastingaangiftes en voldoen aan overige wettelijke verplichtingen voor opdrachtgever alsmede het bieden van (financieel) inzicht aan opdrachtgever.
De Persoonsgegevens worden in ieder geval voor de volgende doelen verwerkt:
• Verwerking financiële administratie voor opdrachtgever
• Verzorgen van belastingaangiftes voor opdrachtgever
• Voldoen aan overige wettelijke verplichtingen van opdrachtgever
• Salarisverwerking voor opdrachtgever
Verwerking buiten de EER
De persoonsgegevens worden binnen de EER verwerkt.
Gegevens subverwerkers
Verwerker maakt voor de Diensten gebruik van de volgende subverwerkers:
• e-Boekhouden
• Snelstart
• Mollie
• Fiscaal Gemak (Unit 4)
• i-Zettle
• Google (mail en drive)
• Dropbox
• AWeber
• Mailchimp
Bijlage 3 bij verwerkersovereenkomst: Beschrijving beveiliging
1. Beveiligingsniveau
Opdrachtnemer maakt gebruik van softwarediensten beschreven in bijlage 2, alle gegevens worden in deze beveiligde omgevingen opgeslagen. Gegevens worden nooit op lokale hardware van opdrachtnemer opgeslagen.
2. Maatregelen van opdrachtnemer om te zorgen dat uitsluitend bevoegd personeel toegang heeft tot de Persoonsgegevens:
• In de aanmeldpagina’s van de SaaS-diensten is ‘brute force protection’ ingebouwd, zodat wachtwoorden niet oneindig geprobeerd kunnen worden.
• Alleen ‘sterke’ wachtwoorden zijn toegestaan (minimaal 8 karakters, minimaal 1 cijfer, minimaal 1 hoofdletter).
• Alle wachtwoorden worden versleuteld opgeslagen. Medewerkers van opdrachtnemer kunnen geen wachtwoorden van gebruikers achterhalen.
• Medewerkers van opdrachtnemer zijn contractueel gebonden aan geheimhouding van al datgene wat zij gedurende hun werkzaamheden kennis van kunnen nemen.
• Opdrachtnemer draagt er zorg voor dat alleen medewerkers die betrokken zijn bij een specifieke opdracht voor opdrachtgever de gegevens kunnen benaderen. De inlog van de software is alleen bekend bij betrokkenen bij de opdracht en kan niet door andere medewerkers van opdrachtnemer worden achterhaald.
Bijlage 4 bij verwerkersovereenkomst: procedure meldplicht datalekken
Tussen partijen zijn met betrekking tot de meldplicht datalekken de volgende afspraken gemaakt:
Opdrachtnemer registreert alle beveiligingsincidenten. Onder beveiligingsincident wordt verstaan een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
In geval van een beveiligingsincident informeert opdrachtnemer opdrachtgever zonder onredelijke vertraging, doch uiterlijk binnen 48 uur, en zal de relevante informatie over het incident melden aan de hand van de hieronder opgenomen vragenlijst.
Opdrachtgever zal beoordelen of een melding verricht dient te worden bij de Autoriteit Persoonsgegevens. Opdrachtgever zal daarbij in overleg treden met opdrachtnemer.
Voordat opdrachtgever de melding bij de AP verricht zal opdrachtgever de inhoud van de melding met opdrachtnemer bespreken.
Indien opdrachtgever oordeelt dat tevens betrokkenen geïnformeerd dienen te worden, zal opdrachtgever de inhoud van die informatie met opdrachtnemer bespreken.
Vragenlijst Beveiligingsincident – bij de Procedure Meldplicht Datalekken
Opdrachtnemer zal bij een Beveiligingsincident de volgende vragen beantwoorden:
Geef een samenvatting van het incident waarbij er een inbreuk op de beveiliging van persoonsgegevens is geweest. Vermeld daarbij de fysieke locatie waar de inbreuk plaatsvond en de opslagmedia waarop de inbreuk betrekking heeft
……………………………………………………………………………………………………
De persoonsgegevens van hoeveel personen zijn getroffen door de inbreuk?
……………………………………………………………………………………………………
(Geef een minimum en maximumaantal aan)
Omschrijf de groep personen van wie persoonsgegevens zijn betrokken bij de inbreuk.
……………………………………………………………………………………………………
Is er sprake van één van deze specifieke groepen personen (omcirkel het antwoord):
Ouderen: JA / NEE
Kinderen: JA / NEE
Zieken of mensen met een verstandelijke beperking: JA / NEE
Datum en tijdstip van het incident:
……………………………………………………………………………………………………
(Xxx een vast tijdstip zijn of een periode, als dit niet bekend is “onbekend” invullen)
Wanneer is het beveiligingsincident ontdekt?
……………………………………………………………………………………………………
Wat is de aard van de inbreuk? Omcirkel de antwoorden en vul in waar nodig Kan een onbevoegde de gegevens lezen: JA / NEE
Kunnen/zijn de gegevens (worden) gekopieerd door een onbevoegde: JA / NEE
Kunnen/zijn de (bron)gegevens (worden) gewijzigd (bijv. hack in het systeem): JA / NEE
Kunnen/zijn de (bron)gegevens (worden) verwijderd of vernietigd (bijv. ransom ware of brand datacenter): JA / NEE
Zijn de gegevens gestolen: JA / NEE
Overig:
……………………………………………………………………………………………………
(Invullen, of als de aard niet bekend is: “onbekend” invullen)
Om welk type gegevens gaat het? Omcirkel de antwoorden en vul in waar nodig: Naam-, adres- en woonplaatsgegevens: JA / NEE
Telefoonnummer: JA / NEE
E-mailadres of andere adres voor elektronische communicatie: JA / NEE
Inloggegevens (gebruikersnaam/wachtwoord, klantnummer of ander identificatienummer): JA / NEE,
zo ja; welke gegevens zijn het:
………………………………………………………………………(invullen)
Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer): JA / NEE
Burgerservicenummer (BSN) of sofinummer: JA / NEE
Paspoortkopieën of kopieën van andere legitimatiebewijzen: JA / NEE
Geslacht: JA / NEE
Geboortedatum en/of leeftijd: JA / NEE
(Pas)foto: JA / NEE
Geboorteland: JA / NEE
Gegevens over iemands godsdienst of levensovertuiging: JA / NEE
Gegevens over iemands ras: JA / NEE
Gegevens over iemands politieke gezindheid: JA / NEE
Medische gegevens (waaronder ook medicijnen of medische hulpmiddelen): JA / NEE
Biometrische gegevens (bijv. vingerafdruk, DNA): JA / NEE,
zo ja; welke gegevens zijn het:
……………………………………………………………………… (invullen)
Gegevens over schulden/kredieten: JA / NEE
Inkomensgegevens: JA / NEE
Gegevens over iemands betalingsverkeer: JA / NEE
Gegevens over wettelijke vertegenwoordiging (bewindvoerder/mentor): JA / NEE
Verslavingsgegevens: JA / NEE
School/werkprestaties: JA / NEE
Gegevens over relationele problemen: JA / NEE
Gegevens over (vermoeden van) mishandeling: JA / NEE
Religie: JA / NEE
Strafrechtelijke gegevens (ook bijv. straatverboden): JA / NEE
Politieke overtuiging: JA / NEE
Vakbondslidmaatschap: JA / NEE
Seksuele voorkeur/geaardheid: JA / NEE
Overige gegevens:
……………………………………………………………………………………. (invullen)
Welke gevolgen kan de inbreuk hebben voor de getroffen personen? Omcirkel de antwoorden en vul in waar nodig:
Stigmatisering of uitsluiting: JA / NEE
Schade aan de gezondheid: JA / NEE
Kans op identiteitsfraude: JA / NEE
Kans op financiële schade (bijv. fraude met creditcardgegevens): JA / NEE
Blootstelling aan spam of phishing: JA / NEE
Andere gevolgen, namelijk:
…………………………………………………………………………… (invullen)
Omschrijf welke technische en organisatorische maatregelen zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
……………………………………………………………………………………………………
Zijn de gelekte persoonsgegevens beveiligd? Omcirkel de antwoorden en vul in waar nodig:
Zijn de gegevens versleuteld: JA /NEE,
zo ja; welke versleuteling:
……………………………………………………………………………. (invullen)
Geldt deze versleuteling voor alle persoonsgegevens of voor een deel? Indien voor een deel, voor
welk deel:
………………………………………………………………………………………….…… (invullen)
Zijn de gegevens gehasht: JA /NEE,
zo ja; op welke wijze:
…………………………………………………………………………………. (invullen)
Kunnen de gegevens vanaf afstand worden gewist: JA /NEE,
zo ja; is dat gebeurd en wanneer is dat gebeurd:
……………………………………………….… (invullen)
Zijn de gegevens op een andere manier onbegrijpelijk of ontoegankelijk gemaakt: JA
/NEE,
zo ja; op welke manier:
………………………………………………………………………………. (invullen)
Zijn er persoonsgegevens van personen in andere EU-landen getroffen door het beveiligingsincident? Zo ja, welke uit welke landen:
……………………………………………………………………………………………………
Bijlage 5 bij verwerkersovereenkomst: Beschrijving tarieven
Voor het verlenen van medewerking aan inzageverzoeken en voor het terug leveren van persoonsgegevens wordt door opdrachtnemer een tarief in rekening gebracht op basis van nacalculatie voor zover deze diensten niet zijn opgenomen in de overeengekomen tarieven.