VERWERKERSOVEREENKOMST ZORG VAN DE ZAAK ICT
VERWERKERSOVEREENKOMST ZORG VAN DE ZAAK ICT
[DATUM]
[WERKGEVER-ID]
Versie 1.0
INHOUDSOPGAVE
Artikel Pagina
1. Definities 4
2. Verwerking van Persoonsgegevens 6
3. Verplichtingen van Klant 6
4. Verplichtingen van Zorg van de Zaak ICT 7
5. Subverwerkers 8
6. Geheimhouding 10
7. Beveiliging en Beveiligingsinbreuken 10
8. Naleving 11
9. Doorgifte van Persoonsgegevens buiten de EER 12
10. Inspectieverzoeken 12
11. Aansprakelijkheid 13
12. Looptijd en beëindiging 14
13. Forum- en rechtskeuze 14
ONDERGETEKENDEN:
(1)
gevestigd te
, statutair
rechtsgeldig vertegenwoordiger]
[adresgegevens en land]
[Volledige naam en rechtsvorm van Klant die optreedt als Verwerkingsverantwoordelijke]
, te dezer zake rechtsgeldig vertegenwoordigd door [naam
, hierna te noemen: "Klant"; en
(2) De besloten vennootschap Zorg van de Zaak ICT B.V., statutair gevestigd aan de Xxxxxxxxxxx 000 xx Xxxxxxx (0000 XX), Xxxxxxxxx, te dezer zake rechtsgeldig vertegenwoordigd door haar bestuurder de besloten vennootschap Tinguely Netwerk B.V., statutair gevestigd aan de Xxxxxxxxxxx 000 xx Xxxxxxx (0000 XX), Xxxxxxxxx, te dezer zake vertegenwoordigd door haar bestuurder de besloten vennootschap Zorg van de Zaak Netwerk B.V., statutair gevestigd aan de Xxxxxxxxxxx 000 xx Xxxxxxx (0000 XX), Xxxxxxxxx, te dezer zake rechtsgeldig vertegenwoordigd door mevrouw X.X.X.X. xxx Xxxx (algemeen directeur Bedrijfsgezondheidszorg en Expertisebedrijven) , hierna te noemen: "Zorg van de Zaak ICT";
Klant en Zorg van de Zaak ICT hierna gezamenlijk te noemen: "Partijen", en afzonderlijk: "Partij";
OVERWEGENDE DAT:
(A) Klant en Zorg van de Zaak (“ZvdZ Arbodienst") een overeenkomst inzake arbodienstverlening hebben gesloten ("Overeenkomst");
(B) De in de Overeenkomst beschreven dienstverlening gezamenlijk uitgevoerd zal worden door Zorg van de Zaak ICT en de ZvdZ Arbodienst, waarbij Zorg van de Zaak ICT het ‘Zorg van de Zaak Online portaal’ aanbiedt en daartoe de persoonsgegevens van de medewerkers van Klant ontvangt en vervolgens, waar nodig voor het op grond van de Overeenkomst uitvoeren van de arbodienstverlening, aan de ZvdZ Arbodienst toegang zal verlenen tot de persoonsgegevens van ziekgemelde werknemers van Klant;
(C) Klant deze Verwerkersovereenkomst derhalve met Zorg van de Zaak ICT sluit en Zorg van de Zaak ICT op haar beurt met de ZvdZ Arbodienst een subverwerkersovereenkomst heeft gesloten;
(D) In het kader van het uitvoeren van de in de Overeenkomst beschreven (arbo)dienstverlening de ZvdZ Arbodienst mogelijk Persoonsgegevens van medewerkers van Klant zal verzamelen en verwerken zonder tussenkomst van Klant, bijv. bij het aanleggen van een medisch dossier dat niet gedeeld zal worden met Klant. Niet Klant, maar de ZvdZ Arbodienst is derhalve de Verwerkingsverantwoordelijke voor deze Persoonsgegevens; en
(E) Deze Verwerkersovereenkomst de voorwaarden en de respectievelijke rechten en verplichtingen van Partijen bevat ten aanzien van deze Verwerking van Persoonsgegevens.
KOMEN ALS VOLGT OVEREEN:
1. Definities en toepassing
1.1. In deze Verwerkersovereenkomst hebben de hierna vermelde, met een hoofdletter gespelde begrippen de volgende betekenis:
Betrokkene | betekent een geïdentificeerde of identificeerbare natuurlijke persoon. |
Beveiligingsinbreuk | heeft de betekenis die in artikel 7.4 van deze Verwerkersovereenkomst aan dit begrip is toegekend. |
Bevel | heeft de betekenis die in artikel 10.1 van deze Verwerkersovereenkomst aan dit begrip is toegekend. |
Doorgifte of Doorgeven | heeft de betekenis die in artikel 9.1 van deze Verwerkersovereenkomst aan dit begrip is toegekend. |
EER | betekent de Europese Economische Ruimte. |
EU Modelcontract | betekent het Besluit van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad (2010/87/EU). |
Gevoelige Gegevens | betekent Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt; genetische gegevens en biometrische gegevens die worden Verwerkt met het oog op de unieke identificatie van een persoon; gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid; of Persoonsgegevens die op grond van de toepasselijke Wet- en regelgeving als zodanig kunnen worden aangemerkt. |
Overeenkomst | heeft de betekenis die in de considerans van deze Verwerkersovereenkomst aan dit begrip is toegekend. |
Persoonsgegevens | betekent alle informatie over een Betrokkene. |
Subverwerker | betekent een door Zorg van de Zaak ICT ingeschakelde onderaannemer of gelieerde partij die (mogelijk) toegang tot |
Persoonsgegevens heeft, waaronder de ZvdZ Arbodienst. | |
Third Party Memorandum of TPM | heeft de betekenis die in artikel 8.2 van deze Verwerkersovereenkomst aan dit begrip is toegekend. |
Toezichthoudende | betekent een onafhankelijke overheidsinstantie, waaronder, maar |
Autoriteit | niet beperkt tot, de Autoriteit Persoonsgegevens en de Autoriteit |
Consument & Markt. | |
Veiligheidsmaatrege len | betekent de in Bijlage 2 opgenomen veiligheidsmaatregelen. |
Verwerken, Verwerking of Verwerkingsactivitei ten | betekent een verwerking of een geheel van verwerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geheel of gedeeltelijk geautomatiseerde procedés, zoals het verzamelen, vastleggen, |
ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, | |
raadplegen, gebruiken, verstrekken door middel van doorzending, | |
verspreiden of op andere wijze ter beschikking stellen, aligneren of | |
combineren, afschermen, wissen of vernietigen van gegevens. | |
Verwerker | betekent de partij die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt. |
Verwerkers- overeenkomst | betekent deze gegevensverwerkingsovereenkomst tussen Klant en Zorg van de Zaak ICT. |
Verwerkingsinstruct ies | betekent de in Bijlage 1 opgenomen verwerkingsinstructies. |
Verwerkings- | betekent de partij die, alleen of samen met anderen, het doel van en |
verantwoordelijke | de middelen voor de Verwerking van Persoonsgegevens vaststelt. |
Werknemer van Zorg van de Zaak ICT | betekent een persoon in dienst van of ingehuurd door Xxxx van de Zaak ICT of een aan haar gelieerde vennootschap die betrokken is bij de uitvoering van deze Verwerkersovereenkomst. |
Wet- en regelgeving ZvdZ Arbodienst | betekent alle op de Verwerking van Persoonsgegevens toepasselijke wet- en regelgeving, waaronder maar niet beperkt tot de Algemene Verordening Gegevensbescherming ("AVG"), de Uitvoeringswet AVG en de Telecommunicatiewet. heeft de betekenis die in de considerans van deze Verwerkersovereenkomst aan dit begrip is toegekend. |
1.2. Voor zover niet tegenstrijdig met de bepalingen uit deze Verwerkersovereenkomst, zijn op deze Verwerkersovereenkomst de voorwaarden van de Overeenkomst, inclusief de daarbij behorende bijlagen, van toepassing alsof Zorg van de Zaak ICT daarbij partij zou zijn.
2. Verwerking van Persoonsgegevens
2.1. Zorg van de Zaak ICT verricht zijn activiteiten op grond van de Overeenkomst, waarbij hij ten behoeve van Klant als Verwerker optreedt. Klant blijft de Verwerkingsverantwoordelijke ten aanzien van alle Persoonsgegevens die op grond van de Overeenkomst worden Verwerkt, met uitzondering van de in artikel 2.2 van deze Verwerkersovereenkomst genoemde Verwerking van Persoonsgegevens. De soorten Persoonsgegevens, categorieën van Betrokkenen en het doel van de Verwerking door Zorg van de Zaak ICT zijn omschreven in Bijlage 1 (Persoonsgegevens en Verwerkingsactiviteiten) en kunnen nader uitgewerkt zijn in de Overeenkomst.
2.2. In het kader van de uitvoering van de Overeenkomst zal de ZvdZ Arbodienst, zonder tussenkomst van Klant, en met inachtneming van Wet- en regelgeving, Persoonsgegevens verwerken van medewerkers van Klant. Een voorbeeld hiervan is het door een bedrijfsarts aangelegde medisch dossier van een ziekgemelde medewerker van Klant. Dit medisch dossier zal niet gedeeld worden met Klant. Ten aanzien van deze zonder tussenkomst van Klant verzamelde Persoonsgegevens stellen Partijen vast dat niet Klant, maar de ZvdZ Arbodienst de Verwerkingsverantwoordelijke is. Op deze verwerking van Persoonsgegevens is enkel artikel 11 van deze Verwerkersovereenkomst van toepassing.
3. Verplichtingen van Klant
3.1. Als Verwerkingsverantwoordelijke dient Klant te voldoen aan zijn verplichtingen op grond van Wet- en regelgeving en deze Verwerkersovereenkomst. Klant zal Zorg van de Zaak ICT en aan haar gelieerde partijen vrijwaren en gevrijwaard houden tegen alle acties, (rechts)vorderingen, procedures en van alle schade en andere aansprakelijkheden (waaronder kosten van juridische bijstand, griffierechten en door een Toezichthoudende Autoriteit opgelegde geldboetes) toegewezen, geleden of opgelopen ten gevolge van of in verband met een schending van dit artikel door Klant.
3.2. Klant geeft Zorg van de Zaak ICT opdracht om de Persoonsgegevens ten behoeve van Klant en conform toepasselijke Wet- en regelgeving te Verwerken. De Verwerkingsinstructies voor Klant zijn vastgelegd in Bijlage 1 (Persoonsgegevens en Verwerkingsactiviteiten) en kunnen nader uitgewerkt zijn in de Overeenkomst.
3.3. Het is Klant toegestaan om aanvullende instructies met betrekking tot de Verwerkingsactiviteiten van Zorg van de Zaak ICT te geven of die instructies aan te passen, mits dergelijke instructies aansluiten op de voorwaarden van de Overeenkomst en deze Verwerkersovereenkomst, redelijk zijn en in overeenstemming met de toepasselijke Wet- en regelgeving. Klant dient dergelijke aanvullende of aangepaste instructies schriftelijk of per e-mail (met ontvangstbevestiging) aan Zorg van de Zaak ICT door te geven. Klant dient: (a) Zorg van de Zaak ICT een redelijke termijn te verlenen voor de implementatie of naleving van eventuele aanvullende of aangepaste instructies;
en (b) zowel proactief als op verzoek met Zorg van de Zaak ICT samen te werken en te assisteren bij de implementatie of naleving van dergelijke aanvullende of aangepaste instructies. Zorg van de Zaak ICT is niet aansprakelijk voor schadevergoeding en vorderingen voor zover die voortvloeien uit de Verwerkingsinstructies en/of aanvullende instructies van Klant aan Zorg van de Zaak ICT of diens Subverwerker(s).
3.4. Klant dient Zorg van de Zaak ICT onverwijld op de hoogte te stellen van een overtreding van toepasselijke Wet- en regelgeving die voortvloeit uit de met deze Verwerkersovereenkomst beoogde activiteiten, onjuistheden met betrekking tot de Persoonsgegevens van een Betrokkene, tekortkomingen in de uitvoering van de opgedragen Verwerking van Persoonsgegevens, dan wel andere onregelmatigheden met betrekking tot de naleving van toepasselijke Wet- en regelgeving.
3.5. In de hierboven onder artikel 3.4 van deze Verwerkersovereenkomst genoemde omstandigheden dient Klant onverwijld alle (rechts)maatregelen te treffen die redelijkerwijs van haar verwacht kunnen worden om mogelijke nadelige gevolgen en schade voor zichzelf, Betrokkenen, Zorg van de Zaak ICT en Subverwerkers te voorkomen dan wel zoveel mogelijk te beperken.
3.6. Xxxxx dient die assistentie te verlenen waar Xxxx van de Zaak ICT redelijkerwijs om kan vragen, teneinde Zorg van de Zaak ICT en/of een Subverwerker in staat te stellen om te reageren op of zich te verdedigen tegen vragen, verzoeken of onderzoeken van een Toezichthoudende Autoriteit.
4. Verplichtingen van Zorg van de Zaak ICT
4.1. Als Verwerker dient Zorg van de Zaak ICT te voldoen aan zijn verplichtingen op grond van toepasselijke Wet- en regelgeving en deze Verwerkersovereenkomst. Zorg van de Zaak ICT zal Klant vrijwaren en gevrijwaard houden tegen alle acties, (rechts)vorderingen, procedures en van alle schade en andere aansprakelijkheden (waaronder kosten van juridische bijstand, griffierechten en door een Toezichthoudende Autoriteit opgelegde geldboetes) toegewezen, geleden of opgelopen ten gevolge van of in verband met een schending van dit artikel door Zorg van de Zaak ICT, tenzij deze acties, (rechts)vorderingen, procedures, schade of andere aansprakelijkheden worden veroorzaakt door de instructies van Klant.
4.2. Indien Zorg van de Zaak ICT tijdens de looptijd van deze Verwerkersovereenkomst een verzoek van een Betrokkene met betrekking tot zijn/haar Persoonsgegevens ontvangt, dan dient hij Betrokkene naar Klant te verwijzen voor indiening van zijn/haar verzoek(en). Klant is verantwoordelijk voor het beantwoorden van een dergelijk verzoek. Zorg van de Zaak ICT dient die assistentie te verlenen waar Klant redelijkerwijs om kan vragen, teneinde Klant in staat te stellen om aan zijn verplichtingen te voldoen inzake het reageren op verzoeken van Betrokkenen tot uitoefening van hun rechten krachtens toepasselijke Wet- en regelgeving, waaronder maar niet beperkt tot verzoeken van Betrokkenen tot toegang, correctie dan wel verwijdering van hun Persoonsgegevens, met dien verstande dat Klant de kosten van dergelijke assistentie draagt.
4.3. Zorg van de Zaak ICT dient die assistentie te verlenen waar Klant redelijkerwijs om kan vragen, teneinde Klant in staat te stellen om: (a) een gegevensbeschermingeffectbeoordeling (data protection impact assessment) uit te voeren en een mogelijk daaropvolgende voorafgaande
raadpleging (prior consultation) van een Toezichthoudende Autoriteit voor te bereiden; en (b) te reageren op of zich te verdedigen tegen vragen, verzoeken of onderzoeken van een Toezichthoudende Autoriteit, met dien verstande dat Klant de kosten van dergelijke assistentie draagt.
4.4. Zorg van de Zaak ICT zal Klant in de volgende gevallen informeren:
i. Zorg van de Zaak ICT heeft reden om aan te nemen dat hij niet aan deze Verwerkersovereenkomst kan voldoen;
iii. Zorg van de Zaak ICT heeft een waarschuwing of berisping van een Toezichthoudende Autoriteit ontvangen dat de Verwerkingsactiviteiten waarschijnlijk inbreuk maken, of al inbreuk hebben gemaakt, op toepasselijke Wet- en regelgeving.
4.5. Bij beëindiging van de Overeenkomst of, indien eerder, na het einde van de verrichting van Verwerkingsactiviteiten dienen Zorg van de Zaak ICT en zijn Subverwerker(s) op aanwijzing en kosten van Klant alle Persoonsgegevens aan Klant terug te geven en/of alle kopieën van dergelijke Persoonsgegevens te verwijderen, alsmede Klant te informeren dat zij dit hebben gedaan, tenzij een op Zorg van de Zaak ICT van toepassing zijnde Europese of lidstaatrechtelijke bepaling hem verbiedt om alle of een deel van de Persoonsgegevens terug te bezorgen dan wel te verwijderen, bijvoorbeeld, doch niet uitsluitend, in het geval opslag van deze Persoonsgegevens gedurende een bepaalde bewaartermijn verplicht is. Zorg van de Zaak ICT dient Persoonsgegevens die hij - na beëindiging van de Overeenkomst of, indien eerder, na het einde van de verrichting van Verwerkingsactiviteiten - niet kan teruggeven of vernietigen, te blijven beschermen, in overeenstemming met toepasselijke Wet- en regelgeving.
5. Subverwerkers
5.1. Het is Zorg van de Zaak ICT toegestaan om zijn verplichtingen op grond van de Overeenkomst aan een Subverwerker uit te besteden. Zorg van de Zaak ICT zal (i) op verzoek van Xxxxx een lijst overleggen van door Zorg van de Zaak ICT ingeschakelde Subverwerkers, en (ii) Klant minstens 10 (tien) kalenderdagen van tevoren informeren wanneer een Subverwerker toegevoegd of verwijderd wordt. Klant kan binnen 10 (tien) kalenderdagen nadat Zorg van de Zaak ICT haar geïnformeerd heeft bezwaar maken tegen de door Zorg van de Zaak ICT voorgenomen wijziging, mits dit bezwaar gebaseerd is op redelijke gronden gerelateerd aan databeveiliging of Wet- en regelgeving. In dat geval zullen Partijen in goed vertrouwen in overleg treden om tot een oplossing te komen. Indien Partijen niet binnen 30 (dertig) kalenderdagen na het bezwaar van Klant tot een oplossing komen en Zorg van de Zaak ICT besluit om de voorgenomen wijziging door te zetten, heeft Klant het recht de Overeenkomst schriftelijk op te zeggen met inachtneming van een termijn van 3 (drie) maanden.
5.2. Het is Zorg van de Zaak ICT uitsluitend toegestaan om een Subverwerker in te schakelen op basis van een schriftelijke overeenkomst met de betreffende Subverwerker, waarin ten minste dezelfde
verplichtingen aan de Subverwerker worden opgelegd als op grond van deze Verwerkersovereenkomst aan Zorg van de Zaak ICT worden opgelegd. Onverminderd het voorgaande dient de schriftelijke overeenkomst tussen Zorg van de Zaak ICT en Subverwerker in ieder geval het volgende te bevatten:
a. een verplichting van de Subverwerker om te voeldoen aan Wet- en regelgeving;
b. een beschrijving van de Verwerkingsactiviteiten die Zorg van de Zaak ICT aan de Subverwerker opdraagt;
c. een verplichting van de Subverwerker om Persoonsgegevens uitsluitend in opdracht van Zorg van de Zaak ICT te Verwerken;
d. een recht van Zorg van de Zaak ICT om aanvullende instructies aangaande de Verwerkingsactiviteiten van de Subverwerker te geven dan wel om dergelijke instructies aan te passen;
e. een toezegging van de Subverwerker om zelf alleen met voorafgaande schriftelijke toestemming van Xxxx van de Zaak ICT een subverwerker in te schakelen;
f. relevante contractuele geheimhoudingsplichten;
g. een verplichting van de Subverwerker om Zorg van de Zaak ICT, en daarmee Klant, in staat te stellen om in geval van een vermoedelijke of daadwerkelijke Beveiligingsinbreuk aan zijn verplichtingen te voldoen;
h. indien wettelijk vereist; een verplichting van de Subverwerker om een EU Modelcontract aan te gaan, teneinde de naleving van de regels op het gebied van de doorgifte van gegevens zeker te stellen;
i. een verplichting van de Subverwerker om beveiligingsmaatregelen te implementeren die niet minder beschermend zijn dan de in deze Verwerkersovereenkomst beschreven maatregelen;
j. een verplichting van de Subverwerker om Zorg van de Zaak ICT, en daarmee Klant, toe te staan om toezicht te houden op de naleving van de verplichtingen van Subverwerker op grond van de schriftelijke overeenkomst tussen Zorg van de Zaak ICT en Subverwerker, met dien verstande dat aan dit toezicht kan worden voldaan door de aanlevering van auditrapporten van onafhankelijke derden.
5.3. Zorg van de Zaak ICT dient de toegang tot Persoonsgegevens door de Subverwerker te beperken tot hetgeen voor de Subverwerker strikt noodzakelijk is om de aan hem op grond van de desbetreffende subovereenkomst opgedragen activiteiten te verrichten.
5.4. Zorg van de Zaak ICT zal de Subverwerker verbieden om toegang te hebben tot of gebruik te maken van Persoonsgegevens voor enig doel dat geen verband houdt met de verrichting van de aan hem op grond van de desbetreffende subovereenkomst opgedragen activiteiten.
5.5. Zorg van de Zaak ICT blijft zelf verantwoordelijk voor naleving van zijn verplichtingen op grond van deze Verwerkersovereenkomst, alsmede voor enig handelen of nalaten aan de zijde van de Subverwerker waardoor Zorg van de Zaak ICT zijn verplichtingen op grond van deze Verwerkersovereenkomst schendt.
6. Geheimhouding
6.1. Zorg van de Zaak ICT dient geheimhouding te betrachten ten aanzien van de Persoonsgegevens. Het is Zorg van de Zaak ICT niet toegestaan om de Persoonsgegevens aan derden te verstrekken, behoudens: (a) wanneer Persoonsgegevens in het kader van de uitvoering van de Overeenkomst worden verstrekt aan de ZvdZ Arbodienst; (b) wanneer dit op grond van de Overeenkomst geoorloofd is; (c) met de specifieke voorafgaande schriftelijke toestemming van Klant, echter altijd conform artikel 5 van deze Verwerkersovereenkomst; of (d) conform artikel 10 van deze Verwerkersvereenkomst.
6.2. Zorg van de Zaak ICT dient de verspreiding van de Persoonsgegevens te beperken tot die gemachtigde Werknemers van Zorg van de Zaak ICT waaraan op grond van de Overeenkomst de Verwerking van Persoonsgegevens is opgedragen, en uitsluitend voor zover het noodzakelijk is voor de uitvoering van de Overeenkomst dat zij van deze Persoonsgegevens kennis hebben en/of nemen ("need to know").
6.3. Zorg van de Zaak ICT verklaart en garandeert dat iedere Werknemer van Zorg van de Zaak ICT gebonden is aan geheimhoudingsplichten (bijvoorbeeld op basis van een geheimhoudingsbepaling in de arbeidsovereenkomst) die in lijn zijn met de in deze Verwerkersovereenkomst neergelegde geheimhoudingsplichten en die na beëindiging of afloop van de arbeidsovereenkomst van de betreffende Werknemer van Zorg van de Zaak ICT van kracht blijven.
7. Beveiliging en Beveiligingsinbreuken
7.1. Zorg van de Zaak ICT zal passende technische en organisatorische maatregelen implementeren ter bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van de Persoonsgegevens die in lijn zijn met toepasselijke Wet- en regelgeving, onder andere ter bescherming van de Persoonsgegevens tegen vernietiging, verlies, ongeoorloofde verstrekking of toegang dan wel enige andere vorm van onrechtmatige verwerking. Zorg van de Zaak ICT zal bij het afwegen van de gepastheid van dergelijke technische en organisatorische maatregelen de “state of the art” en de betreffende implementatiekosten in overweging te nemen, alsmede erop toezien dat dergelijke maatregelen, gezien de aan Verwerking verbonden risico’s en de aard van de te beschermen Persoonsgegevens, een gepast beveiligingsniveau bieden.
7.2. In Bijlage 2 (Veiligheidsmaatregelen) worden de maatregelen omschreven die Partijen op het moment van totstandkoming van deze Verwerkersovereenkomst als passend in de zin van artikel
7.1 van deze Verwerkersovereenkomst beschouwen. Zorg van de Zaak ICT zal deze Veiligheidsmaatregelen implementeren en in stand houden. Het is Zorg van de Zaak ICT toegestaan om de in Bijlage 2 vermelde Veiligheidsmaatregelen van tijd tot tijd te actualiseren of aan te passen, mits dergelijke actualiseringen en/of aanpassingen niet tot een verlaging van het beveiligingsniveau leiden.
7.3. Onverminderd het bovenstaande is Klant verantwoordelijk voor het veilige gebruik van de diensten en/of producten genoemd in de Overeenkomst, waaronder doch niet uitsluitend het afdoende
beveiligen van inloggevens, het beveiligen van de Persoonsgegevens wanneer deze overgedragen worden van en naar Zorg van de Zaak ICT, en het treffen van encryptie en backup maatregelen.
7.5. De bedoelde melding bevat ten minste een omschrijving van:
a. de aard van de Beveiligingsinbreuk, waar mogelijk onder vermelding van de categorieën en het geschatte aantal Betrokkenen en Persoonsgegevens in kwestie;
b. of de Persoonsgegevens versleuteld, geanonimiseerd of anderszins onbegrijpelijk zijn gemaakt;
c. de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
d. de waarschijnlijke gevolgen van de Beveiligingsinbreuk; en
e. de maatregelen die Zorg van de Zaak ICT heeft genomen of voorstelt te nemen om de Beveiligingsinbreuk aan te pakken, waaronder, in voorkomend geval, maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
7.6. Op verzoek van Xxxxx dient Zorg van de Zaak ICT alle redelijke medewerking te verlenen bij het oplossen van de Beveiligingsinbreuk, zoals het verlenen van assistentie en verstrekken van informatie om Klant in staat te stellen een melding te doen aan Toezichthoudende Autoriteiten en Betrokkenen (indien vereist), met dien verstande dat Klant de kosten van dergelijke medewerking en meldingen draagt.
7.7. De verplichting van Zorg van de Zaak ICT om een Beveiligingsinbreuk te melden of daarop te reageren, zoals omschreven in dit artikel 7, doet niet af aan de verantwoordelijkheid en aansprakelijkheid van Klant met betrekking tot Beveiligingsinbreuken op grond van Wet- en regelgeving en mag niet worden uitgelegd als erkenning door Zorg van de Zaak ICT of Subverwerkers van enige schuld of aansprakelijkheid ten aanzien van een Beveiligingsinbreuk.
8. Naleving
8.1. Op verzoek van Xxxxx zal Zorg van de Zaak ICT Klant van alle verzochte informatie voorzien over de Verwerkingsactiviteiten van Zorg van de Zaak ICT op grond van de Overeenkomst die noodzakelijk is om Klant in staat te stellen naleving door Zorg van de Zaak ICT van het in deze Verwerkersovereenkomst bepaalde te verifiëren.
8.2. Indien Zorg van de Zaak ICT een onafhankelijke derde de naleving door Xxxx van de Zaak ICT van deze Verwerkersovereenkomst laat inspecteren, zal Zorg van de Zaak ICT de conclusies van het daaruit voortkomende inspectierapport (“Third Party Memorandum” of “TPM”) ter beschikking stellen aan Klant. Indien Klant redelijkerwijze meer informatie nodig heeft om naleving van deze
Verwerkersovereenkomst te verifiëren, kan Klant conform artikel 8.1 van deze Verwerkersovereenkomst aanvullende informatie opvragen.
8.3. Indien in een TPM is vastgesteld dat Zorg van de Zaak ICT deze Verwerkersovereenkomst niet (geheel) naleeft, zal Zorg van de Zaak ICT, en waar nodig met behulp van Klant, binnen 3 (drie) maanden nadat zij dit TPM heeft ontvangen maatregelen treffen om naleving van deze Verwerkersovereenkomst te waarborgen. Na deze periode van 3 (drie) maanden, of indien Zorg van de Zaak ICT gedurende 2 (twee) kalenderjaren nalaat een TPM aan Klant te verstrekken, zal Zorg van de Zaak ICT Klant of een onafhankelijk controleur toestaan om een audit uit te voeren met betrekking tot de organisatie van Zorg van de Zaak ICT, teneinde vast te stellen of Zorg van de Zaak ICT aan zijn verplichtingen op grond van deze Verwerkersovereenkomst voldoet. De kosten van een dergelijke audit komen voor rekening van Klant, tenzij uit de audit blijkt dat Xxxx van de Zaak ICT in materieel opzicht niet aan deze Verwerkersovereenkomst heeft voldaan, in welk geval de redelijke kosten van de audit voor rekening van Xxxx van de Zaak ICT komen.
9. Doorgifte van Persoonsgegevens buiten de EER
9.3. Behoudens artikel 9.1 van deze Verwerkersovereenkomst dient Zorg van de Zaak ICT erop toe te zien dat een eventuele Doorgifte uitsluitend zal plaatsvinden op basis van een wettelijk erkend doorgiftemechanisme, zoals een EU Modelcontract of een bindend bedrijfsreglement (binding corporate rules).
10. Inspectieverzoeken
10.1. Indien Zorg van de Zaak ICT of een Subverwerker van een Nederlandse of buitenlandse Toezichthoudende Autoriteit een verzoek of bevel ontvangt tot het verschaffen van toegang tot Persoonsgegevens ("Bevel"), dan zal Zorg van de Zaak ICT Klant daar onverwijld over informeren. Bij het reageren op, of het anderszins in behandeling nemen van, het Bevel, zal Zorg van de Zaak ICT de redelijke instructies van Klant in acht nemen en alle redelijkerwijs vereiste medewerking verlenen, met dien verstande dat Klant de kosten van dergelijke medewerking draagt
10.2. Indien in het Bevel aan Zorg van de Zaak ICT een verbod wordt opgelegd om aan de hierboven onder artikel 10.1 van deze Verwerkersovereenkomst genoemde verplichtingen te voldoen, zal Zorg van de Zaak ICT waar redelijkerwijs mogelijk de redelijke belangen van Klant behartigen.
11. Aansprakelijkheid
11.1. Iedere aansprakelijkheid van Zorg van de Zaak ICT en aan haar gelieerde vennootschappen in verband met een toerekenbare tekortkoming van Zorg van de Zaak ICT en/of aan haar gelieerde vennootschappen in de nakoming van deze Verwerkersovereenkomst (met inbegrip van schending van eventuele vrijwaringen) of een onrechtmatige daad, is beperkt tot vergoeding van directe schade tot maximaal het bedrag dat onder de door Zorg van de Zaak ICT afgesloten aansprakelijkheidsverzekering in dat geval wordt uitgekeerd, te vermeerderen met het toepasselijke eigen risico.
11.2. Indien bovengenoemde verzekering geen aanspraak geeft op enig bedrag, dan is iedere aansprakelijkheid van Zorg van de Zaak ICT en aan haar gelieerde vennootschappen beperkt tot het totaal van alle door Klant voor de werkzaamheden in verband waarmee de schade is ontstaan aan ZvdZ Arbodienst betaalde bedragen, met een maximum van EUR 100.000 (honderd duizend Euro).
11.3. De aansprakelijkheid van Zorg van de Zaak ICT voor schade door dood, lichamelijk letsel of wegens materiële beschadiging van zaken bedraagt totaal nooit meer dan EUR 1.250.000 (één miljoen tweehonderdvijftig duizend Euro).
11.4. De aansprakelijkheid van Zorg van de Zaak ICT voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, reputatieschade, en schade door bedrijfsstagnatie is uitgesloten. Eveneens is uitgesloten de aansprakelijkheid van Zorg van de Zaak ICT wegens verminking, vernietiging of verlies van gegevens of documenten.
11.5. De in artikel 11.1 tot en met 11.4 van deze Verwerkersovereenkomst bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de bedrijfsleiding van Zorg van de Zaak ICT.
11.6. Naast Zorg van de Zaak ICT kunnen ook (i) alle personen die zijn betrokken of betrokken zijn geweest bij de uitvoering van de Verwerkersovereenkomst of op wie in verband daarmee enige aansprakelijkheid rust of zou kunnen rusten en (ii) Subverwerkers een beroep doen op dit artikel 11.
11.7. Door Zorg van de Zaak ICT op grond van deze Verwerkersovereenkomst verschuldigde schadevergoeding zal gezien worden als een schadevergoeding onder de Overeenkomst en derhalve meetellen in een eventuele aansprakelijkheidsbeperking in de Overeenkomst alsof het aansprakelijkheid onder de Overeenkomst betreft. Dit betekent ook dat, eventueel in uitzondering op dit artikel 11, de onder deze Verwerkersovereenkomst verschuldigde schadevergoeding nooit hoger kan zijn dan een eventuele aansprakelijkheidsbeperking in de Overeenkomst.
12. Looptijd en beëindiging
12.1. Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst en eindigt van rechtswege bij beëindiging of na afloop van de Overeenkomst.
13. Forum- en rechtskeuze
13.1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
13.2. Uitsluitend de Rechtbank Midden-Nederland is bevoegd kennis te nemen van eventuele geschillen voortkomend uit of verband houdend met (de uitvoering van) deze Verwerkersovereenkomst.
ALDUS OVEREENGEKOMEN EN IN TWEE ORIGINELEN ONDERTEKEND:
[Naam Klant] Zorg van de Zaak ICT B.V.
vanwege geautomatiseerde verzending is dit document niet ondertekend
Dit is een conceptversie.
Naam: Functie:
Datum:
Naam: Directie
Functie: Directeur Bedrijfsgezondheidszorg en Expertisebedrijven
Datum:
BIJLAGE 1 – PERSOONSGEGEVENS EN VERWERKINGSACTIVITEITEN
De Verwerkingsinstructies in deze Bijlage 1 gelden in aanvulling op de Verwerkingsinstructies vastgelegd in de Verwerkersovereenkomst en kunnen nader uitgewerkt zijn in de Overeenkomst.
Doel
De Verwerkingsactiviteiten vinden plaats voor de doeleinden zoals omschreven in de Verwerkersovereenkomst en de Overeenkomst, namelijk:
- het ter beschikking stellen aan Klant van het Zorg van de Zaak Online portaal voor:
o het voeren door Klant van een deugdelijke verzuimadministratie en (het deugdelijk administreren van) het uitvoeren door Klant van de wettelijke taken van Klant op het gebied van verzuim, zoals opgenomen in het Burgerlijk Wetboek, de Arbeidsomstandighedenwet, de Wet WIA en de Regeling procesgang eerste en tweede ziektejaar;
o het voeren door Klant van een deugdelijk verlof en verzuimbeleid;
o het ziekmelden van werknemers bij de arbodienst.
Categorieën van Betrokkenen Werknemer
Leidingegevende van werknemer
Categorieën van Persoonsgegevens
Zie tabel hieronder.
Verwerkingsactiviteiten
Het vastleggen, structureren, opslaan, verstrekken door middel van doorzending, ter beschikking stellen, afschermen, wissen of vernietigen van de gegevens overeenkomstig de Verwerkingsinstructies van Klant.
WERKNEMER |
Unieke Identificatie nummer werknemer |
Geboortedatum |
Overlijdensdatum |
Achternaam geboorte |
Voorletters |
Voorvoegsels |
Naamvoorkeur |
Geslachtsaanduiding |
PARTNER |
De achternaam partner |
Voorvoegsels partner |
STRAATADRES |
Land |
Postcode |
Woonplaatsnaam |
Huisnummer |
Straatnaam |
Huisnummertoevoeging |
COMMUNICATIE |
email adres |
Telefoonnummer |
DIENSTVERBAND |
Ingangsdatum in dienst |
Einddatum dienstverband |
Personeelsnummer |
Naam functie |
Organisatie-eenheid |
Contractueel aantal uren per week |
VERZUIM |
Datum eerste verzuimdag |
Percentage verzuim |
Oorzaak verzuim |
Vangnet |
Reden einde verzuim |
WAZO |
Deelherstel datum |
Datum hersteld |
CONTACTPERSOON |
Naam leidinggevende |
Personeelsnummer leidinggevende |
Unieke Identificatie nummer leidinggevende |
Voorletters leidinggevende |
Geslachtsaanduiding leidinggevende |
COMMUNICATIE (contactpersoon) |
email adres leidinggevende |
telefoonnummer leidinggevende |
Informatiebeveiliging bij Zorg van de Zaak
Zorg van de Zaak staat voor hoogstaande dienstverlening. Bescherming van de privacy uw ge- gevens en die van uw werknemer vinden wij uiterst belangrijk. Daarom besteden wij veel aan- dacht aan kwaliteitsmanagement. Zorg van de Zaak is in het bezit van het Wettelijk Certificaat Arbodiensten (WCA, nummer RQA656042) en is gecertificeerd voor kwaliteitsmanagement con- form de norm ISO 9001:2015. Daarnaast zijn wij lid van brancheorganisatie OVAL, waarvan ons ook een keurmerk is verstrekt. Onze (bedrijfs)artsen zijn geregistreerd bij de KNMG Sociaal Ge- neeskundigen Registratie Commissie.
Verder voldoet Zorg van de Zaak voldoet aan de eisen die vanuit de nieuwe Privacywetgeving (AVG) worden gesteld. Deze vereist meer transparantie en aantoonbaarheid. Wij werken er momenteel dan ook aan om aan deze aspecten invulling te geven. Ook stellen wij een Functio- naris Gegevensbescherming aan die toezicht houdt op de naleving van de Privacywetgeving.
Zorg van de Zaak beschikt over een privacyreglement waarin uitleg wordt gegeven over de wij- ze waarop Xxxx van de Zaak omgaat met persoonsgegevens en de rechten die betrokkenen ten aanzien daarvan hebben.
Onze beveiligingsmaatregelen
Bij het uitvoeren van de dienstverlening worden privacygevoelige persoonsgegevens verwerkt. Om de beveiliging hiervan te borgen heeft Xxxx van de zaak een breed palet van beveiligings- maatregelen getroffen. Samen met onze leveranciers werken wij continu aan het verder opti- maliseren. De ISO 27001 en NEN 7510 normeringen voor informatiebeveiliging geven richting aan onze periodieke risico-analyse, het doen van onderzoeken naar kwetsbaarheden, en bij het treffen van beveiligingsmaatregelen. Daarnaast werken wij voor het onderdeel Health Services aan aantoonbaarheid middels certificering conform ISO 27001 normering.
Algemeen
Wij hanteren een strikt autorisatiebeleid voor toegang tot gegevens. De positie van onze (bedrijfs)artsen staat hierin centraal. Dit beleid is de basis voor een strikt en formeel proces voor het toekennen, wijzigen, en beëindigen van netwerk en systeemautorisaties. Externe partijen hebben geen toegang tot ons bedrijfsnetwerk.
Periodiek wordt onze processen in eigen beheer geaudit. Daarnaast voert ons externe bu- reau voor certificering Xxxxx’x audits uit op onze arbodienst in het kader van het Certificaat Richtlijn Arbodiensten en het Certificaat ISO 9001:2015.
In ons privacyreglement zetten we uiteen welke persoonsgegevens wij verwerken, hoe onze medewerkers omgaan met privacygevoelige informatie en welke wijze een persoon een
recht op inzage, correctie of verzet kan indienen. Verder staat de klachtenprocedure ver- meld.
Verstrekt u in het kader van de dienstverlening persoonsgegevens aan ons? Wij sluiten dan graag met u een bewerkersovereenkomst. Hierin borgt u ook in juridische zin dat Zorg van de Zaak correct met persoonsgegevens omgaat en passende beveiligingsmaatregelen neemt.
Wij zorgen voor gemotiveerde medewerkers die actueel geïnstrueerd zijn. Instrumenten hierbij zijn:
- Een persoonlijk ontwikkelingsplan per medewerker.
- Vastlegging van processen en werkinstructies.
- Een interactief intranet voor het onderling delen van nieuws en het opbouwen van kennis
- Een gedragscode gericht op informatiebeveiliging, conform ons informatiebeveiligingsbe- leid.
- Een clean desk- & clean screen policy.
- Een sleutel- en deurbeleid.
- Een strikt wachtwoordbeleid.
- Een ondertekende geheimhoudingsverklaring voor al onze medewerkers.
- Een procedure voor het melden van informatiebeveiligingsincidenten, datalekken en/of kwetsbaarheden. Kwartaallijks vindt rapportage plaats over datalekken en de status van verbetermaatregelen.
- Een continue campagne om de awareness ten aanzien van informatiebeveiliging te ver- hogen. Deze campagne bestaat uit nieuwsberichten en op maat gesneden workshops voor teams.
Van onze leveranciers vereisen wij het voldoen aan onze informatiebeveiligingseisen. De af- spraken hierover worden middels een bewerkersovereenkomst geborgd.
IT infrastructuur en informatiesystemen in eigen beheer
Het sterk beveiligde datacenter vormt het fundament van onze informatiehuishouding. Hier staan de servers van de informatiesystemen die in ons eigen beheer zijn, zoals het verzuimin-
formatiesysteem d’Arbois en ons werkgeverportaal Zorg van de Zaak online en ons werknemer- portaal Xxxx Xxxx xxx xx Xxxx. Het datacenter is in Nederland gevestigd en beschikt over rele- vante certificeringen:
- Kwaliteitsbeleid: ISO 9001 gecertificeerd.
- Informatiebeveiliging: ISO 27001 gecertificeerd.
- Gezondheid & veiligheid: OHSAS18001 gecertificeerd.
- Milieu en energiemanagement: ISO 14001 en 50001.
Fysieke beveiligingsmaatregelen van het datacenter:
- Servers van de informatiesystemen van Zorg van de Zaak Netwerk staan in eigen bevei- ligde ruimten.
- Alle apparatuur en verbindingen zijn redundant uitgevoerd. Verder is alle apparatuur ge- spiegeld opgesteld.
- Het datacenter kent volledige ‘no-break’ voorzieningen (noodstroomvoorziening, brand- preventie, brandweerfaciliteiten).
- Zeer scherpe toegangscontrole (24x7x365 ‘on site’ bemensing, bezoekersaanmelding, en camerabewaking).
Maatregelen ter beveiliging van ons serverpark:
- Firewalls: hiermee worden de ingangen op ons serverpark beperkt en bewaakt;
- Gescheiden netwerken: database servers kunnen alleen door de webservers benaderd worden en niet rechtstreeks.
- Beheer op de servers is alleen mogelijk via een separaat ingericht (en gescheiden) net- werk. Dit netwerk is alleen via een VPN toegang te benaderen.
- Scheiding van applicatieservers, webservers, mailservers en proxy-servers
- Alle servers zijn voorzien van complexe inlogcombinaties die periodiek worden gewijzigd;
- Security patches: hardware en software worden volgens een vastomlijnd schema voor- zien van beveiligingsupdates. In de aanpak is geborgd dat we bij dit soort wijzigingen aandacht besteden aan beheersbaarheid en betrouwbaarheid (testen).
- Internetverkeer verloopt alleen via HTTPS (beveiligd internet).
- Zorg van de Zaak Netwerk maakt gebruik van diverse veiligheidscertificaten van ver- schillende uitgevers. Daarbij is gekozen voor de zogenaamde A-labels. Alle certificaten hebben een geldigheidsduur van een jaar. Ieder jaar wordt beoordeeld/herijkt of het cer- tificaat gehandhaafd blijft en welke uitgever bij welke site/toepassing past.
Wij bieden onze medewerkers informatiesystemen zoveel mogelijk aan via een remote desk- top oplossing. Hierbij vindt de verwerking van gegevens centraal plaats. In de gevallen waar geen gebruik wordt gemaakt van een remote desktop, wordt data-encryptie op het werksta- tion toegepast.
Wij gebruiken alleen werkstations die door onze eigen IT-organisatie worden beheerd. Op deze wijze kunnen wij het veiligheidsniveau het beste borgen.
Gegevensdragers (harde schijven, geheugenmodules, papierafval) worden volgens een vas- te procedure en gecertificeerd vernietigd.
Beveiligingsaspecten klantportalen
Bij voorkeur werken wij in ons werkgeversportaal, werknemersportaal of vitaliteitsportaal met u en uw werknemers samen. De portalen vervangen kwetsbare vormen van gegevens- uitwisseling (zoals email en bestandsuitwisseling). Werkt u bij voorkeur met een eigen (ver- zuim)systeem, dan kan ook daarmee een koppeling worden gerealiseerd.
Ons emailverkeer kent een beveiliging volgens het TLS protocol. In geen geval zullen wij medische gegevens per standaard e-mail uitwisselen.
Autorisaties. Eenmaal ingelogd kan de gebruiker, afhankelijk van zijn/haar rol en bijbeho- rende autorisaties, informatie inzien en/of bewerken. In het klantportaal zijn autorisaties in- gericht die onder andere borgen dat een gebruiker alleen die privacygevoelige gegevens kan raadplegen, waarvoor specifieke autorisatie bestaat. Er is nooit toegang tot medische gege- vens.
Beheer gebruikersaccounts. Gebruikersaccounts worden via het gebruikersbeheer in het klantportaal aangemaakt. Dit kunt u zelf doen of door ons laten verzorgen. Per gebruiker wordt daarbij een rol toegekend, waarmee een bijbehorende set functionaliteiten beschik- baar komt. Per gebruiker is ook geregeld voor welke organisaties, organisatieonderdelen, werknemer en/of dossiers hij/zij is geautoriseerd.
Beveiligde internetverbinding. Onze klantportalen zijn alleen via een beveiligde internetver- binding beschikbaar.
Er is een strikte scheiding tussen de klantportalen die onze klanten gebruiken en de infor- matiesystemen waarmee de bedrijfsartsen werken. Zorg van de Zaak online is technisch volledig ontkoppeld van de database waarin de bedrijfsartsen medische gegevens vastleg- gen en waarvoor een specifieke autorisatie is vereist.
Wijzigingen in ons cliëntvolgsysteem d’ Arbois en onze portalen brengen wij aan volgens een vastomlijnde wijzigingsprocedure. Het borgen van de veiligheid, integriteit en beschikbaar- heid van informatie is in deze procedure te allen tijde een belangrijk aandachtspunt. Toe- voeging van nieuwe functionaliteiten loopt via een separate test- en acceptatieomgeving voordat de wijziging beschikbaar wordt gesteld.
Wij hanteren een uitgebreid schema voor het maken van back-ups, zodat bij een calamiteit geen dataverlies optreedt. Back-ups worden bewaard in een sterk beveiligde derde locatie.
Om beveiligingslekken te voorkomen volgt Zorg van de Zaak Netwerk de OWASP-10 richtlij- nen voor de ontwikkeling van webapplicaties. Deze richtlijnen worden continu aangepast aan de actuele ontwikkelingen en inzichten.
Onze klantportalen zijn periodiek onderdeel van een uitgebreide penetratietest door gere- nommeerde partijen. Zorg van de Zaak online en Mijn Zorg van de Zaak worden ieder kwar- taal getest door Deloitte’s Hacking as a Service (HAAS). Meer informatie over Hacking as a Service en de werkzaamheden is te vinden op: xxx.xxxxxxxx.xx/xxxxxxxxxxxxxxxx. Naast het uitvoeren van penetratietests en kwetsbaarheidsanalyses kunnen we actuele adviezen over de optimale implementatie van ontwikkelrichtlijnen direct toepassen.
Informatiesystemen in beheer van andere partijen
Op dit moment gebruiken we op beperkte schaal informatiesystemen die in beheer zijn bij andere partijen. Hiervan worden persoonsgegevens buiten ons domein opgeslagen. Een voorbeeld van een zo’n systeem is ons Vitaliteitsportaal.
Wij verzorgen altijd een adequate leveranciers- en systeemselectie. Een beveiligingsonder- zoek maakt hier onderdeel van uit.
Met iedere leverancier is een bewerkersovereenkomst gesloten. Middels audits controleren wij de naleving hiervan.
Volgens planning is de leverancier van Vitaliteitsportaal uiterlijk 1 januari 2019 gecertifi- ceerd voor informatiebeveiliging conform de ISO 27001 normering.
Tot slot
Dit document geeft u een beeld van de maatregelen die Zorg van de Zaak Netwerk treft om uw persoonsgegevens te beveiligen. Dit is een momentopname. Wij zien privacybescherming en informatiebeveiliging als een continu factor om bij te blijven in de ontwikkelingen in bedreigin- gen, wet- en regelgevingen, opvattingen, en technische mogelijkheden.
Mochten onze beveiligingsmaatregelen desondanks gecompromitteerd worden, met een datalek als gevolg, dan zullen wij dat na constatering melden aan de opdrachtgever of rechtstreeks aan betrokken personen en de Autoriteit Persoonsgegevens. Ieder datalek is onderwerp van oor- zaakanalyse, waarbij we bekijken op welke wijze we herhaling kunnen voorkomen.
Heeft u naar aanleiding van bovenstaande informatie een vraag of wilt u melding maken van een datalek of beveiligingsincident? Xxxxx het direct aan uw klantverantwoordelijke of stuur rechtstreeks een email naar: xxxxxxxx@xxxxxxxxxxxxx.xx.