VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

PARTIJEN:

1. TECHNISCHE UNIVERSITEIT DELFT, gevestigd te 0000 XX XXXXX, Xxxxxxxxx 0, vertegenwoordigd door <NAAM>, die als (functie) bevoegd is deze overeenkomst te ondertekenen,

hierna te noemen: “Verwerkingsverantwoordelijke”,

en

2. [naam], gevestigd te ([postcode]) [plaats] aan de [adres], hierbij vertegenwoordigd door [naam, functie] (“Verwerker”)

1 en 2 hierna individueel: “Partij” en gezamenlijk: “Partijen”

Overwegende dat:

Partijen hebben op (datum) een Overeenkomst met betrekking tot (onderwerp van de overeenkomst) gesloten. Bij het uitvoeren van deze Overeenkomst worden door Verwerker persoonsgegevens in opdracht van de Verwerkingsverantwoordelijke verwerkt.

Verwerkingsverantwoordelijke hecht grote waarde aan het beschermen van deze Persoonsgegevens. Om die reden leggen Partijen in deze Verwerkersovereenkomst (artikel 28 lid 3 Algemene Verordening Gegevensbescherming) en de daarbij behorende bijlagen, te weten:

- overzicht met verwerkingen van Persoonsgegevens en verwerkingsdoelen (bijlage A);

- overzicht voor verwerking door subverwerkers en doorgifte aan derde landen

(bijlage B);

- overzicht met beveiligingsmaatregelen (bijlage C);

- Optioneel Standard Contractual Clauses (bijlage D);

vast wat Verwerker wel en niet mag of moet doen met de persoonsgegevens;

KOMEN ALS VOLGT OVEREEN:

1. Algemeen

a. Begrippen in deze Verwerkersovereenkomst hebben dezelfde betekenis als in de Algemene Verordening Gegevensbescherming (Verordening (EU) nr. 2016/679).

b. Bij tegenstrijdigheid tussen deze Verwerkersovereenkomst en de Overeenkomst gaat deze Verwerkersovereenkomst voor. Dit betekent dat de Overeenkomst en andere overeengekomen voorwaarden op geen enkele manier afbreuk kunnen doen aan de rechten en plichten onder deze Verwerkersovereenkomst.

c. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen over deze Verwerkersovereenkomst zullen worden voorgelegd aan de Rechtbank Den Haag, locatie Den Haag.

2. Gegevensverwerking – en algemene verplichtingen

1. Alle persoonsgegevens worden als vertrouwelijke gegevens gekwalificeerd en dienen als zodanig te worden behandeld. Verwerker mag de persoonsgegevens alleen gebruiken voor het uitvoeren van de Overeenkomst en alleen in opdracht van en ten behoeve van Verwerkingsverantwoordelijke. Een overzicht van alle toegestane verwerkingen is opgenomen in bijlage A.

2. Verwerker zal de Persoonsgegevens niet voor eigen doeleinden, ten gunste of voor derden, of voor andere doeleinden verwerken, tenzij er een wettelijke verplichting onder het toepasselijke recht is die hem daartoe verplicht, in dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij het toepasselijke recht deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

3. Partijen zullen de toepasselijke privacywetgeving naleven en elkaar over-en-weer alle nodige medewerking verlenen en informatie verstrekken om aan hun wettelijke plichten te kunnen voldoen.

4. Verwerkingsverantwoordelijke houdt alle (intellectuele) eigendomsrechten op de persoonsgegevens.

5. Indien Verwerker in strijd met deze Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens doeleinden en middelen van de Verwerking van Persoonsgegevens bepaalt, wordt Verwerker voor die Verwerkingen als Verwerkingsverantwoordelijke beschouwd.

3. Geheimhouding

Verwerker zal de Persoonsgegevens enkel openbaren aan medewerkers die strikt noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen ter uitvoering van de Overeenkomst, behoudens op hen rustende afwijkende wettelijke verplichtingen. Verwerker zal tevens waarborgen dat geautoriseerde medewerkers gebonden zijn aan een geheimhoudingsverplichting en dat zij zich houden aan de bepalingen van deze Verwerkersovereenkomst.

4. Beveiliging

1. In navolging van de artikelen 28 en 32 AVG neemt Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Verwerker draagt er zorg voor dat deze maatregelen rekening houden met de stand van de techniek, de kosten van de tenuitvoerlegging, de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkene(n). De risico’s die gevolg kunnen zijn van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, worden in acht genomen.

2. Xxxxxxxxx legt zijn beveiligingsbeleid schriftelijk vast. Op verzoek van Verwerkingsverantwoordelijke verschaft Verwerker inzage in het beveiligingsbeleid van Verwerker. In bijlage C zijn de beveiligingsmaatregelen beschreven die Verwerker minimaal zal treffen. Omdat beveiligingsrisico’s continu veranderen zal Verwerker de getroffen beveiligingsmaatregelen steeds actualiseren en verbeteren.

5. Data Protection Impact Assessment

Teneinde de Verwerkingsverantwoordelijke in staat te stellen om aan de eventueel op haar rustende verplichting om een Data Protection Impact Assessment (DPIA) uit te voeren te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke op diens eerste verzoek en voorafgaand aan de verwerking van de Persoonsgegevens in kennis van:

i. een systematische beschrijving van de beoogde verwerkingen;

ii. een inschatting van de risico’s voor de rechten en vrijheden van betrokkene(n) gelet op de aard, de omvang, de context en de doeleinden van de verwerking;

iii. de beoogde maatregelen om de onder (ii) genoemde risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van de Persoonsgegevens te garanderen en om aan te tonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkene(n) en andere personen in kwestie.

6. Subverwerker

1. De Verwerker besteedt de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst niet uit aan subverwerkers zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke verleent uitsluitend schriftelijke toestemming voor het inschakelen van de subverwerkers indien deze expliciet zijn opgenomen in bijlage B. In het geval van een voorgenomen wijziging (toevoeging of vervanging) van een of meer subverwerkers gedurende deze Overeenkomst, informeert de Verwerker de Verwerkingsverantwoordelijke schriftelijk voorafgaand aan deze wijziging en heeft de Verwerkingsverantwoordelijke de mogelijkheid tegen deze wijziging bezwaar te maken.

2. Wanneer Xxxxxxxxx met schriftelijke toestemming van de Verwerkingsverantwoordelijke zijn verplichtingen onder deze Verwerkersovereenkomst uitbesteedt, dient Verwerker een schriftelijke subverwerkersovereenkomst aan te gaan waarin aan de subverwerker dezelfde voorwaarden en verplichtingen, met name de verplichting om afdoende garanties te bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen, worden opgelegd als aan Verwerker in deze Verwerkersovereenkomst. Indien de subverwerker zijn verplichtingen jegens Verwerker niet nakomt, is Verwerker jegens de Verwerkingsverantwoordelijke volledig verantwoordelijk voor de nakoming van de verplichtingen van de subverwerker onder een dergelijke subverwerkersovereenkomst. Verwerker verstrekt op eerste verzoek een kopie aan de Verwerkingsverantwoordelijke van de subverwerkersovereenkomst, waarbij commercieel gevoelige informatie mag worden weggelaten.

3. Op de bepalingen met betrekking tot uitbesteding van deze Verwerkersovereenkomst is Nederlands recht van toepassing.

4. Xxxxxxxxx houdt een lijst bij van de subverwerkersovereenkomsten die zijn overeengekomen onder deze Verwerkersovereenkomst en stelt de Verwerkingsverantwoordelijke daarvan in kennis. Deze lijst wordt minimaal eenmaal per jaar bijgewerkt. Deze lijst zal beschikbaar worden gehouden ten behoeve van de toezichthoudende autoriteit.

5. Alleen met voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke mag Verwerker persoonsgegevens verwerken of doen verwerken in landen buiten de EER of persoonsgegevens verstrekken aan organisaties buiten de EER. Verwerkingsverantwoordelijke verbindt de verplichting tot het sluiten van Standard Contractual Clauses (SCC) aan deze toestemming in het geval er geen adequaatheidsbesluit van toepassing is (bijlage D).

6. Verwerker blijft jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van de sub-verwerker wanneer deze zijn verplichtingen uit het Toepasselijke Recht niet nakomt.

7. Verzoeken van betrokkenen, overheids- en toezichthoudende instanties

1. Verzoeken van betrokkenen

Verwerker zal op eigen kosten alle medewerking verlenen om Verwerkingsverantwoordelijke in staat te stellen aan verzoeken van betrokkenen te voldoen, zoals door betrokkenen inzage te geven in de hun betreffende persoonsgegevens, persoonsgegevens te verwijderen, aan te vullen, over te dragen, af te schermen en te verbeteren en bewijs aan te leveren dat aan het verzoek is voldaan. Als een betrokkene een verzoek indient bij Verwerker, zal Verwerker de betrokkene doorverwijzen naar Verwerkingsverantwoordelijke en niet inhoudelijk ingaan op het verzoek.

2. Verzoeken van overheids- en toezichthoudende instanties

Verwerker zal kosteloos en in nauw overleg aan Verwerkingsverantwoordelijke alle medewerking verlenen aan onderzoeken door en verzoeken van overheids- en toezichthoudende instanties bij Verwerkingsverantwoordelijke en hiervoor alle relevante informatie verstrekken. Als Xxxxxxxxx een dergelijk aan hem gericht verzoek ontvangt zal hij Verwerkingsverantwoordelijke direct informeren en zullen Partijen overleggen over de te nemen stappen, tenzij dat op grond van het verzoek verboden is. In het laatste geval zal Verwerker de redelijke belangen van Verwerkingsverantwoordelijke behartigen.

3. Ter waarborging van de bescherming van de Persoonsgegevens zal Verwerker alsdan ervoor zorgdragen dat hij aan de overheids- of toezichthoudende instantie niet meer Persoonsgegevens verstrekt dan strikt noodzakelijk om aan het verzoek van de overheidsinstantie te voldoen. Indien de mogelijkheid bestaat om in rechte op te komen tegen een verzoek tot verstrekking van de Persoonsgegevens of een eventueel verbod om derden over het verzoek te informeren, zal Verwerker deze mogelijkheid ten volle benutten.

8. Audit

1. Verwerker is, behoudens laag risico verwerking, verplicht tenminste een keer per twee jaar een onafhankelijke, externe deskundige een audit te laten uitvoeren ten aanzien van de organisatie van Verwerker, teneinde aan te tonen dat Verwerker aan het bepaalde in de Overeenkomst, de Verwerkersovereenkomst, de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet. Indien Bijzondere categorieën Persoonsgegevens worden verwerkt, verricht Verwerker tenminste eenmaal per jaar een periodieke audit. De bevindingen dienen te worden gedeeld met de Verwerkingsverantwoordelijke.

2. Verwerkingsverantwoordelijke heeft het recht op zijn verzoek een audit te laten uitvoeren door een onafhankelijke, externe deskundige, ten aanzien van de organisatie van Verwerker, om aan te tonen dat Verwerker aan het bepaalde in de Verwerkersovereenkomst, de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet. Verwerkingsverantwoordelijke kan maximaal éénmaal per jaar gebruik maken van het recht op zijn verzoek een audit te laten uitvoeren bij Verwerker of vaker bij een concreet vermoeden dat Verwerker de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, niet nakomt.

3. Verwerkingsverantwoordelijke stelt Xxxxxxxxx ten minste 14 (veertien) dagen voor aanvang van de audit schriftelijk in kennis. De audit mag de normale bedrijfsactiviteiten van Verwerker niet onredelijk verstoren.

4. De kosten van de audit op verzoek van Verwerkingsverantwoordelijke komen voor rekening van Verwerkingsverantwoordelijke, tenzij uit de bevindingen van de audit blijkt dat Verwerker de bepalingen uit de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens niet is nagekomen.

5. Indien tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde in de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet, neemt Verwerker onverwijld alle redelijkerwijs noodzakelijke maatregelen om te zorgen dat Verwerker hieraan alsnog voldoet. De bijbehorende kosten komen voor rekening van Xxxxxxxxx.

9. Melden van Datalekken

1. Verwerker zal procedures in stand houden die erop gericht zijn om beveiligingsincidenten en datalekken redelijkerwijs te detecteren en daarop actie te ondernemen, daaronder begrepen maatregelen tot herstel. Verwerker zal aan de Verwerkingsverantwoordelijke op eerste verzoek een kopie van de betreffende procedures overleggen.

2. Teneinde de Verwerkingsverantwoordelijke in staat te stellen om aan de op haar rustende kennisgevingsverplichtingen te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke uiterlijk binnen 24 uur in kennis van een inbreuk op de beveiliging. Kennisgeving aan de Verwerkingsverantwoordelijke kan via xxxxxxxxxx@xxxxxxx.xx, of indien relevant, aan een andere door de Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst aangewezen contactpersoon; en omvat in ieder geval:

1. de aard van de inbreuk en, waar mogelijk, de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

2. de naam en de contactgegevens van de functionaris voor gegevensbescherming van de Verwerker of een ander contactpunt waar meer informatie over de inbreuk kan worden verkregen;

3. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

4. de maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

3. Met betrekking tot iedere inbreuk zoals bedoeld onder 9a draagt Verwerker er zorg voor dat Verwerker alle medewerking aan de Verwerkingsverantwoordelijke verleent die redelijkerwijs van Verwerker kan worden verwacht, inclusief het verschaffen van voldoende informatie en ondersteuning met betrekking tot onderzoeken van de toezichthoudende autoriteit:

1. om de inbreuk te herstellen en te onderzoeken en toekomstige inbreuken te voorkomen;

2. om de impact van de inbreuk op de privacy van de betrokkene(n) te beperken; en/of

3. om de schade van de Verwerkingsverantwoordelijke als gevolg van de inbreuk te beperken.

4. Verwerker documenteert alle inbreuken in verband met Persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Verwerker verstrekt deze documentatie terstond na diens verzoek aan de Verwerkingsverantwoordelijke.

5. Verwerker zal niet zonder voorafgaande schriftelijk instemming van de Verwerkingsverantwoordelijke de toezichthoudende autoriteit en/of betrokkene(n) informeren over een inbreuk op de beveiliging, tenzij Verwerker daartoe wettelijk verplicht is.

10. Bewaartermijnen

7. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk en in geen geval langer dan de duur van de Verwerkersovereenkomst, tenzij opslag van de Persoonsgegevens wettelijk verplicht is in welk geval Verwerker de Persoonsgegevens niet langer bewaart dan de wettelijk verplichte termijn.

8. Verwerker volgt zo nodig de bewaarinstructies op van de Verwerkingsverantwoordelijke.

11. Aansprakelijkheid en vrijwaring

1. Verwerker is aansprakelijk voor alle schade die voortvloeit uit of verband houdt met het niet nakomen van de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.

2. Verwerker vrijwaart Verwerkingsverantwoordelijke voor alle aanspraken, boeten en/of maatregelen van derden, daaronder begrepen Betrokkenen en de Toezichthoudende autoriteit, die jegens Verwerkingsverantwoordelijke worden ingesteld of opgelegd wegens een schending van de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens door Verwerker en/of door Verwerker ingeschakelde (rechts)personen, waaronder maar niet beperkt tot medewerkers en/of subverwerkers.

3. Verwerker draagt zorg voor afdoende dekking van de aansprakelijkheid door middel van een aansprakelijkheidsverzekering. Op verzoek van Verwerkingsverantwoordelijke geeft Verwerker Verwerkingsverantwoordelijke inzage in (de polis van) deze aansprakelijkheidsverzekering van Verwerker.

12. Wijziging

1. Bij een beoogde wijziging in de verwerking van persoonsgegevens, zoals het inschakelen van een nieuwe subverwerker, verandering in de doorgifte van persoonsgegevens aan derde landen en/of internationale organisaties of veranderingen in de getroffen beveiligingsmaatregelen, is Verwerker verplicht Verwerkingsverantwoordelijke onmiddellijk te informeren over de voorgenomen wijzigingen en zullen Partijen zo snel mogelijk overleggen over de gevolgen daarvan voor deze verwerkersovereenkomst.

2. Verwerker is pas gerechtigd tot het uitvoeren van een wijziging indien Verwerkingsverantwoordelijke daaraan voorafgaand Schriftelijk toestemming voor deze wijziging(en) heeft gegeven. Een wijziging mag nooit tot gevolg hebben dat Verwerkingsverantwoordelijke niet meer kan voldoen aan de toepasselijke (privacy)wetgeving. Eventuele wijzigingen zullen schriftelijk worden vastgelegd in bijlage B.

c. Als de huidige beleidsregels van de toezichthoudende autoriteit wijzigen, zullen Partijen in Bijlage C alle wijzigingen doorvoeren die noodzakelijk te zijn om te voldoen aan de nieuwe beleidsregels.

13. Duur en beëindiging

1. De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst. Deze verwerkersovereenkomst kan niet tussentijds of los van de Overeenkomst opgezegd worden.

2. Partijen zijn overeengekomen dat binnen één maand bij beëindiging van de Verwerkersovereenkomst, alle Persoonsgegevens en kopieën die Verwerker verwerkt heeft, zich al dan niet bevindende bij door Verwerker ingeschakelde (rechts)personen waaronder maar niet beperkt tot medewerkers en/of subverwerkers teruggeeft, vernietigt en/of retourneert (naar keuze van de Verwerkingsverantwoordelijke) en dit (schriftelijk) bevestigt aan de Verwerkingsverantwoordelijke, tenzij de wet teruggave of vernietiging verbiedt. In dat geval garandeert Verwerker geheimhouding van de verwerkte Persoonsgegevens en zal Verwerker de Persoonsgegevens niet langer actief verwerken.

3. Verwerker draagt de kosten voor vernietiging, retournering en/of overdracht van de Persoonsgegevens. Verwerkingsverantwoordelijke kan nadere eisen stellen aan de wijze van vernietiging, retournering en/of overdracht van de Persoonsgegevens, waaronder eisen aan het bestandsformaat.

d. Als deze Verwerkersovereenkomst eindigt dan zullen de bepalingen blijven gelden die bestemd zijn om ook daarna van toepassing te blijven, zoals 2 (eigendom), artikel 3 (geheimhouding) en 11 (aansprakelijkheid).

ALDUS OVEREENGEKOMEN EN GETEKEND:

Technische Universiteit Delft		Gegevens verwerker
naam: functie: datum:		naam: functie: datum:

Bijlage A Persoonsgegevens

Verwerkingen Beschrijving van het onderwerp en de duur van de verwerking	Doeleinden Beschrijving van de aard en het doel van de verwerking	Categorieën Beschrijving van de categorieën van betrokkenen	Persoonsgegevens Beschrijving van het soort persoonsgegevens die verwerkt worden
[beschrijving van de verwerkings-activiteiten /korte toelichting op de diensten en het tijdsvak waarbinnen of datum tot wanneer de verwerking wordt uitgevoerd]	[beschrijf hier het type verwerking, bijvoorbeeld: opslaan, aanpassen, wissen enz. En de doeleinden van de verwerking]	[bijvoorbeeld: studenten, medewerkers, deelnemers aan onderzoek enz.]	[Bijvoorbeeld: naam, adres, postcode, woonplaats, telefoonnummer, e-mailadres, leeftijd, geslacht, onderwijs, schulden, enz.]

Bijlage B Toestemming voor verwerking van Persoonsgegevens door subverwerkers en doorgifte aan derde landen

• Subverwerkers

Verwerkingsverantwoordelijke geeft Verwerker hierbij toestemming voor het inschakelen van de hierna opgenomen subverwerkers [in te vullen door Verwerkingsverantwoordelijke en Verwerker]:

Door verwerker ingeschakelde subverwerker voor verwerking persoonsgegevens (categorie) persoonsgegevens die subverwerker verwerkt soort verwerking land van verwerking vestigingsland subverwerker

• Doorgifte

Verwerkingsverantwoordelijke geeft Xxxxxxxxx toestemming voor de doorgifte aan derde landen internationale organisaties [in te vullen door Verwerkingsverantwoordelijke]:

beschrijving doorgifte entiteit die persoonsgegevens doorgeeft + land entiteit die Persoonsgegevens ontvangt + land doorgifte-mechanisme (bijv. SCC)

Bijlage C Beveiligingsmaatregelen

[Dit is een overzicht van beveiligingsmaatregelen met voorbeelden. Gezamenlijk in te vullen door Partijen]

• Lijst van beveiligingsmaatregelen

Beleid en organisatie

Beveiligingsbeleid

Risicoanalyse

Bewustwording

Wijzigingsbeheer

Continuïteitsbeheer

Geheimhouding

Toegangsbeveiliging

Fysieke toegangsbeveiliging

Logische toegangsbeveiliging

Life cycle useraccounts

Autorisatiebeleid (toekennen van niet meer rechten dan nodig, intrekken rechten)

Beheer van kwetsbaarheden en anti-malware

Vertrouwelijkheid en Integriteit van gegevens

Privacy beleid

(End-to-end) encryptie

Hoe wordt ervoor gezorgd dat transport en opslag van de gegevens op een veilige wijze plaatsvindt

Backup/restore voorzieningen

Incidentrespons, melding en remediëring

Patchmanagement

Controle en logging

Veiligstellen van logging

(periodieke) Audits door 3^e partijen

Software ontwikkeling

OWASP Top 10 security risks

OWASP Top 10 Proactive controls

Peerreview/code review

Beveiligingsonderzoek (penetratietest)

Verwerker beschikt over de volgende certificaten (indien van toepassing), waarvan Xxxxxxxxx zelf verantwoordelijk is voor eventuele verlenging van een dergelijk certificaat, zodat Verwerker tenminste gedurende de looptijd van deze overeenkomst beschikt over een geldig certificaat:

Naam certificaat Organisatieonderdeel/ dienst waarop certificaat betrekking heeft Geldigheidsduur certificaat Verklaring van toepasselijkheid

• Specifieke instructies m.b.t. dataretentie

De duur van verwerking	De duur van opslag/backup	De gekozen wijze van vernietiging van gegevens
		Verwijderen Anonimisering Pseudonimisering

11

paraaf verwerker: paraaf verwerkingsverantwoordelijke: