VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

Tussen

Bedrijfsnaam

Adres

Bedrijfsregistratietype en nummer

Hierna de “Verwerkingsverantwoordelijke ”GENOEMD

en

iBabs B.V.

Xx Xxxxxxxx 00, 0000 XX Xxxxx, Xxxxxxxxx

Ingeschreven bij de Nederlandse Kamer van Koophandel onder nummer 60962062

Hierna de “Verwerker ”genoemd

Hierna individueel de “Partij ”en gezamenlijk de “Partijen ”genoemd.

Inleiding

Op datum hebben de Verwerkingsverantwoordelijke en de Verwerker een contract afgesloten met betrekking tot […] (het

“Hoofdcontract”).

In het kader van het Hoofdcontract zal de Verwerker Persoonsgegevens verwerken ten behoeve van de Verwerkingsverantwoordelijke.

De Wetgeving inzake de Bescherming van de Persoonsgegevens bepaalt dat, als de verwerking van Persoonsgegevens wordt opgedragen aan een verwerker, de verwerking zal worden geregeld door een contract en dat een dergelijk contract bepaalde zaken moet regelen met betrekking tot de Verwerking.

Deze verwerkersovereenkomst die integraal deel uitmaakt van het Hoofdcontract werd opgesteld ter waarborging van het voorgaande.

1. Onderwerp

Deze overeenkomst bevat de voorwaarden voor alle verwerkingsactiviteiten van Persoonsgegevens door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke.

2. Definities

Persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("Betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Inbreuk in verband met persoonsgegevens

Wetgeving inzake de Bescherming van de Persoonsgegevens

een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens

tot 25 mei 2018, Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens (de “Richtlijn”), zoals geïmplementeerd in de nationale wetgeving van de verschillende landen waar deze Richtlijn van toepassing is en, vanaf 25 mei 2018, Verordening (EU) 2016/679 van het Europees parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van

Verwerken / Verwerking(en) / Verwerkt

Verwerkers- verantwoordelijke

Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (Algemene verordening gegevensbescherming) (“AVG”) en alle wet- en regelgeving die voortvloeit uit de AVG.

een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

Verwerker een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt

Datalek inbreuk op de beveiliging van persoonsgegevens.

3. Eigenaar van de gegevens

Alle Persoonsgegevens die de Verwerkingsverantwoordelijke beschikbaar stelt aan de Verwerker met als doel dat deze door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke worden Verwerkt zijn en blijven het exclusieve eigendom van de Verwerkingsverantwoordelijke, behalve als de Verwerker dezelfde gegevens op rechtmatige wijze heeft verkregen via een andere bron of de gegevens als een Verwerkingsverantwoordelijke heeft verkregen.

De zeggenschap over de Persoonsgegevens ligt volledig bij Verwerkingsverantwoordelijke.

4. Informatie over de verwerking en contactgegevens van de Verwerker

Informatie over de aard en het doel van de Verwerking, de soorten verwerkte Persoonsgegevens en de categorieën van Betrokkenen, net als de contactgegevens van de Verwerker, zijn gespecificeerd in Bijlage A van deze overeenkomst.

5. Verplichtingen van de Verwerker

5.1 Verwerking van Persoonsgegevens

De Verwerker zal:

- De Persoonsgegevens enkel verwerken op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, inclusief met betrekking tot de doorgifte van Persoonsgegevens naar een derde land of een internationale organisatie, tenzij vereist door de nationale of communautaire wetgeving waaraan de Verwerker onderworpen is; in het laatste geval zal de Verwerker de Verwerkingsverantwoordelijke op de hoogte brengen van die wettelijke vereiste voor de Verwerking, tenzij die wetgeving dergelijke informatie verbiedt;

- de Persoonsgegevens niet Verwerken voor enig ander doel;

- voldoen aan de Wetgeving inzake de Bescherming van de Persoonsgegevens;

- naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens verwijderen of retourneren aan de Verwerkingsverantwoordelijke aan het eind van de dienstverlening met betrekking tot de Verwerking, en bestaande kopieën verwijderen tenzij de nationale of communautaire wetgeving vereist dat de Persoonsgegevens worden opgeslagen.

5.2 Bescherming van de Persoonsgegevens

Rekening houdend met de schade die veroorzaakt kan worden door een ongeoorloofde of onwettige Verwerking of onopzettelijk verlies, vernietiging of wijziging van Persoonsgegevens en de aard van Persoonsgegevens die beschermd moeten worden, moet de Verwerker zich inspannen om de Persoonsgegevens te beschermen tegen een ongeoorloofde of onwettige vernietiging, onopzettelijk verlies, wijziging, ongeoorloofde bekendmaking of toegang en tegen alle andere onrechtmatige vormen van Verwerking en staat hij er voor in dat hij ten minste de technische en organisatorische veiligheidsmaatregelen

heeft geïmplementeerd om dit te voorkomen als gespecificeerd in Bijlage B bij deze overeenkomst. Deze maatregelen moeten een passend beschermingsniveau garanderen, rekening houdend met de aard van de Verwerking, de stand van de technologie en de kosten van hun tenuitvoerlegging.

5.3 Beperkte toegang

De Verwerker moet de toegang tot de Persoonsgegevens beperken tot die personen die er kennis van moeten nemen om de Verwerker de mogelijkheid te bieden de Verwerking uit te voeren ten behoeve van de Verwerkingsverantwoordelijke.

5.4 Vertrouwelijkheid

De Verwerker moet ervoor zorgen dat personen die gemachtigd zijn om Persoonsgegevens te Verwerken zich verbonden hebben tot geheimhouding of onderhevig zijn aan een passende wettelijke geheimhoudingsplicht.

5.5 Locatie van de verwerking

Onverminderd het bepaalde in artikel 5.1, dient de Verwerking van Persoonsgegevens door Verwerker plaats te vinden in de Europese Unie of een derde land, of een territorium of één of meer sectoren in een dergelijk derde land, dat een passend beschermingsniveau waarborgt zoals bepaald in een besluit van de Europese Commissie genomen overeenkomstig artikel 25(6) van de Richtlijn of artikel 45, §3 van de AVG.

Elke doorgifte van Persoonsgegevens naar een land buiten de Europese Unie dat geen passend beschermingsniveau waarborgt mag enkel worden ondernomen in overeenstemming met de bepalingen van de Wetgeving inzake de Bescherming van de Persoonsgegevens, zoals bijv. door het sluiten van een doorgiftecontract conform een door de Europese Commissie vastgesteld model.

5.6 Subverwerker

De Verwerkingsverantwoordelijke onderkent en stemt er uitdrukkelijk mee in dat de Verwerker derde partijen mag aanstellen als subverwerker.

In een dergelijk geval zal de Verwerker:

- contractueel verplichtingen tot gegevensbescherming opleggen die niet minder beschermend zijn dan vooropgesteld in deze overeenkomst, in het bijzonder verplichtingen die voldoende garanties bieden om gepaste technische en organisatorische maatregelen te implementeren op een wijze dat de Verwerking zal voldoen aan de vereisten van de Wetgeving inzake de Bescherming van de Persoonsgegevens en

- volledig aansprakelijk blijven aan de Verwerkingsverantwoordelijke voor de naleving door de subverwerker van de verplichtingen van de Verwerker in het kader van deze overeenkomst.

Een lijst van de huidige subverwerkers is bijgevoegd bij deze overeenkomst in Bijlage C. De Verwerker moet de Verwerkingsverantwoordelijke schriftelijk (waaronder mede begrepen per e-mail) op de hoogte brengen van alle geplande wijzigingen met betrekking tot het inschakelen of vervangen van subverwerkers.

Als de Verwerkingsverantwoordelijke bezwaren heeft tegen een nieuwe subverwerker, dan moet hij de Verwerker hier schriftelijk (waaronder mede begrepen per e-mail) van op de hoogte brengen binnen 30 kalenderdagen na ontvangst van de mededeling van de Verwerker en hij moet redelijke argumenten geven om zijn bezwaren te staven. De Verwerkingsverantwoordelijke kan in ieder geval geen bezwaar aantekenen op basis van onredelijke argumenten.

Als de Verwerker omwille van commerciële redenen de subverwerker desalniettemin wil inschakelen, zal hij de Verwerkingsverantwoordelijke overeenkomstig informeren en heeft de Verwerkingsverantwoordelijke 60 kalenderdagen de tijd om dat deel van het Hoofdcontract te beëindigen waarvoor de betrokken subverwerker wordt ingezet. De beëindiging door de Verwerkingsverantwoordelijke dienst schriftelijk te gebeuren, met inachtneming van een opzegtermijn van 1 maand.

5.7 Melding/informatie verplichting in het geval van een Inbreuk in verband met Persoonsgegevens

De Verwerker moet de Verwerkingsverantwoordelijke op de hoogte brengen van:

- een Inbreuk in verband met Persoonsgegevens, zonder onnodig uitstel en ten minste binnen 24 uur nadat hij/zij er zelf van op de hoogte is gebracht;

- een juridisch bindend verzoek van een overheidsinstantie om verstrekking van Persoonsgegevens, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een onderzoek te bewaren.

Verwerker wordt geacht aan deze informatieplicht te hebben voldaan indien hij de Verwerkingsverantwoordelijke op de hoogte brengt via de bij Verwerker bekende emailadressen van de contactpersonen van de Verwerkingsverantwoordelijke.

In het geval van een Inbreuk in verband met Persoonsgegevens moet de Verwerker de Verwerkingsverantwoordelijke op de hoogte brengen van de aard van de inbreuk, de aard of het type van de betrokken Persoonsgegevens, afhankelijk van de situatie, de genomen of voorgestelde acties om de effecten te remediëren of te beperken en de schade en contactgegevens van de Data Privacy Officer of andere persoon die bijkomende informatie kan geven.

De Verwerkingsverantwoordelijke moet de Verwerker onmiddellijk op de hoogte brengen van elk mogelijk misbruik, verlies of diefstal van autorisatie-verificatiegegevens, elk mogelijk misbruik van de accounts of elk ander veiligheidsprobleem.

5.8 Bijstand aan de Verwerkingsverantwoordelijke met betrekking tot de rechten van de Betrokkenen

De Verwerkingsverantwoordelijke moet ervoor zorgen dat toereikende informatie over de Verwerking wordt verstrekt aan Betrokkenen en hij/zij moet de uitoefening van dergelijke rechten mogelijk maken zoals bepaald in de Wetgeving inzake de Bescherming van de Persoonsgegevens.

Als een Betrokkene contact opneemt met de Verwerker om zijn rechten uit te oefenen, moet de Verwerker het Betrokkene doorsturen naar de Verwerkingsverantwoordelijke.

Als de Verwerkingsverantwoordelijke de bijstand van de Verwerker vraagt voor de vervulling van zijn verplichtingen in het kader van de Wetgeving inzake de Bescherming van de Persoonsgegevens moet de Verwerker, in de mate van het mogelijke, rekening houdend met de aard van de Verwerking in het kader van deze overeenkomst en de informatie beschikbaar voor de Verwerker met betrekking tot de Verwerkingsactiviteiten, bijstand bieden aan de Verwerkingsverantwoordelijke:

- om te antwoorden op aanvragen van Betrokkenen die hun rechten uitoefenen zoals bepaald in de Wetgeving inzake de Bescherming van de Persoonsgegevens;

- overeenkomstig artikel 32 tot 36 van de AVG.

Dergelijke bijstand wordt verleend in onderlinge overeenstemming tussen de Partijen en na goedkeuring door de Verwerkingsverantwoordelijke van de kosten van de Verwerker voor een dergelijke bijstandsverlening.

5.9 Privacyeffectbeoordelingen

De Verwerker moet zijn samenwerking en bijstand verlenen aan de Verwerkingsverantwoordelijke als deze laatste verplicht is een privacyeffectbeoordeling uit te voeren. De Verwerker heeft het recht de Verwerkingsverantwoordelijke dergelijke bijstand in rekening te brengen op basis van nacalculatie.

5.10 Audits en inspecties

De Verwerker moet:

- de Verwerkingsverantwoordelijke de mogelijkheid bieden de gegevensverwerkingsactiviteiten van de Verwerker in het kader van deze overeenkomst te inspecteren en te auditeren en voldoen aan alle redelijke vragen of instructies van de Verwerkingsverantwoordelijke om de Verwerkingsverantwoordelijke de mogelijkheid te bieden te verifiëren dat de Verwerker volledig voldoet aan de verplichtingen in het kader van deze overeenkomst;

de Verwerkingsverantwoordelijke kan een dergelijke audit aanvragen:

- één maal elke twaalf (12) maanden;

- indien vereist door een bevoegde autoriteit in het kader van de Wetgeving inzake de Bescherming van de Persoonsgegevens;

- in het geval van een Inbreuk in verband met Persoonsgegevens;

als hij beroep doet op zijn recht om een audit uit te voeren, moet de Verwerkingsverantwoordelijke voldoen aan zijn verplichtingen in dit kader zoals bepaald in artikel 6 van deze overeenkomst;

- de Verwerkingsverantwoordelijke onmiddellijk op de hoogte brengen als, in zijn opinie, een aanvraag of een instructie een inbreuk inhoudt van de Wetgeving inzake de Bescherming van de Persoonsgegevens of andere voorschriften inzake gegevensbescherming van één van de lidstaten.

Medewerking van de Verwerker wordt verleend in onderlinge overeenstemming tussen de Partijen over de omvang, timing en tijdsduur en na goedkeuring door de Verwerkingsverantwoordelijke van de resulterende kosten van de Verwerker voor de medewerking.

De Verwerkingsverantwoordelijke heeft geen recht een vergoeding te eisen voor de door hem gemaakte kosten als het gevolg van een audit.

6. Verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke:

- is exclusief verantwoordelijk voor de rechtmatigheid van de Verwerking van de Persoonsgegevens;

- onderneemt redelijke stappen om de Verwerkte Persoonsgegevens up to date te houden om zeker te zijn dat ze nauwkeurig en volledig zijn met betrekking tot het doel waarvoor ze werden Verwerkt;

- moet de Betrokkenen op de hoogte houden van de Verwerking;

- moet de Wetgeving inzake de Bescherming van de Persoonsgegevens naleven en blijven naleven, in het bijzonder met betrekking tot zijn Verwerkingsactiviteiten in het kader van deze overeenkomst en het Hoofdcontract en alle andere wet- en regelgeving die van toepassing zijn op de Verwerkingsverantwoordelijke;

waar dergelijke wet- en regelgeving specifiek voor de Verwerkingsverantwoordelijke, zijn industrie, zijn land van vestiging of waar hij actief is, etc. invloed kan hebben op de Verwerking of de Verwerker, moet de Verwerkingsverantwoordelijke de Verwerker op de hoogte brengen van een dergelijke wet- en regelgeving en alle medewerking bieden aan de Verwerker om ervoor te zorgen dat deze laatste de Verwerking uitvoert in overeenstemming met dergelijke wet- en regelgeving en dient de Verwerkingsverantwoordelijke de Verwerker te vergoeden als dit bijkomende diensten of investeringen of wijziging aan de Verwerking vereist of aan de diensten verleend in het kader van het Hoofdcontract;

- moet de Verwerker zonder onnodig uitstel op de hoogte brengen als de Verwerkingsactiviteiten niet langer voldoen aan de Wetgeving inzake de Bescherming van de Persoonsgegevens of als een ander probleem optreedt dat een invloed kan hebben op de Verwerker;

- zal als hij de Verwerker wenst te auditeren zoals bepaald in artikel 5.10 van deze overeenkomst:

- de Verwerker dertig (30) kalenderdagen op voorhand schriftelijk op de hoogte brengen;

- het veiligheidsbeleid, procedures en maatregelen van de Verwerker naleven die gelden op het moment van een dergelijke audit en, als de audit plaatsvindt op de site van de Verwerker, een dergelijke audit uitvoeren:

- strikt binnen de voorwaarden van het beleid, de procedures en de maatregelen met betrekking tot de toegang tot en het gebruik van de faciliteiten van de Verwerking;

- in de aanwezigheid van de personeelsleden, adviseurs of aannemers van de Verwerker, aangesteld door de Verwerker voor dit doeleinde;

- in een korte periode, vast te stellen door de Partijen, om de bedrijfsactiviteiten van de Verwerker niet te onderbreken en ze zo weinig mogelijk te verstoren;

- alle informatie met betrekking tot de Verwerker (zoals, maar niet beperkt tot, de producten en diensten van de Verwerker, bewerkingen, klanten, leden, potentiële klanten, knowhow, intellectueel eigendom, handelsgeheimen, marktinformatie en/of bedrijfszaken, etc.) verkregen tijdens een audit vertrouwelijk ("Vertrouwelijke Informatie") houden, tenzij het openbare informatie betreft;

- de Vertrouwelijke informatie niet gebruiken voor andere doeleinden dan om de audit uit te voeren;

- geen Vertrouwelijke Informatie vrijgeven aan een derde partij met uitzondering van de eigen werknemers, vertegenwoordigers en agenten voor zover noodzakelijk in het kader van een dergelijke audit en op voorwaarde dat de Verwerker ervoor zorgt dat dergelijke werknemers, vertegenwoordigers en agenten op de hoogte zijn van en voldoen aan de vertrouwelijkheidsvoorwaarden van dit artikel;

- Vertrouwelijke Informatie niet kopiëren, in welke wijze of vorm dan ook, tenzij dergelijke informatie noodzakelijk is voor de audit, en alle Vertrouwelijke Informatie aan het einde van de audit te retourneren, verwijderen en vernietigen, zowel de primaire als alle veiligheidskopieën.

- de Verwerker onmiddellijk op de hoogte brengen en relevante details bieden als een niet-naleving wordt ontdekt tijdens een audit.

7. Aansprakelijkheid

De aansprakelijkheid van de Partijen in het kader van deze overeenkomst wordt beheerst door het Hoofdcontract. In afwijking hiervan geldt dat de Verwerker de schade moet vergoeden die een Betrokkene lijdt door de Verwerkingsactiviteiten waarvoor de Verwerker:

- verplichtingen in het kader van de Wetgeving voor de Bescherming van Persoonsgegevens niet heeft nageleefd die rechtstreeks van toepassing zijn op verwerkers;

- afgeweken is van de instructies van de Verwerkingsverantwoordelijke en gehandeld heeft eigen initiatief.

Waar één van de Partijen schade heeft vergoed aan Betrokkenen die gedeeltelijk of volledig toerekenbaar zijn aan de andere Partij, heeft de Partij die dergelijke schadevergoeding heeft betaald het recht (het relevante deel van) de vergoeding terug te vorderen van de andere Partij.

8. Duur en beëindiging van deze overeenkomst

Deze overeenkomst treedt in werking op dezelfde datum als het Hoofdconctract.

Deze overeenkomst wordt automatisch beëindigd bij de beëindiging van het Hoofdcontract, behalve voor artikel 5.2, 5.4, 5.7 en 5.10 die volledig van kracht blijven tot alle Persoonsgegevens geretourneerd of verwijderd zijn, naar keuze van de Verwerkingsverantwoordelijke. In afwijking van het bovenstaande beseffen Partijen dat de Verwerker gerechtigd is de Persoonsgegevens langer te bewaren indien de toepasselijke wet- en regelgeving dat vereist.

De beëindiging van deze overeenkomst, ongeacht de reden van beëindiging, heeft geen invloed op de verworven rechten of verplichtingen van Partijen die voortvloeien uit deze overeenkomst en alle bepalingen van de overeenkomst die (impliciet) geacht moeten worden van kracht te blijven.

9. Scheidbaarheid

Als één of meerdere bepalingen als ongeldig worden beschouwd of beoordeeld krachtens van toepassing zijnde wet- of regelgeving of als het gevolg van een definitief vonnis van een bevoegde rechtbank, zullen Partijen deze bepaling in goed overleg vervangen door een bepaling die wel geldig is en die een vergelijkbare strekking heeft.

In een dergelijk geval blijven de andere bepalingen van deze overeenkomst onverminderd van kracht.

10. Afstand

Wanneer een partij een recht of rechtsmiddel dat haar van rechtswege of uit hoofde van deze overeenkomst toekomt niet of met vertraging uitoefent, doet dit geen afbreuk aan een dergelijk recht of rechtsmiddel, of kan dit niet gelden of worden opgevat als een verklaring van afstand of afwijking daarvan, noch een beroep op een daaropvolgende levertermijn aantasten en beperkt dit niet de mogelijkheid om een ander recht of rechtsmiddel uit te oefenen.

11. Overdracht

Geen der Partijen mag haar rechten of verplichtingen uit hoofde van deze overeenkomst geheel of gedeeltelijk overgedragen aan een derde, tenzij met de voorafgaande schriftelijke toestemming van de andere Partij.

12. Aanpassingen

Aanpassingen van deze overeenkomst zijn slechts geldig indien zij in schriftelijke vorm zijn ondertekend door de Partijen.

13. Geldend recht, bevoegde rechter

Deze overeenkomst wordt beheerst door het Nederlandse recht.

In het geval van een geschil zullen de Partijen proberen om een minnelijke schikking voor hun geschil te vinden. In een dergelijk geval zullen de Partijen bij elkaar komen om een wederzijds aanvaardbare oplossing te vinden voor het geschil.

Indien Partijen geen minnelijke schikking bereiken, kan ieder der Partijen het geschil voorgeleggen aan de rechtbank Noord- Holland.

Ondertekend op date in place, in twee originele exemplaren.

Bedrijfsnaam verwerkingsverantwoordelijk

Naam ondertekenaar Functie

iBabs BV

X. Xxxxxxx Managing Director

Bijlage A

1. Informatie over de Verwerking (art. 5 van de gegevensverwerking overeenkomst)

Aard en doel van de Verwerking:	Papierloos vergaderen
soorten Persoonsgegevens Verwerkt:	Te bepalen door verwerkingsverantwoordelijke. Binnen iBabs worden alleen de naam en het email adres van gebruikers vastgelegd.
Categorieën van Betrokkenen:
Contactpersoon verwerker	X. Xxxxxxx, xxxxxxx@xxxxx.xxx, x000 000000

Bijlage B

1. Technische en organisatorische veiligheidsmaatregelen (art. 5.2 van de overeenkomst) De Verwerker voert de volgende veiligheidsmaatregelen uit:

- toegang tot de Persoonsgegevens is beperkt tot die personen die toegang moeten krijgen om hun functie uit te voeren ("gemachtigde personen");

- toegang tot de Persoonsgegevens is beperkt tot die gegevens die de gemachtigde personen nodig hebben om hun functie uit te voeren;

- toegang tot de Persoonsgegevens wordt geweigerd aan personen die geen of niet langer geautoriseerde toegang hebben tot de gegevens;

- de toestemming voor toegang tot en verwerking van Persoonsgegevens wordt enkel verleend aan betrouwbare personen en wordt regelmatig gecontroleerd en bijgewerkt (bijv. intrekking van toestemming voor ex-medewerkers, wijzigingen aan de reikwijdte van de toegang, etc.);

- er zijn gepaste veiligheidsaudit regelingen ingesteld (bijv. om te controleren wie toegang heeft tot het systeem, loggen van dergelijke toegang, etc.);

- het personeel wordt op de hoogte gebracht en ze zijn zich bewust van het veiligheidsbeleid en de algemene methoden die kunnen worden gebruikt om het veiligheidsbeleid en maatregelen te compromitteren (bijv. hacker die zich via de telefoon voordoet een Systems Maintenance Engineer of een nieuwe medewerker);

- alle computers moeten worden beschermd met een wachtwoord en de wachtwoorden moeten regelmatig worden gewijzigd;

- Persoonsgegevens worden beschermd tegen het risico van inbraak, verlies, schade, wijziging, ongeoorloofde openbaarmaking of toegang en vernietiging door gebruik, onder andere, een beveiligd netwerk, een firewall, een veilig back-upsysteem, DRP, etc.:

- computers hebben antivirussoftware geïnstalleerd en deze software moet regelmatig worden bijgewerkt;

- pseudonimisering van Persoonsgegevens

- versleuteling van Persoonsgegevens

- de Verwerker is ISO 27001 en ISO9001 gecertificeerd

- voorkomen dat niet-gemachtigde personen toegang krijgen tot systemen die Persoonsgegevens verwerken (fysieke toegangscontrole)

- voorkomen dat systemen die Persoonsgegevens verwerken worden gebruikt zonder toestemming (logische toegangscontrole)

- ervoor zorgen dat personen die het recht hebben een systeem te gebruiken dat Persoonsgegevens verwerkt enkel toegang krijgen tot de Persoonsgegevens waartoe zij toegang mogen krijgen in overeenstemming met hun toegangsrechten, en dat tijdens het verloop van de Verwerking geen Persoonsgegevens kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder toestemming (gegevens toegangscontrole)

- ervoor zorgen dat Persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder toestemming tijdens de elektronische verzending, transport of opslag op opslagmedia en dat de doelentiteiten voor een overdracht van Persoonsgegevens via gegevensoverdrachtvoorzieningen kunnen worden vastgesteld en gecontroleerd (gegevensoverdracht controle)

- ervoor zorgen dat een auditspoor wordt bepaald om te documenteren of en door wie Persoonsgegevens werden geopend, gewijzigd of verwijderd van systemen die Persoonsgegevens verwerken (toegangscontrole)

- ervoor zorgen dat Verwerkte Persoonsgegevens enkel worden Verwerkt in overeenstemming met de instructies (controle van instructies)

- ervoor zorgen dat Persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies (beschikbaarheidscontrole)

- ervoor zorgen dat Persoonsgegevens die worden verzameld voor uiteenlopende doeleinden afzonderlijk kunnen worden verwerkt (scheidingscontrole)

Bijlage C

Lijst van subverwerkers op de uitvoeringsdatum van de verwerkersovereenkomst

• CYSO hosting BV