VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
Tussen
[Heijmans Nederland B.V, gevestigd aan de Xxxxxxxxxxx 00, 0000 XX xx Xxxxxxxx], te dezen bevoegd vertegenwoordigd door [de heer / mevrouw + naam] en hierna te noemen: “Opdrachtgever”
en
[Naam bedrijf], gevestigd aan [adres + postcode] te [vestigingsplaats], te dezen bevoegd vertegenwoordigd door [de heer / mevrouw + naam] en hierna te noemen: “Verwerker”.
Overwegende, dat
A Opdrachtgever en Verwerker een overeenkomst zijn aangegaan voor het verrichten van Diensten, die ertoe kunnen leiden dat Verwerker in opdracht van Opdrachtgever en ten behoeve van Opdrachtgever waaronder begrepen een aan Opdrachtgever Gelieerde Groepsmaatschappij Persoonsgegevens analyseert, opslaat of anderszins Verwerkt;
B Opdrachtgever en Verwerker in deze Overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker wensen vast te leggen.
Partijen zijn het volgende overeengekomen:
1. Definities
1.1 De in deze Overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis:
a. AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);
b. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
c. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte Persoonsgegevens;
d. Diensten: de Diensten die Verwerker aan Opdrachtgever dient te leveren op grond van de Onderliggende overeenkomst;
e. Gelieerde Groepsmaatschappij: een groepsmaatschappij in de zin van artikel 2:24b BW uit de groep van rechtspersonen waar Opdrachtgever toe behoort. Daar waar in deze Overeenkomst over Opdrachtgever wordt gesproken is daaronder tevens iedere Gelieerde Groepsmaatschappij begrepen;
f. Onderliggende overeenkomst: de overeenkomst d.d. [vul de naam in van bijv. de Raamovereenkomst met de Verwerker] waarbij Opdrachtgever aan Verwerker opdracht heeft gegeven om Diensten te verrichten, die leiden tot een of meer Verwerkingen;
g. Overeenkomst: deze verwerkersovereenkomst tussen Opdrachtgever en Verwerker, inclusief de bijlagen waarnaar wordt verwezen;
h. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat Xxxxxxxxx op grond van de Onderliggende overeenkomst Verwerkt of dient te Verwerken;
i. Verwerken/Verwerking: een handeling of bewerking of een geheel van handelingen en bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
2. Toepasselijkheid
2.1 Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Onderliggende overeenkomst.
2.2 Bij strijdigheid tussen de bepalingen van de Overeenkomst en de bepalingen van de Onderliggende Overeenkomst, hebben de bepalingen uit de Overeenkomst voorrang.
3. Onderwerp Verwerking
3.1 Opdrachtgever is voor de Verwerking van de Persoonsgegevens die voortvloeit uit de Onderliggende overeenkomst de verwerkingsverantwoordelijke en Verwerker zal optreden als verwerker, één en ander zoals bepaald in de AVG.
3.2 Het soort te Verwerken Persoonsgegevens, de categorieën van Betrokkenen, de aard en de overige specificaties van de Verwerking zijn opgenomen in Bijlage 1 – Specificaties Verwerking.
4. Verplichtingen Verwerker en Opdrachtgever
4.1 Het is Verwerker niet toegestaan de Persoonsgegevens voor eigen doeleinden te Verwerken of te gebruiken. Verwerker Verwerkt de Persoonsgegevens slechts in opdracht en ten behoeve van Opdrachtgever, behoudens afwijkende wettelijke verplichtingen. Het voorgaande staat er niet aan in de weg dat de te Verwerken Persoonsgegevens afkomstig zijn of kunnen zijn uit IT-systemen die ten behoeve van Opdrachtgever of door een derde worden beheerd.
4.2 Verwerker Verwerkt Persoonsgegevens overeenkomstig schriftelijke instructies van Opdrachtgever en onder diens verantwoordelijkheid zoals vastgelegd in de Onderliggende overeenkomst. Indien Verwerker in strijd handelt met de Overeenkomst, het toepasselijke recht of de schriftelijke instructies van Opdrachtgever, wordt Verwerker voor die verwerkingen als de Verwerkingsverantwoordelijke in de zin van de AVG beschouwd.
4.3 Verwerker is verantwoordelijk voor volledige naleving van alle verplichtingen die gelden op grond van de AVG en aanverwante wet- en regelgeving, hetgeen Verwerker op verzoek van Opdrachtgever of een toezichthoudende autoriteit direct zal aantonen (“accountability”).
4.5 Op verzoek van Opdrachtgever zal Verwerker op eigen kosten uitvoering en medewerking verlenen aan een door Opdrachtgever verlangde en/of uitgevoerde Data Protection Impact Assessment (DPIA) betreffende de Verwerking van de Persoonsgegevens.
4.6 Verwerker handelt alle verzoeken om inlichtingen van Opdrachtgever met betrekking tot de Verwerking van de Persoonsgegevens zonder vertraging en behoorlijk af.
5. Inschakeling van sub-verwerker
5.1 Verwerker schakelt geen sub-verwerker in voor Verwerkingen op grond van de Onderliggende overeenkomst zonder voorafgaande uitdrukkelijke schriftelijke toestemming van Opdrachtgever. Opdrachtgever is te allen tijde gerechtigd haar toestemming te onthouden of daaraan voorwaarden te verbinden, en Verwerker verschaft aan Opdrachtgever alle informatie die Opdrachtgever nodig heeft om een dergelijk besluit te nemen.
5.2 Verwerker is verplicht op eerste verzoek van Opdrachtgever een kopie van alle afspraken en contracten met een sub-verwerker onverwijld aan Opdrachtgever te verstrekken.
5.3 Verwerker legt aan de ingeschakelde sub-verwerker bij schriftelijke overeenkomst gelijke verplichtingen op als die welke op grond van de AVG, deze Overeenkomst en de Onderliggende overeenkomst voor Verwerker gelden, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden. Verwerker blijft ten aanzien van Opdrachtgever volledig aansprakelijk voor het nakomen van de verplichtingen van die sub-verwerker.
6. Beveiligingsmaatregelen en inspectie
6.1 Verwerker leeft alle instructies betreffende de beveiliging van Persoonsgegevens na, en neemt alle passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies en ongeoorloofde verwerking. Verwerker garandeert een passend beveiligingsniveau gelet op de gevoelige of bijzondere aard van de Persoonsgegevens. Verwerker informeert Opdrachtgever schriftelijk over iedere wijziging in de beveiligingsmaatregelen.
6.2 Verwerker zal ten minste de beveiligingsmaatregelen treffen die zijn opgenomen in Bijlage 2 – Beveiligingsmaatregelen en zal de in die bijlage genoemde beveiligingsnormen en -standaarden geheel en deugdelijk implementeren en geïmplementeerd houden.
6.3 Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit noodzakelijk is voor het verrichten van de Diensten op grond van de Onderliggende overeenkomst. Indien andere werknemers van Verwerker en/of derden toegang hebben gekregen en/of zich toegang hebben verschaft tot de Persoonsgegevens, wordt dat steeds beschouwd als een Datalek dat onverwijld door Verwerker aan Opdrachtgever schriftelijk zal worden gemeld.
6.4 Verwerker zal nauwgezet een logbestand aanleggen en bijhouden met betrekking tot de toegang tot Persoonsgegevens. Uit het logbestand dient te allen tijde te blijken welke medewerker van Verwerker en/of een derde op welk moment toegang heeft gekregen tot welke Persoonsgegevens en welke medewerker van Verwerker en/of een derde Persoonsgegevens gemuteerd heeft. Verwerker zal Opdrachtgever desgevraagd informatie uit het desbetreffende logbestand verstrekken.
6.5 Verwerker zal op eigen kosten de in dit artikel bedoelde beveiligingsmaatregelen regelmatig evalueren en waar nodig wijzigen of aanvullen om aan de AVG te blijven voldoen.
6.6 Indien Verwerker op verzoek of instructie van Opdrachtgever gedurende de looptijd van deze Overeenkomst nadere, specifiek voor Opdrachtgever bestemde beveiligingsmaatregelen dient te treffen, zullen partijen voor de tenuitvoerlegging daarvan over de kosten en wijze van tenuitvoerlegging in goed overleg treden.
6.7 Verwerker staat toe dat Opdrachtgever of een door Opdrachtgever aan te wijzen derde de naleving van de beveiligingsmaatregelen door Verwerker inspecteert. Op verzoek verstrekt Opdrachtgever aan Xxxxxxxxx een exemplaar van het rapport van deze inspectie.
7. Datalekken
7.1 Verwerker informeert Opdrachtgever zo snel mogelijk, maar in elk geval binnen acht uur na het ontdekken ervan, schriftelijk van ieder vermoeden van een Datalek. Melding geschiedt zowel per email als per telefoon via xxxxxxxxxxx@xxxxxxxx.xx en de Heijmans Servicedesk op telefoonnummer 088-433 5066. Bij een melding wordt ten minste de navolgende informatie gedetailleerd aan Opdrachtgever verstrekt:
• Contactpersoon;
• Contactgegevens;
• Datum/tijdstip van het Datalek;
• Omschrijving van de aard van het Datalek;
• De categorieën van de bij het Datalek betrokken Persoonsgegevens;
• Hoeveelheid betrokken Persoonsgegevens;
• De waarschijnlijke gevolgen van het Datalek;
• Getroffen maatregelen.
7.2 Verwerker zorgt voor een adequate en effectieve interne procedure omtrent het ontdekken en rapporteren van Datalekken.
7.3 Verwerker documenteert alle Datalekken en vermoedens van Datalekken, met inbegrip van de feiten omtrent de Datalekken, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie wordt op eerste verzoek kosteloos aan Opdrachtgever ter beschikking gesteld. Opdrachtgever is gerechtigd deze documentatie aan de toezichthoudende autoriteiten te verstrekken.
8. Rechten van betrokkenen
8.1 Verwerker stelt de Privacy Officer van Heijmans Nederland B.V. prompt schriftelijk in kennis van alle ontvangen verzoeken van Xxxxxxxxxxx ter uitoefening van hun rechten zoals bedoeld in hoofdstuk III AVG.
8.2 Verwerker zal direct na een verzoek hiertoe door Opdrachtgever op eigen kosten alle informatie en volledige medewerking verstrekken die Opdrachtgever nodig kan hebben voor het uitoefenen van de in hoofdstuk III AVG vastgestelde rechten van de Betrokkenen, binnen de geldende wettelijke termijnen.
8.3 Verwerker geeft aan een verzoek van een Betrokkene alleen gevolg indien Opdrachtgever Verwerker daartoe schriftelijk opdracht heeft gegeven. Verwerker verstrekt in dat geval een bewijs aan Opdrachtgever van de tegemoetkoming aan het verzoek van Xxxxxxxxxx.
9. Doorgifte van Persoonsgegevens
9.1 Zonder de voorafgaande expliciete schriftelijke toestemming van Opdrachtgever is Verwerker niet gerechtigd om Persoonsgegevens buiten de Europees Economische Ruimte (EER) te brengen, aan sub-verwerkers buiten de EER door te geven of Persoonsgegevens anderszins buiten de EER te (laten) Verwerken. Voor de interpretatie van dit artikel wordt onder ‘Verwerken’ tevens uitdrukkelijk verstaan de opslag en kennisname van Persoonsgegevens.
10. Vertrouwelijkheid
10.1 Verwerker garandeert hierbij dat zij de Persoonsgegevens die zij van Opdrachtgever onder zich heeft en ten behoeve van Opdrachtgever Verwerkt vertrouwelijk zal behandelen.
10.2 Verwerker garandeert dat de personen die zijn gemachtigd om de Persoonsgegevens te
Verwerken zijn gebonden om vertrouwelijkheid in acht te nemen door middel van het sluiten van schriftelijke geheimhoudingsovereenkomsten. Verwerker verzekert hierbij dat de bepalingen uit deze geheimhoudingsovereenkomsten die de geheimhouding van Persoonsgegevens verzekeren, zullen blijven voortbestaan na de eventuele beëindiging van de (arbeids)overeenkomsten met die personen. Opdrachtgever mag op elk moment de duur, inhoud en geldigheid van deze overeenkomsten te controleren.
10.3 Indien en voor zover Opdrachtgever daar uitdrukkelijk schriftelijk om verzoekt, zal Verwerker ten aanzien van de daarbij aangeduide Persoonsgegevens of informatie bijzondere maatregelen treffen met het oog op de geheimhouding daarvan, welke maatregelen onder meer kunnen inhouden de vernietiging van betrokken Persoonsgegevens of informatie zodra er geen noodzaak meer bestaat voor Verwerker om daarvan nog langer kennis te nemen.
11. Aansprakelijkheid en vrijwaring
11.1 Verwerker is aansprakelijk voor alle schade van Opdrachtgever en vrijwaart Opdrachtgever tegen alle aanspraken van derden in verband met het niet of slechts gedeeltelijk nakomen van deze Overeenkomst, het handelen in strijd met de instructies van Opdrachtgever of het handelen in strijd met de AVG en aanverwante wet- en regelgeving. Onder schade wordt tevens verstaan alle daarmee verband houdende en daaruit voortvloeiende kosten (waaronder mede begrepen kosten van juridische bijstand) en schade van Opdrachtgever.
11.2 Indien Opdrachtgever op grond van artikel 82 lid 4 AVG richting een of meer Betrokkenen gehouden is tot vergoeding van de schade die de desbetreffende Betrokkenen hebben geleden of nog zullen lijden wegens schending van de AVG waarbij Verwerker geheel of gedeeltelijk betrokken is geweest, dan komt aan Opdrachtgever een regresrecht toe op Verwerker voor de mate waarin de Verwerker heeft bijgedragen aan het ontstaan en/of de omvang van die schade.
11.3 Onverminderd alle overige aanspraken die Opdrachtgever ter zake op Verwerker heeft, vrijwaart Verwerker Opdrachtgever tegen bestuurlijke boetes die aan Opdrachtgever door een toezichthoudende autoriteit (zoals de Autoriteit Persoonsgegevens) worden opgelegd in verband met het geheel of gedeeltelijk toerekenbaar tekortschieten van Verwerker in de nakoming van de Overeenkomst of overtreding door Verwerker van de AVG en aanverwante wet- en regelgeving.
12. Beëindiging en exitprocedure
12.1 De Overeenkomst is aangegaan voor onbepaalde tijd en eindigt op het tijdstip dat het bepaalde in artikel 12.2 is uitgevoerd.
12.2 Onverminderd andersluidende schriftelijke opdracht van Opdrachtgever zal Verwerker in geval van beëindiging van de Onderliggende overeenkomst onverwijld alle aan haar ter beschikking gestelde Persoonsgegevens aan Opdrachtgever retourneren. Alle (digitale) kopieën van Persoonsgegevens zal Verwerker onherstelbaar vernietigen, tenzij er een op Verwerker onder de AVG en aanverwante wet- en regelgeving een verplichting bestaat om de Persoonsgegevens langer op te slaan. In dat geval stelt Verwerker de Opdrachtgever hiervan onverwijld schriftelijk op de hoogte en informeert Opdrachtgever over de reden dat de Persoonsgegevens langer zullen worden opgeslagen, de termijn van opslag en de beoogde datum van verwijdering. Verwerker zal na vernietiging van de Persoonsgegevens aan Opdrachtgever schriftelijk aantonen dat zij dit heeft uitgevoerd.
12.3 Indien naar het redelijk oordeel van Opdrachtgever de wettelijke verplichting als bedoeld in art.
12.2 hiervoor (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat, dan zal Verwerker daartoe op verzoek van Opdrachtgever onverwijld overgaan.
12.4 Verwerker is gehouden de door haar ingeschakelde sub-verwerkers of ontvangers van Persoonsgegevens op de hoogte te stellen van het einde van de Overeenkomst en de verplichtingen die uit hoofde van dit artikel op Verwerker rusten. Verwerker garandeert dat deze partijen de Persoonsgegevens permanent zullen vernietigen, verwijderen of teruggeven aan de Verwerker op dezelfde wijze als de Verwerker zelf gehouden is. Verwerker stuurt Opdrachtgever, binnen een maand na het einde van de Overeenkomst, een bevestiging van het voldoen van de door haar ingeschakelde sub-verwerkers en/of derden aan hun verplichtingen.
13. Overige bepalingen
13.1 Artikel 4 (Verplichtingen Verwerker), artikel 10 (Vertrouwelijkheid) en artikel 14 (toepasselijk recht en forumkeuze) zullen na de beëindiging of ontbinding van deze Overeenkomst, om welke reden dan ook, voor onbepaalde tijd tussen Partijen voortduren.
13.2 Verwerker heeft een Privacy Officer (ook wel Data Protection Officer of Functionaris Gegevensbescherming) aangesteld, die voor de uitvoering van deze Overeenkomst voor Opdrachtgever als contactpersoon zal gelden. De naam en contactgegevens van de Privacy Officer zijn de volgende:
Naam: [naam] Adres: [adres] Email: [email]
Telefoonnummer [vast] (vast) en 06-[mobiel] (mobiel).
Verwerker zorgt ervoor dat de Privacy Officer naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van Persoonsgegevens.
14. Toepasselijk recht en forumkeuze
14.1 Het Nederlands recht is van toepassing op deze Overeenkomst.
14.2 Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de rechterlijke of arbitrale instantie die volgens de Onderliggende overeenkomst bevoegd is.
Aldus in tweevoud opgemaakt en ondertekend,
OPDRACHTGEVER: VERWERKER:
Heijmans Nederland B.V. [Bedrijfsnaam]
[Naam] [Naam]
[Functie] [Functie]
Plaats: Rosmalen Plaats: [plaats]
Datum: [datum] Datum: [datum]
Bijlage 1 – Specificaties Verwerkingen
Doel van deze bijlage is:
A. Door Opdrachtgever een adequate beschrijving te geven van de Verwerking van de Persoonsgegevens en Betrokkenen categorieën personen die bij deze Verwerking betrokken zijn;
B. Door Verwerker aan te geven welke beveiligingsmaatregelen getroffen zijn om een adequaat niveau van beveiliging te bieden (zowel voor de Verwerker als eventuele subverwerkers).
Verwerking
De Verwerking onder deze Overeenkomst is:
• [in te vullen door Opdrachtgever]
• [onderwerp Verwerking: bijvoorbeeld salarisadministratie, wagenparkbeheer]
• [doel Verwerking: bijvoorbeeld voeren salarisadministratie t.b.v. Heijmans medewerkers, waaronder zorgen voor correcte uitbetaling, verzenden loonstroken]
• [duur Verwerking: bijvoorbeeld voor contractduur of maximaal 5 jaar na afsluiten overeenkomst door klant]
14.3
Betrokkenen categorieën personen
Bij de Verwerking zijn de navolgende categorieën Betrokkenen betrokken:
• [in te vullen door Opdrachtgever]
• [bijvoorbeeld klanten, personeel, passanten]
Betrokken Persoonsgegevens
Bij de Verwerking zijn de navolgende categorieën Persoonsgegevens betrokken:
• [in te vullen door Opdrachtgever]
• [bijvoorbeeld contactgegevens (NAWTE), salarisgegevens, IP-adres, camerabeelden
Bij de Verwerking zijn de navolgende categorieën bijzondere Persoonsgegevens betrokken:
• [in te vullen door Opdrachtgever]
• [bijvoorbeeld medische gegevens, lidmaatschap vakbond, biometrische gegevens]
Bijlage 2 – Beveiligingsmaatregelen
Beveiligingsmaatregelen1
Verwerker verplicht zich ten minste tot de volgende organisatorische en technische
beveiligingsmaatregelen als bedoeld in deze Verwerkersovereenkomst:
• Verwerker heeft beleid en procedures inzake informatiebeveiliging (minimaal vergelijkbaar met ISO27001/2, ISF Standard of Good Practice, Cloud Control Matrix) vastgesteld en geïmplementeerd op basis van gangbare standaarden. Het informatiebeveiligingsbeleid is gericht op het beschermen van de beschikbaarheid, de integriteit en de vertrouwelijkheid van de persoonsgegevens.
• Verwerker heeft in haar organisatie de verantwoordelijkheden belegd voor informatiebeveiliging en zal voldoende personeel en middelen inzetten om de persoonsgegevens te beveiligen tegen verlies of ongeautoriseerde toegang of ongeautoriseerd gebruik.
• Verwerker vergewist zich ervan dat haar Medewerkers die toegang hebben tot de persoonsgegevens betrouwbaar is. Verwerker bindt haar Medewerkers die toegang hebben tot de persoonsgegevens aan een geheimhoudingsplicht.
• Verwerker verplicht haar Medewerkers om zich te houden aan het informatiebeveiligingsbeleid van Verwerker, de specifieke instructies van Verwerkingsverantwoordelijke op het gebied van de beveiliging en de vertrouwelijkheid van de persoonsgegevens en alle verplichtingen die voortvloeien uit het toepasselijke recht.
• Verwerker maakt de Medewerkers die toegang hebben tot de persoonsgegevens of anderszins betrokken zijn bij de verwerking van de persoonsgegevens bewust van de beveiligingsrisico’s en van hun verplichtingen inzake de beveiliging van persoonsgegevens.
• Verwerker heeft een procedure betreffende de melding van Datalekken die voorziet in tijdige melding aan Verwerkingsverantwoordelijke zoals beschreven in de Verwerkersovereenkomst waarvan deze bijlage onderdeel uitmaakt. Verwerker verplicht haar Medewerkers om een geconstateerd of vermoedelijk Datalek onmiddellijk te melden conform de door de Verwerker vastgestelde procedure.
• Verwerker heeft procedures om ongeautoriseerde toegang tot persoonsgegevens te voorkomen en zet daartoe geëigende middelen in, waaronder in ieder geval begrepen:
o het gebruik van veilige authenticatieprocedures op informatiesystemen;
o het afsluiten van ruimtes waarin zich servers of computers bevinden waarop persoonsgegevens zijn opgeslagen of waarmee de persoonsgegevens worden verwerkt;
o het versleutelen van de persoonsgegevens gedurende het transport via een netwerk;
o het versleutelen van de persoonsgegevens bij opslag op een laptop, USB-stick, smartphone of ander draagbaar opslagmedium;
o logging op de toegang tot de informatiesystemen en/of de persoonsgegevens;
o het gebruik van anti-virus software.
Verwerker heeft de navolgende additionele technische en organisatorische beveiligingsmaatregelen getroffen afhankelijk van het soort persoonsgegevens en zal deze in stand houden:
• [in te vullen door Verwerker]
• [bijvoorbeeld: anonimiseren van persoonsgegevens, versleuteling van gegevens in de database]
Assurance2
Verwerker biedt de volgende assurance over beschreven technische en organisatorische beveiligingsmaatregelen. Assurance is een onafhankelijk oordeel over de betrouwbaarheid van de (IT) beheerprocessen en beveiligingsmaatregelen op basis van een standaard raamwerk (zoals ISAE 3402, ISO 27001, SoC2), resulterend in een certificering of rapportage door een externe auditor:
• [in te vullen door Verwerker]
• [bijvoorbeeld: ISO 27001 certificering voor dienst X, ISAE 3402 type 2 voor dienst Y, SoC 2 type 2 voor dienst Z]