Indenty verwerkt onder andere persoonsgegevens voor en in opdracht van de klant. Indenty en de klant zijn daarom volgens de AVG Algemene Verordening Gegevensbescherming (AVG) verplicht om een verwerkersovereenkomst te sluiten. Volgens de AVG is...

Indenty verwerkt onder andere persoonsgegevens voor en in opdracht van de klant. Indenty en de klant zijn daarom volgens de AVG Algemene Verordening Gegevensbescherming (AVG) verplicht om een verwerkersovereenkomst te sluiten. Volgens de AVG is Indenty 'verwerker' en is de klant 'verwerkingsverantwoordelijke'. In deze Verwerkersovereenkomst staat ook hoe Indenty met de meldplicht datalekken omgaat.

Verwerkersovereenkomst

Indenty en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij artikel 1 van de AVG. Indenty zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst. Indenty heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal Indenty de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.

Indenty neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd om in overleg met Indenty tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. Indenty zal, indien een verzoek gedaan wordt door de Stichting Autoriteit Financiële Markten, De Europese Centrale Bank of De Nederlandsche Bank N.V. op grond van de uitvoering van hun taak uit hoofde van de Wft, of op grond van andere wet- en regelgeving, alle informatie beschikbaar stellen aan de betreffende organisatie. Tevens verplicht Indenty de subbewerker, zoals hieronder benoemd, eveneens te voldoen aan een dergelijk verzoek van deze toezichthouders. De klant zal alle kosten in verband met deze controle dragen.

De Autoriteit Persoonsgegevens zal eerst aan de verwerkersverantwoordelijke een bindende aanwijzing geven voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. De verwerkersverantwoordelijke zal Indenty direct op de hoogte stellen van deze bindende aanwijzing. Indenty zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving

mogelijk te maken. Als Indenty niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat er sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Indenty, dan kan Indenty aansprakelijk worden gesteld voor het betalen van de schade. De maximale schadevergoeding na rechtelijke tussenkomst is voor Indenty beperkt tot de totale orderwaarde van de desbetreffende order waarop Indenty in gebreke is gesteld.

Subverwerker

Indenty is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking gelijk is aan de maximale orderwaarde van de desbetreffende order waarop wij gerechtelijk in gebreke zijn gesteld.

De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid of opzettelijk wangedrag. Indenty is niet aansprakelijk in geval van overmacht aan de kant van de subverwerker.

Indenty zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan, indien hij dat nodig acht, bezwaar maken bij Indenty tegen de subverwerker en in het uiterste geval heeft de klant de mogelijkheid om de overeenkomst te beëindigen.

Privacy en geheimhouding

Indenty is zich bewust dat de informatie die de klant met Indenty deelt en opslaat binnen Indenty een geheim en bedrijfsgevoelig karakter heeft. Alle Indenty medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.

Meldplicht datalekken

De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Indenty zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Indenty als verwerker de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.

Bepaling datalek

Voor het bepalen van een datalek, gebruikt Indenty de AVG en de Beleidsregels meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e- mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden, een malwarebesmetting of een calamiteit zoals brand in een datacenter.

Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Indenty, terwijl zonder meer voor de klant duidelijk is dat bij Indenty geen sprake is van een datalek dan is de klant aansprakelijk voor alle door Indenty geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.

Melding aan de klant

Indien blijkt dat bij Indenty sprake is van een datalek, dat door de klant gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal Indenty de klant daarover zo spoedig mogelijk informeren nadat Indenty bekend is geworden met het datalek. Om dit te realiseren zorgt Indenty ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Indenty van haar opdrachtnemers dat zij Indenty in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Indenty, dan meldt Indenty dit uiteraard ook. Indenty is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van Indenty.

Informeren klant (contactpersoon instellen)

In eerste instantie zal Indenty de contactpersoon van de verwerkingsverantwoordelijke (klant) informeren over een datalek.

Informatie verstrekken

Indenty probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door Indenty wordt onderzocht, dan zal Indenty de klant de informatie verstrekken die de klant nodig heeft om in ieder geval eerst

een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te kunnen verrichten. Hierbij volgt Indenty de informatielijst uit de eerdergenoemde beleidsregels. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.

Termijn van informeren

De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Indenty informeert de klant daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de klant tijdig de melding kan doen bij de Autoriteit Persoonsgegevens.

Voortgang en maatregelen

Indenty zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Indenty maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Indenty de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.