DE ONDERGETEKENDEN
Xxxxxxxxxxxx 0-000x 0000 XX Xxxxxxxxxx
Postbus 85
3840 AB Harderwijk
Verwerkersovereenkomst
DE ONDERGETEKENDEN
De arbodienst …….., statutair gevestigd en kantoorhoudende te …….. aan de ………, hierbij rechtsgeldig vertegenwoordigd door , hierna te noemen “Arbodienst”;
en
de Stichting Volandis, statutair gevestigd en kantoorhoudende te Harderwijk, aan de Xxxxxxxxxxxx 0 xxxxxx 000X, hierbij rechtsgeldig vertegenwoordigd door haar Algemeen Directeur, de heer dr. ir.
T.W. Xxxxx, hierna te noemen “Volandis”;
Hierna ook gezamenlijk aan te duiden als: “Partijen”;
IN AANMERKING NEMENDE DAT:
0341 - 499 299
DATUM
19 april 2023
REFERENTIE
A. In de vigerende cao Bouw & Infra en cao Afbouw is vastgelegd dat Volandis in opdracht van cao-partijen uitvoering geeft aan het individugericht pakket preventiezorg. Een deel van de activiteiten in het kader van dit pakket wordt uitgevoerd door gecertificeerde arbodiensten die een samenwerkingsovereenkomst hebben gesloten met Volandis. Partijen werken bij de uitvoering van dit pakket in een systeem, te weten het Preventiezorgportaal.
B. Volandis roept de werknemer op voor de Duurzame Inzetbaarheidsanalyse (DIA). Van de werknemer wordt verwacht dat hij eenmaal in de vier jaar aan de DIA deelneemt.
C. Daarbij spreekt de cao over het Individugericht pakket preventiezorg, dat inhoudt dat iedere werknemer recht heeft op de voorzieningen van het Individugericht Pakket Preventie Zorg (IPZ). Het doel hiervan is uitval van de werknemer te voorkomen. Deze voorzieningen worden uitgevoerd door een gecertificeerde arbodienst die een samenwerkingsovereenkomst heeft met Volandis.
D. Onder het cao-pakket IPZ vallen, kort samengevat:
a. Verplichte Intredekeuring (IK) met eventueel second opinion IK en herkeuring IK
b. Vrijwillig intrede-onderzoek (IO)
c. Arbeidsgezondheidskundig Onderzoek Jongeren (AGO-J)
d. Periodiek Arbeidsgezondheidskundig Onderzoek (PAGO)
e. Duurzame Inzetbaarheids Analyse (DIA-adviesgesprek in combinatie met PAGO)
f. Gericht Periodiek Onderzoek (GPO)
g. Second Opinion intredekeuring
Paraaf Partijen: 1/14
E. Partijen met betrekking tot activiteiten in het kader van het individugerichte pakket preventiezorg een Basisovereenkomst met een looptijd tot en met 31 december 2023 met bijbehorende bijlagen zijn
aangegaan, hierna: “Basisovereenkomst”, een en ander volgend uit de cao in de bouwnijverheid (xxx Xxxx & Infra) en de cao voor de Afbouw (cao Afbouw). Deze dienstverlening brengt voor Partijen onder meer verwerking van persoonsgegevens in de zin van de Algemene verordening gegevensbescherming met zich mee;
F. Partijen in het kader van de uitvoering van de Overeenkomst, en afhankelijk van de te verrichten activiteiten als Verantwoordelijke of als (sub-)Verwerker kunnen worden gekwalificeerd. De daarmee samenhangende gegevensstromen staan opgenomen in Bijlage B.
G. De activiteiten en de daarmee samenhangende gegevensstromen staan beschreven in de
‘Uitvoeringsprocedures voor het cao-pakket Individugerichte Preventiezorg’
H. Volandis een Verwerker is van de Arbodienst waar zij beheerder is van het Preventiezorgportaal ten behoeve van de Arbodienst. Arbodienst is in dat geval Verantwoordelijke;
I. Volandis fungeert als opdrachtgever van de PAGO waarvoor de Basisovereenkomst is gesloten. In deze Verwerkersovereenkomst staat de relatie tussen Volandis en de Arbodienst centraal, waarbij Xxxxxxxx als beheerder en toeleverancier van het PZP fungeert richting de Arbodienst, die als gebruiker van het Preventiezorgportaal is te kwalificeren. In dit verband is Volandis Verwerker van de Arbodienst. Arbodienst is, uit hoofde van haar werkzaamheden in het kader van de uitvoering van IPZ-taken die worden opgedragen door Xxxxxxxx, aangemerkt als Verwerkingsverantwoordelijke.
J. Voor de eigen verplichtingen van Volandis die volgen uit het IPZ pakket is Volandis Verantwoordelijke en kan de Arbodienst in voorkomend geval Verwerker zijn in het kader van uitvoering van de Basisovereenkomst bij de verwerking van persoonsgegevens.
K. Ten tijde van het opmaken van de Overeenkomsten is de ISO 27001 certificering van toepassing op de informatiebeveiliging van Volandis.
L. De Arbodiensten en Volandis nadere afspraken omtrent de verwerking van persoonsgegevens wensen vast
te leggen in deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”).
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT, MET INACHTNEMING VAN HET BOVENSTAANDE:
1 Definities
Voor zover begrippen met een hoofdletter niet afzonderlijk gedefinieerd zijn in deze Verwerkersovereenkomst, gelden de definities zoals genoemd in de Overeenkomst. In deze Verwerkersovereenkomst wordt onder de navolgende begrippen verstaan:
“AVG” : de Algemene verordening gegevensbescherming;
“Betrokkene” : degene op wie een Persoonsgegeven betrekking heeft;
“Datalek” : een inbreuk op de beveiliging zoals bedoeld in artikel 4 onder 12 AVG die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
“Derde” : ieder, niet zijnde de Betrokkene, de Verantwoordelijke, de Verwerker, of enig persoon die onder rechtstreeks gezag van de Verantwoordelijke of de Verwerker gemachtigd is om Persoonsgegevens te verwerken;
“Meldplicht datalekken” : de verplichting tot het melden van datalekken aan de Autoriteit
Persoonsgegevens en (in sommige gevallen) aan Betrokkene, op basis van artikel 33 en 34 AVG;
“Persoonsgegevens” : elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk
persoon;
“Basisovereenkomst” : Overeenkomst van Opdracht tussen Partijen;
“Mantelovereenkomst” :de tussen Partijen gesloten overeenkomst, waaronder alle overeenkomsten
vallen die betrekking hebben op de levering en het gebruik van het Preventiezorgportaal.
“Verantwoordelijke” : de partij die opdracht geeft aan de andere partij tot het verwerken van
Persoonsgegevens. Voor zover deze partij het doel en de middelen bepaalt van de verwerking is deze partij Verantwoordelijke in de zin van de AVG; voor zover deze partij echter de opdracht tot verwerken verstrekt in opdracht van een derde partij die de doel en middelen van de verwerking bepaalt, is deze partij als Verwerker aan te merken in de zin van de AVG;
“Verwerker” : degene die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt,
zonder aan zijn rechtstreeks gezag te zijn onderworpen;
“Sub-Verwerker” : een partij die door Verwerker wordt ingeschakeld voor de verwerking van
persoonsgegevens.
“Verwerking” : een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
2 Uitvoering Verwerking
2.1 De Verwerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze Verwerken in overeenstemming met de op hem rustende verplichtingen uit deze Verwerkersovereenkomst en de geldende wetgeving ter zake het beschermen van persoonsgegevens.
2.2 De Verwerkingen onder de Verwerkersvereenkomst hebben betrekking op de typen Persoonsgegevens zoals
gespecificeerd in de ‘Uitvoeringsprocedures voor het cao-pakket Individugerichte Preventiezorg’ en de ‘Specificaties informatieverstrekking preventiezorg’ ten behoeve van de uitvoering van de Basisovereenkomst. Zie tevens overwegingen B en C. Verwerker verwerkt de Persoonsgegevens alleen voor het doel zoals omschreven in Bijlage A en alleen voor zover de verwerking noodzakelijk is om te voldoen aan dit doel. De Verantwoordelijke bepaalt het doel en de middelen voor de verwerking van de Persoonsgegevens.
2.3 De Verwerker zal zijn medewerking verlenen aan de Verantwoordelijke om betrokkenen in staat te stellen hun rechten op grond van de toepasselijke geldende wetgeving ter zake het beschermen van persoonsgegevens uit te oefenen.
3 Beveiliging persoonsgegevens & controle
3.1 Partijen zullen passende technische en organisatorische beveiligingsmaatregelen nemen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking alsmede de rechten van Betrokkene te waarborgen,
die gezien de huidige stand der techniek, de aard van de Persoonsgegevens en de daarmee samenhangende risico’s
en risicoklasse een passend beschermingsniveau bieden.
3.2 Partijen verbinden zich jegens elkaar om het niveau van zijn technische en organisatorische maatregelen te handhaven, waar mogelijk te verbeteren en te verfijnen en aan te passen aan de voortschrijdende technologische en maatschappelijke ontwikkelingen. Partijen zullen hiertoe actuele ontwikkelingen volgen en additionele voorzieningen treffen voor zover dat redelijkerwijs kan worden verwacht.
3.3 Verwerker zal de Persoonsgegevens uitsluitend opslaan of anderszins verwerken op een locatie binnen de Europese Economische Ruimte, tenzij Verantwoordelijke daar voorafgaande schriftelijke toestemming voor heeft gegeven en slechts indien (steeds) voldaan is aan de geldende vereisten voor een dergelijke gegevensverwerking. Verwerker zal de Verantwoordelijke informeren over de plaats(en) van opslag.
3.4 Partijen zorgen voor de benodigde aanpassingen in geval van een wetswijziging in de toepasselijke wetgeving ter bescherming van persoonsgegevens. Een en ander laat het bepaalde in artikel 3.1 en 3.2 onverlet.
3.5 Partijen zullen zo spoedig mogelijk na het (indirect) ontvangen van een bindende aanwijzing van de bevoegde toezichthouder bescherming persoonsgegevens (Autoriteit Persoonsgegevens) tot het treffen van aanpassingen van de organisatorische en beveiligingsmaatregelen ter zake de Persoonsgegevens, of middels een rechterlijke uitspraak die in kracht van gewijsde is gegaan, de benodigde maatregelen treffen om tijdig te voldoen aan de aanwijzing.
3.6 Partijen zijn zich bewust van de zelfstandige controlebevoegdheden van de Autoriteit Persoonsgegevens of een andere bevoegde toezichthouder. Partijen zullen hun volledige medewerking verlenen aan een eventueel onderzoek door de Autoriteit Persoonsgegevens of een andere bevoegde toezichthouder naar de Verwerking van de Persoonsgegevens.
4 Meldplicht datalekken
4.1 De Verwerker zal zo snel als mogelijk, maar in ieder geval binnen 48 uur na ontdekking of vermoeden van een Datalek de Verantwoordelijke schriftelijk informeren.
• Voor het geval dat de Arbodienst Verantwoordelijke is, dan kan dit via het e-mailadres van de betreffende Arbodienst, zoals opgenomen in Bijlage E.
• Voor het geval Volandis Verantwoordelijke is, dan kan dit via het e-mailadres xxxxxxx@xxxxxxxx.xx (te richten aan xxx. Xxxxxxx Xxxxxxxxx, functionaris gegevensbescherming).
Alle partijen dienen er zorg voor te dragen dat het genoemde e-mailadres actief wordt gemonitord, teneinde de (wettelijke) termijnen te waarborgen.
Daarbij zal tevens alle relevante informatie worden verstrekt conform het alsdan actuele beleid van de Autoriteit Persoonsgegevens ter zake (een voorbeeld van hetgeen ten tijde van het sluiten van de Verwerkersovereenkomst door de Autoriteit Persoonsgegevens gevraagd wordt, is opgenomen in Bijlage B bij deze Verwerkersovereenkomst).
4.2 De Verantwoordelijke beoordeelt of het Datalek dient te worden gemeld bij de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n).
4.3 De Verwerker houdt een overzicht bij van de (vermoede) Datalekken, diens informatievoorziening ter zake aan de Verantwoordelijke en de door de Verwerker ter zake getroffen maatregelen.
4.4 De Verwerker zal op verzoek van de Verantwoordelijke of de Autoriteit Persoonsgegevens, het overzicht zoals bedoeld in lid 1 van dit artikel aan de Verantwoordelijke dan wel Autoriteit Persoonsgegevens verstrekken.
4.5 Partijen zullen naar aanleiding van een Datalek met elkaar het overleg voeren over het eventueel treffen van maatregelen om de gevolgen van het Datalek te beperken en herhaling te voorkomen.
5 Geheimhouding
5.1 De Verwerker is verplicht tot geheimhouding van de te verwerken Persoonsgegevens. Het is de Verwerker niet toegestaan de Persoonsgegevens aan enige derde te tonen, te verstrekken of anderszins ter beschikking te stellen, tenzij dit noodzakelijk is ingevolge de opdracht zoals neergelegd in de Basisovereenkomst of deze Verwerkersovereenkomst, of noodzakelijk is om te voldoen aan een wettelijke verplichting.
5.2 De Verwerker draagt ervoor zorg dat een ieder die onder zijn gezag handelt, verplicht is tot geheimhouding van de Persoonsgegevens waarvan hij/zij kennis neemt en handelt conform deze Verwerkersovereenkomst en de geldende wet- en regelgeving waaronder – maar niet alleen – de AVG.
5.3 Indien de Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, zal de Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de Verwerker de Verantwoordelijke, voorafgaand aan de verstrekking, ter zake informeren, tenzij toepasselijke geldende wet- en regelgeving dit verbiedt.
6 Gebruik sub-Verwerkers
6.1 De Verwerker is gerechtigd om in het kader van deze Verwerkersovereenkomst gebruik te maken van diensten van een sub-Verwerker zoals opgenomen in Bijlage D
De Verwerker verschaft de Verantwoordelijke een overzicht van diens sub-Verwerkers waarin opgenomen de identiteit en vestigingsplaats van de sub-Verwerkers en de door de sub-Verwerkers uit te voeren Verwerking. De Verwerker zal de Verantwoordelijke informeren over het inschakelen van nieuwe sub-Verwerkers. De Verantwoordelijke heeft de mogelijkheid om, binnen een redelijke termijn, schriftelijk bezwaar in te dienen tegen het inschakelen van een sub-Verwerker.
De sub-Verwerker heeft zich verbonden jegens Verwerker de Persoonsgegevens uitsluitend op te slaan of anderszins te verwerken op een locatie binnen de Europese Economische Ruimte. Indien de sub-Verwerker gevestigd is in een land buiten de Europese Economische Ruimte, mag de Verwerker slechts gebruik maken van een dergelijke sub- Verwerker na voorafgaande uitdrukkelijke toestemming daartoe van de Verantwoordelijke, welke toestemming Verantwoordelijke niet op onredelijke gronden zal onthouden.
Verantwoordelijke heeft het recht aan dergelijke toestemming voorwaarden te verbinden.
6.2 De Verwerker zal aan de door hem ingeschakelde sub-Verwerkers dezelfde verantwoordelijkheden en verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst voortvloeien, door met deze sub-
Verwerker een zelfstandige Verwerkersovereenkomst af te sluiten. Xxxxxxxxx stelt op eerste verzoek van Verantwoordelijke een kopie van de gemaakte afspraken tussen de Verwerker en sub-Verwerker beschikbaar.
6.3 De Verwerker is verantwoordelijk en aansprakelijk voor het handelen en/of nalaten door de door hem ingeschakelde sub-Verwerkers.
7 Duur, bewaartermijn en gevolgen beëindiging
7.1 De duur van deze Verwerkersovereenkomst is vanaf datum ondertekening door beide Partijen ten minste gelijk aan de verdere duur van de Basisovereenkomst. Tussentijdse opzegging van deze Verwerkersovereenkomst door (een der) Partijen is niet mogelijk.
7.2. De Verwerkersovereenkomst eindigt op het moment dat de Basisovereenkomst eindigt, tenzij na beëindiging van de Basisovereenkomst, om wat voor reden dan ook, Verwerker nog steeds Persoonsgegevens verwerkt of onder zich heeft, in welk geval de Verwerkersovereenkomst van toepassing is zolang Verwerker Persoonsgegevens verwerkt.
7.3. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
7.4. Bij beëindiging van de Basisovereenkomst zal Verwerker op instructie van de Verantwoordelijke binnen 15 werkdagen alle informatie (data) vernietigen en/of aan Verantwoordelijke ter beschikking stellen, tenzij op Verwerker een zelfstandige bewaarplicht rust. Een uitzondering geldt ook indien er door Volandis toestemming is verkregen van de betrokkene, danwel via de Verantwoordelijke, om een levenslang dossier in het Preventiezorgportaal aan te leggen, behoudens het geval de betrokkene diens toestemming intrekt. De uitdrukkelijke intentie van Partijen is dat een opvolgend arts over de data afkomstig uit Preventiezorgportaal kan beschikken, waarbij geldt dat een dergelijke overdracht dient te geschieden conform de geldende wet- en regelgeving én betrokkene toestemming heeft gegeven aan de Verantwoordelijke Deze toestemming zal door de Verantwoordelijke worden vastgelegd, waarna Verantwoordelijke Volandis opdracht geeft voor de overdracht.
8 Wijziging Verwerkersovereenkomst
8.1. Bij wijzigingen in de Basisovereenkomst, wet- en regelgeving of andere relevante omstandigheden die van invloed (kunnen) zijn op de verwerking van de Persoonsgegevens zullen de (de bevoegde vertegenwoordigers van) Partijen in overleg treden over een eventueel benodigde wijziging van de Verwerkersovereenkomst. De wijzigingen in de tekst van onderhavige Verwerkersovereenkomst en bijbehorende bijlagen kunnen uitsluitend schriftelijk door (de bevoegde vertegenwoordigers van) Partijen worden overeengekomen.
9 Overige bepalingen
9.1. Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de Mantelovereenkomst en de bepalingen daarin zijn onverkort van toepassing op deze Verwerkersovereenkomst.
Bijlagen bij deze overeenkomst:
• Bijlage A: Samenvatting Uitvoeringsprocedures en Specificaties informatieverstrekking preventiezorg
• Bijlage B: Schema datastromen
• Bijlage C: Vragenlijst melding datalek
• Bijlage D: Sub-verwerkers
Aldus opgesteld en getekend:
Stichting Volandis Arbodienst
te Harderwijk te
Naam : dr. ir. T.W. Hobma Naam :
Functie : Algemeen directeur Functie :
Datum : Datum :
Handtekening: Handtekening:
Bijlage A – Samenvatting Uitvoeringsprocedures en Specificaties informatieverstrekking preventiezorg Als geldend per februari 2023.
NADER SAMEN TE STELLEN
Overzicht van verwerkingen (Arbodienst = Verantwoordelijke; Volandis = Verwerker)
Beschrijving van de verwerking
Volandis Verwerkt Persoonsgegevens voor Arbodienst als beheerder en leverancier van het Preventiezorgportaal. Daarnaast Verwerkt Volandis Persoonsgegevens bij ondersteuningswerkzaamheden voor de Arbodienst, zoals bij het beheren van de afspraak, het versturen van een uitnodiging naar de werknemer om een account aan te maken in het Preventiezorgportaal, het sturen van een herinnering omtrent het invullen van de vragenlijst, het aanbieden van de rapportage n.a.v. het PAGO aan de werknemer en het versturen van Persoonsgegevens naar ZorgTTP t.b.v. de pseudonimisering voor statistisch onderzoek. Tot slot Verwerkt Volandis Persoonsgegevens voor de Arbodienst bij onderhoudswerkzaamheden van het Preventiezorgportaal.
Categorieën van Persoonsgegevens
Alle Persoonsgegevens die worden opgeslagen door de Arbodienst dan wel worden ingevuld door de werknemer zoals omschreven in de Gebruikersovereenkomst en die Volandis Verwerkt bij de ondersteuningswerkzaamheden, waaronder in ieder geval begrepen:
- NAW;
- Geboorteplaats en geboortedatum;
- Telefoonnummer;
- E-mailadres
- Dienstverbandgegevens;
- Geslacht;
- Gezondheidsgegevens.
Categorieën van Betrokkenen
Werknemers die deel nemen aan het PAGO dan wel hiervoor worden uitgenodigd.
Verwerkingsdoeleinden
- Feitelijk en technisch beheer van het Preventiezorgportaal;
- Onderhoud van het Preventiezorgportaal;
- Ondersteuning van de Arbodienst t.b.v. het de uitvoering van het PAGO; en
- Het verstrekken van Persoonsgegevens aan ZorgTTP t.b.v. de pseudonimisering voor statistische doeleinden.
Bijlage B – Schema datastromen
Bijlage C
Bijlage C - Vragenlijst melding datalek
Dit formulier dient zo spoedig als mogelijk, maar uiterlijk binnen 48 uur na het ontdekken van de inbreuk met de verwerkingsverantwoordelijke te worden gedeeld.
Naam organisatie | Stichting Volandis | <Arbodienst> |
Contactpersoon | Xxxxxxx Xxxxxxxxx | |
Telefoonnummer | 0341-499299 | |
E-mailadres |
Gegevens melding | Door de Verwerker in te vullen / aan te kruisen | |
. Datum inbreuk op de beveiliging | o Op: o Tussen: ……………….. en ……………….. o Nog niet bekend | |
. Datum constatering inbreuk | ||
• | ||
Datum waarop de inbreuk als een datalek | • | |
werd aangemerkt, indien afwijkend | ||
. Datum melding aan Verwerkingsverantwoordelijke | ||
. Is dit een vervolg op een eerdere melding/eerder incident? | o Nee, dit is de eerste melding o Ja − Datum eerdere melding: | |
…………………............................ − Nog in te vullen vragen: …………………............................ | ||
. Geef een samenvatting van de inbreuk | ||
. Geef aan wat de (waarschijnlijke) oorzaak is van de inbreuk |
Persoonsgegevens van hoeveel Betrokkenen zijn er bij deze inbreuk betrokken? En hoeveel gegevensrecords (bestanden, regels in een Excel-bestand, bijlagen) zijn er bij deze inbreuk betrokken? | • • | |
. Omschrijf de groep van Betrokkenen bij de inbreuk | ||
. Wat is de aard van de inbreuk? (meerdere antwoorden mogelijk) Als er sprake is van een foutieve verzending, heeft de verkeerde ontvanger de vernietiging al bevestigd? | o Verkeerd verzenden o Verlies o Lezen o Kopiëren o Wijzigen o Verwijderen / vernietigen o Diefstal o Anders: ………………………………………….. o Nog niet bekend | |
• De verkeerde ontvanger heeft de vernietiging | ||
wel bevestigd / niet bevestigd / nog niet | ||
gereageerd | ||
. Om welk type Persoonsgegevens gaat het? (meerdere antwoorden mogelijk) | o NAW o Geslacht, geboortedatum en/of leeftijd o Telefoonnummer(s) o E-mailadres(sen) o BSN o Toegangs- of identificatiegegevens o Financiële gegevens o (Kopie) legitimatiebewijs o Bijzondere persoonsgegevens (zoals | |
gezondheidsgegevens, ras, religie of | ||
lidmaatschap van een vakbond) o Anders: ………………………………………….. o Nog niet bekend | ||
. Welke mogelijke gevolgen kan de inbreuk hebben voor de Betrokkenen? | o Stigmatisering en/of uitsluiting o Blootstelling aan (identiteits)fraude o Blootstelling aan spam en/of phishing o Anders: ……………………………………… o Nog niet bekend |
Welke maatregelen heeft u getroffen om de inbreuken aan te pakken en verdere inbreuken te voorkomen? | ||
. Zijn de betreffende Persoonsgegevens versleuteld, gehasht of op een andere manier onleesbaar/onbegrijpelijk of ontoegankelijk gemaakt? | o Nee o Ja, op deze manier: ………………………………………….. o Deels, namelijk: ………………………………………….. o Nog niet bekend | |
. Heeft de inbreuk betrekking op personen buiten de EU? (zowel Xxxxxxxxxxx als mogelijke inbreukmaker) | o Nee o Ja, uit ………………………………………...... o Nog niet bekend | |
I Is er een mogelijke oplossing voor de inbreuk? | o Nee o Ja, namelijk: ……………………………………………………………………… …………… o Nog niet bekend | |
. Is deze melding compleet? | o Ja, alle vragen zijn beantwoord en er is geen vervolgmelding nodig o Nee, een vervolgmelding is noodzakelijk |
Bijlage D
Sub-Verwerkers
Naam en contactgegevens Sub- Verwerker | KvK-nummer | Uitbestede Verwerking | Beveiligings- maatregelen |
FIQAS | 28065653 | Uitvoeren ontwikkelingen en beheren van het Preventiezorgportaal in opdracht van Xxxxxxxx. | Passende technische en organisatorische maatregelen, o.a.: crypto grafische verwerkingen van persoonsgegevens, SSL/TLS-certificaat, controle beveiligingsincidenten, one-way-hadh mechanisme voor wachtwoorden etc. |
ZorgTTP | 30148110 | Onomkeerbaar pseudonimiseren persoonsgegevens | Passende technische en organisatorische maatregelen, zoals: versleuteling, meerfactor authenticatie, Privacy en Verzend module etc. |
Bijlage E
E-mailadressen contactpersonen Arbodiensten
Naam: | E-mailadres |