VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

tussen [Bedrijfsnaam]

als ‘verantwoordelijke’

en

PCI Nederland B.V.

als ‘verwerker’

Datum: 14-5-2018

PARTIJEN:

1 De besloten/naamloze vennootschap/stichting/vereniging [Bedrijfsnaam]. statutair gevestigd te [Land] en kantoorhoudende te [Plaats] aan het adres [Straat] [Huisnummer], hierna ook te noemen: "Verantwoordelijke", hierbij rechtsgeldig vertegenwoordigd door ****:

en

2 De besloten vennootschap PCI NEDERLAND B.V., statutair gevestigd te Lijnden en kantoorhoudende te 1175 RD Lijnden, aan het adres New Yorkstraat 66, tevens handelend onder de naam “PCI” en hierna ook te noemen: “Verwerker”, hierbij rechtsgeldig vertegenwoordigd door de heer J.B. Kamphuis, Algemeen Directeur;

OVERWEGENDE DAT:

A. Deze overeenkomst (“Verwerkersovereenkomst”) uitsluitend van toepassing is voor zover PCI Nederland kwalificeert als Verwerker in de zin van artikel 4 sub 8 van de Algemene Verordening Gegevensbescherming (“AVG”);

B. Verwerker IT-diensten levert aan Verantwoordelijke, waaronder maar niet beperkt tot het leveren van digitale werkplek oplossingen. Verwerker verwerkt bij deze diensten mogelijk Persoonsgegevens van diverse Betrokkenen, waarvoor Verantwoordelijke, in de zin van artikel 4 sub 7 AVG, verantwoordelijk is;

C. Partijen in het kader van artikel 28 AVG wettelijk verplicht zijn afspraken te maken en vast te leggen met betrekking tot de verwerking van Persoonsgegevens door Verwerker;

D. De bepalingen van deze Verwerkersovereenkomst vóór gaan op alle andere afspraken die tussen Partijen gelden en betrekking hebben op de verwerking van Persoonsgegevens door Verwerker voor Verantwoordelijke.

ZIJN HET VOLGENDE OVEREENGEKOMEN:

1 Definities en bijlagen

1.1 Tot deze Verwerkersovereenkomst behoren:

• Bijlage 1: een beschrijving van de categorieën van Betrokkenen, het soort Persoonsgegevens en de aard en het doel waarvoor de Persoonsgegevens worden verwerkt.

• Bijlage 2: Procedure Meldplicht Datalekken

• Bijlage 3: de door Partijen gebruikte Procedure Meldplicht Datalekken. Deze bijlage zal in ieder geval worden aangepast indien de regelgeving omtrent de Meldplicht Datalekken of de uitleg daarvan wijzigt.

• Technische en Organisatorische maatregelen

1.2 Op deze Verwerkersovereenkomst zijn de reeds geldende Algemene Voorwaarden van Verwerker van overeenkomstige toepassing. Indien er sprake is van innerlijke tegenstrijdigheid tussen de Algemene Voorwaarden van Verwerker en deze Verwerkersovereenkomst, prevaleert deze Verwerkersovereenkomst. Eventuele innerlijke tegenstrijdigheid laat de toepassing van de overige bepalingen van de Algemene Voorwaarden van Verwerker onverlet.

1.3 In deze Verwerkersovereenkomst betekenen de volgende begrippen hetgeen daarbij hieronder is vermeld wanneer zij met een hoofdletter worden geschreven:

a) Betrokkene: degene op wie een persoonsgegeven betrekking heeft als bedoeld in artikel 4 sub 1 AVG.

b) Verwerker: de partij genoemd onder sub 2 van deze Verwerkersovereenkomst, die ten behoeve en in opdracht van Verantwoordelijke persoonsgegevens verwerkt, zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens (artikel 4 sub 8 AVG).

c) Datalek: een door Verwerker geconstateerde inbreuk op de beveiligingsmaatregelen (een beveiligingsincident), waarbij persoonsgegevens verloren zijn gegaan, of onrechtmatige verwerking redelijkerwijs niet valt uit te sluiten (artikel 4 sub 12 AVG).

d) Persoonsgegevens: gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, welke Verwerker bij of in verband met het uitvoeren van de diensten van Verantwoordelijke verwerkt (artikel 4 sub 1 AVG).

e) Verantwoordelijke: de partij genoemd onder sub 1 van deze Verwerkersovereenkomst, die alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van de Persoonsgegevens vaststelt (ook “Verwerkingsverantwoordelijke”/”Controller” genoemd in artikel 4 sub 7 AVG).

f) Verwerking: verzamelen, vastleggen en ordenen, bewaren, bijwerken en wijzigen, opvragen, raadplegen en gebruiken, verstrekken, verspreiden, koppelen en of afschermen, wissen of vernietigen van persoonsgegevens (artikel 4 sub 2 AVG).

2 Doeleinden van de verwerking

2.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van in overweging sub B genoemde diensten, plus die doeleinden die daarmee redelijkerwijs samenhangen. De categorieën van Betrokkenen, het soort Persoonsgegevens, de aard en het doel waarvoor de Persoonsgegevens worden verwerkt zijn opgenomen in Bijlage 1.

2.2 Verwerker zal de Persoonsgegevens niet voor andere doeleinden gebruiken dan voor het doel a) als bedoeld in het voorgaande lid, b) conform schriftelijke instructies van Verantwoordelijke of c) in verband met een wettelijke verplichting.

2.3 Verwerker zal de Persoonsgegevens niet aan een derde verstrekken, tenzij deze uitwisseling plaatsvindt in opdracht van Verantwoordelijke in het kader van de uitvoering van de Verwerkersovereenkomst of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.

2.4 Verantwoordelijke heeft en houdt zelfstandige en volledige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens. Verantwoordelijke staat in voor de rechtmatige verkrijging van de Persoonsgegevens, waaronder de eventueel noodzakelijke uitdrukkelijke toestemming van de Betrokkene(n).

2.5 Verwerker bewerkstelligt dat met elk bevoegd personeelslid, die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst is overeengekomen.

3 Beveiliging

3.1 Verantwoordelijke zal in overeenstemming met de geldende wettelijke regels de beveiliging van de Persoonsgegevens waarborgen en daartoe passende technische en organisatorische maatregelen treffen.

3.2 Verwerker zal waar zij in opdracht van Verantwoordelijke Persoonsgegevens verwerkt gedurende de looptijd van deze Verwerkersovereenkomst passende technische en organisatorische maatregelen treffen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Deze maatregelen zullen, rekening houdend met de stand van de techniek en de kosten betrekking hebbende op de implementatie en tenuitvoerlegging van de maatregelen, een passend beveiligingsniveau bieden gelet op de risico’s die de Verwerking van de Persoonsgegevens, en de aard daarvan, met zich meebrengen. Voor een actuele beschrijving van de technische en organisatorische maatregelen die Verwerker in opdracht van Verantwoordelijke neemt wordt verwezen naar de website xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxxxxxxxxxxxxx.

4 Datalekken en meldplicht

4.1 Indien Verwerker een Datalek vaststelt, zal Verwerker Verantwoordelijke onverwijld (uiterlijk binnen 2 werkdag) informeren. Beide partijen zullen zich binnen het kader van deze Verwerkersovereenkomst inspannen om verder verlies of onrechtmatige verwerking van Persoonsgegevens te verhinderen en herhaling te voorkomen.

4.2 In geval van een Datalek zal Verwerker alle redelijke maatregelen treffen om de gevolgen van het Datalek te beperken en/of een nieuw Datalek te voorkomen, tegen vergoeding van de redelijke kosten door Verantwoordelijke. Verwerker zal daarbij medewerking verlenen aan Verantwoordelijke om het Datalek te beoordelen en te kunnen voldoen aan haar eventuele wettelijke meldplicht en haar eventuele plicht tot het informeren van Betrokkenen.

4.3 In geval van een Datalek bij Verwerker dat leidt tot een meldplicht of een informatieplicht voor Verantwoordelijke, zal de melding of in de informatieverstrekking in overleg met Verwerker door Verantwoordelijke worden verricht. Partijen zullen in goed overleg afspraken maken over de verdeling van de kosten die daarmee zijn gemoeid.

4.4 Partijen leggen hun afspraken over de informatie-uitwisseling in verband met incidenten vast in een

“Procedure Meldplicht Datalekken” in Bijlage 2.

5 Verzoeken van Betrokkenen

5.1 Indien Verwerker een verzoek of bezwaar van een Betrokkene ontvangt, zoals een verzoek om informatie, inzage, rectificatie, verwijdering, verwerkingsbeperking, overdracht van de Persoons- gegevens (‘dataportabiliteit’), zoals bedoeld in hoofdstuk III AVG, stuurt Verwerker dat verzoek onmiddellijk door naar Verantwoordelijke.

5.2 Verwerker verleent Verantwoordelijke alle redelijke medewerking om ervoor te zorgen dat Verantwoordelijke binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving. De redelijke kosten voor deze medewerking zullen door Verantwoordelijke aan Verwerker worden vergoed. Onder redelijke kosten wordt verstaan het geldende uurtarief voor een technici of consultant.

6 Toegang en controle

6.1 De zeggenschap over de Persoonsgegevens blijft volledig berusten bij Verantwoordelijke. Op verzoek van Verantwoordelijke en tegen vergoeding op basis van de reguliere tarieven zal Verwerker alle of een gedeelte van de Persoonsgegevens in gangbaar formaat ter beschikking stellen aan Verantwoordelijke.

6.2 Verantwoordelijke heeft het recht om informatie van Verwerker te verlangen inzake de verwerking van Persoonsgegevens door Verwerker ter controle op de naleving van deze Verwerkersovereenkomst.

6.3 Op verzoek van Verantwoordelijke en vergoeding van de kosten van Verwerker kan Verwerker medewerking verlenen bij de uitvoering van Privacy Impact Assessments (artikel 35 AVG) en voorafgaande controle door de toezichthoudende autoriteit (artikel 36 AVG).

6.4 Verwerker zal in overleg met Verantwoordelijke aanbevelingen ter verbetering van de Verwerking van Persoonsgegevens en de beveiliging daarvan als gevolg van gewijzigde inzichten of wetgeving aan Verantwoordelijke voorleggen, waarbij Verantwoordelijke de redelijke kosten voor deze aanpassingen zal vergoeden.

7 Aansprakelijkheid

7.1 De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt geregeld in de toepasselijke Algemene Voorwaarden van Verwerker.

7.2 Verantwoordelijke vrijwaart Verwerker voor boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens en/of andere bevoegde autoriteiten die aan Verwerker worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende (privacy)wetgeving door Verantwoordelijke.

8 Sub-verwerker en locatie

8.1 Verantwoordelijke staat Verwerker toe de Persoonsgegevens door anderen dan eigen personeel (sub- verwerkers) te laten verwerken in het kader van de diensten van Verwerker. De door Verwerker aangewezen sub-verwerker(s), dienen minimaal te voldoen aan de bepalingen uit deze Verwerkersovereenkomst en alle voortvloeiende verplichtingen uit de AVG.

8.2 In geval van veranderingen inzake de toevoeging of vervanging van een sub-verwerker zal Verwerker Verantwoordelijke informeren.

8.3 Verwerker ziet er op toe en garandeert dat de Verwerking van de door Verantwoordelijke verstrekte Persoonsgegevens uitsluitend binnen de Europese Unie plaats zal vinden.

8.4 Verantwoordelijke zal Verwerker informeren over de bewaartermijnen van de Persoonsgegevens, welke in elk geval niet langer zijn dan noodzakelijk is voor de uitvoering van de diensten van Verwerker vermeld onder overweging sub B.

9 Geldigheid en duur

9.1 Deze Verwerkersovereenkomst is geldig vanaf datum ondertekening door beide partijen, voor de duur van de diensten die geleverd worden door Verwerker aan Verantwoordelijke als vermeld onder overweging sub B. voor de duur van de overeengekomen termijn als opgenomen in de hoofdovereenkomst tussen partijen (leaseovereenkomst of leveringsovereenkomst).

9.2 Wijzigingen van deze Verwerkersovereenkomst zijn slechts geldig indien deze door wederzijdse instemming van Verantwoordelijke en Verwerker schriftelijk zijn overeengekomen.

9.3 Beëindiging van de diensten door Verwerker aan Verantwoordelijke als vermeld onder overweging sub B leidt tot het binnen een redelijke termijn retourneren, verwijderen of vernietigen van de Persoonsgegevens die door Verantwoordelijke zijn verstrekt aan Verwerker naar keuze van Verantwoordelijke.

9.4 Verwerker kan afwijken van het in het voorgaande lid bepaalde, voor zover ten aanzien van Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om tegenover Verantwoordelijke nakoming van zijn verplichtingen te bewijzen.

10 Toepasselijk recht en geschillenbeslechting

10.1 Deze Verwerkersovereenkomst en de uitvoering daarvan wordt beheerst door Nederlands recht.

10.2 Geschillen, welke tussen partijen ontstaan in verband met deze Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter van de Rechtbank Amsterdam.

Aldus opgesteld en in tweevoud getekend te Lijnden.

Locatie, datum: Lijnden, ………..

Naam organisatie: PCI Nederland

Naam vertegenwoordiger: De heer J.B. Kamphuis

Functie vertegenwoordiger: Algemeen Directeur

Handtekening ………………………..

Locatie, datum: …………….., ……………

Naam organisatie: [Bedrijfsnaam]

Naam vertegenwoordiger: …………………………….

Functie vertegenwoordiger: ……………………………

Handtekening: …………………………….

BIJLAGE 1

In te vullen door Verantwoordelijke en Verwerker wat van toepassing is.

A. Categorieën Betrokkenen

De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval (aanvinken indien van toepassing):

□ medewerkers

□ sollicitanten

□ Klanten (contractanten)

□ Cliënten

□

□

B. Soort Persoonsgegevens

De Persoonsgegevens die door VERWERKER worden verwerkt zijn in ieder geval (aanvinken en aanvullen indien van toepassing):

□ NAW-gegevens, telefoonnummers, e-mailadressen,

□ Arbeidshistorie

□ Medische gegevens

□

□

□

C. Aard en doel van de verwerking

De aard van de verwerking is [korte omschrijving dienstverlening];

Het faciliteren van print, scan en kopieerfunctionaliteiten voor informatie van klant

De Persoonsgegevens worden in ieder geval voor de volgende doelen verwerkt [geef een korte omschrijving van het doel/ de doelen waarvoor deze gegevens worden verwerkt]:

afdrukken, kopiëren of scannen van informatie van de klant

D. Verwerking buiten de EER

De Persoonsgegevens worden in de volgende landen buiten de EER verwerkt (denk ook aan onderhoud door personen die zich buiten de EER bevinden of cloudopslag bij een cloudprovider van buiten de EER, zoals uit de VS):

[indien van toepassing een opsomming van landen waar de verwerking plaatsvindt/plaats kan vinden en de maatregelen die zijn getroffen om te voldoen aan de geldende wetgeving met betrekking tot de doorgifte van persoonsgegevens]

Niet van toepassing

E. Gegevens Sub-verwerkers

Verwerker maakt voor de Diensten gebruik van de volgende Sub-verwerkers: [indien van toepassing gegevens van de sub-verwerkers invullen].

Niet van toepassing

F. Contactgegevens

Voor vragen of opmerkingen over de Verwerkersovereenkomst en Bijlagen is de contactpersoon van

VERANTWOORDELIJKE:

Naam: ****

Functie: ****

Contactgegevens: ****

VERWERKER:

Naam: Xxxx xx Xxxxx.

Functie: Manager Klantenservice Contactgegevens: xxxxxxx@xxxxxxxxxxxx.xx / 088-5430808

Versie

1.0 22-03-2018

Tussen Partijen zijn met betrekking tot de meldplicht datalekken de volgende afspraken gemaakt:

1) Verwerker registreert Datalekken voor zover deze worden geconstateerd door haar diensten;

2) In geval van een Datalek informeert Verwerker Verantwoordelijke binnen één werkdag en zal de relevante informatie over het Datalek melden aan de hand van de hieronder opgenomen vragenlijst;

3) Verantwoordelijke zal beoordelen of een melding verricht dient te worden bij de AP. Verantwoordelijke zal daarbij in overleg treden met Verwerker;

4) Voordat Verantwoordelijke de melding bij de AP verricht zal Verantwoordelijke de inhoud van de melding met Verwerker bespreken;

5) Indien Verantwoordelijke oordeelt dat tevens betrokkenen geïnformeerd dienen te worden, zal Verantwoordelijke de inhoud van die informatie met Verwerker bespreken.

Vragenlijst bij de Procedure Meldplicht Datalekken

De contactpersonen bij Verantwoordelijke voor de meldplicht datalekken zijn: eerste contactpersoon:……………………………………………….

tweede contactpersoon………………………………………………

Verwerker zal bij een Datalek waarbij zij betrokken is de volgende vragen beantwoorden:

□ Geef een omschrijving van het Datalek:

……………………………………………………………………………………………………………………....

□ De persoonsgegevens van hoeveel personen zijn getroffen door het Xxxxxxx?

……………………………………………………………………………………………………………………....

□ Omschrijf de groep personen waarop de Persoonsgegevens betrekking hebben.

……………………………………………………………………………………………………………………....

Is er sprake van één van deze specifieke groepen personen (omcirkel het antwoord):

Ouderen: JA / NEE Kinderen: JA / NEE

Zieken of mensen met een verstandelijke beperking: JA / NEE

□ Datum en tijdstip van het Datalek:

……………………………………………………………………………………………………………………....

□ Wanneer is het Datalek ontdekt?

……………………………………………………………………………………………………………………....

□ Wat is de aard van de inbreuk? Omcirkel de antwoorden en vul in waar nodig

Kan een onbevoegde de gegevens lezen: JA / NEE

Kunnen/zijn de gegevens (worden) gekopieerd door een onbevoegde: JA / NEE Kunnen/zijn de (bron)gegevens (worden) gewijzigd (bijv. hack in het systeem): JA / NEE

Kunnen/zijn de (bron)gegevens (worden) verwijderd of vernietigd (bijv. ransom ware of brand datacenter): JA / NEE

Zijn de gegevens gestolen: JA / NEE

Overig: ……………………………………………………………………………………………………………

(invullen, of als de aard niet bekend is: “onbekend” invullen)

□ Om welk type gegevens gaat het? Omcirkel de antwoorden en vul in waar nodig:

Naam-, adres- en woonplaatsgegevens: JA / NEE Telefoonnummer: JA / NEE

E-mailadres of andere adres voor elektronische communicatie: JA / NEE

Inloggegevens (gebruikersnaam/wachtwoord, klantnummer of ander identificatienummer): JA / NEE, zo ja;

welke gegevens zijn het: (invullen) Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer): JA / NEE Burgerservicenummer (BSN) of sofinummer: JA / NEE

Paspoortkopieën of kopieën van andere legitimatiebewijzen: JA / NEE Geslacht: JA / NEE

Geboortedatum en/of leeftijd: JA / NEE (Pas)foto: JA / NEE

Geboorteland: JA / NEE

Medische gegevens (waaronder ook medicijnen of medische hulpmiddelen): JA / NEE Biometrische gegevens (bijv. vingerafdruk, DNA): JA / NEE,

zo ja; welke gegevens zijn het: (invullen)

Gegevens over schulden/kredieten: JA / NEE Inkomensgegevens: JA / NEE

Gegevens over iemands betalingsverkeer: JA / NEE

Gegevens over wettelijke vertegenwoordiging (bewindvoerder/mentor): JA / NEE Verslavingsgegevens: JA / NEE

School/werkprestaties: JA / NEE

Gegevens over relationele problemen: JA / NEE Gegevens over (vermoeden van) mishandeling: JA / NEE Religie: JA / NEE

Strafrechtelijke gegevens (ook bijv. straatverboden): JA / NEE Politieke overtuiging: JA / NEE

Vakbondslidmaatschap: JA / NEE Seksuele voorkeur/geaardheid: JA / NEE

Overige gegevens (invullen)

□ Welke gevolgen kan de inbreuk hebben voor de getroffen personen? Omcirkel de antwoorden en vul in waar nodig:

Stigmatisering of uitsluiting: JA / NEE Schade aan de gezondheid: JA / NEE Xxxx op identiteitsfraude: JA / NEE

Kans op financiële schade (bijv. fraude met creditcardgegevens): JA / NEE Blootstelling aan spam of phishing: JA / NEE

Andere gevolgen, namelijk (invullen)

□ Omschrijf welke technische en organisatorische maatregelen zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?

……………………………………………………………………………………………………………………....

□ Zijn de gelekte persoonsgegevens beveiligd? Omcirkel de antwoorden en vul in waar nodig:

Zijn de gegevens versleuteld: JA /NEE,

zo ja; welke versleuteling (invullen)

geldt deze versleuteling voor alle persoonsgegevens of voor een deel? Indien voor een deel, voor welk

deel (invullen)

Zijn de gegevens gehasht: JA /NEE,

zo ja; op welke wijze: (invullen)

Kunnen de gegevens vanaf afstand worden gewist: JA /NEE,

zo ja; is dat gebeurd en wanneer is dat gebeurd: (invullen)

Zijn de gegevens op een andere manier onbegrijpelijk of ontoegankelijk gemaakt: JA /NEE,

zo ja; op welke manier: (invullen)

Zijn er Persoonsgegevens van personen in andere EU-landen getroffen door het Datalek? Zo ja, welke uit welke landen: ………………………………………………………………………

BIJLAGE 4

Beveiligingsmaatregelen

De Verwerker heeft passende technische en organisatorische maatregelen genomen om de veiligheid van persoonsgegevens te waarborgen.

Technische maatregelen

1. Het document managementsysteem (M-Files) is opgesplitst in klanten- en personeelsinformatie. De toegang tot deze documenten wordt bepaald door middel van de afdeling en de functie. Dit is tevens het recordmanagementsysteem dat bepaalt of documenten gearchiveerd of vernietigd moeten worden.

2. De personeelsgegevens worden opgeslagen in AFAS en zijn alleen beschikbaar voor de medewerkers van Human Resource en voor de betreffende werknemer zelf. AFAS is een personeelsinfosysteem.

3. De ID-bewijzen van klanten worden geanonimiseerd, het origineel wordt direct verwijderd. De ID- bewijzen worden niet langer bewaard dan de contractduur van geleverde diensten.

4. Het pand wordt beveiligd en werknemers komen binnen via tags. Er wordt geregistreerd wie er wanneer binnen komt. Bezoekers moeten zich melden bij de receptie en de werknemer waarvoor het bezoek is haalt het bezoek beneden op.

5. De toegang tot het netwerk gebeurd via sterke wachtwoorden die periodiek gewijzigd worden.

6. Het wifi is opgesplitst tussen gast en medewerkers netwerk.

7. Het printen van documenten kan alleen door middel van een tag of pincode, hierdoor kunnen andere personen niet bij informatie komen die niet voor hen bedoeld is.

8. De productieservers staan in het datacenter bij PCI-Tarq. PCI-Tarq is ISO 27001 en NEN 7510 gecertificeerd.

Organisatorische maatregelen

1. De Functionaris Gegevensbescherming is Xxxxxx xx Xxxxx.

2. De Verwerker (werknemers van Operations) is getraind om veilig om te gaan met informatie. Tijdens deze training hebben de werknemers geleerd waar die informatie staat, wat die informatie is en wat ze moeten doen met informatie die gelekt wordt. Hierbij gaat het specifiek om persoonsgegevens.

3. De mechanismes en processen zijn vastgelegd en worden periodiek geëvalueerd, dit gebeurt aan de hand van de kwaliteitscyclus (= cirkel van Xxxxxx/ PDCA-cyclus). PCI is actief bezig met het verbeteren van kwaliteitsmanagementsystemen en wil eind 2018 ISO gecertificeerd zijn, dit betreft ISO 9001.

4. In M-Files is er een meldknop waarop de Verwerker een datalek kan melden. Deze informatie komt bij de FG terecht en hij meldt deze informatie bij de klant en de betrokken partijen.

5. Er is een introductie film waarin alle instructie komen te staan over hoe de Verwerker om moet gaan met persoonsgegevens.

6. PCI heeft een verwerkersovereenkomst opgesteld welke relaties, zoals onze klanten en leveranciers kunnen gebruiken als PCI persoonsgegevens verwerkt

7. Een systeem wordt automatisch gesloten als het niet meer wordt gebruikt. Alle PC, laptops en thin- client locken zichzelf na 5 minuten inactiviteit van de gebruiker.

8. Er is een Clean Desk(top) Policy waarbij periodiek wordt gecontroleerd of de werknemers zich hieraan houden.

9. Informatie betreffende medewerkers wordt alleen versleuteld verstuurd naar de desbetreffende persoon.