Bewerkersovereenkomst
Bewerkersovereenkomst
SURF MODELOVEREENKOMST
Auteur(s): SURFnet
Versie: Versie 1.0
Datum: Januari 2016
Xxxxxxxxxxxx 00
0000 XX Xxxxxxx
Xxxxxxx 00000
0000 XX Xxxxxxx
x00 00 000 0000
xxxxx@xxxxxxx.xx xxx.xxxxxxx.xx
ING Bank XX00XXXX0000000000
KvK Utrecht 30090777 BTW NL 0089.60.173.B01
Partijen
- [NAAM INSTELLING], gevestigd aan het [ADRES] te [PLAATS], Kamer van Koophandel nummer [KVK] en rechtsgeldig vertegenwoordigd door [VERTEGENWOORDIGER] (hierna: “Verantwoordelijke”);
- [NAAM LEVERANCIER], gevestigd aan het [ADRES] te [PLAATS], Kamer van Koophandel nummer [KVK] en rechtsgeldig vertegenwoordigd door [VERTEGENWOORDIGER] (hierna: “Bewerker”);
in aanmerking nemende dat
• Verantwoordelijke Persoonsgegevens door Bewerker wil laten verwerken, ten behoeve van de uitvoering van de overeenkomst die met Bewerker is gesloten op XX-XX-XX (hierna: ‘’de Overeenkomst’’).
• Bewerker die in het kader van de uitvoering van de Overeenkomst met Verantwoordelijke persoonsgegevens verwerkt, is aan te merken als bewerker in de zin van de Wet bescherming persoonsgegevens (Wbp) en Instelling als verantwoordelijke in de zin van de Wbp.
• Bewerker en Verantwoordelijke (hierna: “Partijen”), mede gelet op het vereiste uit artikel 14 lid 5 van de Wbp, hun rechten en plichten schriftelijk wensen vast te leggen middels deze bewerkersovereenkomst (hierna: “Bewerkersovereenkomst”).
• De algemene bepalingen uit de Bewerkersovereenkomst gelden voor alle Verwerkingen in de uitvoering van de Overeenkomst.
zijn als volgt overeengekomen
ARTIKEL 1. DEFINITIES
1.1 Betrokkene is degene op wie een Persoonsgegeven betrekking heeft.
1.2 Bewerkersovereenkomst is de onderhavige overeenkomst.
1.3 Bijzondere gegevens zijn Persoonsgegevens als bedoeld in artikel 16 van de Wbp.
1.4 Datalek is een inbreuk op de beveiliging als bedoeld in artikel 13 van de Wbp (artikel 34a Wbp).
1.5 Dienst is de onder de Overeenkomst te leveren dienst van Leverancier.
1.6 Gebruiker is een op enigerlei wijze aan instelling verbonden (natuurlijke) persoon, zoals personeel, docenten en/of studenten, die door de instelling geautoriseerd is tot (een bepaald deel van) de Dienst.
1.7 Hulpleverancier is een partij die door Bewerker is ingeschakeld om te ondersteunen bij het uitvoeren van de Dienst. Indien Hulpleverancier in opdracht van Xxxxxxxx persoonsgegevens verwerkt, is Hulpleverancier tevens aan te merken als subbewerker.
1.8 Persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, die op welke wijze dan ook door Bewerker verwerkt wordt of zal worden in het kader van de Overeenkomst.
1.9 Verwerking is elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
ARTIKEL 2. ALGEMEEN
2.1 Bewerker verbindt zich onder de voorwaarden van deze Bewerkersovereenkomst in opdracht van Verantwoordelijke Persoonsgegevens te verwerken. Bewerker zal de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de Wbp en andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens.
2.2 Verwerking door Xxxxxxxx zal uitsluitend plaatsvinden voor zover noodzakelijk om de Dienst zoals omschreven in de Overeenkomst aan de Verantwoordelijke te verlenen. Voor de uitvoering van de Dienst kunnen uitsluitend de categorieën Persoonsgegevens worden verwerkt die in Bijlage A zijn gespecificeerd.
2.3 In Bijlage A staat per Dienst beschreven welke (groepen) medewerkers toegang tot de Persoonsgegevens hebben en welke Verwerkingen door medewerkers zijn toegestaan.
2.4 Bewerker zal Persoonsgegevens die haar in het kader van de Overeenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van deze Overeenkomst; of (ii) om een op hem rustende wettelijke verplichting na te komen. In Bijlage A staat per (onderdeel van de) Dienst gespecificeerd hoe lang Persoonsgegevens worden bewaard.
2.5 Bewerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verantwoordelijke. Bewerker mag de Persoonsgegevens niet ten eigen nutte, ten nutte van derden, en/of voor eigen dan wel reclamedoeleinden c.q. andere doeleinden verwerken, behoudens op hem rustende afwijkende dwingendrechtelijke verplichtingen.
2.6 Bewerker is verplicht Verantwoordelijke onmiddellijk te informeren over toekomstige wijzigingen in de uitvoering van de Overeenkomst, zodat Verantwoordelijke kan toezien op de naleving van afspraken met Bewerker. Hieronder wordt mede begrepen de inschakeling van (nieuwe) Hulpleveranciers, onverminderd het bepaalde in artikel 3 (Inzet van hulpleveranciers) en artikel 14 (Wijziging).
ARTIKEL 3. INZET VAN HULPLEVERANCIERS
3.1 Zonder de voorafgaande schriftelijke toestemming van Verantwoordelijke verleent Xxxxxxxx aan derden, waaronder Hulpleveranciers en aan groepsmaatschappijen waartoe Xxxxxxxx behoort, zoals dochter- of zustermaatschappijen, geen toegang tot de Persoonsgegevens. Verantwoordelijke zal deze toestemming niet op onredelijke gronden onthouden. Bij het verlenen van toestemming is Verantwoordelijke gerechtigd voorwaarden te verbinden of de toestemming in tijd te beperken.
3.2 Aan toestemming van de Verantwoordelijke voor de inschakeling van Hulpleveranciers bij het leveren van de Dienst zullen in ieder geval de volgende voorwaarden worden verbonden:
• Xxxxxxxx heeft een schriftelijke overeenkomst met de desbetreffende Hulpleverancier waarin in ieder geval het volgende is opgenomen:
- een verplichting dat de Hulpleverancier dient te handelen in overeenstemming met alle bepalingen uit de Bewerkersovereenkomst met betrekking tot de Verwerking van Persoonsgegevens (waaronder de bijlagen bij de Bewerkersovereenkomst);
- een verplichting dat de Hulpleverancier alle aanwijzingen met betrekking tot de verwerking van Persoonsgegevens van Verantwoordelijke en Bewerker opvolgt;
- een verplichting van de Hulpleverancier om de Persoonsgegevens uitsluitend in opdracht en volgens de instructies van Bewerker te verwerken;
- een verplichting van de Hulpleverancier om zelf geen sub-bewerkers in te schakelen, zonder de voorafgaande schriftelijke toestemming van Verantwoordelijke;
- een verplichting dat de Hulpleverancier de Bewerker (en daarmee de Verantwoordelijke) in staat stelt zijn verplichtingen in het geval van een vermoedelijk of daadwerkelijk Datalek na te komen.
• Bewerker geeft pas toegang aan de Hulpleverancier na de toestemming van Verantwoordelijke; en
• Verantwoordelijke heeft de mogelijkheid om gemaakte afspraken tussen Bewerker en de Hulpleverancier op te vragen.
De door Verantwoordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van Bewerker voor de nakoming van de Bewerkersovereenkomst.
3.3. Indien Verantwoordelijke een algemene schriftelijke toestemming geeft voor het inschakelen van Hulpleveranciers voor het leveren van de Dienst dan is deze algemene toestemming opgenomen in Bijlage A. Indien nieuwe Hulpleveranciers worden ingeschakeld, of er treden wijzigingen op, dient Bewerker de Verantwoordelijke vooraf op de hoogte te stellen en een termijn te geven om hier bezwaar tegen te maken. Bewerker garandeert dat bij elke Hulpleverancier de voorwaarden uit lid 2 in acht zijn genomen. Verantwoordelijke moet te allen tijden een overzicht kunnen opvragen bij Bewerker van de ingeschakelde Hulpleveranciers.
3.4 Bewerker vrijwaart Verantwoordelijke voor alle aanspraken van derden, daaronder begrepen Betrokkenen, die jegens Verantwoordelijke mochten worden ingesteld wegens een aan Bewerker of door haar ingeschakelde Hulpleverancier, toe te rekenen schending van de Wbp of andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens.
ARTIKEL 4. BEVEILIGING
4.1 Bewerker legt passende technische en organisatorische maatregelen ten uitvoer om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking te voorkomen. Bewerker legt de maatregelen schriftelijk vast en draagt er zorg voor dat de beveiliging zoals bedoeld in dit artikellid voldoet aan de beveiligingseisen op grond van de Wbp. In Bijlage A zijn de beveiligingsmaatregelen beschreven die de Bewerker in ieder geval zal toepassen.
4.2 Bewerker zal Verantwoordelijke desgevraagd onverwijld schriftelijk informatie verstrekken met betrekking tot (de organisatie van) de beveiliging van Persoonsgegevens.
ARTIKEL 5. MELDPLICHT DATALEKKEN EN BEVEILIGINGSINBREUKEN
5.1 In het geval van een vermoedelijk(e) of daadwerkelijk(e) (i) Datalek; (ii) schending van de beveiligingsmaatregelen; (iii)schending van de geheimhoudingsplicht of (iv) verlies van vertrouwelijke gegevens zal Bewerker de Verantwoordelijke direct, doch uiterlijk binnen 24 uur na de eerste ontdekking van het incident, informeren. De Bewerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending
van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke Gegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Verantwoordelijke op schadevergoeding of andere maatregelen. Deze bepaling is van toepassing op incidenten bij de Bewerker en haar eventuele Hulpleveranciers.
5.2 De informatie van de Bewerker behelst in ieder geval de in de Bijlage B beschreven gegevens voor zover toepasselijk. Bewerker garandeert dat de verstrekte informatie volledig, correct en accuraat is.
5.3 Bewerker zal op verzoek van Verantwoordelijke meewerken aan het informeren van de bevoegde autoriteiten en betrokkene(n).
5.4 .Bewerker maakt schriftelijke afspraken met Hulpleveranciers over het melden van incidenten aan Bewerker, die de Bewerker en de Verantwoordelijke in staat stellen verplichtingen in het geval van een incident zoals beschreven in lid 1 na te leven. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de Hulpleverancier de Bewerker direct, maar uiterlijk binnen 18 uur na de eerste ontdekking zal informeren over een incident zoals beschreven in lid 1 en op verzoek van Xxxxxxxxxxxxxxxxx zal meewerken aan het informeren van de bevoegde autoriteiten en betrokkene(n).
ARTIKEL 6. AUDIT
6.1 Bewerker is verplicht periodiek of op verzoek een door haar aan te wijzen onafhankelijke IT-auditor of deskundige een onderzoek te laten uitvoeren ten aanzien van de organisatie van Bewerker, teneinde te doen vaststellen dat Bewerker aan het bepaalde met betrekking tot de bescherming van de vertrouwelijkheid, integriteit, beschikbaarheid en beveiliging van Persoonsgegevens en vertrouwelijke gegevens zoals omschreven in de Overeenkomst en Bewerkersovereenkomst voldoet. De frequentie van het onderzoek is een keer per twee jaar met uitzondering van Verwerkingen met een hoog risico waarbij een jaarlijks onderzoek van Xxxxxxxx gevraagd wordt. Er is in ieder geval sprake van een hoog risico indien Bijzondere persoonsgegevens in de zin van de Wbp worden verwerkt. Indien er enkel publieke Persoonsgegevens worden verwerkt, is er sprake van een laag risico en geldt er geen verplichting tot het doen van een periodiek onderzoek. Het risico wordt in Bijlage A omschreven.
6.2 Bewerker is verplicht de bevindingen van de IT-auditor of deskundige, in de vorm van een Third Party Memorandum, na een verzoek ter zake aan Verantwoordelijke ter beschikking te stellen.
6.3 Bewerker verzorgt maandelijks binnen vijf werkdagen na aanvang van de opvolgende kalendermaand een rapportage over beveiligingsbeheer waarbij minimaal de volgende onderdelen zijn opgenomen:
• Aantal, status, voortgang en analyse van incidenten;
• Maatregelen genomen op het gebied van beveiligingsbeheer naar aanleiding van incidenten;
• Algemene maatregelen genomen op het gebied van gegevensbeveiliging.
6.4 De kosten van de periodieke audit komen voor rekening van de Bewerker. De kosten van de audit op verzoek komen voor rekening van de Verantwoordelijke, tenzij uit de bevindingen van de audit blijkt dat de Bewerker de bepalingen uit de Bewerkersovereenkomst niet is nagekomen. In dat geval komen de kosten voor rekening van Xxxxxxxx. Deze bepaling laat de overige rechten van de Verantwoordelijke, waaronder die op schadevergoeding, onverlet.
6.5 Wanneer tijdens een audit wordt vastgesteld dat Bewerker niet aan het bepaalde in de Overeenkomst en de Bewerkersovereenkomst voldoet, zal Bewerker alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij hieraan alsnog voldoet.
ARTIKEL 7. INTERNATIONAAL VERKEER
7.1 Bewerker garandeert dat iedere verwerking van Persoonsgegevens welke door of namens Xxxxxxxx met inbegrip van de door haar ingeschakelde derden wordt verricht in verband met het uitvoeren van de Overeenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden of naar of vanuit landen die een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Zonder de voorafgaande schriftelijke toestemming van Verantwoordelijke mag Bewerker derhalve geen Persoonsgegevens doorgeven naar of opslaan in een land buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet-EER land, tenzij dit land een passend beschermingsniveau heeft. Aan deze toestemming kan Verantwoordelijke voorwaarden verbinden, waaronder maar niet beperkt tot de verplichting voor Bewerker om aan te tonen dat voldaan is aan de wettelijke vereisten ten aanzien van gegevensverkeer met landen buiten de EER.
7.2 Indien de technische karakteristieken van een transmissiemedium een dergelijke garantie onmogelijk maken, zal de transmissie van gegevens uitsluitend versleuteld plaatsvinden waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken zullen worden gebruikt. Bewerker verschaft voorafgaand aan het sluiten van de Bewerkersovereenkomst inzicht in de locatie(s) waarop de gegevensverwerking plaatsvindt.
ARTIKEL 8. OPSPORINGSVERZOEKEN
8.1 Indien Bewerker een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Bewerker de Verantwoordelijke onverwijld informeren. Bij de behandeling van het verzoek of bevel zal Bewerker alle instructies van Verantwoordelijke acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of
gedeeltelijk aan Verantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking verlenen.
8.2 Indien het Bewerker op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen op grond van het bovenstaande, dan zal Bewerker de redelijke belangen van Verantwoordelijke behartigen. Bewerker zal daartoe in ieder geval:
a. Juridisch laten toetsen in hoeverre (i) Bewerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en (ii) het Bewerker daadwerkelijk is verboden om aan haar verplichtingen jegens Verantwoordelijke op grond van het bovenstaande te voldoen;
b. Alleen aan het verzoek of bevel meewerken indien zij hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verantwoordelijk hierover te informeren of haar instructies op te volgen;
c. Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen;
d. Indien sprake is van doorgifte naar een land buiten de EER: de mogelijkheden onderzoeken om te voldoen aan de artikelen 76 en 77 van de Wbp;
e. Verantwoordelijke onverwijld informeren zodra dit is toegestaan.
8.3 In dit artikel wordt onder “wettelijk” niet alleen Nederlandse maar ook buitenlandse wet- en regelgeving verstaan. In afwijking van opgenomen in deze Bewerkersovereenkomst, geldt Xxxxxxxx als verantwoordelijke als zij zonder inhoudelijke tussenkomst van Verantwoordelijke beslist tot inzage in of verstrekking van Persoonsgegevens aan een toezichthouder of overheidsinstantie.
ARTIKEL 9. INFORMEREN VAN BETROKKENEN
9.1 Bewerker zal haar volledige medewerking verlenen opdat Verantwoordelijke kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de Wbp of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens.
9.2 Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de Wbp direct contact opneemt met Xxxxxxxx, dan gaat Bewerker hier- behoudens uitdrukkelijke andersluidende instructie van Verantwoordelijke - in eerste instantie niet (inhoudelijk) op in, maar bericht hij dit onverwijld aan Verantwoordelijke met een verzoek om nadere instructies.
9.3 Als Bewerker de Dienst in het kader van de Overeenkomst rechtstreeks aanbiedt aan eindgebruikers van wie Persoonsgegevens worden verwerkt, dan is Bewerker verplicht om op een makkelijk toegankelijke en permanent beschikbare manier de eindgebruiker te informeren over het volgende:
a. de naam en het adres van de Bewerker;
b. de doeleinden waarvoor Bewerker de Persoonsgegevens verwerkt;
c. de categorieën Persoonsgegevens die de Bewerker verwerkt;
d. de derden aan wie de Persoonsgegevens toegankelijk worden gemaakt;
x. xx xxxxxx waarnaar de Persoonsgegevens worden overgedragen;
f. het recht op inzage, correctie en verwijdering van de Persoonsgegevens.
De Bewerker zal de Verantwoordelijke laten weten waar deze informatie gepubliceerd is.
ARTIKEL 10. VRIJWARING
Bewerker vrijwaart Verantwoordelijke voor alle aanspraken van derden, daaronder begrepen Betrokkenen, die jegens Verantwoordelijke mochten worden ingesteld wegens een aan Bewerker of door haar ingeschakelde Hulpleverancier, toe te rekenen schending van de Wbp of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens.
ARTIKEL 11. MAATREGELEN TOEZICHTHOUDER
Indien de toezichthouder in het kader van haar taak als handhaver een maatregel of boete oplegt aan Verantwoordelijke en indien de oorzaak voor het opleggen van de maatregel of boete te wijten is aan het niet nakomen van de in de Bewerkersovereenkomst gemaakte afspraken door Xxxxxxxx, dan kan Verantwoordelijke alle kosten voor deze maatregel of boete verhalen op de Bewerker. Tevens heeft de Verantwoordelijke het recht om de Overeenkomst in bovengenoemde situatie met onmiddellijke ingang te ontbinden zonder dat de Bewerker aanspraak kan maken op enige vorm van schadevergoeding.
ARTIKEL 12. WIJZIGING
12.1 Indien een wijziging in de te verwerken Persoonsgegevens of een risicoanalyse van de verwerking van Persoonsgegevens daartoe aanleiding geeft treden partijen op eerste verzoek van Verantwoordelijke in overleg over het aanpassen van de gemaakte afspraken binnen deze Bewerkersovereenkomst.
12.2 De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan schriftelijk te zijn vastgelegd en deel uit te maken van deze Bewerkersovereenkomst.
12.3 De wijzigingen kunnen nooit tot gevolg hebben dat Verantwoordelijke niet kan voldoen aan de Wbp en overige relevante wet- en regelgeving met betrekking tot Persoonsgegevens.
ARTIKEL 13. DUUR EN BEËINDIGING
13.1 De duur van de Bewerkersovereenkomst is gelijk aan de duur van de Overeenkomst. De Bewerkersovereenkomst is niet los van de Overeenkomst te beëindigen.
13.2 Bij beëindiging van de Overeenkomst om welke reden ook, dan wel op eerste verzoek van Verantwoordelijke gedurende de looptijd van de Overeenkomst, zal Bewerker -tegen een beperkte vergoeding die de door Bewerker hiervoor redelijkerwijs en aantoonbaar gemaakte kosten niet overschrijden - ervoor zorgdragen dat naar keuze van Verantwoordelijke op voor Verantwoordelijke eenvoudige bruikbare wijze (i) alle of een door Verantwoordelijke bepaald gedeelte haar in het kader van de Dienst ter beschikking gestelde Persoonsgegevens worden vernietigd op alle locaties, (ii) alle of een door Verantwoordelijke bepaald gedeelte van haar in het kader van de Dienst ter beschikking gestelde Persoonsgegevens aan een opvolgend Dienstverlener ter beschikking worden gesteld, dan wel (iii) Verantwoordelijke en/of Gebruikers in de gelegenheid worden gesteld om hun Persoonsgegevens of een door Verantwoordelijke bepaald gedeelte van de Persoonsgegevens aan de Dienst te onttrekken. Verantwoordelijk kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging.
13.3 Bewerker zal te allen tijde de in het vorig lid beschreven dataportabiliteit waarborgen zodanig dat er geen sprake is van verlies van functionaliteit of (delen van) de gegevens.
ARTIKEL 14. TOEPASSELIJK RECHT EN GESCHILLENBESLECHTING
14.1 De Bewerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
14.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Bewerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verantwoordelijke gevestigd is.
NAAM INSTELLING NAAM
LEVERANCIER
/ / / /
datum datum
naam naam
_
handtekening handtekening
Bijlage A: Specificatie verwerking persoonsgegevens
Over de Dienst van Bewerker wordt in deze Bijlage het volgende uiteengezet:
• Categorieën Betrokkenen
• De te verwerken (categorieën) Persoonsgegevens;
• Functierollen en/of functiegroepen en hun verwerkingen;
• Bewaartermijnen;
• Getroffen beveiligingsmaatregelen;
• Ingeschakelde hulpleveranciers;
• Contactgegevens.
Indien Bewerker meerdere separate diensten aanbiedt aan Verantwoordelijke, is het mogelijk de informatie op te nemen in separate Bijlage(n), welke als volgt genummerd worden: “Bijlage A1”, “Bijlage A2”, etc..
Deze Bijlagen worden aan de Bewerkersovereenkomst gehecht.
Bijlage A1: <NAAM DIENST>
Versienummer XX, Datum laatste aanpassing: XX-XX-XX
Categorieën Betrokkenen
<Nader invullen wie bij de dienst aan te merken zijn als Betrokkenen.>
De te verwerken (categorieën) persoonsgegevens
De volgende (categorieën) Persoonsgegevens verwerkt Bewerker namens Verantwoordelijke. Het gaat niet enkel om persoonsgegevens die Verantwoordelijke direct aan Bewerker verstrekt, maar ook om Persoonsgegevens die Gebruiker aanlevert bij gebruik van de Dienst.
<Invullen (categorieën) Persoonsgegevens>
De volgende risicoklasse is van toepassing op de Overeenkomst: <Invullen welk risicoklasse geldt, met eventueel een uitleg>.
Persoonsgegevens worden door Bewerker niet langer bewaard dan noodzakelijk is voor de uitvoering van deze Overeenkomst of om een op hem rustende wettelijke verplichting na te komen. Voor Persoonsgegevens die worden verwerkt ten behoeve van de juiste werking van de Dienst (logging, back-up voorzieningen etc.) gelden de volgende bewaartermijnen:
<Invullen welke bewaartermijnen gelden>
Functierollen/ functiegroepen en hun verwerkingen
In tabel 1 staan de functierollen en/of functiegroepen die toegang hebben tot bepaalde Persoonsgegevens en daarachter vermeld welke verwerkingen zij ten aanzien van de Persoonsgegevens mogen uitvoeren.
Functie(groep) | (Categorie) Persoonsgegevens | Type verwerking |
Functie(groep) | (Categorie) Persoonsgegevens | Type verwerking |
Tabel 1: Groepen medewerkers en hun verwerkingen
Getroffen beveiligingsmaatregelingen
<Nader in te vullen.>
Hulpleveranciers
Bewerker heeft toestemming van Verantwoordelijke om de volgende hulpleveranciers in te zetten bij de uitvoering van de Dienst:
Naam organisatie: <Naam>
Korte omschrijving dienstverlening: <invullen>
Mate van verwerking Persoonsgegevens: <invullen> Plaats/Land van verwerking gegevens: <invullen>
Naam organisatie: <Naam>
Korte omschrijving dienstverlening: <invullen>
Mate van verwerking Persoonsgegevens: <invullen> Plaats/Land van verwerking gegevens: <invullen>
Contactgegevens
Bij vragen over deze Bijlage en/of de geleverde Dienst, kan contact worden opgenomen met:
Naam: <naam> (Leverancier)
Functie: <invullen>
E-mailadres: <invullen>
Telefoonnummer: <invullen>
Naam: <naam> (Instelling)
Functie: <invullen>
E-mailadres: <invullen>
Telefoonnummer: <invullen>
Voor het melden van een Datalek als bedoeld in artikel 5 kan contact worden opgenomen met:
Naam: <naam> (Instelling)
Functie: <invullen>
E-mailadres: <invullen>
Telefoonnummer: <invullen>
Bijlage B1: <NAAM DIENST>
Informatie die moet worden verstrekt bij een Datalek
Versienummer XX, Datum laatste aanpassing: XX-XX-XX
Als Bewerker de Verantwoordelijke moet informeren op grond van artikel 5, zal zij de volgende gegevens moeten verschaffen:
Contactgegevens melder
Naam, functie, emailadres, telefoonnummer
Gegevens over het Datalek
• Geef een samenvatting van het incident waarbij de inbreuk op de beveiliging van Persoonsgegevens zich heeft voorgedaan
• Van hoeveel personen zijn Persoonsgegevens betrokken bij de inbreuk? (Vul de aantallen in.)
a) Minimaal: (vul aan)
b) Maximaal: (vul aan)
• Omschrijf de groep mensen van wie Persoonsgegevens zijn betrokken bij de inbreuk
• Wanneer vond de inbreuk plaats? (Kies een van de volgende opties en vul waar nodig aan.)
a) Op (datum)
b) Tussen (begindatum periode) en (einddatum periode)
c) Nog niet bekend
• Wat is de aard van de inbreuk ? (U kunt meerdere mogelijkheden aankruisen.)
a) Lezen (vertrouwelijkheid)
b) Kopiëren
c) Veranderen (integriteit)
d) Verwijderen of vernietigen (beschikbaarheid)
e) Diefstal
f) Nog niet bekend
• Om welk type Persoonsgegevens gaat het? (U kunt meerder mogelijkheden aankruisen.)
a) Naam -, adres - en woonplaatsgegevens
b) Telefoonnummers
c) E - mailadressen of andere adressen voor elektronische communicatie
d) Toegangs - of identificatiegegevens (bijvoorbeeld inlognaam/wachtwoord of klantnummer)
e) Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer)
f) Burgerservicenummer (BSN) of sofinummer
g) Paspoortkopieën of kopieën van andere legitimatiebewijzen
h) Geslacht, geboortedatum en/of leeftijd
i) Bijzondere Persoonsgegevens (bijvoorbeeld ras, etniciteit, criminele gegevens, politieke overtuiging, vakbondslidmaatschap, religie, seksuele leven, medische gegevens)
j) Overige gegevens, namelijk (vul aan)
• Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkenen? (U kunt meerdere mogelijkheden aankruisen.)
a) Stigmatisering of uitsluiting
b) Schade aan de gezondheid
c) Blootstelling aan (identiteits)fraude
d) Blootstelling aan spam of phishing
e) Xxxxxx, namelijk (vul aan)
Vervolgacties naar aanleiding van het Datalek
• Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
Technische beschermingsmaatregelen
• Zijn de Persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? (Kies een van de volgende opties en vul waar nodig aan.)
a) Ja
b) Nee
c) Deels, namelijk: (vul aan)
• Als de Persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd? (Beantwoord deze vraag als u bij de vorige vraag gekozen heeft voor optie a of optie c. Als u gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleutelen toe.)
Internationale aspecten
• Heeft de inbreuk betrekking op personen in andere EU-landen? (Kies een van de volgende opties.)
a) Ja
b) Nee
c) Nog niet bekend