Verwerkersovereenkomst
Deze verwerkersovereenkomst heeft betrekking op de werkzaamheden van Forque Advisory Services Netherlands B.V., gevestigd en kantoorhoudend te Enter (ov), ingeschreven bij de Kamer van Koophandel Oost Nederland onder nummer 08159416, hierna te noemen: Forque Advisory Services Netherlands B.V.
In deze verwerkersovereenkomst worden de hiernavolgende termen in de navolgende betekenis gebruikt, tenzij uitdrukkelijk anders is aangegeven.
Definities
In deze Verwerkersovereenkomst wordt verstaan onder:
a. AVG: Algemene Verordening Gegevensbescherming (20016/679) zoals van kracht per 25 mei 2018;
b. Betrokkene, Verwerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens, en Verantwoordelijke: de begrippen zoals gedefinieerd in artikel 1 van de Wbp / artikel 4 AVG;
c. Verwerkersovereenkomst: deze Verwerkersovereenkomst, inclusief Bijlagen;
d. Bijlage: een bijlage bij deze Verwerkersovereenkomst, welke daarvan een onlosmakelijk deel uitmaakt;
e. Datalek: een inbreuk op de beveiliging, zoals bedoeld in artikel 13 Wbp / artikel 24, 25, 28 en 32 AVG, die leidt tot de aanzienlijke kans op ernstig nadelige gevolgen, dan wel ernstig nadelige gevolgen heeft voor de bescherming van persoonsgegevens, zoals bedoeld in artikel 34a, lid 1, Wbp / artikel 33 en 34 AVG;
f. Privacy Bijsluiter: de privacy bijsluiter zoals opgenomen in Bijlage 1;
g. Product- en Dienstenovereenkomst: de overeenkomst tussen Klant en Verwerker, zoals omschreven in overweging a;
h. Subverwerker: de partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst en de Product- en Dienstenovereenkomst;
i. Wetgeving inzake Gegevensbescherming: Wbp en/of AVG;
j. Wbp: Wet bescherming persoonsgegevens.
Onderwerp en opdracht Verwerkersovereenkomst
1. Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Product- en Dienstenovereenkomst.
2. De Klant verstrekt aan de Verwerker de opdracht tot Verwerking van Persoonsgegevens ten behoeve van de uitvoering van de Product- en Dienstenovereenkomst.
Rolverdeling
1. Klant is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verantwoordelijke. Verwerker is verwerker in de zin van de
Wetgeving inzake Gegevensbescherming. De Klant heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens.
2. Verwerker draagt er zorg voor dat de Klant voorafgaande aan het sluiten van deze Verwerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die de Verwerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie moet de Klant in staat stellen een keuze te maken met betrekking tot de aangeboden diensten als zodanig, en daarnaast een afzonderlijke keuze te maken voor eventueel aangeboden optionele diensten.
3. De in lid 2 bedoelde diensten, waaronder eventuele optionele diensten, moeten in de Privacy Bijsluiter bij deze Verwerkersovereenkomst in begrijpelijke taal zijn beschreven, waarna de Klant geïnformeerd akkoord kan gaan met de afname van deze dienst(en).
4. De Klant kan verplicht zijn de Verwerking van de Persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. De Klant onderzoekt of zij hiervan is vrijgesteld en doet melding bij de Autoriteit Persoonsgegevens indien zij hiertoe verplicht is.
5. Klant en Verwerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken.
Gebruik Persoonsgegevens
1. Verwerker verplicht zich om de van Klant verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door de Klant (mondeling, schriftelijk dan wel elektronisch) aan Verwerker zijn opgedragen. Deze verplichting geldt zowel gedurende de looptijd van deze overeenkomst als na afloop daarvan.
2. Een overzicht van de categorieën Persoonsgegevens en gebruik waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in de Privacy Bijsluiter bij deze Verwerkersovereenkomst. Partijen vullen deze Privacy Bijsluiter van tijd tot tijd schriftelijk aan of wijzigen deze indien een wijziging in de verwerking dit noodzaakt. Te allen tijde geldt de meest recente en door Partijen ondertekende versie van de Privacy Bijsluiter een onlosmakelijk onderdeel uit van deze Verwerkersovereenkomst.
3. Verwerker onthoudt zich van verstrekking van Persoonsgegeven aan een Derde, tenzij deze uitwisseling plaatsvindt in opdracht van de Klant of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Verwerker voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker de Klant
– indien wettelijk toegestaan – onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.
Geheimhouding
1. Verwerker zorgt er voor dat een ieder, waaronder haar werknemers, vertegenwoordigers en/of Subverwerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker bewerkstelligt dat voor een ieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.
2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Klant uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Verwerker aan Klant te verlenen diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.
Beveiliging en controle
1) Verwerker zal, gelijk de Klant, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.
2) De maatregelen zoals hierboven genoemd omvatten in ieder geval:
a) maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt;
b) maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;
c) maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Klant;
d) een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
3) Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
4) In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud en de frequentie van de rapportages die Verwerker aan de Klant oplevert over de beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Klant moet treffen.
5) De Verwerker stelt de Klant in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in ‘Datalekken’ genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door de Verwerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.
6) In aanvulling op lid 4 van ‘Beveiliging en controle’ heeft de Klant te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, op eigen kosten, de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke Register EDP auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door
Verwerker in te schakelen gecertificeerde en onafhankelijke auditor die een derden- verklaring (TPM) afgeeft. De Klant wordt geïnformeerd over de uitkomsten van de audit.
Datalekken
1. Xxxxxxxxx heeft een passend beleid voor de omgang met Datalekken.
2. Indien Klant dan wel Verwerker een Datalek vaststelt, dan zal deze de andere Partij onverwijld informeren. Verwerker verstrekt ingeval van een Datalek alle relevante informatie aan Klant met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen. Aanvullend informeren Partijen elkaar onverwijld indien blijkt dat de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van Betrokken zoals bedoeld in artikel 34a, lid 2, Wbp / artikel 33 en 34 AVG.
3. Verwerker stelt bij een Datalek Klant in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Verwerker dient hierbij aansluiting te zoeken bij de bestaande processen die Klant daartoe heeft ingericht. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Wetgeving inzake Gegevensbescherming, te voorkomen of te beperken.
4. In geval van een Datalek, voldoet Klant aan eventuele wettelijke meldingsplichten. Partijen kunnen in onderling overleg bepalen of, en zo ja hoe, Verwerker een melding aan de Autoriteit Persoonsgegevens kan verrichten. Op verzoek van de Klant kan Verwerker Klant hierbij bijstaan en adviseren. De Klant zal de Betrokkenen, indien wettelijk vereist, informeren over een dergelijke inbreuk. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
Procedure rechten betrokkenen
1. Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld doorgestuurd naar de Klant, die verantwoordelijk is voor de afhandeling van het verzoek.
2. Verwerker verleent Klant – voor zover redelijkerwijs mogelijk – volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wetgeving inzake Gegevensbescherming, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. Partijen zullen te goeder trouw overleggen over de redelijke verdeling van de eventuele kosten die hiermee gemoeid zijn.
Verwerking buiten de Europese Economische Ruimte
1. Partijen zien er op toe dat voor zover Persoonsgegevens buiten de Europese Economische Ruimte (verder: EER) worden verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Klanten rusten. Indien
gegevens buiten de EER worden verwerkt, zal dit enkel geschieden in een land waarvan de Europese Commissie heeft bepaald dat in dit land een passend niveau van bescherming bestaat voor Persoonsgegevens, zoals bepaald in Richtlijn 95/46/EG, dan wel dit passende niveau van bescherming anderszins verzekerd is door de relevante autoriteiten of gerechtelijke instanties, zoals maar niet beperkt tot het gebruik van door de bevoegde instantie goedgekeurde ‘Binding Corporate Rules’ of door het gebruik van EU modelbepalingen inzake gegevensdoorgifte.
2. Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de landen en partijen waar de gegevens worden verwerkt.
Inschakeling Subverwerker
1. Verwerker kan een Subverwerker inschakelen, van wie de identiteit en vestigingsgegevens zullen worden opgenomen in de Privacy Bijsluiter.
2. Verwerker verplicht iedere Subverwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.
3. Verwerker verplicht iedere Subverwerker contractueel om Persoonsgegevens niet verder te verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen.
Bewaartermijnen en vernietiging Persoonsgegevens
1. Klant zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker. Verwerker zal de Persoonsgegevens niet langer verwerken dan overeenkomstig deze bewaartermijnen.
2. Klant verplicht Verwerker om de in opdracht van Klant Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst binnen redelijke termijn te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de Klant. De Klant kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.
3. Verwerker zal Klant (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.
4. Verwerker zal alle Subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten) vernietigen.
Tegenstrijdigheid en wijziging Verwerkersovereenkomst
1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Product- en Dienstenovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
2. Indien Partijen van de artikelen in de Model Verwerkersovereenkomst door omstandigheden moeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of aanvullingen door Partijen worden beschreven en gemotiveerd in een overzicht dat
als bijlage aan de Verwerkersovereenkomst worden gehecht. Het bepaalde in dit lid geldt niet voor aanvullingen en/of wijzigingen van de Bijlagen 1 en 2.
4. Wijzigingen in de artikelen van de Verwerkersovereenkomst kunnen uitsluitend in gezamenlijkheid worden overeengekomen.
5. In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
Duur en beëindiging
1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen daarvan.
2. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product- en Dienstenovereenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren. Dit betreft in ieder geval (doch is niet beperkt tot) artikel ‘Geheimhouding’ en artikel ‘Toepasselijk recht en forumkeuze’.
Toepasselijk recht en forumkeuze
1. Op deze rechtsverhouding is Nederlands recht exclusief van toepassing.
2. Alle geschillen tussen partijen worden beslecht door de rechtbank Amsterdam, zittingsplaats Amsterdam.
BIJLAGE 1: PRIVACY BIJSLUITER
A. Algemene informatie
• Naam product en/of dienst: Procesoptimalisatie, payrolldiensten, AFAS implementatie
• Naam Verwerker en vestigingsgegevens: Forque Advisory Services Netherlands B.V., Vonderweg 46a, 7468 DC Enter
• Beknopte uitleg en werking product en dienst: O.a. persoonlijke service, ondersteuning op maat en aanpassingen in het systeem op afstand
• Link naar leverancier en/of productpagina: xxx.xxxxxx.xx
• Gebruikers: Directie en medewerkers klant
B. De specifieke diensten
Omschrijving van de specifiek verleende diensten en bijbehorende Verwerkingen en omschrijving van de optionele Verwerkingen die de verwerker aanbiedt.
C. Xxxxxxxxxx voor het verwerken van gegevens
Als Verwerker verwerkt Forque persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke. De aard en het doel van de verwerkingen bestaan uit de volgende activiteiten:
• Ondersteunen en opslaan van werkzaamheden en persoonsgegevens op het gebied van HRM en Payroll;
• Persoonsgegevens aanmaken, muteren en converteren van alle medewerkers van Verwerkingsverantwoordelijke;
• Persoonsgegevens aanmaken, muteren en converteren welke gedurende het dienstverband zijn ontstaan;
• Persoonsgegevens aanmaken en onderhouden met betrekking tot rapportages;
• Persoonsgegevens welke in portals als InSite en OutSite worden ingevoerd en opgeslagen;
• Persoonsgegevens aanmaken, muteren en onderhouden in applicaties op het Forque Apps platform.
D. Categorieën en soorten persoonsgegevens
Omschrijving en opsomming categorieën Persoonsgegevens die gebruikt worden:
• HR
• Financieel
Soorten van gegevens (zoals bijzondere gegevens, of financiële gegevens):
• Persoonsgegevens
E. Algemene informatie over getroffen beveiligingsmaatregelen
Voor de genomen veiligheidsmaatregelen wordt kortheidshalve indien van toepassing verwezen naar Bijlage 2 bij de Verwerkersovereenkomst.
F. Subverwerkers
Verwerker maakt voor dienst/product gebruik van de Subverwerker: AFAS Software B.V. verzamelt geanonimiseerde gegevens over het gebruik van haar producten. Deze gegevens ondersteunen AFAS om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. Hiermee kan AFAS haar producten en dienstverlening verbeteren en zal de geanonimiseerde gegevens ook uitsluitend hiervoor gebruiken.
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: De datacenters waar de servers van AFAS Online gehuisvest zijn, bevinden zich uitsluitend in Nederland (Schiphol Rijk en Haarlem). De datacenters vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn ISO 27001 gecertificeerd. XXXX heeft gekozen voor datacenters van LeaseWeb Netherlands B.V. en deze is hiermee subverwerker van de klantdata. Persoonsgegevens worden door AFAS en subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte
G. Contactgegevens
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: Forque Advisory Services Netherlands B.V., de heer M. Pool, telefoonnummer: +31(0)00- 00 00 000.
BIJLAGE 2: Technische en organisatorische beveiligingsmaatregelen
De Verwerker is overeenkomstig de Wetgeving Algemene Verordening Gegevensbescherming (AVG) en artikel ‘Beveiliging en controle’ verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens.
Omschrijving van de maatregelen zoals bedoeld in artikel ‘Beveiliging en controle’,
sectie 2 Verwerkersovereenkomst
1. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens. Meer in het bijzonder de uitwerking welke (groepen) medewerkers van de Verwerker toegang hebben tot welke Persoonsgegevens, inclusief een omschrijving van handelingen die deze medewerkers uit mogen voeren met de persoonsgegevens.
a. (groepen van) medewerkers die toegang hebben tot welke Persoonsgegevens:
i. Consultants – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1);
ii. Projectmanagers – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1);
iii. Directie – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1).
b. handelingen die deze medewerkers uitvoeren met de Persoonsgegevens:
i. Persoonsgegevens worden verwerkt volgens de doeleinden, zoals omschreven in bijlage 1 (sectie C).
2. Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking. Meer in het bijzonder de uitwerking van de door Verwerker getroffen technische en organisatorische (beveiligings-)maatregelen en de daarbij gehanteerde beveiligingsnorm.
a. Beleid rondom bedrijfseigendommen, waarbij het niet toegestaan is je laptop of telefoon onbeheerd achter te laten. Bovendien is op de laptop een screensaver ingesteld en is de telefoon beveiligd met pincode o.i.d;
b. Er wordt binnen Forque geen gebruik gemaakt van USB-sticks om bedrijfsgegevens op te slaan;
c. Er wordt binnen Forque gebruik gemaakt van SharePoint om organisatiegegevens op te slaan, zodat deze gegevens niet lokaal opgeslagen staan, maar opgeslagen zijn op een beveiligde server. Bestanden die toebehoren aan de medewerkers van Forque, zijn ook alleen beschikbaar voor de medewerkers van Forque. Voor sommige bestanden geldt dat deze alleen beschikbaar zijn voor een beperkte groep medewerkers. Verder geldt voor Sharepoint dat bestanden alleen kunnen worden gedeeld met specifieke personen waaraan een specifiek e-mailadres gekoppeld is. Iedere 30 dagen wordt gecheckt of dit e-mailadres nog in gebruik is en toebehoord aan de juiste persoon. Na 30 dagen vervalt de link die gedeeld is met deze persoon. Na 30 dagen worden gegevens van medewerkers die niet meer in dienst zijn automatisch uit Sharepoint verwijderd.
d. Lastpass: wij maken gebruik van Lastpass om onze wachtwoorden beveiligd op te slaan;
e. TrendMicro: deze virusscanner zit op al onze laptops;
f. Bitlocker: dit is geïnstalleerd op al onze laptops voor het beveiligen van de harde schijf, zodat bij verlies van de laptop de gegevens niet van de harde schijf kunnen worden gehaald.
3. Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Klant.
Periodiek wordt een Privacy Impact Assesment (PIA) uitgevoerd. Daarnaast informeren wij onze medewerkers periodiek over dataveiligheid en de omgang met privacygevoelige informatie.
Rapportage (artikel ‘Beveiliging en controle’, sectie 4 van de Verwerkersovereenkomst)
Verwerker rapporteert periodiek aan Verantwoordelijke over de door Verwerker genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten daarin. U kunt contact opnemen met onze helpdesk omtrent beveiligingsincidenten via xxxxxxxxxxxxxxxxxxxxxx@xxxxxx.xx .
Informeren over Datalekken en/of incidenten met betrekking tot beveiliging
Afspraken over het informeren in geval van Xxxxxxxxxx en/of incidenten met betrekking tot beveiliging:
Alle datalekken van persoonsgegevens moeten intern worden gemeld en worden gedocumenteerd door de functionaris gegevensbescherming (hierna FG). Binnen de organisatie is dit Xxxxxxxx Xxxx.
De melding kan door iedere medewerker en iedere subverwerker worden gedaan. De melding kan ook door een externe persoon worden gedaan bij een medewerker van Forque. De melding moet direct en telefonisch worden gedaan bij FG en schriftelijk worden vastgelegd. FG meldt het datalek zo nodig bij de Verantwoordelijke. Het is aan de Verantwoordelijke om af te wegen of er een melding moet worden gemaakt bij de Autoriteit Persoonsgegevens en/of bij betrokkenen.
Buiten kantoortijden kan/moet de FG bereikbaar zijn.
Informatie die in ieder geval over een incident met Verantwoordelijke gedeeld moet worden:
FG legt vast:
• naam van de melder;
• datum en tijd van de melding;
• aard van de inbreuk (is er aanmerkelijk risico op verlies of onrechtmatige verwerking?);
• welke persoonsgegevens vallen onder de melding;
• om welk aantal en/of gegevensrecords gaat het;
• welke (groepen) personen zijn betrokken bij de melding;
• welke maatregelen zijn of worden door de melder getroffen;
• welke gevolgen zijn er volgens de melder voor de betrokkenen;
• de contactpersoon voor de melding;
• aard van de inbreuk, waaronder betrokken categorieën, aantal betrokkenen, aantal gegevensrecords;
• beschrijving van de te verwachten gevolgen;
• getroffen en/of voorgestelde maatregelen;
• informatie over te nemen maatregelen door de betrokkene om de nadelige gevolgen te beperken;
• contactgegevens voor betrokkene.
Ontvangstbevestiging Verantwoordelijke
Is er een melding gedaan bij de Verantwoordelijke, dan ontvangt Forque hiervan een ontvangstbevestiging.
Versie
Versie 4, datum laatste aanpassing: 28-04-2018