VERWERKERSOVEREENKOMST in de zin van ARTIKEL 14 WET BESCHERMING PERSOONSGEGEVENS EN ARTIKEL 28 AVG

Model verwerkersovereenkomst

HVG IP/IT/Privacy


VERWERKERSOVEREENKOMST


in de zin van


ARTIKEL 14 WET BESCHERMING PERSOONSGEGEVENS EN ARTIKEL 28 AVG


DE ONDERGETEKENDEN:




  1. [VERANTWOORDELIJKE], gevestigd te [] en kantoorhoudende aan de [] te [], rechtsgeldig vertegenwoordigd door [] hierna te noemen “Verantwoordelijke”;


en


  1. [VERWERKER] gevestigd te [] en kantoorhoudende aan de [] te [] rechtsgeldig vertegenwoordig door [] hierna te noemen “Verwerker”;



hierna gezamenlijk te noemen “Partijen” en ieder afzonderlijk “Partij”.

OVERWEGENDE DAT:

  1. Verantwoordelijke persoonsgegevens verwerkt in de zin van de Wet bescherming persoonsgegevens (“Wbp”) en de Algemene Verordening Gegevensbescherming (“AVG”), waaronder maar niet beperkt tot persoonsgegevens met betrekking tot haar lede,n waarvan zij het doel van en de middelen voor vaststelt en daarom kwalificeert als verantwoordelijke in de zin van de Wbp en de AVG;


  1. Partijen een [overeenkomst] met ingangsdatum [datum] hebben gesloten (“Overeenkomst”);


  1. In het kader van de uitvoering van de Overeenkomst Verantwoordelijke aan Verwerker direct en/of indirect persoonsgegevens zal verstrekken en/of Verwerker toegang zal verkrijgen tot persoonsgegevens van Verantwoordelijke;


  1. Verwerker in het kader van de uitvoering van de Overeenkomst onder instructie van Verantwoordelijke persoonsgegevens verwerkt, zonder aan diens rechtstreeks gezag te zijn onderworpen en daarbij kwalificeert als verwerker in de zin van de Wbp en de AVG; en


  1. Verantwoordelijke en Verwerker, in aanvulling op de Overeenkomst en mede gelet op het vereiste uit artikel 14 lid 5 Wbp en artikel 28 lid 3 AVG hun rechten en plichten vast wensen te leggen in deze verwerkersovereenkomst (“Verwerkersovereenkomst”).

VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:

  1. Definities

Partijen hanteren in deze Verwerkersovereenkomst de onderstaande definities:


AP” Het College bescherming persoonsgegevens, in het maatschappelijk verkeer aangeduid als de Autoriteit Persoonsgegevens, in de zin van artikel 51 Wbp;


Betrokkene” Degene op wie een Persoonsgegeven betrekking heeft;


Inbreuk Een inbreuk op de beveiliging van Persoonsgegevens zoals

op de beveiliging van bedoeld in artikel 13 Wbp en artikel 32 AVG;

Persoonsgegevens”


Beveiligingsprotocollen” De door Verwerker te hanteren beveiligingsmaatregelen zoals beschreven in Bijlage 1;


Verwerker” De Partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;


Verwerkersovereenkomst” Deze verwerkersovereenkomst in de zin van artikel 14 lid 2 Wbp en artikel 28 lid 3 AVG tussen Verantwoordelijke (verantwoordelijke) enerzijds en Verwerker (bewerker) anderzijds;


Datalek” Een inbreuk op de beveiliging van de Persoonsgegevens, bedoeld in artikel 34a Wbp en artikel 4 AVG;


AVG” Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), ook wel General Data Protection Regulation;


Persoonsgegeven(s)” Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 1 Wbp en artikel 4 AVG, die Verwerker direct en/of indirect van Verantwoordelijke heeft verkregen en/of waartoe Verwerker toegang tot heeft gekregen van Verantwoordelijke;


Verantwoordelijke” Verantwoordelijke; en


Wbp” Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens

  1. Doel verwerking Persoonsgegevens

    1. Verwerker zal de Persoonsgegevens uitsluitend verwerken ten behoeve van Verantwoordelijke, overeenkomstig de instructies en onder de verantwoordelijkheid van Verantwoordelijke, in overeenstemming met hetgeen is beschreven in bijlage 2 bij deze Verwerkersovereenkomst. Verwerker heeft geen zeggenschap over het doel van en de middelen voor de verwerking van de Persoonsgegevens.


    1. Indien Verwerker redelijkerwijze vermoedt dat de instructies van Verantwoordelijke in strijd zijn met wettelijke bepalingen inzake de verwerking van Persoonsgegevens, informeert zij Verantwoordelijke hier schriftelijk en onverwijld over.


    1. Gelet op het bepaalde in het vorige artikellid, zal de verwerking van Persoonsgegevens door Verwerker uitsluitend plaatsvinden in het kader van:


      1. de uitvoering van de Overeenkomst; en

      2. een verzoek tot inzage door een bevoegde autoriteit.

    1. De Persoonsgegevens blijven eigendom van Verantwoordelijke danwel de betreffende Betrokkene.


    1. De verwijzingen in deze Verwerkersovereenkomst naar de Wbp vervallen op 25 mei 2018. Vanaf die datum wordt deze Verwerkersovereenkomst, de daarin opgenomen begrippen, de daaruit voortvloeiende verplichtingen van Verwerker en de daaruit voortvloeiende en/of daarmee verband houdende rechten van Betrokkenen en Verantwoordelijke uitgelegd in het kader van de AVG.



  1. Verplichtingen Verwerker


    1. Verwerker is verplicht op eerste verzoek van Verantwoordelijke die medewerking te verlenen die nodig is om de Persoonsgegevens in te zien, aan Verantwoordelijke over te dragen, te verwijderen en/of te vernietigen.


    1. Verwerker is verplicht de toepasselijke wet- en regelgeving, waaronder maar niet beperkt tot de Wbp en de AVG, na te leven.



    1. Verwerker is verplicht haar verplichtingen onder de Verwerkersovereenkomst schriftelijk op te leggen aan degenen die handelen onder het gezag van Verwerker, waaronder maar niet beperkt tot medewerkers van Verwerker en de door haar ingeschakelde (sub)bewerker(s). Verwerker is jegens Verantwoordelijke volledig aansprakelijk voor (schade voortvloeiend uit) de verwerking van Persoonsgegevens door (sub)bewerkers die zij conform artikel 14 van deze Verwerkersovereenkomst heeft ingeschakeld.


    1. Verwerker is zelfstandig verplicht de verplichtingen die zijn opgenomen in hoofdstuk 1 en 2 Wbp en de AVG na te leven.


    1. Verwerker is verplicht om aan Verantwoordelijke alle medewerking te verlenen die noodzakelijk is voor het uitvoeren van onderzoeken naar de impact van de verwerkingen op de persoonlijke levenssfeer van de betrokken (ook wel genoemd ‘Privacy Impact Assessments’) en het voldoen aan de wettelijke verplichtingen van Verantwoordelijke in dit verband.


    1. Verwerker is verplicht een administratie te voeren waaruit gedetailleerd blijkt op welke wijze zij voldoet aan haar verplichtingen op basis van deze Verwerkersovereenkomst en de geldende privacywetgeving. Verwerker is verplicht Verantwoordelijke op eerste verzoek inzage te verlenen in deze administratie en schriftelijk te informeren over de door haar genomen maatregelen met betrekking tot de verplichtingen onder deze Verwerkersovereenkomst en de geldende privacywetgeving.


    1. Mocht Verantwoordelijke op basis van de in lid 6 van dit artikel bedoelde administratie en/of informatie redelijkerwijze gegronde redenen hebben om aan te nemen dat Verwerker een of meerdere verplichtingen uit deze Verwerkersovereenkomst en/of de geldende privacywetgeving (mogelijk) niet correct en/of onvolledig heeft nageleefd, dan zal Verwerker zo spoedig mogelijk, maar in ieder geval binnen één (1) maand, een verbeterplan indienen bij Verantwoordelijke. Dit verbeterplan zal met Verantwoordelijke worden besproken en afgestemd en Verwerker verplicht zich het verbeterplan uit te voeren op eigen kosten binnen door Verantwoordelijke gestelde redelijke tijdslijnen. Het bepaalde in dit artikel tast de overige rechten van Verantwoordelijke niet aan.

  1. Beveiligingsmaatregelen

    1. Verwerker zal passende technische en organisatorische maatregelen nemen om de Persoonsgegevens te beveiligen tegen verlies, of enige vorm van onrechtmatige verwerking, ermee rekening houdend dat de Persoonsgegevens tevens bijzondere persoonsgegevens in de zin van de Wbp en de AVG en persoonsgegevens van gevoelige aard zoals omschreven in de Beleidsregels AP bevatten. Verwerker zal zich daartoe in ieder geval, maar niet uitsluitend, houden aan het niveau van beveiliging zoals vastgelegd in bijlage 1 bij deze Verwerkersovereenkomst. Verantwoordelijke is gerechtigd om één maal per jaar of zo vaak Verantwoordelijke dat nodig acht wijzigingen in de beveiligingsmaatregelen voor te stellen zodat deze minimaal voldoen aan de voor Verantwoordelijke geldende verplichtingen met betrekking tot beveiliging en/of het door haar passend geachte niveau van beveiliging. Verwerker zal aan verzoeken van Verantwoordelijke ter zake gehoor geven, tenzij Verantwoordelijke en Verwerker gezamenlijk overeenkomen dat deze onredelijk zijn.

    2. Verwerker is zich bewust van het belang van informatiebeveiliging en zal op verzoek jaarlijks , en vaker indien Verantwoordelijke hierom verzoekt, op een door Verantwoordelijke aan te wijzen manier kenbaar maken welke technische en organisatorische maatregelen Verwerker heeft getroffen ter beveiliging van de Persoonsgegevens.

Artikel 5 Meldplicht Inbreuk op de beveiliging van Persoonsgegevens en Datalekken

5.1 In het geval van een Inbreuk op de beveiliging van Persoonsgegevens en/of een Datalek, zal Verwerker Verantwoordelijke onmiddellijk, maar in ieder geval binnen 24 uur na ontdekking van de Inbreuk op de beveiliging van Persoonsgegevens en/of het Datalek, schriftelijk informeren op het volgende e-mail adres [e-mailadres].

5.2 Verwerker zal Verantwoordelijke onmiddellijk, maar in ieder geval binnen 24 uur na ontdekking van de Inbreuk op de beveiliging van Persoonsgegevens en/of het Datalek, de informatie verstrekken die benodigd is voor het doen van de melding(en) als bedoeld in artikel 34a Wbp en artikel 33 en 34 AVG en die ten minste betreft:


      1. de categorieën en een indicatie van het aantal Persoonsgegevens die zijn getroffen;

      2. de categorieën en een indicatie van het aantal Betrokkenen die zijn getroffen;

      3. de aard van de Inbreuk op de beveiliging van Persoonsgegevens en/of het Datalek;

      4. de periode waarin de Inbreuk op de beveiliging van Persoonsgegevens en/of het Datalek heeft plaatsgevonden;

      5. de maatregelen die zijn genomen om de negatieve gevolgen van de Inbreuk op de beveiliging van Persoonsgegevens en/of het Datalek te beperken;

      6. een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de Inbreuk op de beveiliging van Persoonsgegevens en/of het Datalek;

      7. de maatregelen die Verwerker en/of de door haar ingeschakelde (sub)bewerker(s) heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.


5.3 Verantwoordelijke zal zelf de meldingen als bedoeld in artikel 34a lid 1 Wbp en artikel 33 AVG doen aan de AP en indien noodzakelijk aan de Betrokkene overeenkomstig artikel 34a lid 2 Wbp en artikel 34 AVG. Zonder voorafgaande schriftelijke toestemming van Verantwoordelijke, is Verwerker niet gerechtigd om Datalekken te melden aan de AP en/of Betrokkenen.


5.4 Partijen kunnen schriftelijk overeenkomen dat en onder welke voorwaarden Verwerker meldingen in de zin van artikel 34a lid 1 en lid 2 Wbp en de artikelen 33 en 34 AVG zal doen.


5.5 Verwerker zal namens Verantwoordelijke van iedere Inbreuk op de beveiliging van Persoonsgegevens en Datalek een overzicht bijhouden dat ten minste informatie bevat betreffende:


      1. de Persoonsgegevens die zijn getroffen;

      2. de aard van de Inbreuk op de beveiliging van Persoonsgegevens en/of het Datalek;

      3. de periode waarin de Inbreuk op de beveiliging van Persoonsgegevens en/of het Datalek heeft plaatsgevonden;

      4. de maatregelen die zijn genomen om de negatieve gevolgen van de Inbreuk op de beveiliging van Persoonsgegevens en/of het Datalek te beperken;

      5. een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de Inbreuk op de beveiliging van Persoonsgegevens en/of het Datalek voor de verwerking van Persoonsgegevens; en

      6. de maatregelen die Verwerker en/of de door haar ingeschakelde (sub)bewerker(s) heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.


5.6 Verwerker zal op verzoek maandelijks, of vaker indien Verantwoordelijke daarom verzoekt, het overzicht zoals bedoeld in lid 5.5 van dit artikel aan Verantwoordelijke verstrekken.

Artikel 6 Doorgifte van Persoonsgegevens

6.1 Zonder voorafgaande schriftelijke toestemming van Verantwoordelijke, is het Verwerker niet toegestaan om Persoonsgegevens te verstrekken aan derden.


6.2 Zonder voorafgaande schriftelijke toestemming van Verantwoordelijke, is het Verwerker niet toegestaan Persoonsgegevens te verwerken en/of door te geven aan derden in landen buiten de Europese Economische Ruimte. Verantwoordelijke zal deze toestemming niet op onredelijke gronden onthouden, maar kan aan de toestemming voorwaarden verbinden.

Artikel 7 Controle en audit

7.1 Verantwoordelijke heeft het recht om één keer per jaar, of vaker indien Verantwoordelijke daarom verzoekt, een audit van de naleving door Xxxxxxxxx van de verplichtingen van Verwerker die zijn beschreven in de Verwerkersovereenkomst uit te voeren. Verwerker verplicht zich om hieraan alle medewerking te verlenen die redelijkerwijze van haar verwacht mag worden. Verantwoordelijke heeft de bevoegdheid om de audit te laten uitvoeren door een door haar aan te wijzen deskundige.


7.2 Het tijdstip waarop de audit zal plaatsvinden wordt in onderling overleg bepaald. Verantwoordelijke zal erop toezien dat een audit de bedrijfsvoering van Verwerker zo min mogelijk verhindert.


7.3 Teneinde een audit als bedoeld in dit artikel plaats te kunnen laten vinden, verplicht Verwerker zich om een terzake adequate administratie, boekhouding en archief (voor zover van toepassing) aan te leggen en te onderhouden. Verwerker verplicht zich om deze boekhouding en archieven volgens de in de markt gebruikelijke standaarden in te richten en te beheren.


7.4 De arbeidsuren die vanuit Verwerker benodigd zullen zijn ten behoeve van het in dit artikel genoemde, zullen aan Verantwoordelijke op basis van nacalculatie tegen het reguliere tarief uit de Overeenkomst in rekening worden gebracht.



Artikel 8 Autoriteiten


8.1 Verwerker erkent de bevoegdheid van (toezichthoudende) autoriteiten om:


  1. informatie in te winnen bij of van Verwerker respectievelijk door Verwerker ingeschakelde derden of de externe accountant van Verwerker omtrent de verwerking van Persoonsgegevens; en/of

  2. desgewenst onderzoek te doen of te laten doen bij Verwerker of bij de door Verwerker ingeschakelde derden, bijvoorbeeld onderzoeken naar de bedrijfsvoering en bedrijfsprocessen in het kader van de verwerking van Persoonsgegevens;


en verplicht zich om onverkort aan dergelijke verzoeken volledige medewerking te verlenen. Verwerker zal – voor zover nodig - er voor zorg dragen dat door haar ingeschakelde derden en haar (externe) accountant eveneens volledige medewerking verlenen aan deze werkzaamheden.


8.2 Verwerker zal Verantwoordelijke onmiddellijk op de hoogte stellen, indien een (toezichthoudende) autoriteit zich bij haar meldt met het verzoek om (controle)werkzaamheden uit te mogen voeren in het kader van de verwerking van Persoonsgegevens.

Artikel 9 Rechten van Betrokkenen

9.1 Verwerker is verplicht Verantwoordelijke onmiddellijk, maar uiterlijk binnen vierentwintig (24) uur, te informeren als een Betrokkene een verzoek heeft gedaan ter uitoefening van zijn of haar rechten uit de Wbp en de AVG.

9.2 Verwerker zal alleen communiceren met de Betrokkenen en verzoeken als bedoeld in het vorige artikellid in behandeling nemen na voorafgaande schriftelijke toestemming van Verantwoordelijke.

9.3 Verwerker is verplicht om Verantwoordelijke alle medewerking te verlenen die redelijkerwijze noodzakelijk is voor de uitoefening van de rechten van de Betrokkenen op basis van de Wbp en de AVG.

Artikel 10 Geheimhouding

10.1 Verwerker is verplicht tot geheimhouding van de Persoonsgegevens.


10.2 Zonder voorafgaande schriftelijke toestemming van Verantwoordelijke, is het Verwerker niet toegestaan om informatie die redelijkerwijze te herleiden is tot deze Verwerkersovereenkomst en/of een Inbreuk op de Beveiliging van Persoonsgegevens en/of een Datalek mede te delen met derden, waaronder maar niet beperkt tot Betrokkenen, toezichthoudende autoriteiten en media.

Artikel 11 Duur van de Verwerkersovereenkomst

11.1 Deze Verwerkersovereenkomst treedt in werking na rechtsgeldige ondertekening door Partijen en wordt aangegaan voor de duur van de Overeenkomst Behoudens hetgeen is bepaald in artikel 12 Verwerkersovereenkomst, eindigt deze Verwerkersovereenkomst van rechtswege op het moment van beëindiging of ontbinding van de Overeenkomst.


11.2 Artikel 10 (Geheimhouding)en artikel 16 (Toepasselijk recht en forumkeuze) zullen ook na de beëindiging of ontbinding van deze Verwerkersovereenkomst voor onbepaalde tijd tussen Partijen voortduren.

Artikel 12 Gevolgen beëindiging Verwerkersovereenkomst

Voor zover Verwerker na de beëindiging of ontbinding van deze Verwerkersovereenkomst nog beschikt over Persoonsgegevens, zal zij deze zo spoedig mogelijk vernietigen, danwel – in overleg met Verantwoordelijke – aan Verantwoordelijke retourneren, tenzij Verwerker op grond van geldende wet- of regelgeving gehouden is de Persoonsgegevens te bewaren. In dit laatstgenoemde geval zal Verwerker al haar verplichtingen uit deze Verwerkersovereenkomst nakomen gedurende de gehele periode waarin zij op grond van geldende wet- of regelgeving gehouden is de Persoonsgegevens te bewaren

Artikel 13 Inschakelen (sub)bewerkers


13.1 Indien Verwerker een (sub)bewerker wenst in te schakelen, verzoekt zij dit schriftelijk aan Verantwoordelijke, waarbij zij Verantwoordelijke informeert over de redenen voor de gewenste inschakeling van de (sub)bewerker en de eventuele vervanging van een andere (sub)bewerker.


13.2 Zonder voorafgaande schriftelijke toestemming van Verantwoordelijke, is het Verwerker niet toegestaan om (sub)bewerkers in te schakelen ter verwerking van de Persoonsgegevens.


13.3 Indien Verwerker conform dit artikel 13 (sub)bewerkers inschakelt, blijft Verwerker jegens Verantwoordelijke volledig aansprakelijk voor de uitvoering van de deze Verwerkersovereenkomst.

Artikel 14 Kosten

14.1 Kosten voortvloeiend uit inzageverzoeken van Betrokkene(n), onderzoeken of audits van de AP of een andere (toezichthoudende) autoriteit met betrekking tot Persoonsgegevens, zullen worden gedragen door Verantwoordelijke. De arbeidsuren die vanuit Verwerker benodigd zijn, zullen tegen het reguliere tarief in de overeenkomst worden berekend aan Verantwoordelijke op basis van nacalculatie. Kosten die gemaakt worden door Xxxxxxxxx op verzoek van Verantwoordelijke of autoriteiten zijn voor rekening van Verantwoordelijke. Kosten die door Verwerker zijn geïnitieerd zijn voor rekening van Xxxxxxxxx.

Artikel 15 Aansprakelijkheid en boete

15.1 Verwerker is jegens de Verantwoordelijke aansprakelijk voor de schade als gevolg van een aan Verwerker toerekenbare tekortkoming in de nakoming van zijn verplichtingen zoals op hem als bewerker rusten ingevolge deze Verwerkersovereenkomst, de Wbp en/of de AVG.

15.2 In geval van overtreding van het bepaalde in de artikelen 2, 3, 4, 5, 6, 7, 8, 9, 10, 12 en 13 van deze Verwerkersovereenkomst verbeurt Verwerker een onmiddellijk opeisbare boete van EUR 2.000,- per overtreding, alsmede van EUR 500,- per dag (een gedeelte van een dag daaronder begrepen) dat de overtreding voortduurt. Het vorenstaande is onverminderd het recht van Verantwoordelijke om volledige schadevergoeding te vorderen.

Artikel 16 Wijziging in wet- en/of regelgeving

Bij de wijziging van bestaande wet- en/of regelgeving en bij de invoering van nieuwe wet- en/of regelgeving, verleent Verwerker op het eerste verzoek van Verantwoordelijke alle medewerking die redelijkerwijze van haar verwacht mag worden, zoals maar niet beperkt tot het wijzigen van deze Verwerkersovereenkomst.

Artikel 17 Toepasselijk recht en forumkeuze

17.1 Op rechtsverhouding tussen Partijen die is geregeld in deze Verwerkersovereenkomst is Nederlands recht van toepassing.


17.2 Alle geschillen tussen partijen die samenhangen met of voortvloeien uit deze Verwerkersovereenkomst worden beslecht door de bevoegde rechter in het arrondissement [arrondissement].







Aldus overeengekomen in tweevoud op [datum ondertekening] en ondertekend te [plaats ondertekening]:



[Verantwoordelijke] [Verwerker]





_________________________ _________________________

Naam: [naam] Naam: [naam]

Functie: [functie] Functie: [functie]


Bijlage 1 Beveiligingsmaatregelen



De door de Verwerker te treffen maatregelen zoals bedoeld in artikel 4 van de Verwerkersovereenkomst zullen bestaan uit in ieder geval, maar niet uitsluitend:


  1. het naleven van de in artikel 5 (Meldplicht datalekken) en artikel 10 (Geheimhouding) van de Verwerkersovereenkomst genoemde verplichtingen;

  2. het installeren en ‘up to date’ houden van een systeem waarmee de toegang tot de Persoonsgegevens wordt beveiligd door middel van een authenticatiemiddel zoals een wachtwoord of met soortgelijke middelen die tenminste even betrouwbaar zijn. Verwerker zal zorg dragen dat haar medewerkers de ‘best practices’ behorende bij voornoemde authenticatiemiddelen naleven, waaronder in ieder geval zorg dragen het vertrouwelijk behandelen van wachtwoord;

  3. het beveiligen van het systeem waarmee Verwerker de Persoonsgegevens verwerkt door middel van preventieve, detectieve en correctieve maatregelen (waaronder maar niet beperkt tot tijdige implementatie van actuele beveiligingspatches en viruscontrole) en het beschermen van informatiesystemen en technologie tegen malware (waaronder maar niet beperkt tot virussen, worden, spyware en spam).

  4. logging en controle (monitoring) van toegang tot het systeem (waaronder begrepen het controleren op tekenen van onrechtmatige toegang tot de Persoonsgegevens, zoals foutieve inlogpogingen en overschrijding van autorisatiebevoegdheden);

  5. het toewijzen van autorisaties voor de toegang tot systemen aan medewerkers en derden op basis van rolbeschrijvingen;

  6. bijhouden van documentatie waarin geregistreerd is aan welke derden de Persoonsgegevens verstrekt worden;

  7. adequate fysieke bescherming van de betreffende ruimtes waarin en de apparatuur waarop de Persoonsgegevens opgeslagen staan (zoals toegangsbeveiliging, temperatuurregeling, maatregelen ter voorkoming en bestrijding van brand en waterschade);

  8. het pseudonimiseren en/of encrypten van de Persoonsgegevens voor zover dit noodzakelijk is gelet op de risico's van de verwerking en de aard van te beschermen Persoonsgegeven;

  9. de bovengenoemde maatregelen uitwerken in een informatiebeveiligingsplan (“Informatiebeveiligingsplan”); en

  10. periodiek evalueren van het Informatiebeveiligingsplan.

  11. Verwerker heeft de bovengenoemde informatiebeveiligingsmaatregelen geïmplementeerd in haar organisatie.

Bijlage 2 Beschrijving verwerking Persoonsgegevens



Verwerker zal de Persoonsgegevens uitsluitend verwerken overeenkomstig de onderstaande instructies van Verantwoordelijke.


Onderwerp, aard en geschatte termijn van de verwerking


[]


Doelen en wettelijke grondslagen van de verwerking


[]


Categorieën Persoonsgegevens


[]


Categorieën Betrokkenen


[]


Document Metadata

Filed: May 16th, 2018