Standaard verwerkersovereenkomst Let’s Develop B.V. (versie 1.0)
Standaard verwerkersovereenkomst Let’s Develop B.V. (versie 1.0)
De ondergetekenden:
1. Let’s Develop B.V., gevestigd aan de Xxxxxxxxxxxxxxxxx 00, 0000 ZC Deventer hierna te noemen ‘Verwerker’,
ten deze rechtsgeldig vertegenwoordigd door de heer R.J.A. Xxxxxxx in zijn functie van directeur;
En
2. <bedrijfsnaam>, gevestigd aan de <adres>, <postcode> <woonplaats> hierna te noemen ‘Klant’, ten deze
rechtsgeldig vertegenwoordigd door de heer/mevrouw <naam> in zijn functie van <functie>.
Klant en Verwerker worden hierna samen ook aangeduid als “Partijen” en individueel ook als een “Partij”.
Achtergrond:
A. Klant verwerkt bepaalde persoonsgegevens over bepaalde personen. Om welke persoonsgegevens het gaat
staat omschreven in Bijlage 1. Deze persoonsgegevens worden hierna de “Persoonsgegevens” genoemd.
B. Klant is aan te merken als (verwerkings)verantwoordelijke zoals bedoeld in de Algemene Verordening
Gegevensbescherming (de “Privacywetgeving”).
C. De personen om wiens Persoonsgegevens het gaat worden hierna de “Betrokkenen” genoemd. De categorieën
Betrokkenen staan vermeld in Bijlage 1.
D. Verwerker is een bedrijf dat IT diensten levert waaronder het realiseren van maatwerksoftware, het beheren en (laten) hosten van applicaties, het beheren van IT-omgevingen van de klant zowel bij Verwerker in de Cloud als bij de Klant op locatie. hierna de “Diensten” genoemd.
E. Om de Diensten te verlenen zal Verwerker bepaalde handelingen moeten verrichten met de Persoonsgegevens. Daarom is Klant op grond van de Privacywetgeving verplicht een Verwerkersovereenkomst te sluiten met de Verwerker. Daarvoor is deze overeenkomst bedoeld. Deze overeenkomst wordt hierna de “Verwerkersovereenkomst” genoemd.
F. Komen overeen als volgt:
Paraaf Verwerker en Klant
Artikel 1. Algemeen
1.1 Verwerker neemt passende technische en organisatorische maatregelen om te zorgen dat de verwerking van de Persoonsgegevens voldoet aan de Privacywetgeving en de bescherming van de rechten van de Betrokken is geborgd.
1.2 Klant verklaart dat met betrekking tot de Persoonsgegevens wordt voldaan aan de verplichtingen die op de Klant rusten op grond van de Privacywetgeving.
1.3 Verwerker zal een persoon binnen diens organisatie benoemen die de contactpersoon is voor deze Verwerkersovereenkomst en zal de naam van deze persoon aan Klant doorgeven.
Artikel 2. Alleen handelingen verrichten in opdracht van Klant
2.1 Het doel van de verwerking van de Persoonsgegevens is om Verwerker het mogelijk te maken de Diensten aan Klant te verlenen.
2.2 Verwerker zal met de Persoonsgegevens de volgende handelingen verrichten: administratieve handelingen in het kader van de werking van de netwerkomgeving, de infrastructuur of de uitvoer van overeenkomst, ondersteuning van de Klant, handelingen van IT beheerders die zijn gericht op onderhoud, continuïteit en optimalisatie van ICT systemen, opslag van gegevens en andere handelingen zoals eventueel later verzocht of aangegeven door Klant.
2.3 Verwerker zal met de Persoonsgegevens alleen de in het vorige lid omschreven handelingen verrichten. Dit is alleen anders als er op Verwerker een Europeesrechtelijke wettelijke verplichting rust die ervoor zorgt dat Verwerker buiten de instructies van Klant handelingen met de Persoonsgegevens moet verrichten. In zo’n geval geldt het bepaalde in artikel 7.1., tweede zin.
2.4 Verwerker zal de persoonsgegevens in beginsel verwerken in Nederland. Verwerker verwerkt Persoonsgegevens niet buiten Nederland of buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk daartoe een opdracht heeft verkregen van klant, het een domeinnaam of SSL certificaat betreft en behoudens afwijkende wettelijke verplichtingen. Voor de aanvraag van een domeinnaam of SSL certificaat kan Verwerker samen
werken met partijen die zich buiten de Europese Economische Ruimte (“EER”) bevinden. Wij geven niet meer
gegevens door dan nodig is voor het afronden van de offerteaanvraag of bestelling.
Artikel 3. Meewerken met Klant
3.1 Verwerker zal meewerken aan de redelijkerwijs door Xxxxx gedane verzoeken om de Persoonsgegevens over te dragen, aan te passen, in te zien, te kopiëren, te verwijderen, dan wel andere handelingen daar mee te verrichten, dit voor zover Verwerker daartoe feitelijk in staat is in het kader van de Diensten.
3.2 Verwerker zal daarnaast, rekening houdend met de aard van de verwerking, Klant door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, de redelijkerwijs door Klant verzochte medewerking verlenen aan Klant om te voldoen aan de verzoeken van de Betrokkenen. Als Xxxxxxxxx zelf rechtstreeks een verzoek krijgt van een Betrokkenen, zal Verwerker dat verzoek aan Klant doorzenden, die het vervolgens zelf afhandelt.
3.3 Daarnaast zal Verwerker, rekening houdend met de Verwerker ter beschikking staande informatie en met de aard van de verwerking, de redelijkerwijs verzochte medewerking verlenen aan Klant bij het voldoen aan diens verplichtingen tot beveiliging, het melden van Datalekken conform artikel 5, het uitvoeren
gegevensbeschermingeffectbeoordelingen (ook wel: “PIA’s”) en voorafgaande raadpleging van de
toezichthouder, wanneer dat noodzakelijk is.
Artikel 4. Beveiligingsmaatregelen
4.1 Verwerker zorgt voor passende technische en organisatorische maatregelen om de toegang tot de Persoonsgegevens in voldoende mate te beveiligen conform de Privacywetgeving. Bij het treffen van de technische en organisatorische beveiligingsmaatregelen heeft Verwerker rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en context van de
verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s, de waarschijnlijkheid en ernst van de uiteenlopende risico’s voor de rechten en vrijheden van Betrokkenen die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten.
4.2 Verwerker treft binnen diens organisatie maatregelen om ervoor te zorgen dat alleen de personen die onder
gezag van Verwerker (hierna: “Medewerkers”) toegang krijgen tot de Persoonsgegevens, de toegang krijgen die noodzakelijk is voor het uitvoeren van de Diensten. Daarnaast zorgt Verwerker ervoor dat de inloggegevens waarmee Medewerkers op afstand toegang krijgen tot de Persoonsgegevens, deze vertrouwelijk houden.
4.3 Op verzoek van Xxxxx verstrekt Verwerker een overzicht van de op dat moment geldende beveiligingsmaatregelen bij Verwerker. Dit verzoek zal Klant als uitgangspunt niet vaker doen dan één keer per jaar, tenzij er een gegronde reden is om het verzoek vaker te doen, zoals in het geval dat zich een Incident voordoet (zie artikel 5).
4.4 Tenzij expliciet anders vermeld in bijlage 2 is het product of de dienst van Verwerker niet ingericht op de verwerking van bijzondere categorieën van Persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten.
4.5 Verwerker streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door Verwerker beoogde gebruik van het product of dienst. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.
4.6 De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de Verwerkingsverantwoordelijke / Klant, rekening houdend met de in artikel 4.1 genoemde factoren een op het risico van de verwerking van de door hem gebruikte of verstrekte Persoonsgegevens afgestemd beveiligingsniveau.
4.7 Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Verwerker zal belangrijke wijzigingen vastleggen en zal Opdrachtgever waar relevant van die wijzigingen op de hoogte stellen.
4.8 Klant kan Verwerker verzoeken nadere beveiligingsmaatregelen te treffen. Verwerker is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Verwerker kan de kosten verband houdende met de op verzoek van Opdrachtgever doorgevoerde wijzigingen in rekening brengen bij Opdrachtgever. Pas nadat de door Opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door Partijen, heeft Verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.
4.9 Tenzij expliciet anders vermeld in bijlage 2 is Xxxxxxxxx niet verantwoordelijk voor passen veiligheids- maatregelen op de software (zoals een website of web-applicatie) die Klant zelf of in opdracht heeft geïnstalleerd op een hostingpakket of Cloud-server.
Artikel 5. Datalekken melden
5.1 In het geval dat zich een inbreuk op de beveiliging voordoet die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking of toegang tot Persoonsgegevens
(“Incident”), zal Verwerker zo spoedig als mogelijk en uiterlijk binnen 24 uur aan Klant melding maken van dit
feit.
5.2 Bij de melding zal Verwerker de volgende beschikbare informatie verstrekken:
a. Een omschrijving van het Incident;
b. Waar mogelijk de betreffende (categorieën) Persoonsgegevens en Betrokkenen;
c. De geschatte hoeveelheid Persoonsgegevens en Betrokkenen waar het om gaat;
d. De verwachte gevolgen die het Incident heeft voor Klant en de Betrokkenen;
e. Welke maatregelen zijn genomen om de gevolgen van het Incident te beperken en/of de maatregelen die nog moeten worden genomen om de gevolgen te beperken en het tijdspad waarbinnen die maatregelen worden uitgevoerd.
5.3 Verwerker zal daarnaast maatregelen nemen om de (verdere) gevolgen van het Incident te beperken, in aanmerking nemend de aard van het Incident.
5.4 Verwerker zal de redelijkerwijs door Xxxxx verzochte medewerking verlenen en informatie verstrekken in verband met het melden van het Incident aan de bevoegde toezichthouder en/of de Betrokkenen.
Artikel 6. Audits
6.1 Verwerker zal de Klant, onder de in dit artikel genoemde voorwaarden, toegang verlenen tot diens administratie zodat Xxxxx na kan gaan of Verwerker aan diens verplichtingen uit hoofde van deze Verwerkersovereenkomst voldoet. De toegang zal worden verleend voor zover dit betrekking heeft op de naleving van deze Verwerkersovereenkomst.
6.2 Klant mag een derde partij aanwijzen om de audit uit te voeren. Xxxxx zal ervoor zorgen dat deze derde partij hetgeen hij in het kader van de audit verneemt geheimhoudt, en de informatie niet aan derden zal verstrekken.
6.3 Klant zal niet vaker dan één keer per kalenderjaar om een audit vragen. Klant zal Verwerker vooraf op de hoogte brengen van de audit en Verwerker een redelijke termijn van minstens twee weken gunnen om zich op de audit voor te bereiden.
6.4 Als uit de audit blijkt dat de Verwerker niet aan diens verplichtingen op grond van deze Verwerkersovereenkomst voldoet, zal de Verwerker meewerken aan de redelijkerwijs door Klant verzochte maatregelen om alsnog aan die verplichtingen te voldoen.
6.5 Verwerker zal Klant op de hoogte brengen wanneer een audit naar de mening van Verwerker een inbreuk oplevert op de Privacywetgeving of andere relevante privacywetgeving.
Artikel 7. Geheimhouding
7.1 Verwerker zal geheimhouding in acht nemen met betrekking tot de Persoonsgegevens en de Persoonsgegevens niet doorgeven aan, of beschikbaar maken voor enige derde, tenzij dit uitdrukkelijk is toegestaan op grond van deze Verwerkersovereenkomst of Verwerker daartoe verplicht is op grond van een Europeesrechtelijke wettelijke verplichting. In dat laatste geval zal Verwerker de Klant op de hoogte brengen van de wettelijke verplichting, tenzij de betreffende wet de Verwerker verbiedt de Klant te informeren om zwaarwegende redenen van algemeen belang.
7.2 Verwerker zal ervoor zorgen dat de Medewerkers gebonden zijn aan geheimhouding van de Persoonsgegevens en tot het uitsluitend verwerken van de Persoonsgegevens in het kader van de Diensten.
Artikel 8. Sub-Verwerkers
8.1 Verwerker laat de handelingen met de Persoonsgegevens verrichten door één of meer onderaannemers (“Sub- Verwerkers”). Op verzoek van Xxxxx verstrekt Verwerker de naam en locatie van deze Sub-Verwerker(s). Wanneer Xxxxxxxxx een nieuwe of andere Sub-Verwerker inhuurt, informeert Verwerker de Klant daar ook over. De Klant zal redelijkerwijs geen bezwaar maken tegen de nieuwe of andere Sub-Verwerker als wordt voldaan aan het in het volgende lid bepaalde.
8.2 Verwerker zorgt ervoor dat de Sub-Verwerkers zich verplichten tot het naleven van de voor de Sub-Verwerkers relevante verplichtingen die voor Verwerker zijn vastgelegd in deze Verwerkersovereenkomst.
Artikel 9. Duur en beëindiging
9.1 Deze Verwerkersovereenkomst duurt voort zolang de Persoonsgegevens in het kader van de Diensten door Verwerker worden verwerkt.
9.2 Als in de overeenkomst op basis waarvan de Diensten worden verleend (de “Overeenkomst”) niet in een hierna genoemde beëindigingsgrond is voorzien, kan iedere Partij deze Verwerkersovereenkomst met onmiddellijke ingang naar keuze ontbinden dan wel opzeggen zonder gehouden te zijn tot enige vorm van schadevergoeding, in het geval dat:
a. De andere Partij surseance van betaling aanvraagt, dan wel dit aan de andere Partij wordt verleend;
b. Het faillissement van de andere Partij wordt uitgesproken;
c. De andere Partij diens bedrijfsvoering (nagenoeg) geheel staakt;
d. De andere Partij tekortkomt in de nakoming van diens verplichtingen op grond van de Overeenkomst en, indien herstelbaar, deze niet binnen een redelijke door de niet-tekortkomende Partij gestelde termijn alsnog herstelt.
9.3 Na het eindigen van de relatie tussen Xxxxx en Verwerker, zal Verwerker op verzoek van Xxxxx, welk verzoek dient te worden gedaan binnen 3 (drie) maanden na het eindigen van de relatie, de Persoonsgegevens die Verwerker op dat moment nog onder zich heeft, aan Klant overdragen. Als Klant nog openstaande bedragen verschuldigd is, is Verwerker gerechtigd eerst betaling van die bedragen te betalen, alvorens de Persoonsgegevens over te dragen.
9.4 Nadat alle Persoonsgegevens overeenkomstig het vorige lid zijn overgedragen, of wanneer Klant geen verzoek heeft ingediend binnen de in het vorige lid genoemde termijn, zal Verwerker deze op verzoek van Klant volledig verwijderen, tenzij een wettelijke plicht Verwerker verplicht bepaalde Persoonsgegevens te behouden. In dat geval geldt het bepaalde in artikel 7 over geheimhouding van de Persoonsgegevens. Verwerker zal de Persoonsgegevens verwijderen zodra er op Verwerker geen wettelijke plicht meer rust om ze te behouden.
Artikel 10. Aanpassing Verwerkersovereenkomst
10.1 In het geval dat zich wijzigingen voordoen in de op de verwerking van de Persoonsgegevens toepasselijke wet en/of regelgeving, waaronder de Privacywetgeving, zullen Partijen deze Verwerkersovereenkomst in overleg aanpassen om het in overeenstemming te brengen met die wijzigingen.
10.2 In het geval dat zich wijzigingen voordoen die betrekking hebben op de verwerking van de Persoonsgegevens en van invloed zijn op de uitvoering van deze Verwerkersovereenkomst, zullen Partijen in overleg treden over het aanpassen van deze Verwerkersovereenkomst in overeenstemming met dergelijke wijzigingen.
10.3 Verwerker heeft het recht redelijke voorwaarden, zoals betaling van een passende vergoeding, te stellen in verband met de voornoemde wijzigingen van deze Verwerkersovereenkomst.
Artikel 11. Vergoeding voor extra werkzaamheden
Als Xxxxxxxxx werkzaamheden moet verrichten in verband met de in deze Verwerkersovereenkomst vastgelegde verplichtingen, en deze werkzaamheden overschrijden de gebruikelijke werkzaamheden die Verwerker in het kader van de Diensten verleent, dan heeft Verwerker het recht een redelijke vergoeding voor die extra werkzaamheden te vragen. Dit op basis van de op dat moment bij Verwerker geldende (uur)tarieven, met een onderbouwing van de bestede tijd.
Artikel 12. Aansprakelijkheid
12.1 Iedere Partij is verantwoordelijk voor het voldoen van diens eigen verplichtingen op grond van de Privacywetgeving.
12.2 Uitsluitend in het geval dat (een Medewerker van) Verwerker schade bij Klant mocht veroorzaken als gevolg van het toerekenbaar niet voldoen van de verplichtingen van Verwerker op grond van deze Verwerkersovereenkomst en/of het toerekenbaar niet voldoen aan haar verplichtingen op grond van de Privacywetgeving, waarbij Verwerker in verzuim verkeert, kan Verwerker aansprakelijk worden gehouden voor de aan Verwerker toerekenbare, door Klant geleden en onderbouwde schade. Medewerkers kunnen nooit zelf persoonlijk aansprakelijk worden gehouden.
12.3 De totale aansprakelijkheid van partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst of op welke rechtsgrond dan ook is beperkt tot vergoeding directe schade tot maximaal het bedrag van de voor die Overeenkomst bedongen prijs (exclusief BTW). Indien de overeenkomst hoofdzakelijk een duurovereenkomst is met een looptijd van meer dan één jaar, wordt de voor die overeenkomst bedongen prijs gesteld op het totaal van de vergoedingen (exclusief BTW) bedongen voor één jaar. In geen geval zal de totale aansprakelijk van Opdrachtnemer voor directe schade, op welke rechtsgrond dan ook, echter meer dan € 50.000 ( vijftig duizend Euro) bedragen.
12.4 Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
a. de schade om de wanprestatie als zodanig te herstellen;
b. redelijke en aantoonbare kosten om de betreffende partij ertoe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
c. redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
d. redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
12.5 Een eventuele in de Overeenkomst overeengekomen aansprakelijkheidsbeperking gaat voor deze bepaling, als die bepaling de aansprakelijkheid van Verwerker verder beperkt.
12.6 De aansprakelijkheid van Partijen voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
12.7 Iedere vordering tot schadevergoeding door de ene Partij tegen de andere Partij die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
12.8 Indien Klant een virtuele server afneemt en laat beheren door Verwerker is Verwerker niet verantwoordelijk voor de maximale bewaarplicht van persoonsgegevens in logbestanden op de virtuele server. Klant kan op verzoek een maximale bewaartermijn door Verwerken laten instellen door contact op te nemen met support (xxxxxxx@xxxxxxxxxxx.xxxx). De controle op de uitvoer valt onder de verantwoording van de Klant.
Artikel 13. Algemene bepalingen
13.1 Indien enige bepaling uit deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins ongeldig of niet bindend mocht zijn, heeft dit geen gevolgen voor de rechtsgeldigheid van de overige bepalingen. De betreffende bepaling zal geacht te zijn vervangen door een bepaling die wel rechtsgeldig is en de bedoelingen van Partijen zou nauw mogelijk benadert.
13.2 In geval van tegenstrijdigheid tussen de Overeenkomst en deze Verwerkersovereenkomst, hebben de bepalingen van deze Verwerkersovereenkomst voorrang voor zover het gaat om bepalingen betreffende het verwerken van Persoonsgegevens. Bij overige tegenstrijdige bepalingen gaan die van de Overeenkomst voor.
13.3 In geval van tegenstrijdigheid tussen deze Verwerkersovereenkomst en een Bijlage, gaat het bepaalde in de Verwerkersovereenkomst voor, tenzij Partijen uitdrukkelijk anders overeenkomen.
13.4 De overwegingen en de Bijlagen maken integraal onderdeel uit van deze Verwerkersovereenkomst.
Artikel 14. Toepasselijk recht, geschillen
14.1 Op deze Verwerkersovereenkomst, de verwerking van de Persoonsgegevens en alle eventuele daaruit voortvloeiende geschillen is uitsluitend Nederlands recht van toepassing.
14.2 Partijen zullen zich ervoor inspannen om een gerezen geschil over deze Verwerkersovereenkomst in der minne te regelen. In het geval dat deze inspanning niet tot een oplossing leidt is uitsluitend de rechter van het arrondissement waar Xxxxxxxxx haar hoofdvestiging heeft bevoegd om in eerste aanleg van het geschil tussen hen kennis te nemen.
Aldus ondertekend:
Partijen dienen onderstaand te ondertekenen en elke pagina te paraferen inclusief de bijlagen.
Let’s Develop B.V. | [BEDRIJFSNAAM] | |
Naam: R.J.A. Aarnink | Naam: |
|
Datum: | Datum: |
|
Plaats: | Plaats: |
|
Bijlagen:
Bijlage 1: Specificatie persoonsgegevens en betrokkenen
Bijlage 2: Beschrijving technische en organisatorische maatregelen (beveiligingsmaatregelen)
Bijlage 1 - Specificatie persoonsgegevens en betrokkenen
Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven categorieën betrokkenen, doel(en) en middelen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke / Klant. Daarnaast stelt verwerkingsverantwoordelijke / Klant in deze bijlage het doel en de middelen voor de Verwerking van de Persoonsgegevens vast.
Persoonsgegevens
Verwerker zal in het kader van de overeenkomst, de volgende persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:
- (in te vullen door Klant, weghalen wat niet van toepassing is en eventueel aanvullen)
- Naam
- Adresgegevens
-
-
Bijzonder en/of gevoelige persoonlijke informatie
Klant verwerkt bijzondere persoonlijke en/of gevoelige informatie inzake:
- (in te vullen door Klant, weghalen wat niet van toepassing is en eventueel aanvullen)
- de gezondheid
- ras of etnische achtergrond
- geloof of levensovertuiging
- seksueel gedrag of seksuele geaardheid
- politieke opvattingen
- lidmaatschap van een vakbond
- genetische kenmerken
- biometrische kenmerken om iemand te identificeren
- Strafrechtelijke informatie / strafbare feiten
- Financiële informatie
- BSN nummers
- ID bewijzen
- Locatiegegevens
- Sociale positie in de maatschappij
- Informatie over kinderen (jonger dan 16 jaar)
- Informatie over sociaal achtergestelde personen
-
Extra maatregelen t.b.v. bijzondere persoonsgegevens of gegevens betreffende strafrechtelijke feiten
Tenzij expliciet anders vermeld is het product of de dienst van Verwerker niet ingericht op de verwerking van bijzondere categorieën van Persoonsgegevens, gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten.
Indien er extra veiligheidsmaatregelen zijn uitgevoerd door Verwerker op de geleverde dienst(en) dienen deze hier te worden vermeld. Xxxxxxxxx is niet verantwoordelijk voor de software die door de klant, of in opdracht van de klant op de dienst geïnstalleerd is zoals een website en/of applicatie, tenzij schriftelijk anders is vastgelegd in een schriftelijke overeenkomst.
Genomen extra maatregelen:
- Geen
- (in te voeren door xxxxxxxxx)
Verwerker acht deze extra maatregelen voor de afgenomen diensten[voldoende/onvoldoende]. Uitleg:
Uitleg en eventuele extra eisen, door Verwerker in te vullen
Categorieën betrokkenen
Het betreft de volgende categorieën betrokkenen:
- (in te vullen door Klant, weghalen wat niet van toepassing is en eventueel aanvullen)
- Klanten
- Personeel
- Leveranciers
- Accounthouders
- Sollicitanten
- Websitebezoekers
- Patiënten
- Mogelijke klanten
- Leden
- Huurders
-
Doeleinden van de informatieverwerking
Het betreft verwerking met als doeleinden: (in te vullen door Klant)
Bijv. Interne bedrijfsvoeringsdoeleinden, verlenen en organiseren van zog.
Maximale bewaartijd logbestanden
Indien u een virtuele server afneemt en deze laat beheren door Verwerker kan er een maximale bewaartijd worden ingesteld op de server. Verwerker hanteert minimaal twee maand, welke nodig zijn om eventuele problemen op te lossen of adviezen uit te brengen in het kader van de performance.
De maximale bewaartermijn zal worden ingesteld op: 6 maand
Bijlage 2 - Beschrijving technische en organisatorische maatregelen (beveiligingsmaatregelen)
Verwerker heeft een aantal beveiligingsmaatregel getroffen. Deze maatregelen treft u in dit document aan. De diensten van Verwerker zijn niet standaard ingericht op de verwerking van bijzondere categorieën van Persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Daarnaast zijn de fysieke beveiligings- maatregelen evenals de netwerk-, server- en applicatiebeveiliging en onderhoudsmaatregelen alleen van toepassing op de diensten van Verwerker waarbij de dienst eigendom is van Klant. (Lokale apparatuur en/of software bij Klant op locatie en eigendom is van klant is dus uitgesloten).
Organisatorische maatregelen
Verwerker heeft de volgende organisatorische maatregelen getroffen:
- Verwerker hanteert een autorisatiebeleid om te bepalen wie toegang moet hebben tot welke gegevens.
Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie
- Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
- Verwerker heeft een proces ingericht voor communicatie over informatiebeveiligingsincidenten.
- Verwerker heeft een beleid ingericht voor informatiebeveiligingsincidenten.
- Verwerker heeft een interne coördinator voor informatiebeveiliging om risico’s omtrent de verwerking van persoonsgegevens te inventariseren, beveiligingsbewustzijn te stimuleren, voorzieningen te controleren en maatregelen te treffen die zien op naleving van het informatiebeveiligingsbeleid.
- Met medewerkers worden geheimhoudingsverklaringen overeengekomen en informatiebeveiligingsafspraken gemaakt.
- Verwerker stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.
- Medewerkers betrokken bij onze dienstverlening beschikken over een recente Verklaring omtrent het Gedrag: dit wordt als eis bij indiensttreding opgelegd en specifieke gecontroleerd.. Elke 5 jaar wordt betreffende VOG opnieuw aangevraagd.
Fysieke beveiliging
Verwerker heeft de volgende fysieke maatregelen getroffen:
- Persoonsgegevens worden uitsluitend verwerkt in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf.
- Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren.
- Er worden periodiek, volgens dienstbeschrijving ingericht, back-ups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze back-ups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving.
- De locaties waar gegevens worden verwerkt worden periodiek getest, onderhouden en periodiek beoordeeld
op veiligheidsrisico’s.
- Het kantoor van Verwerker is voorzien van een beveiligingsinstallatie en is standaard gesloten voor bezoekers. Bezoek aan ons kantoor is alleen mogelijk onder begeleiding van een medewerker. Daarnaast zijn contracten gesloten met beveiligingsdiensten voor bewaking buiten kantoortijden.
- Alle datacenters waar Verwerken apparatuur heeft staan zijn ISO9001, ISO27001 en NEN7510 gecertificeerd e voldoen aan strenge veiligheidseisen. Toegang is alleen mogelijk door autorisaties en onder begeleiding.
Netwerk-, server- en applicatiebeveiliging en onderhoud
Verwerker heeft de volgende maatregelen getroffen:
- De netwerkomgeving waarbinnen gegevens worden verwerkt is strikt beveiligd. Daarbij worden verkeersstromen gescheiden en zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
- De omgeving waarbinnen persoonsgegevens worden verwerkt wordt gemonitord.
- Op systemen worden periodiek de laatste (beveiligings)patches geïnstalleerd.
- Op systemen worden standaard firewalls geïnstalleerd (alleen op het besturingssysteem).
- Niet (meer) gebruikte informatie wordt verwijderd.
- Op wachtwoorden worden cryptografische maatregelen toegepast om deze gegevens veilig op te slaan.
- Er wordt voor inlogprocessen gebruikgemaakt van versleutelde verbindingen