STANDAARD VERWERKERS- OVEREENKOMST

STANDAARD VERWERKERS- OVEREENKOMST

Bestaande uit:

Deel 1. Data Pro Statement

Deel 2. Standaardclausules voor verwerkingen

Versie november 2018

DEEL 1: DATA PRO STATEMENT

Dit Data Pro Statement vormt samen met de Standaardclausules voor verwerkingen de verwerkersovereenkomst voor het product of de dienst van het bedrijf dat dit Data Pro Statement heeft opgesteld.

ALGEMENE INFORMATIE

1. Dit Data Pro Statement is opgesteld door:

Loogisch Beveiliging en Domotica B.V., geregistreerd bij de Kamer van Koophandel onder nummer 06061864 en BTW nummer NL008764335B01, kantoorhoudende te (7666 LG) Fleringen, Nederland aan de Oldenzaalseweg 99

verder te noemen: data processor

Voor vragen over dit Data Pro Statement of dataprotectie kan contact opgenomen worden met:

ing. H.G.J. Loohuis, telefoonnummer 088-4800400, email x.xxxxxxx@xxxxxxxx.xx of F.H. Pikkemaat, telefoonnummer 088-4800431, email x.xxxxxxxxx@xxxxxxxx.xx

2. Dit Data Pro Statement geldt vanaf 1 mei 2018

De in dit Data Pro Statement omschreven beveiligingsmaatregelen passen wij regelmatig aan om ten aanzien van data protectie steeds voorbereid en actueel te blijven. Wij houden u op de hoogte van nieuwe versies via onze normale kanalen.

3. Dit Data Pro Statement is van toepassing op de volgende producten en diensten van data processor

Data processor is een aanbieder van elektronische beveiligingsdiensten aan zakelijke en particuliere klanten. Dit doet zij met name door het leveren, installeren en beheren van systemen op het gebied van brandmelding, inbraaksignalering, toegangscontrole, cameraobservatie en domotica; en de gewenste softwarematige integratie tussen deze systemen

4. Omschrijving producten/diensten

Het onder 3 genoemde betreft een inbraak- of brandmeldinstallatie als NCP erkend BORG en BMI installatiebedrijf. En het betreft camera- en toegangscontrolesystemen (closed-circuit television, CCTV) als NCP erkend CCTV installatiebedrijf.

Daarnaast betreft het domotica installaties die op locatie of in de cloud kunnen worden geïnstalleerd.

5. Beoogd gebruik

Producten en diensten zijn ontworpen en ingericht om er de volgende soort gegevens mee te verwerken:

Met de onder punt 3 genoemde systemen wordt met een beveiligingsinstallatie voorzien in een inbraak- en brandbeveiliging. En wordt met een toegangscontrolesysteem voorzien in controle op toegang tot een pand of site van opdrachtgever. In deze systemen worden de persoonsgegevens namen en telefoonnummers verwerkt.

Met het onder punt 3 genoemde cameraobservatiesysteem wordt voorzien in een systeem waarbij er met beeldmateriaal persoonsgegevens worden verwerkt; personen worden herkenbaar opgenomen en vastgelegd.

Het onder punt 3 genoemde domoticasysteem integreert met een systeem op het gebied van brandmelding, inbraaksignalering, toegangscontrole of cameraobservatie en verwerkt daarmee persoonsgegevens zoals hierboven aangegeven.

Bij dit product/deze dienst worden mogelijk strafbare feiten en ras vastgelegd op beeldmateriaal. Verwerken van deze bijzondere persoonsgegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

6. Data processor heeft bij het ontwerpen van het product/de dienst privacy by design op de volgende wijze toegepast:

Opdrachtgever voert de gegevens, vermeld en bedoeld onder punt 5, in de beveiligings- en brandmeldinstallatie in en kan deze gegevens wijzigen en verwijderen. Data processor controleert de gegevens niet en zal gegevens alleen inzien op verzoek van de opdrachtgever, bijvoorbeeld als dat nodig is om een vraag aan de service, aan de engineers of aan de verkoopafdeling van data processor te beantwoorden.

7. Data processor gebruikt de Data Pro Standaardclausules voor verwerkingen, welke te vinden zijn op onze website: xxxxx://xxx.xxxxxxxxxxxxx.xx onder ‘Over Loogisch’ en vervolgens ‘AVG’.

8. Data processor verwerkt de persoonsgegevens van zijn opdrachtgevers binnen de EU/EER.

9. Data processor maakt gebruik van de volgende sub-processors: xxx.xxxxxxx.xx/xxxxx/xxxxxxxxx/xxxxxxxxxxxxx.xxx

10. Na beëindiging van de overeenkomst met een opdrachtgever verwijdert data processor de persoonsgegevens die hij voor opdrachtgever verwerkt in principe binnen [3 maanden] op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn (render inaccessible).

BEVEILIGINGSBELEID

11. Data processor heeft de volgende beveiligingsmaatregelen genomen ter beveiliging van zijn product of dienst:

a. het naleven van de in artikel 5 van de Data Pro Standaardclausules voor verwerkingen genoemde geheimhoudingsverplichting;

b. het beveiligen en beveiligd houden van de eigen apparatuur (zoals servers, switches en routers) en eigen randapparatuur (zoals werkstations en laptops) onder beheer van de data processor waarmee de data processor toegang heeft tot de persoonsgegevens, door middel van firewalls, authenticatiemiddelen, het hanteren van ‘up to date’ virussen, trojans en andere malware detectie software en aanverwante beveiligingsmaatregelen waaronder het inzetten van private (VLAN, IP-VPN) verbindingen;

c. het aanwijzen van personen die met de uitvoering van de verwerking zijn belast en geautoriseerd zijn om zichzelf toegang te verlenen op een ‘need to know’ basis;

d. het zo spoedig als redelijkerwijs mogelijk is na ontdekking aan opdrachtgever melden van beveiligingsincident(en) waarbij persoonsgegevens verloren zijn gegaan of een onrechtmatige verwerking redelijkerwijs niet uit te sluiten is (hierna: “datalek”).

e. het nemen van maatregelen die redelijkerwijs van data processor kunnen worden verwacht om de nadelige gevolgen van het datalek in voorkomend geval te herstellen, dan wel zoveel mogelijk te beperken;

12. Data processor gaat zich in 2018 conformeren aan het volgende Information Security Management System (ISMS):

- ISO 27001

- NEN 7510

In de bijbehorende verklaring van toepasselijkheid worden de beheersmaatregelen beschreven, met een toelichting bestaande uit de rechtvaardiging voor het opnemen van de maatregel, de informatie of ze zijn geïmplementeerd of niet, en de rechtvaardiging om beheersmaatregelen van bijlage A (cf. ISO27001) uit te sluiten.

DATALEKPROTOCOL

13. In geval er toch iets mis gaat, hanteert data processor het volgende datalekprotocol om ervoor te zorgen dat klanten op de hoogte zijn van incidenten:

Indien de data processor in zijn organisatie een datalek ontdekt, zal de data processor zijn opdrachtgever daarvan zo snel mogelijk op de hoogte stellen, door contact op te nemen met de bij ons geregistreerde hiervoor te benaderen contactpersoon (of indien dit niet specifiek bekend is, de algemeen geregistreerde contactpersoon). Dit contact zal per email gelegd worden en indien het mailadres niet bekend is zal dit contact telefonisch gelegd worden.

Data processor levert zo veel mogelijk relevante gegevens aan, waaronder en waar mogelijk omschrijving van het incident, aard van de inbreuk, aard persoonsgegevens

c.q. categorieën van betrokken data subjects, schatting van aantal betrokken data subjects en mogelijk betrokken databases, indicatie wanneer het incident heeft plaatsgevonden, mogelijke gevolgen, genomen maatregelen en eventueel nog te nemen maatregelen.

Meldingen worden indien mogelijk binnen 72 uur gedaan aan opdrachtgever. Data processor zal zelf geen meldingen doen aan de Autoriteit Persoonsgegevens (AP). Het wel of niet aan AP melden blijft de verantwoordelijkheid van de opdrachtgever. De data processor zal de opdrachtgever desgewenst ondersteunen bij het meldproces.