Verwerkersovereenkomst exploitatie iVRI’s Versie 31 oktober 2018

Verwerkersovereenkomst exploitatie iVRI’s

Versie 31 oktober 2018

[de gemeente / de provincie / Rijkswaterstaat] gevestigd te ……. en kantoorhoudende aan ………………, ten deze rechtsgeldig vertegenwoordigd door ………….., hierna te noemen de “Verwerkingsverantwoordelijke”

en

[organisatie] ingeschreven bij de Kamer van Koophandel onder nummer ………. en statutair gevestigd te ……….. en kantoorhoudende aan ……. te ……. , ten deze rechtsgeldig vertegenwoordigd door …………………, hierna te noemen “Verwerker”,

Gezamenlijk aan te duiden als Partijen;

Overwegende dat:

1. Verwerkingsverantwoordelijke een wegbeheerder is en in dat kader intelligente verkeersregelinstallaties exploiteert (hierna: iVRI’s);

2. Verwerker een leverancier is op het gebied van (exploitatie)diensten van iVRI’s;

3. Partijen in dat kader op [datum hoofdovereenkomst] een overeenkomst hebben gesloten onder de titel [titel hoofdovereenkomst] (hierna: Hoofdovereenkomst);

4. Verwerker bij de uitvoering van de Hoofdovereenkomst Persoonsgegevens zal Verwerken ten behoeve van Verwerkingsverantwoordelijke;

5. Partijen hun onderlinge verhoudingen ten aanzien van de te Verwerken Persoonsgegevens wensen vast te leggen in deze Verwerkersovereenkomst;

verklaren te zijn overeengekomen een Verwerkersovereenkomst als bedoeld in artikel 28, derde lid, van de Algemene Verordening Gegevensbescherming (hierna: AVG), tussen de Verwerkingsverantwoordelijke en de Verwerker.

1. Definities

1. Betrokkene: betrokkene zoals gedefinieerd in artikel 4 AVG.

2. Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die na door beide partijen te zijn geparafeerd, deel uitmaken van deze Verwerkersovereenkomst.

3. Normen en standaarden: de door de verwerkingsverantwoordelijke vastgestelde normen en standaarden ter zake van methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften welke bij de uitvoering van de werkzaamheden door de Verwerker zullen worden gevolgd als vastgelegd in Bijlage 1.

4. Toezichthouder: de Autoriteit Persoonsgegevens (AP) is het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder in de zin van artikel 51 AVG is aangesteld voor het toezicht op het verwerken van persoonsgegevens.

4. (Verwerkings)verantwoordelijke: de verwerkingsverantwoordelijke zoals gedefinieerd in artikel 4 AVG.

5. Verwerker: de verwerker zoals gedefinieerd in artikel 4 AVG. Degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, in opdracht van de Verwerker, is een sub-Verwerker.

6. Verwerken: verwerken zoals gedefinieerd in artikel 4 AVG.

7. Persoonsgegevens: persoonsgegevens zoals gedefinieerd in artikel 4 AVG.

2. Ingangsdatum en duur

2.1 Deze Verwerkersovereenkomst gaat in op het moment van ondertekening en duurt voort zolang de Verwerker als Verwerker van Persoonsgegevens optreedt in het kader van de door de Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens voor het leveren van de diensten uit hoofde van de Hoofdovereenkomst.

2.2 De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Hoofdovereenkomst, of indien langer, de duur van de feitelijke Verwerking van Persoonsgegevens.

Artikel 3 Onderwerp van deze Verwerkersovereenkomst

1. De Verwerker Verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst. De door de Verwerker uit te voeren werkzaamheden waar deze Verwerkersovereenkomst betrekking op heeft, worden nader omschreven in Bijlage 2. Verwerker zal de persoonsgegevens niet voor enig ander doel Verwerken, behoudens afwijkende wettelijke verplichtingen (in welk geval hij zelfstandig verwerkingsverantwoordelijke in de zin van art. 4 AVG wordt) of voor het opvolgen van instructies van de Verwerkingsverantwoordelijke. De Verwerker verbindt zich om in het kader van die werkzaamheden de door of via de Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens zorgvuldig te verwerken.

Artikel 4 Verplichtingen Verwerker

1. De Verwerker Verwerkt Persoonsgegevens, in overeenstemming met diens instructies.

2. De Verwerker heeft geen zeggenschap over de Verwerkte Persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens.

3. De Verwerker zal bij de Verwerking van Persoonsgegevens in het kader van de in artikel 3 genoemde werkzaamheden, handelen in overeenstemming met de in Nederland toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.

4. De Verwerker zal te allen tijde op eerste verzoek van de contactpersoon, als bedoeld in artikel 12.2, door Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens met betrekking tot deze Verwerkersovereenkomst ter hand stellen.

5. De Verwerker stelt de Verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

6. In het geval dat een Betrokkene een verzoek tot inzage, verbetering, aanvulling, verwijdering of afscherming van zijn of haar Persoonsgegevens, richt aan de Verwerker, zal de Verwerker het verzoek uiterlijk binnen een week door sturen aan Verwerkersverantwoordelijke.

7. De Verwerker werkt op verzoek van Verwerkingsverantwoordelijke te allen tijde mee aan een gegevensbeschermingseffectbeoordeling (GEB), ook wel Privacy Impact Assesment (PIA) genoemd. Deze medewerkingsplicht zal bij substantieel meer betrokkenheid van Verwerker anders dan het documenteren van de verwerking en de maatregelen tot voorkoming van onrechtmatige verwerking tot een verplichting van vergoeding van het meerdere door Verwerkingsverantwoordelijke leiden.

Artikel 5 Geheimhoudingsplicht

1. Personen in dienst van, dan wel werkzaam ten behoeve van de Verwerker, evenals de Verwerker zelf, zijn verplicht tot geheimhouding met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht. De medewerkers van de Verwerker tekenen hiertoe een geheimhoudingsverklaring. Laatstgenoemde geheimhoudingsverklaring valt onder het controlerecht van artikel 10.

Artikel 6 Meldplicht datalekken en beveiligingsincidenten

1. De Verwerker zal de Verwerkingsverantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 36 uur na de eerste ontdekking – informeren over alle (vermoedelijke) inbreuken op de beveiliging van de Persoonsgegevens en/of gebeurtenissen die tot een (vermoedelijke) onrechtmatige Verwerking van de Persoonsgegevens heeft geleid, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de bevoegde toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken.

2. De Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken. De meldingsprocedure is als bijlage opgenomen bij deze Verwerkersovereenkomst. Verwerker stelt de verwerkingsverantwoordelijke op de hoogte van materiele wijzigingen in het plan van aanpak.

3. De Verwerker zal het doen van meldingen aan de bevoegde toezichthouder(s) overlaten aan de Verwerkingsverantwoordelijke.

4. De Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n). Daarbij verschaft Verwerker in ieder geval de informatie, zoals beschreven in Bijlage 3, aan de Verwerkingsverantwoordelijke.

5. De Verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen waarin minimaal de informatie zoals bedoeld in Bijlage 3 is opgenomen, en geeft daar op eerste verzoek van de verwerkingsverantwoordelijke inzage in.

Artikel 7 Beveiligingsmaatregelen en controle

1. De Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens welke worden Verwerkt ten dienste van de Verwerkingsverantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onrechtmatige Verwerking. De wijze van beveiliging wordt nader omschreven in Bijlage 4.

2. De Verantwoordelijke is gedurende de looptijd van de Overeenkomsten gerechtigd om periodiek of indien omstandigheden hiertoe aanleiding geven, de Verwerking van persoonsgegevens te (doen) controleren. De Verwerker is verplicht de Verwerkingsverantwoordelijke, de Autoriteit Persoonsgegevens, of, de onder geheimhouding, controlerende instantie in opdracht van Verwerkingsverantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.

3. De Verwerkingsverantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de Verwerker, tenzij dit redelijkerwijze niet van hem gevergd kan worden. Hiervoorgaande meldingsplicht kan naar zijn aard niet afdoen aan de controlerechten van de Autoriteit Persoonsgegevens.

4. De Verwerker verbindt zich om binnen een door de Verwerkingsverantwoordelijke te bepalen termijn de Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de Verwerker van deze Verwerkersovereenkomst. De Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.

5. Verwerker staat ervoor in, de door de Verwerkingsverantwoordelijke of ingeschakelde derde, aangegeven aanbevelingen ter verbetering binnen de daartoe door de Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.

6. De Verwerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze Verwerkersovereenkomst. De met de rapportage gemoeide kosten zijn voor rekening van de Verwerker.

7. Naast rapportages door de Verwerker en controles door de Verwerkingsverantwoordelijke of controlerende instantie in opdracht van de verwerkingsverantwoordelijke, kunnen beide partijen ook overeenkomen gebruik te maken van een Third Party Memorandum (TPM) opgesteld door een onafhankelijke externe deskundige.

8. De redelijke kosten van de controle worden gedragen door de partij die de kosten maakt, tenzij uit de controle blijkt dat de Verwerker enig punt uit deze Verwerkersovereenkomst niet heeft nageleefd. In dat geval worden de kosten van de controle gedragen door de Verwerker.

Artikel 8 Inschakeling derden

1. De Verwerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande, duidelijk gespecificeerde, schriftelijke toestemming van de Verwerkingsverantwoordelijke.

2. De Verwerkingsverantwoordelijke kan aan de schriftelijke toestemming voorwaarden verbinden, op het gebied van geheimhouding en ter naleving van de verplichtingen uit deze Verwerkersovereenkomst.

3. De Verwerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst. De Verwerker garandeert dat deze derden schriftelijk minimaal dezelfde plichten op zich nemen als tussen de Verwerkingsverantwoordelijke en de Verwerker zijn overeengekomen en zal de verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in de overeenkomsten met deze derden waarin deze plichten zijn opgenomen.

4. Doorgifte naar andere landen dan lidstaten van de Europese Economische Ruimte (EER) of Zwitserland is uitsluitend toegestaan na voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke en met inachtneming van de toepasselijke wet- en regelgeving.

5. De Verwerker houdt een actueel register bij van de door hem ingeschakelde derden en onderaannemers waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de derden of onderaannemers zijn opgenomen, alsmede eventuele door de Verwerkingsverantwoordelijke gestelde aanvullende voorwaarden. Dit register zal als Bijlage 5 aan deze Verwerkersovereenkomst worden toegevoegd en zal door de Verwerker actueel worden gehouden.

Artikel 9 Wijziging en beëindigen Verwerkersovereenkomst

1. Wijziging van deze Verwerkersovereenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.

2. Zodra de samenwerking is beëindigd, zal de Verwerker naar keuze van de Verwerkingsverantwoordelijke:

   1. alle of een door Verwerkingsverantwoordelijke bepaald gedeelte van hem in het kader van deze Verwerkersovereenkomst ter beschikking gestelde Persoonsgegevens aan de Verwerkingsverantwoordelijke ter beschikking stellen;

   2. de Persoonsgegevens die hij van of wegens de Verwerkingsverantwoordelijke heeft ontvangen op alle locaties vernietigen, in welke vorm dan ook en toont dit aan, tenzij Partijen iets anders overeenkomen.

De Verwerkingsverantwoordelijke kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging. Deze werkzaamheden moeten, binnen nader overeen te komen redelijke termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt. De kosten gemoeid met deze inspanningen komen voor rekening van Verwerkingsverantwoordelijke, voor zover deze kosten niet inbegrepen zijn in de overeengekomen prijzen en vergoedingen van opdrachtnemer voortvloeiende uit de uitvoering van de overeenkomst.

3. De Verwerker zal te allen tijde de in het vorig lid beschreven recht op overdraagbaarheid van gegevens conform artikel 20 AVG waarborgen, zodanig dat er geen sprake is van verlies van functionaliteit of (delen van) de Persoonsgegevens.

4. Verwerkingsverantwoordelijke en Verwerker treden met elkaar in overleg over wijzigingen in deze Verwerkersovereenkomst als een wijziging in regelgeving of een wijziging in de uitleg van regelgeving daartoe aanleiding geven.

5. Indien een partij tekortschiet in de nakoming van een overeengekomen verplichting, kan de andere partij hem in gebreke stellen waarbij de nalatige partij alsnog een redelijke termijn voor de nakoming wordt gegund. Blijft nakoming ook dan uit dan is de nalatige partij in verzuim. Ingebrekestelling is niet nodig wanneer voor de nakoming een fatale termijn geldt, nakoming blijvend onmogelijk is of indien uit een mededeling dan wel de houding van de andere partij moet worden afgeleid dat deze in de nakoming van haar verplichting zal tekortschieten.

6. Indien de Verwerkersovereenkomst voortijdig wordt beëindigd is artikel 9 lid 2 en 3 van overeenkomstige toepassing

7. Het beëindigen of aflopen van deze Verwerkersovereenkomst zal Xxxxxxxxx niet ontslaan van zijn geheimhoudingsplicht ingevolge artikel 5.

Artikel 10 Aansprakelijkheid

1. Verwerker vrijwaart Verwerkingsverantwoordelijke voor schade of nadeel voor zover ontstaan door werkzaamheid van de Verwerker.

2. Verwerkingsverantwoordelijke vrijwaart Verwerker voor schade of nadeel voor zover toe te rekenen aan Verwerkingsverantwoordelijke.

3. Hiervoorgaande vrijwaringen worden in het geval het nadeel of schade bestaat uit een opgelegde boete omgezet in een aansprakelijkheid welke eerst inroepbaar is nadat de partij die de boete opgelegd heeft gekregen alle mogelijkheden tot bezwaar en beroep tegen de boeteoplegging heeft uitgeput.

Artikel 11 Toepasselijk recht

11.1 Op deze Verwerkersovereenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing.

Artikel 12 Overige bepalingen

1. Deze Verwerkersovereenkomst kan worden aangehaald als 'Verwerkersovereenkomst exploitatie iVRI’s”

Aldus opgemaakt op:

Ondertekend te [PLAATS] Ondertekend te [PLAATS]

[DATUM DD/MMM] 2018 [DATUM DD/MMM] 2018

__________________________ __________________________

Handtekening Opdrachtgever Handtekening Opdrachtnemer

Bijlage 1: Beschrijving beveiliging ter uitwerking van artikel 1 lid 2

1. Normenstelsel: De informatiebeveiliging vindt plaats volgens algemeen erkende normen, namelijk:

1. De in Nederland en Europa geldende wet- en regelgeving. Voor security is dit momenteel in ieder geval de NEN/ISO27001 en NEN/ISO 27002 (met dien verstande dat hier geen certificatiemogelijkheid voor bestaat) en de daaruit afgeleide BIR voor het Rijk, BIG voor gemeenten en IBI voor provincies. En per 1 januari 2019 de nieuwe Baseline Informatiebeveiliging Overheid (BIO). Voor gegevensbescherming is dit momenteel in ieder geval Algemene Verordening Gegevensbescherming (AVG);

2. De landelijke standaarden voor iVRI’s die zijn vastgesteld door de Strategic Committee voor het borgen en beheren van iVRI standaarden en producten en de vertaling hiervan door CROW naar specifieke CROW Richtlijnen, zie hiervoor de website van CROW: xxx.xxxx.xx;

3. De Aansluitingsvoorwaarden en Toetredingsvoorwaarden Talking Traffic die zijn vastgesteld door de Council Talking Traffic.

2. De toereikendheid van de informatiebeveiliging blijkt uit een combinatie van onderstaande factoren, waarbij alleen punt a in die zin optioneel is dat hier sprake kan zijn van een voorziene certificering uiterlijk einde 2019:

   1. certificering conform ISO 27001 (of gelijkwaardig);

   2. voor iVRI producten (TLC, RIS, ITS Applicatie) een iVRI Certificaat;

   3. periodieke externe controles zoals audits of TPM’s;

   4. een assurance rapport met conclusie over de bevindingen van de auditor;

   5. eigen controles of eigen mededelingen.

3. Uit de certificering of periodieke externe controles of uit de audits of uit de eigen controles blijkt of kan afgeleid worden dat de beveiliging voldoet aan of gelijkwaardig is met de toelichting (Bijlage 4) en de daarin omschreven elementen.

Bijlage 2: Omschrijving werkzaamheden ter uitwerking van artikel 3 lid 1

1. De werkzaamheden van de Verwerker (de verleende diensten en de bijbehorende verwerking)

Het betreft i.c. de verwerking van persoonsgegevens in het kader van de exploitatie van intelligente verkeersregelinstallaties in het kader van de taken van Verantwoordelijke als bevoegd gezag in de zin van artikel 18 Wegenverkeerswet 1994. De verwerkte Persoonsgegevens mogen uitsluitend worden gebruikt door verwerkingsverantwoordelijke in het kader van deze doelstellingen.

1. Verwerken van diverse detectordata t.b.v. de exploitatie van intelligente verkeersregelinstallaties;

2. Verwerken van streaming V-log 3.0 data t.b.v. de exploitatie van intelligente verkeersregelinstallaties en het doorgeven van streaming V-log 3.0 data aan TLEX t.b.v. de conversie door TLEX naar SPaT data. Hieronder valt nadrukkelijk niet het voor andere toepassingen verwerken van streaming V-log 3,0 data en ook niet het verwerken van andere vormen van V-log data (zoals V-log 2.0);

3. Ontvangen van CAM data van TLEX en verwerken t.b.v. de exploitatie van intelligente verkeersregelinstallaties;

4. Ontvangen van SRM data en verwerken t.b.v. de exploitatie van intelligente verkeersregelinstallaties.

SPaT data bevat geen persoonsgegevens en is derhalve niet opgenomen in de verwerkersovereenkomst.

De Verwerker fungeert ter zake van dit systeem als exploitant van intelligente verkeersregelinstallaties en/of als communicatieplatform tussen intelligente verkeersregelinstallaties en uitwisselingspartners van Verwerkingsverantwoordelijke.

2. Omschrijving van de werkzaamheden van de derden (sub-Verwerkers):

Dit betreft activiteiten die wegbeheerders door C1 partijen mogelijk zouden willen laten uitvoeren door derden/onderaannemers t.b.v. de exploitatie van intelligente verkeersregelinstallaties voor overheden. Dit kunnen alleen de bij lid 1 genoemde activiteiten zijn.

3. Categorieën personen en soorten Persoonsgegevens:

De Betrokkenen zijn weggebruikers en de Persoonsgegevens betreffen verplaatsingsgegevens met inbegrip van locatiegegevens en/of voertuiggegevens.

Bijlage 3: Inlichtingen om incidenten te beoordelen ter uitwerking van art. 6 lid 1 en 5

De Verwerker zal alle inlichtingen verschaffen die de verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen.

Contactpersoon voor incidenten aan de zijde van Verwerkingsverantwoordelijke is/zijn

[invoegen opsomming van contactpersonen en hun contactgegevens]

Onder incident wordt in ieder geval het volgende verstaan:

1. een klacht of informatieverzoek van een natuurlijk persoon met betrekking tot de verwerking van de persoonsgegevens door Xxxxxxxxx;

2. een onderzoek naar of beslaglegging door overheidsfunctionarissen van de persoonsgegevens, of een vermoeden dat zulks gaat plaatsvinden;

3. iedere ongeautoriseerde of onopzettelijke toegang, verwerking, verwijdering, verlies of enige vorm van onrechtmatige verwerking van de persoonsgegevens;

4. een doorbreking van de beveiliging en/of geheimhoudingsplicht, die leidt tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaats vinden.

Daarbij verschaft Verwerker in ieder geval de volgende informatie aan de Verwerkingsverantwoordelijke:

• wat de (vermeende) oorzaak is van de inbreuk;

• wat het (vooralsnog bekende en/of te verwachten) gevolg is;

• wat de (voorgestelde) oplossing is;

• contactgegevens voor de opvolging van de melding;

• aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk);

• een omschrijving van de groep personen van wie gegevens betrokken zijn bij de inbreuk;

• het soort of de soorten persoonsgegevens die betrokken zijn bij de inbreuk;

• de datum waarop de inbreuk heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen de inbreuk heeft plaatsgevonden);

• de datum en het tijdstip waarop de inbreuk bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer;

• of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;

• wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken.

Bijlage 4: Toelichting Beveiligingsmaatregelen

Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Verwerker zal de Diensten en de systemen die zij gebruikt voor het aanbieden van de Diensten beveiligen tegen ongeautoriseerd gebruik en verlies van ingevoerde gegevens. Het door Verwerker gehanteerde beschermingsniveau, alsmede de daarvoor geldende certificering, wordt nader beschreven in de meest recente versie van de vigerende SLA (voor zover overeengekomen).

Verwerker zal uit eigen beweging de in de vigerende SLA vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze overeenkomst een passend beschermingsniveau blijven bieden. Verwerker garandeert tevens dat Diensten en systemen die zij gebruikt voor het aanbieden van de Diensten voldoen en blijven voldoen aan veiligheidsnormen zowel intern als extern zoals nader omschreven in de meest recente versie van de vigerende SLA.

Verwerker zorgt voor jaarlijkse certificering (Third party mededeling: TPM) van de organisatorische en technische beveiligingsmaatregelen.

Om verwerkingsverantwoordelijke in staat te stellen te kunnen beoordelen welke maatregelen Verwerker en de door Verwerker ingeschakelde sub-Verwerker heeft genomen (en waarvoor de certificering is verkregen) zal Verwerker jaarlijks het rapport waarin deze maatregelen zijn opgenomen toezenden naar de verwerkingsverantwoordelijke.

Bijlage 5: Omschrijving onderaannemers ter uitwerking van artikel 8 lid 5

Verwerker maakt bij de uitvoering van de Verwerkersovereenkomst gebruik van de derden/onderaannemers die in deze Bijlage zijn vermeld. De Verwerker zal deze Bijlage conform artikel 8 van deze Verwerkersovereenkomst bijwerken indien er wijzigingen plaatsvinden in de ingeschakelde derden/onderaannemers en deze lijst onverwijld ter beschikking stellen aan de verwerkingsverantwoordelijke.

[PARTIJ 1]

Vestigingsplaats:

Inschrijvingsnummer handelsregister:

Beschrijving van de werkzaamheden:

Voorwaarden van de verwerkingsverantwoordelijke gesteld aan toestemming:

[PARTIJ 2]

Vestigingsplaats:

Inschrijvingsnummer handelsregister:

Beschrijving van de werkzaamheden:

Voorwaarden van de verwerkingsverantwoordelijke gesteld aan toestemming.

5