Overeenkomst inzake de verwerking van gegevens (hierna te noemen: Verwerkersovereenkomst) voor het online support verlenen van het benoemde pakket in de aanvraag email “Info Instruments BV AVG goedkeuring”.
Overeenkomst inzake de verwerking van gegevens (hierna te noemen: Verwerkersovereenkomst) voor het online support verlenen van het benoemde pakket in de aanvraag email “Info Instruments BV AVG goedkeuring”.
tussen Uw bedrijf
…………………………………………….
……………………………………………..
…………………………………………….
…………………………………………….
-hierna te noemen: “Klant”-en
Info Instruments BV. Xxxxxxxxx 0000
0000 XX Xxxxx Xxxxxxxxx
- hierna te noemen: “Opdrachtnemer” -- gezamenlijk te noemen: “Partijen”-
Deze Verwerkersovereenkomst regelt de wettelijke verplichtingen van de Partijen inzake de bescherming van persoonsgegevens bij de verwerking daarvan in het kader van online support. De Verwerkersovereenkomst is van toepassing op alle activiteiten die verband houden met het inloggen van het software pakket waarbij medewerkers van de Opdrachtnemer en/of door Opdrachtnemer ingeschakelde derden toegang hebben tot door de Klant verstrekte persoonsgegevens.
1. VOORWERP EN DUUR VAN DE OVEREENGEKOMEN VERWERKING
Opdrachtnemer verzamelt, verwerkt of gebruikt persoonsgegevens uitsluitend namens en in vereenstemming met de instructies van Klant. Opdrachtnemer is verantwoordelijk voor het naleven van de wettelijke bepalingen inzake de bescherming van persoonsgegevens.
1.1 Doeleinden van de overeengekomen gegevensverwerking: De doeleinden ten behoeve waarvan gegevens worden verwerking vloeien voort uit het door Partijen afgesloten Hoofdcontract
( v.b. TIsWeb) en, indien beschikbaar, de toepasselijke service contracten (service descriptions). Dit houdt met name in dat de Opdrachtnemer de volgende taken zal uitvoeren: De omvang van de verwerking wordt gedetailleerd beschreven in de service contracten (Service descriptions) van Info Instruments BV. voor de TIS-WEBR Services en de functionele productoverzichten.
1.2 Duur van de verwerking: De duur van de overeengekomen verwerking is gelijk aan de duur van het Hoofdcontract en/of eventuele individuele contracten of orders op basis van een raamovereenkomst.
1.3 Beëindiging zonder kennisgeving: Klant kan deze Verwerkersovereenkomst, alsmede de Hoofd- overeenkomst, zonder opzegtermijn met onmiddellijke ingang beëindigen, indien de Opdrachtnemer verwijtbaar inbreuk maakt op wettelijke bepalingen inzake de bescherming van gegevens en/of de verplichtingen uit hoofde van de Verwerkersovereenkomst.
2. Inhoud van de te verwerken data: Opdrachtnemer zal alleen persoonsgegevens verzamelen, verwerken of gebruiken in het kader van de door Partijen overeengekomen verwerking en volgens de instructies van Klant (zie ook art. 8 ).
2.1 Omvang, aard en doel van de overeengekomen gegevensverwerking: De omvang, aard en het doel van het verzamelen, verwerken en/of gebruiken van persoonsgegevens wordt in detail ontleend aan het Hoofdcontract. Dit houdt met name in dat de volgende procedures voor gegevensverwerking worden gevolgd: Info Instruments BV is uitsluitend gerechtigd persoonsgegevens te verzamelen, te verwerken en te gebruiken in overeenstemming met de TIS-WEBR Services of andere software pakketten en de instructies van de Klant (zie ook art 8). Meer informatie over de omvang, de aard en het doel van het verzamelen, verwerken en/of gebruiken van persoonsgegevens is te vinden in de Algemene Voorwaarden behorend bij het Hoofdcontract en de functionele productoverzichten.
2.2 Soort gegevens In het bijzonder zijn de navolgende soorten/categorieën persoonsgegevens onderwerp van verzameling, verwerking of gebruik: Persoonsgegevens; Communicatiegegevens zoals telefoon, e-mail), Contractgegevens (contractuele relatie, product of contractuele belangen), Voorgeschiedenis van de Klant, Facturatie en betalingsgegevens, Bankgegevens, rekeningnummer, bankcode of IBAN), Planning- en controlegegevens, Gegevens verkregen van derden, zoals van kredietinstellingen of uit openbare registers, Speciale categorieën gegevens en Overige:...
▪ toegangsgegevens van de Klant en zijn uitvoerders / gebruikers
▪ bestuurdersgegevens
▪ voertuiggegevens en voertuigprofielen
▪ communicatiegegevens (bijv. telefoon, e-mail)
▪ verplaatsingsgegevens, GPS-gegevens
▪ activiteiten van bestuurders en inzetprofiel, met inbegrip van rij- en rusttijden overeenkomstig aanhangsel 1B van Verordening EU 561/2006
▪ gegevens voor het gebruik van de dienst door gebruikers
▪ downloadgegevens voor de bestuurderskaart en tachograaf
2.3 Betrokkenen:
Van onder meer de volgende categorieën personen worden persoonsgegevens verwerkt:
▪ Klanten
▪ Medewerkers
▪ Leveranciers
▪ Contactpersonen Overige: ...
▪ Klanten
▪ Personen in dienst van de Klant, zijnde bestuurders en gebruikers van TISWEB R Services
2.4 Technische / organisatorische maatregelen:
Voor zover niet anders is bepaald in de Service contracten of het Hoofdcontract, worden de door Opdrachtnemer getroffen technische en organisatorische maatregelen beschreven in bijlage1 bij deze Verwerkersovereenkomst. De technische en organisatorische maatregelen zijn onderhevig aan technologische proces- en verdere ontwikkelingen. Opdrachtnemer is daarom gerechtigd om adequate alternatieve maatregelen te implementeren. Het beveiligingsniveau van de toegepaste maatregelen mag in elk geval niet in het gedrang komen. Belangrijke wijzigingen moeten door Opdrachtnemer worden gedocumenteerd.
3. Rechten van de betrokkenen – rectificatie, recht op beperking van verwerking en het recht op vergetelheid
3.1 Klant dient betrokken te zijn bij de waarborging van de rechten van de betrokkene en moet zorgen voor de naleving van de overeenkomstige wettelijke verplichtingen van Klant, in het bijzonder met betrekking tot meldingen aan betrokkene (n), het verstrekken van informatie aan betrokkene(n) en het recht op rectificatie, wissen en/of beperking van de verwerking van persoonsgegevens.
3.2 Opdrachtnemer mag de persoonsgegevens alleen rectificeren, wissen of de verwerking ervan beperken overeenkomstig de instructies van Klant. In geval een betrokkene rechtstreeks contact opneemt met de Opdrachtnemer om zijn gegevens te laten rectificeren of wissen, moet de opdrachtnemer dit verzoek onmiddellijk doorsturen naar Klant.
3.3 Indien Klant wettelijk verplicht is om informatie
met betrekking tot het verzamelen, verwerken of gebruiken van persoonsgegevens aan natuurlijke personen (betrokkenen) te verstrekken, moet de Opdrachtnemer de Klant ondersteunen bij het verstrekken van deze informatie. Indien Klant de Opdrachtnemers verzoekt om dit schriftelijk te doen, draagt Klant de kosten die de Opdrachtnemer voor deze ondersteunende diensten maakt.
4. Inspecties en overige verantwoordelijkheden van Opdrachtnemer:
4.1 Opdrachtnemer is verder verantwoordelijk voor het naleven van de volgende verplichtingen: Bescherming van de geheimhouding: Alle personen die toegang hebben tot persoonlijke informatie van de Klant in het kader van hun contractuele plichten moeten tot geheimhouding worden verplicht.
4.2 Implementatie en naleving van alle nodige technische en organisatorische maatregelen (zie ook artikel 0).
4.3 De mogelijk om op verzoek van de Klant de genomen technische en organisatorische maatregelen te verifiëren. Opdrachtnemer kan actuele verklaringen, verslagen of uittreksels uit verslagen van onafhankelijke instanties zoals (auditors, inspecteurs, functionarissen
voor de gegevens-bescherming, IT-beveiligingsafdeling-en, gegevensbeschermingsauditors en kwaliteitsauditors) of een passende certificering van een IT-beveiligings- of gegevensbeschermingsaudit voorleggen (bijv. conform de BSI Basic Protection).
4.4 Controles door middel van regelmatige beoordelingen uitgevoerd door de Opdrachtnemer, inzake de uitvoering of nakoming van de overeengekomen gegevensverwerking, in het bijzonder de naleving van en eventuele noodzakelijke wijzigingen aan voorschriften en maatregelen inzake de
overeengekomen gegevensverwerking. Melding aan de Klant van tekortkomingen en/of onregelmatig- heden die bij de beoordeling werden ontdekt.
4.5 Schriftelijke aanstelling - indien wettelijk vereist - van een functionaris voor gegevensbescherming (DPO). De Klant krijgt de beschikking over contactgegevens om rechtstreeks contact te kunnen opnemen met de DPO.
4.6 Verstrekking van de volledige schriftelijke documentatie inzake het verzamelen, verwerken of gebruiken van persoonsgegevens, op basis waarvan de Klant te allen tijde de rechtmatigheid van de gegevensverwerking kan aantonen.
4.7 Verstrekking van informatie en gegevens die nodig zijn voor de Klant om verwerkingsactiviteiten te kunnen registreren; dergelijke informatie mag alleen worden verstrekt op verzoek van Xxxxx en alleen met betrekking tot de gegevens die door Opdrachtnemer in het kader van deze verwerkersovereenkomst zijn verwerkt.
5. Onderaannemers
5.1 Indien onderaannemers zijn betrokken bij de verwerking of het gebruik van persoonsgegevens van de Klant, moet er worden voldaan aan de volgende voorwaarden:
• Opdrachtnemer moet de onderaannemer zorgvuldig selecteren en voor het sluiten van de overeenkomst controleren of deze in staat is om te voldoen aan overeenkomsten gesloten tussen Partijen.
• Het inhuren van onderaannemers is in het principe alleen toegestaan na schriftelijke toestemming van de Klant.
• Opdrachtnemer moet de overeenkomsten met de onderaannemer(s) zodanig opstellen dat er wordt voldaan aan de bepalingen inzake gegevensbescherming die van toepassing zijn op de contractuele relatie tussen Partijen.
5.2 Indien de Klant reeds toestemming heeft verleend voor het gebruik van onderaannemers, staan deze vermeld in
bijlage 1 bij deze Verwerkersovereenkomst.
Elke latere betrokkenheid van onderaannemers met toestemming van de Klant dient te worden gedocumenteerd.
5.3 Diensten die de Opdrachtnemer als bijkomende diensten uitvoert om de Opdrachtnemer
te ondersteunen bij de uitvoering van de overeengekomen verwerking van gegevens, mogen niet worden beschouwd als onder aanneming relaties in de zin van deze overeenkomst.
Deze diensten omvatten bijv. telecommunicatiediensten, onderhouds- en gebruikersdiensten, schoonmaakdiensten, audits of verwijdering van media voor gegevensopslag. Opdrachtnemer is echter wel verplicht om passende en rechtsgeldige overeenkomsten te sluiten en om controlemaatregelen te treffen om de bescherming en beveiliging van gegevens van de
Klant te waarborgen, mede met betrekking bijkomende diensten die zijn ingekocht bij derden.
6. Zeggenschapsrechten van de Klant
6.1 Opdrachtnemer gaat ermee akkoord dat de Klant te allen tijde het recht heeft om -na schriftelijke kennisgeving- de naleving van de voorschriften inzake de bescherming van gegevens en de bepalingen van deze Verwerkersovereenkomst door Opdrachtnemer te controleren,
in het bijzonder door informatie in te winnen en opgeslagen gegevens en verwerkingsprogramma’s te inspecteren. Klant heeft het recht de naleving van de Verwerkers-overeenkomst door Opdrachtnemer steekproefsgewijs te controleren.
6.2 Opdrachtnemer is verplicht om de Klant op zijn verzoek alle informatie te verschaffen die nodig is ter naleving van zijn verplichtingen met betrekking tot overeengekomen verwerking en om de relevante attesten ter beschikking te stellen.
6.3 Ten behoeve van de inspecties door de Klant voor en tijdens de overeengekomen verwerking, zorgt de Opdrachtnemer ervoor dat hij de Klant voldoende bewijs van de naleving van de overeengekomen technische en organisatorische maatregelen kan overleggen. In dat verband voorziet Opdrachtnemer de Klant van het bewijs dat de technische en organisatorische maatregelen die dit tot doel hebben zijn geïmplementeerd (zie artikel 0). Het bewijs kan ook verstrekt worden door het overleggen van actuele verklaringen, verslagen of uittreksels van verslagen afkomstig van onafhankelijke instanties (zoals auditors, inspecteurs, functionarissen voor de bescherming van persoonsgegevens, IT-beveiligings-afdelingen, gegevens beschermings- auditors en kwaliteitsauditors) of via relevante certificering van een IT-beveiliging- of gegevensbeschermingsaudit (bijv. conform de BSI Basic Protection).
7. Kennisgeving van een data inbreuk
7.1 Opdrachtnemer stelt Klant op de hoogte van elk geval van een inbreuk in verband met persoonsgegevens waarvoor de Opdrachtnemer, zijn medewerkers of onderaannemers verantwoordelijk zijn.
7.2 Indien het verlies, de onrechtmatige overdracht of de openbaarmaking van persoonsgegevens mogelijk een risico’s met zich meebrengen voor de rechten en vrijheden van natuurlijke personen (betrokkenen), kunnen er meldverplichtingen jegens regulerende instantie of de betrokkene zelf gelden. Daarom moet Klant onmiddellijk op de hoogte worden gebracht van dergelijke gevallen, ongeacht de oorzaak daarvan. Dit geldt ook in geval van ernstige verstoringen van het bedrijfsproces, de verdenking van overtreding van de wetgeving inzake de bescherming van persoonsgegevens
of andere onregelmatigheden bij de verwerking van persoonsgegevens van Klant.
7.3 Opdrachtnemer neemt in overleg met de Klant passende maatregelen om gegevens te beveiligen en eventuele negatieve gevolgen voor de betrokkenen te beperken. Indien er voor de Klant in geval van inbreuk in verband met persoonsgegevens een meldingsplicht bestaat bij toezichthouders, dient de Opdrachtnemer de Klant daarbij te ondersteunen.
8. Bevoegdheid van de Klant om richtlijnen uit te vaardigen
8.1 Persoonsgegevens mogen uitsluitend verwerkt worden in het kader van de gesloten overeenkomsten en in overeenstemming met de instructies van Klant. Klant behoudt zich het recht voor om richtlijnen uit te vaardigen met betrekking tot de aard, de omvang en het proces
van de verwerking, en om – d.m.v. individuele instructies- verdere concrete details te verstrekken. Wijzigingen in de doeleinden van de verwerking en procedures moeten in onderling overleg worden overeengekomen en gedocumenteerd. De Opdrachtnemer mag alleen informatie verstrekken aan derde partijen of betrokkenen met de voorafgaande schriftelijke toestemming van de Klant.
8.2 Mondelinge instructies moeten onmiddellijk schriftelijk door de Klant worden gemeld (bijv. e-mail). Opdrachtnemer gebruikt de gegevens voor geen enkel ander doel. Zonder medeweten van de opdrachtgever worden geen kopieën of duplicaten gemaakt. Dit geldt niet voor reserve kopieën die nodig zijn ter waarborging van correcte gegevensverwerking en voor gegevens die nodig zijn om
te voldoen aan de wettelijke archiveringsplichten.
8.3 Opdrachtnemer informeert de Klant onmiddellijk als hij vermoed dat instructies van de Klant een inbreuk zijn op de voorschriften voor de bescherming van gegevens. Opdrachtnemer heeft het recht om de uitvoering van de betreffende instructie op te schorten totdat deze bevestigd of gewijzigd is door een door de Klant aangewezen verantwoordelijke persoon.
9. Openbaarmaking, wissen van gegevens / teruggeven van media voor gegevensopslag
9.1 Opdrachtnemer is verplicht om op verzoek van de Klant of bij beëindiging van de overeengekomen gegevensverwerking, doch niet later dan aan het einde van de contractuele relatie met Xxxxx, alle documenten die hij heeft gekregen, alle verkregen dataopslag- media, alle voorbereide verwerkings- en gebruiksresultaten en alle gearchiveerde gegevens die verband houden met de contractuele relatie of die het resultaat zijn van de overeengekomen gegevensverwerking aan de Klant of aan een door Klant aangewezen derde partij terug te geven. Deze verplichting geldt ook voor kopieën en/of reproducties van media voor gegevensopslag en/of gearchiveerde gegevens. Opdrachtnemer heeft geen retentierecht inzake deze gegevens.
9.2 Na het teruggeven van de gegevens overeenkomstig de bepaling van artikel 9.1, of indien de Klant afziet van teruggave, moeten gegevens die zich nog op de gegevensdragers van de Opdrachtnemer bevinden –na toestemming van de Klant- worden vernietigd of gewist conform de wetgeving ter bescherming van persoonsgegevens. Opdrachtnemer moet op verzoek van de Klant aan de hand van passende documentatie en/of relevante waarborgen bewijzen dat het wissen is voltooid. De Klant mag niet eisen dat de bewaarde gegevens door de Opdrachtnemer worden gewist,
indien de Opdrachtnemer wettelijk verplicht is om deze data te archiveren; deze gegevens mogen voorts alleen worden verwerkt door de Opdrachtnemer. Dergelijke gegevens mogen alleen worden verwerkt in plaats van gewist, indien dit wettelijk is toegestaan (bijv. op grond van lokale of nationale uitvoeringsvoorschriften inzake gegevensbescherming), in het bijzonder wanneer wissen niet mogelijk is door het specifieke type archivering of indien het met onredelijk veel werk gepaard zou gaan.
9.3 Documentatie die dient om te bewijzen dat de gegevensverwerking verloopt conform deze verplichtingen uit hoofde van de Verwerkers overeenkomt en de relevante wetgeving, moet door de Opdrachtnemer worden gearchiveerd voor het einde van de Verwerkersovereenkomst; conform de toepasselijke archiverings- voorwaarden. Aan het einde van deze Verwerkersovereenkomst
kan de betreffende documentatie aan de Klant worden overgedragen zodat zij ook in de gelegenheid is om deze taak te vervullen.
9.4 De voorschriften van de artikelen 9.1 en
9.2 zijn overeenkomstig van toepassing op test- en restmateriaal.
10. Verplichtingen van de Klant
10.1 Klant is verantwoordelijk voor de naleving van de wettelijke bepalingen ter bescherming van gegevens, in het bijzonder voor de rechtmatigheid van de overdracht van gegevens aan de Opdrachtnemer.
10.2 Klant verstrekt de Opdrachtnemer onmiddellijk de volledige informatie wanneer zij bij de beoordeling van verwerkingsresultaten tekortkomingen of onregelmatigheden ontdekt met betrekking tot de bepalingen van de wetgeving inzake de bescherming van gegevens.
10.3 Klant houdt een administratie bij van de verwerkingsactiviteiten.
10.4 Klant moet ervoor zorgen dat er schriftelijke toestemming wordt verkregen van zijn medewerkers voor het verzamelen en verwerken van hun persoonsgegevens met het oog op het gebruik van de TIsWeb Services, en andere gelijksoortige pakketten of track en tracé software pakketten doch voor zover deze toestemming wettelijk verplicht is gesteld.
11. Aansprakelijkheid
11.1 De in deze Verwerkersovereenkomst vermelde verplichtingen ter bescherming van gegevens betreffen belangrijke contractuele verplichtingen voor de Opdrachtnemer (fundamentele verplichtingen) van het Hoofdcontract gesloten met Klant. In dat opzicht moet deze Verwerkersovereenkomst worden beschouwd als een aanvulling op het Hoofdcontract.
11.2 Opdrachtnemer is jegens Klant aansprakelijk voor schade die Klant lijdt als gevolg van een verwijtbare schending van regels inzake gegevens bescherming en/of de verplichtingen uit de Verwerkersovereenkomst door Opdrachtnemer, met inachtneming van aansprakelijkheidsregels zoals vermeld in het Hoofdcontract.
12. Hoofdcontract
12.1 Verhouding tot het Hoofdcontract, overige verplichtingen en bepalingen. Voor zover in de Verwerkersovereenkomst niet anders is bepaald, hebben de bepalingen van deze Verwerkersovereenkomst inclusief bijlagen voorrang op het Hoofdcontract en dienen deze als aanvulling daarop.
12.2 Indien de door Opdrachtnemer opgeslagen gegevens van de Klant in gevaar worden gebracht door beslaglegging, inbeslagneming, faillissement- of schikkings- procedure of door andere gebeurtenissen of maatregelen die door derden zijn geïnitieerd, dient de Opdrachtnemer de Klant daarvan onmiddellijk op de hoogte te brengen. De Opdrachtnemer brengt alle verantwoordelijke partijen ter zake onmiddellijk van op de hoogte dat de Klant het exclusieve eigendom heeft van de gegevens, overgedragen media voor gegevensopslag, documenten, etc.
12.3 Voor wijzigingen en/of aanpassingen van deze Verwerkersovereenkomst is een schriftelijke akte vereist. Dit geldt ook voor zover er afstand wordt gedaan van het schriftelijke vormvereiste.
12.4 Met betrekking tot het toepasselijke recht en de forumkeuze zijn de toepasselijke bepalingen van het Hoofdcontract van toepassing.
Bijlage 1: Technische en organisatorische maatregelen voor de overeengekomen gegevensverwerking
De maatregelen zijn vastgelegd in de goedgekeurd en worden toegepast op basis van de bestaande IT-veiligheidsrichtlijnen. Specifieke maatregelen met betrekking tot deze Verwerkersovereenkomst vindt u in de onderstaande punten. Met de respectieve onderaannemers zijn de adequate
maatregelen voor gegevensverwerking in een afzonderlijk contract vastgelegd. Fysieke toegangscontrole Waarborging van de toelating/toegang tot verwerkingssystemen
waarmee de verwerking wordt uitgevoerd tegen onbevoegde personen (bijv. door middel van fysieke eigendomsbescherming: omheining, portier, schuifhek, deur met veiligheid sloten, camerabewaking, organisatorische eigendomsbescherming, reglement betreffende toegangsrechten, toegangsregistratie) De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Alarmsysteem
Toegangscontrolesysteem DMV speciale sleutels Lichtbarrières/bewegingssensoren
Zorgvuldige selectie van beveiligingsmedewerkers Videobewaking van toegangsdeuren Veiligheidssloten
Screening van personeel
Zorgvuldige selectie van schoonmaakpersoneel Allerlei:
Gegevens toegangs-/gebruikerscontrole Voorkomen dat derden gebruikmaken van automatische verwerkingssystemen met apparatuur voor gegevensoverdracht (authenticatie met gebruikersnaam en wachtwoord). De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Authenticatie met gebruikersnaam/wachtwoord (wachtwoorden toegekend op basis van de geldige wachtwoordvoorschriften) Gebruik van inbraakdetectiesystemen
Gebruik van antivirussoftware Gebruik van een software-firewall Aanmaken van gebruikersprofielen
Toewijzing van gebruikersprofielen aan IT-systemen Codering van mobiele media voor gegevensopslag Codering van media voor gegevensopslag op laptops Allerlei:
Controle van het gegevensgebruik/controle van de gegevensopslagmedia/geheugen- controle Voorkomen van onbevoegd lezen, kopiëren, wijzigen of wissen van media voor gegevensopslag (controle van media voor gegevensopslag), voorkomen van onbevoegde invoer van persoonlijke informatie en onbevoegde toegang daartoe, wijzigen en verwijderen van opgeslagen persoonlijke informatie (geheugencontrole). Ervoor zorgen dat de partijen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, alleen toegang hebben tot de persoonlijke informatie die past bij hun toegangsbevoegdheid (bijv. door middel van bevoegdheidsconcepten, wachtwoorden, voorschriften voor het verlaten van het bedrijf en voor het verhuizen van medewerkers naar andere afdelingen.) (controle op het gebruik van gegevens). De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Rollen en bevoegdheden gebaseerd op een ‘need-to know’- principe
Aantal beheerders beperkt tot alleen de “essentiële”
Registratie van toegang tot applicaties, in het bijzonder het invoeren, wijzigen of wissen van gegevens Fysiek wissen van gegevensdragers voor hergebruik
Gebruik van papierversnipperaars of dienstverleners Xxxxxx van rechten door aangewezen systeembeheerders
Richtlijnen voor wachtwoorden, incl. wachtwoordlengte en het wijzigen van wachtwoorden Veilige opslag van media voor gegevensopslag
Correcte vernietiging van media voor gegevensopslag (DIN 32757) Registratie van vernietiging
Allerlei:
Overdrachtscontrole/transportcontrole Ervoor zorgen dat de vertrouwelijkheid en integriteit
van gegevens worden beschermd tijdens de overdracht van persoonlijke informatie en het vervoer van media voor gegevensopslag (bijv. door krachtige codering van gegevensoverdrachten, gesloten enveloppen die in mailing worden gebruikt, gecodeerde opslag op media voor gegevensopslag).
De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Gecodeerde gegevensoverdracht via internet (zoals HTTPS, SFTP, enz.)
E-mail-codering
Documentatie van de ontvangers van gegevens en tijdschema’s voor de geplande overdracht of overeengekomen deadlines voor het wissen van gegevens
In geval van fysiek transport: zorgvuldige selectie van transportpersoneel en voertuigen
Overdracht van gegevens in geanonimiseerde of ge-pseudonimiseerde vorm In geval van fysiek transport: veilige containers/ verpakking
Allerlei:
Toegangscontrole/overdrachtscontrole Ervoor zorgen dat achteraf kan worden nagegaan en vastgesteld welke persoonsgegevens op welk moment en door wie ingevoerd of gewijzigd werden in geautomatiseerde verwerkingssystemen bijvoorbeeld via registratie (toegangscontrole).
Ervoor zorgen dat, afhankelijk van het systeem, kan worden nagegaan en vastgesteld aan welke kantoren/locaties persoonlijke informatie is verzonden of verstrekt met behulp van apparatuur voor gegevensoverdracht, of naar welke kantoren/locaties deze zouden kunnen worden verzonden (controle op de overdracht). De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Registratie van invoer, wijzigen en wissen van gegevens
Traceerbaarheid van het invoeren, wijzigen en wissen van gegevens via unieke gebruikersnamen (geen gebruikersgroepen) Toewijzing van rechten voor het invoeren, wijzigen en wissen van gegevens op basis van een bevoegdheidsconcept
Maken van een overzicht van welke gegevens met welke applicaties kunnen worden ingevoerd, gewijzigd en verwijderd Bewaren van formulieren waaruit gegevens worden overgenomen voor geautomatiseerde verwerking
Allerlei:
Beschikbaarheidscontrole herstel- betrouwbaarheid/ integriteit van gegevens. Ervoor zorgen dat gebruikte systemen kunnen worden hersteld in geval van een storing (herstelbaarheid).
Ervoor zorgen dat alle systeemfuncties beschikbaar zijn en dat eventuele storingen worden gemeld (betrouwbaarheid). Ervoor zorgen dat opgeslagen persoonlijke informatie niet kan worden beschadigd door systeemstoringen (gegevensintegriteit). Ervoor zorgen dat persoonsgegevens zijn beschermd tegen abusievelijke vernietiging of verlies (beschikbaarheidscontrole), bijv. door de toepassing van passende back-up- en noodherstelconcepten. or data storage media
De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Onderbrekingsvrije voeding (UPS)
Apparaten voor temperatuur- en vochtbewaking in serverruimten Brand- en rookdetectiesystemen
Key protection voor onbevoegde toegang tot serverruimten Tests voor herstelbaarheid van gegevens
Het opslaan van back-ups van gegevens op een aparte en veilige locatie In overstromingsgebieden: serverruimten boven het hoge waterniveau Airconditioning in serverruimten
Beschermde verdeelstekkers in serverruimten Brandblusapparaten in serverruimten Opstellen van een back-up- en herstelconcept Allerlei:
Scheidingscontrole/scheidbaarheid Ervoor zorgen dat gegevens die werden verzameld voor verschillende doelen afzonderlijk kunnen worden verwerkt (bijvoorbeeld door
logische scheiding van klantgegevens, gespecialiseerde toegangscontroles (bevoegdheidsconcept), scheiding van test- en productiegegevens). De volgende technische en organisatorische maatregelen werden door de Opdrachtnemer getroffen voor het verzamelen, verwerken of gebruiken van de persoonsgegevens beschreven in de Verwerkersovereenkomst :
Fysiek gescheiden opslag op afzonderlijke systemen of media voor gegevensopslag Opnemen van doeleigenschappen/gegevensvelden in gegevensverzamelingen Invoeren van databankrechten
Logische klantscheiding (softwarematig)
Voor gepseudonimiseerde gegevens: scheiding van mapping-bestand en opslag op een afzonderlijk, beveiligd IT-systeem
Scheiding van productie- en testsystemen Allerlei:
(Support)
Onderaannemers ,Indien onderaannemers worden ingehuurd (bijvoorbeeld voor het hosten, terbeschikkingstelling van rekencentrumruimte, besturing van software voor de verwerking van persoonsgegevens, enz.) voor het verzamelen, verwerken of gebruiken van persoonlijke informatie beschreven door de Opdrachtnemer, moet de implementatie van technische en organisatorische maatregelen door de respectieve onderaannemer worden geregeld door middel van passende overeenkomsten voor gecontracteerde verwerking van persoonsgegevens.
De volgende onderaannemers werden ingehuurd:
Naam van de onderaannemer: Continental Automotive GmbH, Xxxxxxxxxxxx Xxxxxx 0, 00000 Xxxxxxxx (Ondersteuning) Naam van de onderaannemer: SYZYGY Deutschland GmbH, Xx Xxxxxxxxx 0, 00000 Xxx Xxxxxxx (Hosting-Services)
Naam van de onderaannemer: Astrata Europe B.V., Xxxx Xxxx Xxxxxx 00, 0000 XX Xxxxxxxxx, Xxxxxxxxx (Cloud-/Hosting- Services)
Naam van de onderaannemer: Atos India Pvt. Ltd, Tower-B, 10th floor, HCC 247 Park, Hincon House, Lal Bahadur Xxxxxxx
Xxxx, Xxxxxxxx Xxxx, Xxxxxx 000000, Xxxxx (Support en onderhoud) Name of the subcontractor: MiX Telematics International (Pty) Limited, Blaauwklip Xxxxxx Xxxx 0, Xxxxxx xx Xxxxxx & Xxxxxxxxxxxx Xxxx, Xxxxxxxxxxxx 0000, Xxxxx Xxxxxx (RTM Download)
Name of the subcontractor: Com-a-tec GmbH, Xx Xxxxxxxxxxx 00, 00000 Xxxxxxxxx-Xxxxxxxxxxxx, Xxxxxxx (Support)
Name of the subcontractor:
Ondertekening:
Aldus overeengekomen,
d.m.v de ontvangen email op XXX@xxxx-xxxxxxxxxxx.xx is de bovenstaande verwerkingsovereenkomst geldig ondertekend indien de N.A.W gegevens compleet zijn ingevuld.