VERWERKERSOVEREENKOMST
De ondergetekenden:
., kantoorhoudende te , ten deze rechtsgeldig vertegenwoordigd door de heer/mevrouw , hierna te noemen: “Verwerkingsverantwoordelijke”;
en
Business Track Nederland B.V., kantoorhoudende te Heiloo, ten deze rechtsgeldig vertegenwoordigd door de xxxx X. Xxxxxxxxxxx, hierna te noemen: “Verwerker”;
Tezamen aangeduid als Partijen
Partijen nemen het volgende in aanmerking:
• Verwerkingsverantwoordelijke is als Verwerkingsverantwoordelijke voor de persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (hierna te noemen: AVG) verplicht een Verwerkersovereenkomst aan te gaan met Verwerker.
• In het kader van de tussen partijen afgesproken werkzaamheden vastgelegd in een hoofdovereenkomst, waarvoor deze overeenkomst de schriftelijke verwerkersovereenkomst is, zal Verwerker persoonsgegevens verwerken ten behoeve en in opdracht van de Verwerkingsverantwoordelijke zonder aan het rechtstreeks gezag van de Verwerkingsverantwoordelijke te zijn onderworpen.
• Verwerker zal bij de uitvoering van de werkzaamheden volgens de instructie en onder verantwoordelijkheid van Verwerkingsverantwoordelijke persoonsgegevens verwerken.
• Verwerkingsverantwoordelijke en Verwerker hebben kennis genomen van de Richtsnoer beveiliging van persoonsgegevens, februari 2013,
zie xxxx://xxxxxx.xxxxxxxx.xx/XXXX0000000/ en artikel 32 AVG om een passend beschermingsniveau te kiezen.
• Aanvullend kunnen schriftelijk andere verwerkingen door Verwerkingsverantwoordelijke aan Verwerker worden opgedragen, welke als bijlage aan deze verwerkersovereenkomst zullen worden aangehecht;
• Verwerker zal slechts die gegevensverwerking uitvoeren welke schriftelijk is opgedragen door Verwerkingsverantwoordelijke;
• Indien nodig kunnen Verwerkingsverantwoordelijke en Verwerker in een aparte overeenkomst of overeenkomsten de overige voorwaarden voor het verrichten van diensten vastleggen;
• Indien in opdracht van de Verwerkingsverantwoordelijke meer en andere persoonsgegevens worden verwerkt of indien anders wordt verwerkt dan in bijlage 1 omschreven, geldt deze verwerkersovereenkomst ook voor die verwerkingen en persoonsgegevens.
En komen als volgt overeen:
Artikel 1: Opdracht
1. Verwerkingsverantwoordelijke verstrekt opdracht aan Verwerker, welke door Xxxxxxxxx wordt aanvaard om persoonsgegevens te verwerken in overeenstemming met deze overeenkomst.
2. Verwerkingsverantwoordelijke blijft de Verwerkingsverantwoordelijke voor de gegevensverwerking. Verwerker heeft geen zelfstandige zeggenschap over de gegevens welke voor Verwerkingsverantwoordelijke conform deze verwerkersovereenkomst worden verwerkt.
3. Verwerker zal de in Bijlage I genoemde en door Verwerkingsverantwoordelijke strikt noodzakelijk verstrekte persoonsgegevens uitsluitend verwerken voor de aldaar omschreven opgedragen werkzaamheden. Indien van toepassing kunnen in deze bijlage tevens aanvullende beveiligingsmaatregelen worden opgenomen die Verwerker zal naleven.
4. Nadat de opgedragen taken zijn uitgevoerd, zal Verwerker op eerste, schriftelijke verzoek van Verwerkingsverantwoordelijke bestanden van verzamelde (persoons)gegevens retourneren en de gemaakte kopieën van persoonsgegevens van Verwerkingsverantwoordelijke onmiddellijk vernietigen, tenzij de Verwerkingsverantwoordelijke de geleverde dienstverlening en of (persoons)gegevens betwist. Kopieën van persoonsgegevens die onderdeel zijn van de back-up routine van Verwerker dienen zo snel mogelijk, door Verwerker, te worden verwijderd.
5. De gegevens dienen tot 6 maanden na het einde van de overeenkomst beschikbaar te blijven, tenzij er sprake is van een situatie als bedoeld in lid 4 van dit artikel. Na 4 maanden zal Verwerker een signaal geven aan Verwerkingsverantwoordelijke, dat de gegevens over 2 maanden worden vernietigd, tenzij Verwerkingsverantwoordelijke wenst dat de gegevens dienen te worden bewaard.
6. Indien Verwerkingsverantwoordelijke een verzoek indient, zal Verwerker verklaren dat het wissen conform het bepaalde in lid 5 heeft plaatsgevonden tenzij er sprake is van een situatie als bedoeld in lid 4 van dit artikel. Indien Verwerker, na toestemming van Verwerkingsverantwoordelijke, een subverwerker heeft ingeschakeld, zal Verwerker deze subverwerker op de hoogte stellen van de opdracht tot wissing en hem instrueren te handelen zoals hierin bepaald is.
7. Verwerker zal zich onthouden van het verrichte van andere handelingen, genoemd in artikel 1, tenzij anders overeengekomen in bijlage I.
Artikel 2: Naleving wet- en regelgeving
1. Verwerker zal bij enige verwerking van persoonsgegevens als in artikel 1 omschreven, handelen in overeenstemming met de Algemene Verordening Gegevensbescherming en overige van toepassing zijnde wet- en regelgeving aangaande gegevensbescherming.
Pagina2
2. Zowel de Verwerkingsverantwoordelijke als de Verwerker geven elkaar inzage in de documentatie als bedoeld in artikel 30 AVG, indien van toepassing.
Artikel 3: Vrijwaring en aansprakelijkheid
Verwerkingsverantwoordelijke vrijwaart Verwerker gelijk Verwerker Verwerkingsverantwoordelijke vrijwaart voor alle aanspraken, behoudens opzet en/of grove schuld door Verwerker respectievelijk Verwerkingsverantwoordelijke, bij schending van het gestelde bij of krachtens wet- en regelgeving aangaande gegevensbescherming of de uitvoering van deze overeenkomst.
Artikel 4: Beveiligingsmaatregelen, Compliance en incidenten
1. Verwerker zal, gelijk Verwerkingsverantwoordelijke, passende technische en organisatorische maatregelen nemen, in stand houden, evalueren en indien nodig aanpassen en actualiseren om persoonsgegevens te beveiligen tegen verlies, diefstal, of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de waarschijnlijkheid en ernst uiteenlopende risico's die de verwerking en van te beschermen gegevens met zich meebrengen en voldoen aan het bepaalde in de richtsnoeren en artikel 32 AVG.
2. Verwerker stelt op verzoek van de Verwerkingsverantwoordelijke alle informatie ter beschikking, die nodig is om nakoming van het bepaalde in lid 1 te kunnen aantonen.
3. Indien Verwerker in een andere lidstaat van de Europese Unie de gegevens van Verwerkingsverantwoordelijke bewerkt of doet bewerken, zal zij dat doen of laten doen in overeenstemming met de wettelijk vereiste beveiligingsmaatregelen van de betreffende lidstaat. 🡺 NVT
4. Verwerker stelt Verwerkingsverantwoordelijke in staat om op haar eerste, schriftelijke verzoek de getroffen maatregelen te inspecteren, met als doel na te gaan hetgeen in deze overeenkomst is bepaald.
5. Verwerker zal hieraan zijn medewerking verlenen en alle voor de audit relevante informatie tijdig ter beschikking stellen die nodig zijn om de nakoming van de in artikel 28 AVG neergelegde verplichtingen te kunnen aantonen.
6. Verwerkingsverantwoordelijke zal in beginsel geen audit uitvoeren bij subverwerkers omdat de Verwerker hiervoor zelf volledig verantwoordelijk en aansprakelijk is.
7. De personen die een audit uitvoeren, zullen zich conformeren aan de beveiligingsprocedure zoals die bij Verwerker van kracht zijn. De kosten voor een audit komen voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit blijkt dat Xxxxxxxxx heeft gehandeld in strijd met deze overeenkomst of nagelaten heeft voldoende passende maatregelen te nemen rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, gelet op de risico’s die de verwerking, de aard, de omvang, de context en het doel van de te beschermen gegevens met zich meebrengen.
Pagina3
8. De Verwerkingsverantwoordelijke zal de audit beperken tot hetgeen is vastgesteld in deze overeenkomst, voor de gegevensverwerkingen en de persoonsgegevens van Verwerkingsverantwoordelijke. Gegevensverwerkingen die Verwerker voor andere Verwerkingsverantwoordelijke uitvoert zijn van deze audit uitgesloten. Alle informatie waar Verwerkingsverantwoordelijke kennis van krijgt tijdens de audit en die geen betrekking hebben op Verwerkingsverantwoordelijke zal Verwerkingsverantwoordelijke geheim houden.
9. Indien Verwerker bij het verwerken van persoonsgegevens kennis krijgt van een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkene, dan zal Verwerker onverwijld, edoch binnen 24 uur na ontdekking, Verwerkingsverantwoordelijke daar van op de hoogte brengen, terwijl Verwerker in de tussentijd alle mogelijke technische en organisatorische maatregelen neemt om het beveiligingsincident te stoppen, te voorkomen en/of te herstellen. Verwerker verstrekt bij de melding informatie omtrent de aard van de inbreuk, de aard van de gelekte persoonsgegevens, de technische beschermingsmaatregelen en overige relevante feiten en omstandigheden die van belang zijn om te bepalen of de toezichthouder en/of de betrokkene geïnformeerd dienen te worden.
10. Verwerker zal Bijlage II melding datalek onverwijld volledig invullen en digitaal met de ingevulde contactpersonen naar Verwerkingsverantwoordelijke versturen
11. Indien er gerede twijfel is of de inbreuk een waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkene, dan meldt de Verwerker de inbreuk wel aan de Verwerkingsverantwoordelijke, om deze in staat te stellen een eigen oordeel te vormen of een melding noodzakelijk is.
12. Verwerker documenteert alle inbreuken in verband met persoonsgegevens, ook de inbreuken die niet aan Verwerkingsverantwoordelijke gemeld hoeven te worden. De documentatie bevat alle feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen. De documentatie wordt eens per kwartaal aan de Verwerkingsverantwoordelijke verstrekt teneinde ervoor te zorgen dat Verwerkingsverantwoordelijke in staat is deze te overleggen aan de Autoriteit Persoonsgegevens.
13. Indien er een verplichting bestaat een melding te doen aan de toezichthouder of om de betrokkenen te informeren zal dat uitsluitend worden gedaan door Verwerkingsverantwoordelijke. Verwerker zal hierbij haar volstrekte medewerking en bijstand verlenen om aan deze verplichtingen te kunnen voldoen.
Artikel 5: Inschakeling subverwerkers binnen Europese Unie
1. Verwerkingsverantwoordelijke verleent hierbij toestemming dat BetaNine BvBa te Hasselt, België als subverwerker de persoonsgegevens verwerkt binnen de Europese Unie.
2. De subverwerker biedt afdoende garanties met betrekking tot de toepassing van passende technische en organisatorische maatregelen opdat de verwerking aan het bepaalde van deze overeenkomst en de AVG voldoet.
Pagina4
3. Verwerkingsverantwoordelijke kan nadere voorwaarden verbinden aan de inschakeling van een subverwerker bij de uitvoering van deze verwerkersovereenkomst.
4. Indien Verwerker een subverwerker heeft ingeschakeld, dan is Verwerker volledig aansprakelijk voor het nakomen van alle verplichtingen door deze subverwerker, maar niet voor subverwerkers waarvan de Verwerkingsverantwoordelijke de Verwerker verplicht heeft om mee samen te werken, voor de werkzaamheden besloten in de opdracht van deze overeenkomst. Verwerker zal in een schriftelijke overeenkomst deze derde dezelfde verplichtingen opleggen als die voor hem uit deze overeenkomst voortvloeien, zodat ook de subverwerker gebonden wordt aan deze bepalingen.
5. Verwerker dient een lijst bij te houden van subverwerkers inclusief de uit te voeren taken, zie bijlage 3.
Artikel 6: Inschakeling subverwerkers buiten Europese Unie 🡺 NVT
1. Indien Verwerker de persoonsgegevens buiten de Europese Unie wil verwerken, dan kan dit uitsluitend in landen, die door de Europese Commissie of de Minister van Justitie zijn aangemerkt als landen met een passend beschermingsniveau, of door aanvullende maatregelen een passend beschermingsniveau bieden.
2. De verwerking van persoonsgegevens buiten de Europese Unie kan uitsluitend na uitdrukkelijke voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke . Aan een dergelijke verwerking kunnen bovendien aanvullende voorwaarden worden gesteld.
3. Verwerkingsverantwoordelijke verleent toestemming dat partij <invullen> de persoonsgegevens verwerkt buiten de Europese Unie.
4. De subverwerker biedt afdoende garanties met betrekking tot de toepassing van passende technische en organisatorische maatregelen opdat de verwerking aan het bepaalde van deze overeenkomst en de AVG voldoet.
5. Indien Verwerker een subverwerker heeft ingeschakeld, dan is Verwerker volledig aansprakelijk voor het nakomen van alle verplichtingen door deze subverwerker, maar niet voor subverwerkers waarvan de Verwerkingsverantwoordelijke de Verwerker verplicht heeft om mee samen te werken, voor de werkzaamheden besloten in de opdracht van deze overeenkomst. Verwerker zal in een schriftelijke overeenkomst deze derde dezelfde verplichtingen opleggen als die voor hem uit deze overeenkomst voortvloeien, zodat ook de subverwerker geboden wordt aan deze bepalingen.
6. Verwerker dient een lijst bij te houden van subverwerkers inclusief de uit te voeren taken.
Artikel 7: Geheimhoudingsplicht
1. Verwerker, haar personeel en door haar ingeschakelde derden zijn op basis van artikel 34 lid 4 AVG verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis nemen of hebben kunnen nemen.
Pagina5
2. Verwerker verschaft enkel toegang tot de persoonsgegevens aan haar medewerkers en door haar ingeschakelde derden voor zover dit nodig is voor het verrichten van de door Verwerkingsverantwoordelijke opgedragen gegevensverwerking.
3. Verwerker zal de personen die in dienst zijn, dan wel werkzaamheden ten behoeve van hem verrichten verplichten tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen.
4. De geheimhoudingsplicht van Verwerker kan slechts worden doorbroken wanneer een wettelijk voorschrift verplicht om gegevens te verstrekken of de functionaris die is aangewezen door Verwerkingsverantwoordelijke aan Verwerker de noodzaak tot mededeling heeft aangegeven.
5. Indien door een toezichthouder van Verwerkingsverantwoordelijke inzage wordt gevraagd in de gegevensverwerking, dient Verwerker hieraan alle noodzakelijke medewerking te verlenen, om Verwerkingsverantwoordelijke in staat te stellen om aan haar door toezichthouders opgelegde verplichtingen te voldoen.
6. De geheimhoudingsplicht geldt zowel tijdens als na afloop van de werkzaamheden en blijft ook na beëindiging van deze overeenkomst bestaan.
7. De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de persoonsgegevens, tenzij wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
Artikel 8: Rechten van betrokkenen
1. Indien een betrokkene een van zijn rechten op grond van art. 32 tot en met 36 AVG inroept bij Verwerker, dan zal Verwerker dit verzoek onverwijld aan Verwerkingsverantwoordelijke doorsturen.
Pagina6
2. Verwerker zal Verwerkingsverantwoordelijke volledige en tijdige bijstand verlenen bij de uitoefeningen van diens plicht om verzoeken inzake uitoefening van de in lid 1 genoemde rechten te beantwoorden.
Artikel 9: Algemene voorwaarden & slotbepalingen
1. Op deze overeenkomst zijn geen algemene voorwaarden van toepassing. Het Nederlands recht is van toepassing. De bevoegde rechter is de rechter die bevoegd is op basis van de hoofdovereenkomst.
2. Indien in een andere overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker bepalingen zijn opgenomen die afwijken van hetgeen is bepaald in deze overeenkomst, prevaleert het bepaalde in deze overeenkomst.
3. Wijzigingen op deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.
4. Deze overeenkomst treedt in werking op het moment dat de hoofdovereenkomst en heeft een looptijd die gelijk is aan die van de hoofdovereenkomst. Deze overeenkomst kan niet tussentijds worden opgezegd.
Aldus overeengekomen in tweevoud op , te ,
Verwerker: Verwerkingsverantwoordelijke:
Business Track Nederland BV
Naam: Xxxxxxx Xxxxxxxxxxx Naam:
Pagina7
Functie: Directeur/eigenaar Functie:
Bijlage 1
Werkzaamheden
De volgende werkzaamheden worden door de Verwerker uitgevoerd:
Verwerker levert Black Box/voertuigvolgsysteem, hetgeen in de praktijk inhoudt dat er in de wagens een kastje (de Black Box) wordt geplaats, waarna de data via een simkaart wordt verstuurd naar de servers in een datacentrum. Vervolgens wordt de data verwerkt en is de informatie online inzichtelijk voor de gebruiker(s). Het versturen van de data gaat via een simkaart van KPN, waar wij een private APN hebben, hetgeen inhoudt dat deze niet van buitenaf (door derden) te benaderen is.
Standaard informatie:
• Op basis van kenteken
• Huidige locatie
• Historie (ritten, stops, routes, snelheden) Optioneel:
• Persoonsidentificatie
• I/O-poorten
• Schakelaar; privé/zakelijk of een privacy schakeling.
• Temperatuursensoren
• CANbus informatie
• Rijstijlanalyse
Op het moment dat de data zelf online beschikbaar is voor de gebruikers gaat dit middels een hiërarchische structuur.
• De adminuser (in de praktijk de Gegevensverwerker) ziet bovenstaande informatie.
• Tevens heeft deze de mogelijkheid van het instellen van notificaties bij bepaalde gebeurtenissen (geen data, geen GPS, overschrijding sensorwaardes, GEO-fencing, gebruik binnen/bepaalde tijden)
• En daarnaast de mogelijkheid tot het maken van on- en off-line rapportages.
• De overige gebruikers worden aangemaakt op basis van de wens van de Gegevensverwerker, waarbij de rechten horizontaal en verticaal ingedeeld kunnen worden.
o Horizontaal houdt in bepaalde rechten in het gebruik wel/niet.
o Verticaal houdt in bepaalde (groepen) voertuigen wel/niet
Pagina8
• Hier kan al een bestuurder aangemaakt worden als een gebruiker in het reguliere systeem.
Bij gebruik van het RittenRegistratieSysteem (RRS):
• Extra persoonsgegevens door de bestuurder zelf in te vullen
o Naam, adres, woonplaats
o BSN nummer
1. De bestuurder meldt zich (optioneel) via een I-button aan op het voertuig en rijdt zijn/haar ritten.
2. Als de bestuurder de beschikking heeft over een Privacy schakelaar, kan hij deze zelf bedienen, waarna de privé ritten in privacy-modus gaan en er geen locaties beschikbaar zijn, niet voor de adminuser, maar ook voor de Verwerker niet.
3. Er is altijd minimaal één admin-user, deze kan in het reguliere systeem de ritten bekijken en eventueel de gekoppelde bestuurder aan een kenteken corrigeren/controleren of deze wel aan een rit is toegevoegd.
4. De bestuurder zelf is verantwoordelijk voor het invullen en bijwerken van zijn/haar persoonsgegevens (BSN en NAW-gegevens) en de ritten in het RRS.
5. Toegang tot deze informatie heeft Verwerker niet, alleen eventueel de subverwerker, als zijnde de ontwikkelaars via de ruwe data.
6. De adminuser ziet in het RRS alleen een totaal afstand van de bijgewerkte ritten en tot welke datum, geen details en geen persoonsgegevens.
7. De bestuurder heeft de mogelijkheid om een XAR-file aan de belastingdienst te sturen voor de fiscale afhandeling.
Verwerker zal zich onthouden van het verrichte van andere handelingen dan de hierboven genoemde verwerkingen, zelfs niet wanneer deze in een zodanige vorm zijn gebracht dat ze niet meer herleidbaar zijn tot natuurlijke personen. Evenmin is Verwerker gerechtigd om de persoonsgegevens samen te voegen met andere bestanden van Verwerker, dan wel om de persoonsgegevens voor eigen of andere doeleinden te verwerken.
Bewaartermijnen
In afwijking van het bepaalde in artikel 1.4 tot en met 1.6 wordt er een bewaartermijn overeengekomen van minimaal 7 jaar in verband met de fiscale bewaartermijn.
Beveiliging
Fysieke toegang tot het datacenter is beperkt voor geregistreerde gebruikers via fingerprint, de server-racks zijn beveiligd met een cijferslot. Verder beschikt deze ondergrondse bunker over camerabewaking en toegangstijden zijn op afspraak en beperkt in aantal personen. De servers draaien de laatste LTS (long time support) versie van Ubuntu achter een beveiligde route en firewalls.
Remote toegang is enkel mogelijk via SSH met geldige authorisation keys (RSA). Verder is de RRS software beveiligd op verschillende niveau's zijnde secure http (https), client authentication. Toegang tot de data (binnen de applicatie) wordt beperkt dmv een hiërarchische gebruikers-structuur. De partij die het IT-gedeelte verzorgt is Beta9 uit België, zij zijn ook de ontwikkelaars van de software zelf en daarmee een subverwerker.
Pagina9
Daarnaast zijn is Verwerker aangesloten bij de BVLR (xxx.xxxx.xx, hebben wij het Keurmerk voor de Rittenregistratie (xxx.xxxxx.xx), waarvan wij ook de Privacy gedragscode hanteren en hebben wij een Data Escrow bij Escrow Alliance. Middels bovenstaande onderdelen treffen wij maatregelen om de veiligheid van alle data en in het bijzonder de persoonsgegevens te beschermen en te garanderen.
Bijlage 2 MELDING DATALEK VERWERKER
MELDING WORDT GEDAAN DOOR DE DIRECTIE VAN DE VERWERKER AAN VERWERKINGSVERANTWOORDELIJKE. UPDATES VAN HET VRAGENFORMULIER WORDEN TELKENS ZO SNEL MOGELIJK AAN DE VERWERKINGSVERANTWOORDELIJKE BESCHIKBAAR GESTELD, GENOEMD AAN HET EINDE VAN DIT FORMULIER
Vragenformulier melding
0) Contactpersoon bij Verwerker:
Vul onderstaande gegevens in: | |
Naam: | Xxxxxxx Xxxxxxxxxxx |
Functie: | Directeur / mede-eigenaar |
Mobiele telefoon: | 00-0000 0000 |
E-mailadres: |
1) Is dit een vervolg op een eerdere melding?
Kies een van onderstaande opties. | Maak een keuze |
a) Ja | |
b) Nee |
2) Van wanneer dateert de oorspronkelijke melding?
(Beantwoord deze vraag als u vraag 1 met ja hebt beantwoord). | Invullen |
Datum: |
3) Wat is de strekking van de vervolgmelding?
(Beantwoord deze vraag als u vraag 1 met ja hebt beantwoord, kies een van de volgende opties). | Maak een keuze |
a) Toevoegen of wijzigen van informatie betreffende de eerdere melding | |
b) Intrekking van de eerdere melding. |
Pagina10
4) Wat is de reden van intrekking?
(Beantwoord deze vraag als u bij vraag 3 hebt gekozen voor optie b). | Invullen |
De reden van intrekking is: |
5) Geef een samenvatting van het incident waarop de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan.
6) Xxx xxxxxxx personen zijn persoonsgegevens betrokken bij de inbreuk?
Vul de aantallen in | |
a) Minimaal: (vul aan) | |
b) Maximaal: (vul aan) |
7) Omschrijf de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk.
8) Wanneer vond de inbreuk plaats?
Kies een van de volgende opties: | Maak een keuze en vul in |
a) Op (datum) | |
b) Tussen (begindatum periode en einddatum periode). | |
c) Nog niet bekend |
Wanneer werd de inbreuk ontdekt?
Op (datum) |
Pagina11
9) Wat is de aard van de inbreuk?
Reden | U kunt meerdere mogelijkheden kiezen |
a) Lezen (vertrouwelijkheid) | Ja/nee |
b) Kopiëren | Ja/nee |
c) Veranderingen (integriteit) | Ja/nee |
d) Verwijderen of vernietigen (beschikbaarheid) | Ja/nee |
e) Diefstal | Ja/nee |
f) Nog niet bekend | Ja/nee |
10) Om welk type persoonsgegevens gaat het? U kunt meerdere mogelijkheden aankruisen.
Type persoonsgegevens | U kunt meerdere mogelijkheden kiezen. |
a) Naam-, adres- en woonplaatsgegevens | Ja/nee |
b) Telefoonnummers | Ja/nee |
c) E-mailadressen of andere adressen voor elektronische communicatie | Ja/nee |
d) Toegangs- of identificatiegegevens (bijvoorbeeld inlognaam / wachtwoord of klantnummer) | Ja/nee |
e) Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer) | Ja/nee |
f) Burgerservicenummer (BSN) of sofinummer | Ja/nee |
g) Paspoortkopieën of kopieën van andere legitimatiebewijzen | Ja/nee |
h) Xxxxxxxx, geboortedatum en/of leeftijd | Xx/nee |
i) Bijzondere persoonsgegevens (Bijvoorbeeld ras, etniciteit, criminele gegevens, politieke overtuiging, vakbondslidmaatschap, religie, seksuele leven, medische gegevens). | Ja/nee. Zo ja welke |
j) Overige gegevens, namelijk (vul aan) |
Pagina12
11) Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkene?
Gevolgen | U kunt meerdere mogelijkheden kiezen. |
a) Stigmatisering of uitsluiting | Ja/nee |
b) Schade aan de gezondheid | Ja/nee |
c) Blootstelling aan (identiteits-) fraude | Ja/nee |
d) Blootstelling aan spam of phising | Ja/nee |
e) Xxxxxx, namelijk (vul aan). | Ja/nee |
12) Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
13) Wanneer is het datalek gemeld aan de Verwerkingsverantwoordelijke?
Invullen | |
Datum en tijdstip: | |
Contactpersoon Verwerkingsverantwoordelijke: | |
Mededeling is gedaan per: | Maak keuze: |
a) Telefoon | |
b) E-mail | |
c) Formulier | |
d) Xxxxxx, namelijk |
14) Zijn de persoonsgegevens, versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden?
Kies een van de opties en vul waar nodig aan. | |
a) Ja | |
b) Nee | |
c) Deels, namelijk (vul aan): |
15) Als de persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd?
Pagina13
(Beantwoord deze vraag als u bij vraag 14 gekozen heeft voor optie a of optie c. Als u gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleutelen toe).
16) Is naar uw mening deze melding compleet?
Selecteer een van de onderstaande opties. | Maak uw keuze |
a) Ja, de vereiste informatie is verstrekt en er is geen vervolgmelding nodig. | |
b) Nee, er komt later een vervolgmelding met aanvullende informatie over deze inbreuk. |
Afsluitend:
Naam ondertekenaar Verwerker: | Xxxxxxx Xxxxxxxxxxx |
Plaats: | Heiloo |
Datum: | |
Handtekening: |
Contactpersoon bij Verwerker:
Naam: | Xxxxxxx Xxxxxxxxxxx |
Functie: | Directeur / mede-eigenaar |
Mobiele telefoon: | 00-0000 0000 |
E-mail: |
FORMULIER MET SPOED BESCHIKBAAR STELLEN AAN:
Contactpersoon bij Verwerkingsverantwoordelijke:
Naam: | |
Functie: | |
Mobiele telefoon: | |
E-mail: |
Pagina14
Het formulier is door Verwerkingsverantwoordelijke ontvangen op:
Datum en tijdstip: |
Bijlage 3 GEGEVENS SUBVERWERKER(S)
BetaNine bvba
Xxxxxxxxxxx 0 xxx 0, X-0000 Xxxxxxx, Xxxxxxx T: x00 (0) 00 00 00 00
F: x00 (0) 00 00 00 00
Contactpersonen Xxxx Xxxxx en Xxxx xxx Xxxxxxxxxxxx.
Tevens beschikt Verwerker over een Data-escrow
De essentie van de Escrow regeling bestaat uit het beschikbaar en toegankelijk houden van de data gedurende een nader te bepalen periode( ten minste 7 jaar) opdat gebruikers betreffende data kunnen veiligstellen om aan hun fiscale bewaarplicht te kunnen blijven voldoen. Hierbij wordt niet door de klant aan de curator verzocht om de data beschikbaar te stellen, maar wordt de applicatieomgeving gecontinueerd voor een vooraf bepaalde periode.
Deze Escrow hebben wij afgesloten bij: Escrow Alliance
Xxxxxx Xxxxxx 00
0000 XX Xxxxxxx
T. x00 (0)00 00 00 000
Pagina15