Verwerkersovereenkomst voor: NAAM KLANT BSP:

Transcriptie

1 Verwerkersovereenkomst voor: NAAM KLANT BSP: 2018

2 Naam Klant BSP, gevestigd en kantoorhoudende te Straat en huisnummer: Postcode, Verstigingsplaats, hierna te noemen: Klant en Business Square Purmerend V.O.F., gevestigd en kantoorhoudende te Purmerend, 1446 WX, Impuls 30a, hierna te noemen: BSP in aanmerking nemende dat: Klant een overeenkomst heeft gesloten met BSP voor de levering van telefonische antwoordservice diensten ( de Overeenkomst ) en in het kader van die Overeenkomst Persoonsgegevens (zoals hieronder gedefinieerd) door BSP wil laten verwerken; BSP bij de verwerking van Persoonsgegevens is aan te merken als Verwerker in de zin van artikel 4 van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en Klant is aan te merken als Verwerkingsverantwoordelijke in de zin van artikel 4 van de AVG/GDPR; BSP en Klant de afspraken inzake verwerking van Persoonsgegevens hiermee schriftelijk vastleggen; komen overeen als volgt: ARTIKEL 1. DEFINITIES 1.1 Data Subject (Betrokkene) is degene op wie een Persoonsgegeven betrekking heeft. 1.2 Data Controller (Verantwoordelijke) is degene die het doel van en de middelen voor het gebruik van Persoonsgegevens bepaalt. 1.3 Data Processor (Verwerker) is degene aan wie de Data Controller gegevensverwerking heeft uitbesteed. De Data Processor is niet zelfstandig verantwoordelijk voor de verwerking van de Persoonsgegevens. Maar de Data Processor heeft wel afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de data. 1.4 Verwerkersovereenkomst is de onderhavige overeenkomst. 1.5 GDPR is de Europese privacywetgeving, bekend onder de naam General Data Protection Regulation en geïmplementeerd in de lidstaten van de Europese Unie, zoals de Algemene Verordening Gegevensbescherming (AVG) in Nederland. 1.6 Gevoelige gegevens zijn Persoonsgegevens die vallen in de categorie van bijzondere persoonsgegevens als bedoeld in de GDPR. 1.7 Datalek is een inbreuk op de beveiliging als bedoeld in de Wet Meldplicht Datalekken en de GDPR. 1.8 Dienst is de onder de Overeenkomst te leveren dienst van Business Square Purmerend. 1.9 Gebruiker is de aan Klant verbonden (natuurlijke) persoon die geautoriseerd is tot gebruik van de Dienst. 2

3 1.10 Onderaannemer is een partij die door BSP is ingeschakeld om te ondersteunen bij het uitvoeren van de Dienst. Indien Onderaannemer in opdracht van BSP Persoonsgegevens verwerkt, is Onderaannemer ook aan te merken als Sub- Verwerker Persoonsgegeven(s) zal de betekenis hebben die daaraan in artikel 4 van de GDPR is gegeven en zijn de persoonsgegevens die door BSPworden verwerkt in het kader van de Overeenkomst Verwerking is elke handeling met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, bewaren en opslaan, gebruiken en bewerken. ARTIKEL 2. ALGEMEEN 2.1 BSP verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst om in opdracht van Klant Persoonsgegevens te verwerken. BSP zal de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de GDPR en aanverwante privacy wet- en regelgeving betreffende de verwerking van Persoonsgegevens. Van de datatypen die worden verwerkt houdt BSP een Register van Verwerkingsactiviteiten bij. 2.2 Indien het op grond van gewijzigde privacy wet- en/of regelgeving noodzakelijk is dat de bedrijfsvoering of de door BSP gebruikte systemen moeten worden aangepast, dan komen de kosten daarvan voor rekening van Business Square Purmerend, tenzij de aanpassingen uitsluitend voor Klant moeten worden uitgevoerd in welk geval Klant de redelijke kosten voor deze aanpassingen zal vergoeden. 2.3 Verwerking door BSP zal uitsluitend plaatsvinden voor zover noodzakelijk om de Dienst zoals omschreven in de Overeenkomst aan Klant te verlenen. Alleen de in Bijlage I omschreven categorieën van Persoonsgegevens zullen worden verwerkt. Op eerste verzoek van Klant verstrekt BSP een overzicht van de rollen binnen haar organisatie conform de BSP autorisatiematrix (en die van haar eventuele Onderaannemers en/of Sub-Verwerkers) die bij de Verwerking betrokken zijn. 2.4 BSP zal Persoonsgegevens die haar in het kader van de Overeenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van de Overeenkomst; of (ii) om een op haar rustende wettelijke verplichting na te komen. 2.5 BSP zal de Persoonsgegevens uitsluitend (i) gebruiken en verwerken voor zover nodig in het kader van de uitvoering van de Overeenkomst en/of (ii) slechts verwerken in opdracht en volgens de instructies van Klant. BSP zal de Persoonsgegevens, behoudens uitdrukkelijke schriftelijke toestemming van Klant, niet voor eigen doeleinden gebruiken. 2.6 Conform de geldende criteria van de Autoriteit Persoonsgegevens behoeft Business Square Purmerend zelf geen Data Protection Impact Assessment (DPIA) uit te voeren voor de gegevensverwerking die zij namens Klant uitvoert. BSP werkt op verzoek van Klant wel, te allen tijde en tegen betaling, mee aan een Privacy Impact Assessment van Klant. 2.7 Op verzoek van Klant kan jaarlijks gedurende 1 uur overleg plaatsvinden tussen Klant en BSP over informatiebeveiliging en privacybescherming. BSP in haar rol als Verwerker toont op verzoek aan hoe aan de gestelde eisen wordt voldaan en licht dit mondeling toe. De vorm waarmee of waarin dit aantoonbaar wordt gemaakt, wordt in onderling overleg, maar onder de verantwoordelijkheid van Klant bepaald. Indien er sprake is van een of meerdere SubVerwerker(s), dan zal BSP aantoonbaar maken dat deze minimaal voldoen aan de eisen die aan BSP als Verwerker worden gesteld. Indien (de voorbereiding van) het overleg meer dan 1 uur in beslag neemt, dan zal BSP de kosten tegen de overeengekomen uurtarieven in rekening brengen aan Klant. ARTIKEL 3. BEVEILIGING 3.1 BSP hanteert passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige Verwerking. Deze maatregelen waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico s die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen. 3

4 3.2 De maatregelen zijn schriftelijk vastgelegd in Bijlage II en voldoen in ieder geval aan de beveiligingseisen op grond van de GDPR. Op eerste verzoek van Klant zal BSP schriftelijk informatie aanleveren met betrekking tot de door haar genomen maatregelen ter beveiliging van de Persoonsgegevens. ARTIKEL 4. BEVEILIGINGSINBREUKEN 4.1 In het geval van een (i) Datalek; (ii) schending van beveiligingsmaatregelen; of (iii) verlies van Persoonsgegevens zal BSP Klant direct, doch uiterlijk binnen 24 uur na de eerste ontdekking van het incident, informeren, een en ander conform de in Bijlage III beschreven Policy Security Incidenten en Datalekken van Business Square Purmerend. BSP zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onrechtmatige Verwerking of onbevoegde kennisneming te voorkomen, beperken en/of te beëindigen. 4.2 BSP zal op verzoek van Klant meewerken aan het door Klant, in haar rol als Data Controller, informeren van de bevoegde autoriteiten en Data Subject(s). 4.3 BSP maakt schriftelijke afspraken met Onderaannemers en/of Sub-Verwerkers over het melden van incidenten aan Business Square Purmerend, die BSP en Klant in staat stellen verplichtingen in het geval van een incident zoals beschreven in artikel 4.1 te kunnen nakomen. 4.4 BSP houdt een actueel administratieregister bij van alle beveiligingsincidenten of datalekken. Indien er sprake is van maatregelen die in vervolg op dergelijke incidenten of lekken zijn genomen, dan wordt Klant hierover geïnformeerd bij afmelding het beveiligingsincident of datalek. ARTIKEL 5. INZET VAN ONDERAANNEMERS 5.1 Klant verleent aan BSP toestemming voor het inschakelen van Onderaannemers bij de Verwerking van Persoonsgegevens op voorwaarde dat BSP een schriftelijke overeenkomst met de desbetreffende Onderaannemer heeft gesloten met daarin de verplichting voor de Onderaannemer te handelen in overeenstemming de bepalingen uit deze Verwerkersovereenkomst. Klant heeft recht op inzage in de met de Onderaannemer gemaakte afspraken voor zover zij betrekking hebben op de Verwerking van Persoonsgegevens van Klant. 5.2 De door Klant gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van BSP voor de nakoming van de Verwerkersovereenkomst. 5.3 BSP verplicht zich een register bij te houden van de door haar ingeschakelde Sub-Verwerkers en Derden waarin onder meer de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden zijn opgenomen. ARTIKEL 6. AUDIT 6.1 BSP is verplicht maximaal 1 keer per twee jaar mee te werken, aan een, op verzoek en kosten van Klant, door onafhankelijke IT-auditor of deskundige uit te voeren onderzoek, om vast te stellen of BSP voldoende technische en organisatorische maatregelen als bedoeld in artikel 3.1. heeft genomen ter bescherming van de vertrouwelijkheid, integriteit, beschikbaarheid en beveiliging van Persoonsgegevens zoals omschreven in deze Verwerkersovereenkomst. Indien het de Verwerking van Gevoelige gegevens betreft, heeft Klant het recht de audit jaarlijks te laten uitvoeren. De audit zal in geen geval mogen leiden tot onderbrekingen van de bedrijfsprocessen van Business Square Purmerend. Indien (de voorbereiding van) de audit meer dan 1 uur in beslag neemt, dan zal BSP de kosten tegen de overeengekomen tarieven in rekening brengen aan Klant. 6.2 BSP is alleen gehouden medewerking te verlenen aan een in artikel 6.1 bedoelde audit, indien de onafhankelijke auditor een voor BSP acceptabele geheimhoudings-overeenkomst heeft getekend en zich heeft verplicht de resultaten van de audit alleen aan BSP en aan Klant ter beschikking te stellen. 4

5 6.3 Wanneer tijdens een audit wordt vastgesteld dat BSP niet aan het bepaalde in de Verwerkersovereenkomst voldoet, dan zal BSP alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij hieraan alsnog voldoet. ARTIKEL 7. GRENSOVERSCHRIJDEND VERKEER 7.1 BSP garandeert dat iedere Verwerking van Persoonsgegevens welke door of namens BSP (met inbegrip van de door haar ingeschakelde Onderaannemers en/of Sub-Verwerkers) wordt verricht, alleen binnen de Europese Unie zal plaatsvinden. ARTIKEL 8. OPSPORINGSVERZOEKEN 8.1 Indien BSP een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal BSP Klant daarvan meteen in kennis stellen. Bij de behandeling van het verzoek of bevel zal BSP alle instructies van Klant opvolgen of de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Klant overdragen. 8.2 Indien het BSP op grond van het verzoek of bevel verboden is Klant daarvan in kennis te stellen, dan zal BSP de belangen van Klant behartigen door in ieder geval alleen aan het bevel of verzoek mee te werken als zij daartoe naar Nederlands recht verplicht is en alsdan nooit meer Persoonsgegevens verstrekken dan strikt noodzakelijk is. ARTIKEL 9. INFORMEREN VAN BETROKKENEN 9.1 BSP zal medewerking verlenen opdat Klant kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Data Subject zijn privacyrechten uitoefent op grond van de GDPR of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. 9.2 Indien een Data Subject met betrekking tot de uitvoering van zijn rechten contact opneemt met Business Square Purmerend, dan zal BSP alvorens nadere stappen te ondernemen, zo snel mogelijk contact met Klant opnemen met een verzoek om nadere instructies. ARTIKEL 10. MAATREGELEN TOEZICHTHOUDER & VRIJWARING 10.1 BSP en Klant vrijwaren elkaar over en weer voor alle aanspraken van derden, daaronder begrepen Betrokkenen, die jegens Klant of BSP mochten worden ingesteld wegens schending van de AVG/GDPR of andere toepasselijke regelgeving van Persoonsgegevens, voor zover die aanspraken aan BSP respectievelijk Klant zijn toe te rekenen Indien de toezichthouder in het kader van haar taak als handhaver een maatregel of boete oplegt aan Klant of BSP en de oorzaak voor het opleggen van de maatregel of boete te wijten is aan de andere partij, dan zal die andere Partij, ongeacht of de boete aan hem was opgelegd of niet, die boete en daarmee samenhangende kosten dragen voor zover deze niet beperkt zijn tot de in artikel 11 bedoelde Aansprakelijkheid De andere Partij zal door de Autoriteit Persoonsgegevens (AP) opgelegde boetes in verband met schending van de Algemene Verordening Gegevensbescherming (AVG/GDPR) betalen, op voorwaarde dat (i) de boete het directe gevolg is van een toerekenbare schending van de AVG/GDPR en (ii) door de andere Partij direct wordt geïnformeerd als een boete wordt opgelegd of dreigt te worden opgelegd en (iii) indien dit naar het oordeel van de andere Partij opportuun is, op eerste verzoek van de andere Partij bezwaar zal maken tegen het boetebesluit aan de hand van aan te leveren bezwaren en de andere Partij waar mogelijk de leiding zal geven in het voeren van een bezwaarschriftprocedure. ARTIKEL 11. AANSPRAKELIJKHEID 11.1 De totale aansprakelijkheid van Partijen is, ongeacht of zij gebaseerd is op overeenkomst of onrechtmatige daad, steeds beperkt tot vergoeding van het maximale bedrag dat tussen partijen is overeengekomen in de Overeenkomst. 5

6 11.2 De beperkingen van de aansprakelijkheid van Partijen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van leidinggevenden van de Partijen Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat de betreffende Partij de schade zo spoedig mogelijk na het ontstaan daarvan schriftelijk bij de andere Partij meldt. Iedere vordering tot schadevergoeding vervalt door het enkele verloop van twaalf maanden na het ontstaan van de vordering ARTIKEL 12. DUUR EN BEËINDIGING 12.1 De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst. De Verwerkersovereenkomst is niet los van de Overeenkomst te beëindigen Bij beëindiging of ontbinding van de Overeenkomst om welke reden ook, dan wel op eerste verzoek van Klant gedurende de looptijd van de Overeenkomst, zal BSP (tegen vergoeding van de alsdan bij haar geldende tarieven en kosten) zorgdragen dat, naar keuze van Klant: (i) alle door een Klant in het kader van de Overeenkomst ter beschikking gestelde Persoonsgegevens bij beëindiging of ontbinding van de Overeenkomst vernietigd worden; of (ii) alle of een door Klant in het kader van de Overeenkomst ter beschikking gestelde Persoonsgegevens aan Klant worden geretourneerd; of (iii) alle door een Klant in het kader van de Overeenkomst ter beschikking gestelde Persoonsgegevens bij een verzoek van Klant gedurende de looptijd van de Overeenkomst geanonimiseerd worden, zodat de AVG/GDPR en daarvan afgeleide privacywetgeving niet meer op deze gegevens van toepassing is; of (iv) Klant en/of Gebruikers in de gelegenheid stellen om Persoonsgegevens te onttrekken of verplaatsen. ARTIKEL 13. VERTROUWELIJKHEID 13.1 Partijen zullen alle (Persoons)gegevens en overige informatie waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Overeenkomst of Verwerkersovereenkomst ter kennis of beschikking is gekomen, geheimhouden en op geen enkele wijze openbaren of aan derden verstrekken, behalve voor zover: a. bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie in het kader van de uitvoering van de Overeenkomst of Verwerkersovereenkomst noodzakelijk is; b. enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak Partijen tot bekendmaking en/of verstrekking van die (Persoons)gegevens of overige informatie verplicht; c. bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie geschiedt met voorafgaande schriftelijke toestemming van de andere Partij; d. het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van een der Partijen Partijen zullen voor hen werkzame personen (waaronder werknemers), Onderaannemers en/of Sub-Verwerkers die betrokken zijn bij de Verwerking van vertrouwelijke (Persoons)gegevens contractueel verplichten tot geheimhouding van die vertrouwelijke (Persoons)gegevens en overige informatie. ARTIKEL 14. TOEPASSELIJK RECHT EN FORUMKEUZE 14.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in Rotterdam. 6

7 ONDERTEKENING Ieder der partijen garandeert en staat ervoor in dat op datum van ondertekening van deze overeenkomst, de ondertekenaars bevoegd waren de betreffende partij te vertegenwoordigen en de rechten en verplichtingen uit deze overeenkomst aan te gaan. Aldus opgemaakt in tweevoud en ondertekend, Namens Klant Handtekening Namens BSP Handtekening Naam Functie Datum Plaats Naam Functie Datum Plaats De volgende bijlagen zijn integraal onderdeel van deze overeenkomst: Bijlage I: Categorieën van te verwerken persoonsgegevens Bijlage II: Beveiligingsmaatregelen Bijlage I: Categorieën van te verwerken persoonsgegevens De onderstaande persoonsgegevens worden verwerkt: (wilt u s.v.p. het type gegevens welke wij niet voor u verwerken doorhalen) Administratieve gegevens van Klant Contact gegevens van Verantwoordelijke Voornaam en achternaam van Betrokkenen Adres gegevens van Betrokkenen Telefoonnummer van Betrokkenen adres(sen) van Betrokkenen Geboortedatum van Betrokkenen BSN nummer van Betrokkenen Gespreksopnames in geval van voice recording Overige te weten.. 7

8 Bijlage II: Beveiligingsmaatregelen BSP: Ter beveiliging van de door BSP opgeslagen Persoonsgegevens op door BSP gebruikte computer systemen zijn de volgende beveiligings maatregelen ingesteld: 1. De gebruikte software wordt up to date gehouden tot op de huidige stand der techniek. 2. Het LAN van BSP en de werkstations zijn op meerdere niveaus voorzien van een firewall 3. Alle computers van BSP zijn voorzien van een virusscanner die Live wordt bijgehouden 4. De werkstations van de door BSP gebruikte computersystemen zijn alleen toegankelijk met persoonlijke inloggen welke aan de werknemers worden verstrekt. 5. Werknemers kunnen alleen in het kantoor van BSP inloggen op de werkstations 6. De toegang van het kantoor is geregeld met een sleutelplan en bloktijden. Buitenwerktijden kan men alleen het pand betreden met voldoende autorisatie en aparte toeganscode. 7. Voor de door BSP gebruikte Cloud toepassing waar in de strekking van deze overeenkomst Persoonsgegevens worden opgeslagen geldt dat deze voor medewerkers alleen toegankelijk is vanaf het IP adres op het vestigingsadres van BSP 8. Door / bij BSP opgeslagen data wordt dagelijks geback-upt en redundant bewaard. Bijlage III: Policy Security Incidenten en Datalekken. Melding incident persoonsgegevens (datalek) Van een datalek is sprake als er een inbreuk is op de beveiliging van persoonsgegevens. Het gaat dan om toegang tot of vernietiging, wijziging of het vrijkomen van persoonsgegevens zonder dat dit de bedoeling was. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook de onrechtmatige verwerking van gegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking dus aan datgene waartegen de beveiligingsmaatregelen bescherming hadden moeten bieden. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Maar ook een aan een verkeerde persoon, of een aan een groep person en, waarbij ten onrechte de geadresseerden zichtbaar (dus niet in de Bcc-balk) zijn opgenomen. De ernst van een datalek hangt af van: de omvang van het lek (het aantal betrokken personen en/of aantal gegevens); de aard van de erbij betrokken gegevens (een leeftijd is normaal gesproken minder ernstig dan bijvoorbeeld een BSN-nummer, een foto of gezondheidsgegevens); de kans dat een lek ook daadwerkelijk tot schade zal leiden (een onbeveiligde USB-stick in de trein laten liggen is ernstiger dan een beveiligde USB-stick per ongeluk over de rand van een veerboot laten vallen). Een datalek moet in bepaalde gevallen worden gemeld aan de Autoriteit Persoonsgegevens. Dit is aan de orde wanneer het lek leidt of kan leiden tot een aanzienlijke (kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor zijn of haar persoonlijke levenssfeer. Verantwoordelijke versus bewerker De verwerkingsverantwoordelijke voor de betreffende persoonsgegevens moet een dergelijke melding doen. In sommige gevallen is Business Square Purmerendechter niet aan te merken als verantwoordelijke voor de gegevens, maar als verwerker. In voorkomende gevallen zullen we de omstandigheden rond het datalek zo snel mogelijk moeten doorgeven aan de verwerkingsverantwoordelijke voor de gegevens (vrijwel altijd een van onze cliënten), zodat deze indien nodig kan overgaan tot een melding. Business Square Purmerendis wel verwerkingsverantwoordelijke voor de persoonsgegevens, namelijk in het geval dat we een bepaalde invloed hebben op wat we precies met 8

9 de gegevens doen, bijvoorbeeld bij de samenstelling van jaarrekeningen of rond adviesdiensten. In andere gevallen is Business Square Purmerendalleen verwerker van de personeelsgegevens. Bij het verzorgen van een salarisadministratie bijvoorbeeld heeft Waterland Accountants & Adviseurs BV een precies gedefinieerde opdracht. De uitvoering ervan ligt op basis van de opdracht en wet- en regelgeving al op voorhand vrijwel geheel vast. Dit geldt meestal ook rond het verzorgen van administraties en aangiften omzetbelasting. In geval van twijfel wie de verwerkingsverantwoordelijke voor de persoonsgegevens is, is het zaak om met de opdrachtgever te overleggen over het datalek, de eventuele melding en wie die gaat doen. Uiteindelijk gaat het er om dát de melding indien nodig wordt gedaan en is niet cruciaal wie die melding doet. Het lek kan zich hebben voorgedaan bij Business Square Purmerend, maar ook bij een partij waaraan Business Square Purmerend toegang heeft gegeven tot de persoonsgegeven. Bijvoorbeeld omdat we een specialist hebben moeten inschakelen, of denk aan de opslag van gegevens in een datacenter. In de betreffende overeenkomst of door middel van een aanvullende subverwerkersovereenkomst is dan overeengekomen dat de desbetreffende partij ons op de hoogte moet brengen van een eventueel datalek bij hen, zodat Waterland Accountants & Adviseurs BV indien en voor zover nodig verdere actie kan ondernemen. Binnen onze organisatie moeten alle incidenten rond de beveiliging van persoonsgegevens onmiddellijk worden gemeld aan het bestuur. Omdat een eventuele melding onverwijld en (aan de Autoriteit Persoonsgegevens) zo mogelijk binnen 72 uur moet gebeuren én omdat het incident schadelijk kan zijn voor personen moet deze procedure voortvarend en zorgvuldig worden opgepakt. Informatie Datalekken Samenvatting van het incident dat de inbreuk in verband met persoonsgegevens heeft veroorzaakt (met inbegrip van de fysieke locatie waar de inbreuk plaatsvond en de betrokken opslagmedia). De aard van de inbreuk op de persoonsgegevens. Datum en tijdstip van het incident (indien bekend; eventueel bij benadering) en van het moment waarop dit werd vastgesteld: a) Op (datum) b) Tussen (begindatum periode) en (einddatum periode) c) Nog niet bekend Omstandigheden van de inbreuk in verband met persoonsgegevens (bv. diefstal, verlies kopiëren): a) Lezen (vertrouwelijkheid) b) Kopiëren c) Veranderen (integriteit) d) Verwijderen of vernietigen (beschikbaarheid) e) Diefstal f) Nog niet bekend Om welk type persoonsgegevens gaat het? a) Naam-, adres- en woonplaatsgegevens b) Telefoonnummer(s) c) adressen of andere adressen voor elektronisch communicatie d) Toegangs- of identificatiegegevens (bijvoorbeeld inlognaam / wachtwoord of klantnummer) e) Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer) f) Burgerservicenummer (BSN) of sofinummer g) Paspoortkopieën of kopieën van andere legitimatiebewijzen h) Geslacht, geboortedatum en/of leeftijd i) Bijzondere persoonsgegevens (bijvoorbeeld ras, etniciteit, criminele gegevens, politieke overtuiging, vakbondslidmaatschap, religie, seksuele leven, medische gegevens) 9

10 j) Overige gegevens, namelijk (vul aan) Van hoeveel personen zijn persoonsgegevens betrokken bij de Inbreuk? a) Minimaal : b) Maximaal :.. Omschrijf de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk. De categorie en mogelijk aantal records van persoonsgegevens. Technische en organisatorische maatregelen die met betrekking tot de desbetreffende persoonsgegevens door de aanbieder zijn (of worden) toegepast. Naam en contactgegevens data protection officer van Subverwerker. Naam en contactgegevens van de persoon waar meer informatie kan worden verkregen; Potentiële gevolgen en potentiële negatieve gevolgen van de inbreuk: a) Stigmatisering of uitsluiting b) Schade aan de gezondheid c) Blootstelling aan (identiteits)fraude d) Blootstelling aan spam of pishing e) Anders, namelijk (vul aan) Beschrijving van de maatregelen die reeds zijn genomen of voorgesteld worden om te nemen teneinde de inbreuk op te lossen en te voorkomen in de toekomst. Beschrijving van de maatregelen die reeds zijn genomen of voorgesteld worden om te nemen teneinde de gevolgen van de inbreuk zoveel mogelijk te beperken en inzichtelijk te krijgen. Zijn de persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? a) Ja b) Nee c) Deels, namelijk : (vul aan) Als de persoons gegeven geheel of deel onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd? Als u gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleutelen toe.) Heeft de inbreuk betrekking op personen in andere EU-landen? a) Ja b) Nee c) Nog niet bekend Alle overige door Verwerkingsverantwoordelijke gevraagde informatie. 10