Bewerkersovereenkomst <datum> pagina 1 van 15
Overeenkomst inzake persoonsgegevens De ondergetekenden: 1. De gemeente <invullen>, zetelend <adres> te <plaats>, ten dezen rechtsgeldig vertegenwoordigd door <de heer/mevrouw invullen>, hierna (ook): de Verantwoordelijke en 2..., gevestigd te, kantoorhoudende aan.. te.., ten dezen rechtsgeldig vertegenwoordigd door.., hierna (ook): de Bewerker; hierna gezamenlijk te noemen: Partijen, overwegende dat: - in het kader van de uitvoering van < concrete omschrijving van de door Bewerker in opdracht van Verantwoordelijke te leveren producten/diensten, (de Hoofdovereenkomst) persoonsgegevens in de zin van artikel 1, aanhef en onder a van de Wet bescherming persoonsgegevens worden verwerkt; - de Hoofdovereenkomst ertoe leidt dat Bewerker in opdracht van Verantwoordelijke persoonsgegevens verwerkt; - Partijen in overeenstemming met de Wet bescherming persoonsgegevens hun afspraken over het verwerken van de persoonsgegevens door Bewerker wensen vast te leggen; - deze overeenkomst is aan te merken als een Bewerkersovereenkomst in de zin van artikel 14, tweede lid van de Wet bescherming persoonsgegevens; komen overeen: pagina 2 van 15
Artikel 1 Definities 1. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. 2. Betrokkene: degene op wie een persoonsgegeven betrekking heeft. 3. Bewerker: degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. 4. Bijlage(n): aanhangsels bij deze overeenkomst, die na door beide partijen te zijn geparafeerd, deel uitmaken van deze overeenkomst. 5. Derde: ieder, niet zijnde de betrokkene, de Verantwoordelijke, de Bewerker, of enig persoon die onder rechtstreeks gezag van de Verantwoordelijke of de Bewerker gemachtigd is om persoonsgegevens te verwerken. 6. Functionaris: de functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de Wbp. 7. Gemeente: <naam Gemeente(en)> 8. Het College bescherming persoonsgegevens of het College: het College als bedoeld in artikel 51 van de Wbp. 9. Hoofdovereenkomst: <naam overeenkomst> 10. Maatregelen: de door de Verantwoordelijke vastgestelde maatregelen ter zake van methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften welke bij de uitvoering van de werkzaamheden door de Bewerker zullen worden gevolgd. 11. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt. 12. Subbewerker: de partij die door Bewerker wordt ingeschakeld (als bewerker) ten behoeve van de Verwerking van de persoonsgegevens in het kader van deze Bewerkersovereenkomst en de Hoofdovereenkomst. 13. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. 14. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. 15. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens. 16. Verwerking van persoonsgegevens of het verwerken van persoonsgegevens: elke pagina 3 van 15
handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens. 17. Voorafgaand onderzoek: een onderzoek als bedoeld in artikel 31 van de Wbp. Artikel 2 Duur van de Bewerkersovereenkomst 1. Deze Bewerkersovereenkomst werkt aanvullend op de Hoofdovereenkomst en ziet specifiek op de privacy waarborgen daaromtrent. De Bewerkersovereenkomst treedt in werking op < datum> en duurt voort zolang de Bewerker als Bewerker van persoonsgegevens optreedt in het kader van de door de Verantwoordelijke ter beschikking gestelde persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst. Beëindiging van de Hoofdovereenkomst impliceert tevens beëindiging van deze Bewerkersovereenkomst, met dien verstande dat de bepalingen uit de Bewerkersovereenkomst van kracht blijven zolang de Bewerker na beëindiging of ontbinding van de Hoofdovereenkomst nog over de persoonsgegevens beschikt. Artikel 3 Onderwerp van de Bewerkersovereenkomst 1. De Bewerker verwerkt persoonsgegevens in opdracht van de Verantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst. 2. Een overzicht van de categorieën persoonsgegevens en gebruik waarvoor de persoonsgegevens worden verwerkt, is uiteengezet in Bijlage X. 3. De Bewerker verbindt zich om in het kader van die werkzaamheden de door de Verantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken. 4. Dat de Wbp aan de Verantwoordelijke de plicht oplegt om ervoor zorg te dragen dat de Bewerker voldoende waarborgen biedt ten aanzien van de technische- en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Artikel 4 Naleving wet- en regelgeving 1. Het College van Burgemeester en Wethouders van Gemeente is Verantwoordelijke in de zin van de Wbp. 2. De <afdelingsnaam/functienaam>van Gemeente is namens de Verantwoordelijke belast met het beheer van de binnen de Gemeente in beheer zijnde gegevensverwerkingen. pagina 4 van 15
3. Bewerker verwerkt gegevens ten behoeve van de Verantwoordelijke, in overeenstemming met diens instructies. De Bewerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan Derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze Bewerkersovereenkomst komt nimmer bij de Bewerker te berusten. 4. De Bewerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 3 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de bescherming van persoonsgegevens. De Bewerker verwerkt persoonsgegevens slechts in opdracht van de Verantwoordelijke en zal alle redelijke instructies van de Verantwoordelijke dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen. 5. Bewerker verplicht zich om de van Verantwoordelijke verkregen persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Bewerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door de Verantwoordelijke (mondeling, schriftelijk dan wel elektronisch) aan Bewerker zijn opgedragen. Deze verplichting geldt zowel gedurende de looptijd van deze overeenkomst als na afloop daarvan. 6. Onder Beveiligingsincidenten wordt een inbreuk verstaan op de beveiliging, bedoeld in artikel 6, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die worden verwerkt. 7. Indien de Verantwoordelijke dan wel Bewerker een beveiligingsincident vaststelt, zal deze de andere Partij informeren en zullen beide Partijen alle benodigde maatregelen nemen conform de wettelijke voorschriften om (verdere) schending of inbreuken betreffende de Verwerking de persoonsgegevens te voorkomen, of te beperken. 8. De Bewerker zal onmiddellijk bij het ontdekken van beveiligingsincidenten of datalekken deze melden aan de Verantwoordelijke, al dan niet onder verbeurte van een boete in geval van niet-nakoming, conform artikel 9.3 van deze Bewerkersovereenkomst. De meldplicht behelst in ieder geval: de (vermeende) oorzaak van het lek; het (vooralsnog bekende en/of te verwachte) gevolg; de (voorgestelde) oplossing. pagina 5 van 15
9. Bewerker stelt de Verantwoordelijke in staat om passende vervolgstappen te nemen ten aanzien van het beveiligingsincident, waaronder het kunnen informeren van Betrokkenen. 10. In geval van een beveiligingsincident als omschreven in lid 6, zal Verantwoordelijke voldoen aan wettelijke meldingsplichten. Op verzoek van de Verantwoordelijke kan Bewerker Verantwoordelijke hierbij bijstaan en adviseren. De Verantwoordelijke zal de Betrokkenen, indien wettelijk vereist, informeren over een dergelijke inbreuk. Indien er geen sprake is van toerekenbare tekortkoming van Bewerker zullen partijen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten. 11. De Bewerker zal te allen tijde op eerste verzoek van de Verantwoordelijke onmiddellijk alle van de Verantwoordelijke afkomstige persoonsgegevens met betrekking tot deze Bewerkersovereenkomst ter hand stellen. 12. De Bewerker zal alle van de Verantwoordelijke afkomstige persoonsgegevens met betrekking tot deze Bewerkersovereenkomst op een nader te bepalen wijze retourneren op het moment van beëindigen van deze Bewerkersovereenkomst, dan wel op uitdrukkelijk verzoek van de Verantwoordelijke de gegevens te vernietigen op een nader te bepalen wijze. 13. De Bewerker stelt de Verantwoordelijke te allen tijde in staat om binnen de wettelijketermijnen te voldoen aan de verplichtingen op grond van de Wbp, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. Artikel 5 Geheimhoudingsplicht 1. Personen in dienst van, dan wel werkzaam ten behoeve van de Bewerker, evenals de Bewerker zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht of zijn taak daartoe noodzaakt. De medewerkers van de Bewerker tekenen hiertoe een geheimhoudingsverklaring <OPTIO- NEEL: Bijlage X>. 2. Indien de Bewerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal de Bewerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de Bewerker Verantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden. pagina 6 van 15
Artikel 6 Beveiligingsmaatregelen 1. De Bewerker neemt alle passende technische en organisatorische Maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de Verantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onzorgvuldig, ondeskundig of ongeoorloofd gebruik. De Maatregelen betreffen onder meer maar niet uitsluitend < INVULLING MAATREGELEN, HIERONDER ENKELE ALGEMENE VOORBEEL- DEN. LET OP DEZE DIENEN UITGEWERKT TE WORDEN IN DE BIJLAGEN>: Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de Bewerkersovereenkomst worden verwerkt; Maatregelen om de persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking; Maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Verantwoordelijke; een passend informatiebeveiligingsbeleid voor de verwerking van de persoonsgegevens. 2. Bewerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven. 3. De Bewerker zal de Verantwoordelijke vooraf informeren over bovengenoemde Maatregelen en onverwijld over beveiligingsinbreuken, datalekken of andere gebeurtenissen die de veiligheid van persoonsgegevens in gevaar hebben gebracht, brengen of dreigen te brengen. 4. Indien een uitdrukkelijk omschreven beveiliging in de Bewerkersovereenkomst ontbreekt, zal Bewerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is. 5. De Verantwoordelijke is te allen tijde gerechtigd de Verwerking van persoonsgegevens te doen controleren. De Bewerker is verplicht de Verantwoordelijke of controlerende instantie in opdracht van Verantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden. 6. De Verantwoordelijke zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de Bewerker. 7. De Bewerker verbindt zich om binnen een door de Verantwoordelijke te bepalen termijn pagina 7 van 15
de Verantwoordelijke, of de door de Verantwoordelijke ingeschakelde Derde, te voorzien van de verlangde informatie. Hierdoor kan de Verantwoordelijke, of de door de Verantwoordelijke ingeschakelde Derde, zich een oordeel vormen over de naleving door de Bewerker van deze Bewerkersovereenkomst. De Verantwoordelijke, of de door de Verantwoordelijke ingeschakelde Derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen. 8. Bewerker staat er voor in, de door de Verantwoordelijke of ingeschakelde Derde, aangegeven aanbevelingen ter verbetering binnen de daartoe door de Verantwoordelijke te bepalen termijn uit te voeren. 9. De Bewerker rapporteert over de opzet en werking van het stelsel van Maatregelen en procedures, gericht op naleving van deze Bewerkersovereenkomst. 10. In Bijlage X worden de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud en de frequentie van de rapportages die Bewerker aan de Verantwoordelijke oplevert over de beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Verantwoordelijke moet treffen. 11. De Bewerker stelt de Verantwoordelijke in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving van de technische en organisatorische beveiligingsmaatregelen door de bewerker. Naast rapportages door de Bewerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel. Artikel 7 Inschakeling Derden 1. Bewerker onthoudt zich van verstrekking van persoonsgegevens aan een Derde, tenzij deze uitwisseling plaatsvindt in opdracht van de Verantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een op de Bewerker rustende wettelijke verplichting. 2. Indien Bewerker op grond van een wettelijke verplichting gegevens dient te verstrekken aan een Derde, verifieert Bewerker de grondslag van het verzoek en de identiteit van de verzoeker en informeert deze indien wettelijk toegestaan - onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, Verantwoordelijke hierover. 3. Bewerker kan een Subbewerker inschakelen, van wie de identiteit en vestigingsgegevens zullen worden opgenomen. 4. Bewerker verplicht iedere Subbewerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Bewerkersovereenkomst. pagina 8 van 15
5. Bewerker verplicht iedere Subbewerker contractueel om persoonsgegevens niet verder te verwerken anders dan in het kader van deze Bewerkersovereenkomst is overeengekomen. 6. De Bewerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Bewerkersovereenkomst. 7. Bewerker zal alle Subbewerkers die betrokken zijn bij de Verwerking van de persoonsgegevens op de hoogte stellen van een beëindiging van de Bewerkersovereenkomst en zal waarborgen dat alle Subbewerkers de Persoonsgegevens (laten) vernietigen, dan wel de persoonsgegevens op verzoek van Verantwoordelijke retourneren aan Verantwoordelijke. Artikel 8 Wijziging Bewerkersovereenkomst 1. Wijzigingen/ of aanvullingen van deze Bewerkersovereenkomst kunnen slechts schriftelijk plaatsvinden middels een door beide Partijen geaccordeerd voorstel. Deze wijzigingen en/of aanvullingen worden beschreven en gemotiveerd in een overzicht dat als Bijlage X aan deze bewerkersovereenkomst zal worden gehecht. 2. Zodra de samenwerking is beëindigd, vernietigt Bewerker de persoonsgegevens die hij van de Verantwoordelijke heeft ontvangen, in welke vorm dan ook en toont dit aan, tenzij Partijen iets anders overeenkomen. De vernietiging moet, binnen nader overeen te komen termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt. 3. Elk van de Partijen is gerechtigd de bewerkersovereenkomst met onmiddellijke ingang te beëindigen in geval van overmacht, waaronder mede begrepen een zodanige wijziging van wettelijke regels dat een verdere voortzetting van de bewerkersovereenkomst niet kan worden verlangd. 4. Bij het beëindigen van de bewerkersovereenkomst met onmiddellijke ingang, wordt in de brief de reden van beëindiging vermeld. 5. Bij beëindiging van de Bewerkersovereenkomst blijven de bepalingen die ook na de beeindiging geacht worden van kracht te blijven, onverkort van toepassing. 6. In het geval enige bepaling van deze bewerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze bewerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling. pagina 9 van 15
Artikel 9 Aansprakelijkheid 1. Indien de Bewerker tekortschiet in de nakoming van de verplichting uit deze Bewerkersovereenkomst kan Verantwoordelijke hem in gebreke stellen. Bewerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de Bewerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is Bewerker in verzuim. 2. Bewerker is aansprakelijk voor alle schade of nadeel voortvloeiende uit het nietnakomen van, of in strijd handelen met de bij of krachtens de Wbp gegeven voorschriften en/of het niet-nakomen van, of in strijd handelen met het in deze Bewerkersovereenkomst bepaalde. Onverminderd de aanspraken op grond van wettelijke regels. Bewerker is aansprakelijk voor schade of nadeel voor zover ontstaan door zijn werkzaamheid. Bewerker is tevens aansprakelijk voor alle schade of nadeel voortvloeiende uit de door zijn werkzaamheid ontstane inbreuken op de persoonlijke levenssfeer van betrokkenen en vrijwaart Verantwoordelijke voor eventuele aanspraken van Derden op vergoeding van schade als gevolg van het tekortschieten als bedoeld in het eerste lid. 3. Indien Bewerker genoemde verplichting(en) uit hoofde van deze Bewerkersovereenkomst niet nakomt, zal Bewerker onmiddellijk, zonder dat hiervoor een aanmaning of een voorafgaande verklaring nodig is, jegens Verantwoordelijke een onmiddellijk opeisbare boete verbeuren. De hoogte van de boete betreft <invullen>. Deze boete is niet vatbaar voor verrekening en opschorting en laat het recht van Verantwoordelijke op nakoming en schadevergoeding onverlet. Artikel 10 Continuïteit 1. De Bewerker richt de uitvoering van de werkzaamheden zo in dat de dienstverlening ingeval van calamiteiten ongestoord kan worden voortgezet. 2. De Bewerker zal zorgdragen voor adequate Maatregelen voor uitwijk, back-up en restore van de data en andere informatie. Artikel 11 Verwerking buiten de Europese Economische Ruimte 1. Partijen zien er op toe dat voor zover persoonsgegevens buiten de Europese Economische Ruimte (verder: EER) worden verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Gemeente rusten. Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage X aangegeven, inclusief een opgave van de landen waar de gegevens worden verwerkt. pagina 10 van 15
Artikel 12 Toepasselijk recht en geschillen 1. Op deze bewerkersovereenkomst is uitsluitend Nederlands recht van toepassing. 2. Alle geschillen (daaronder inbegrepen geschillen die slechts door één der Partijen als zodanig worden beschouwd) die naar aanleiding van deze bewerkersovereenkomst ontstaan zullen aanhangig worden gemaakt bij de bevoegde rechter in het arrondissement Oost-Brabant. Artikel 13 Overige bepalingen 1. Deze overeenkomst kan worden aangehaald als Bewerkersovereenkomst uitvoering Hoofdovereenkomst. 3. Bepalingen in de algemene inkoopvoorwaarden van de Hoofdovereenkomst en bepalingen in de Hoofdovereenkomst met betrekking tot de bescherming van persoonsgegevens die afwijken van het gestelde in deze bewerkersovereenkomst zijn niet van toepassing. Aldus overeengekomen en in tweevoud opgemaakt Plaats: Datum: Plaats: Datum: Verantwoordelijke: Bewerker: pagina 11 van 15
BIJLAGE X ALGEMENE GEGEVENS Indien de ruimte in deze bijlage onvoldoende is om de benodigde informatie te beschrijven, is het mogelijk de informatie op te nemen in separate Bijlage(n), welke als volgt genummerd worden: Bijlage 1A, Bijlage 1B, etc.. Deze Bijlagen worden aan de Bewerkersovereenkomst gehecht. Algemene informatie Naam product en/of dienst : Naam Bewerker en vestigingsgegevens : Beknopte uitleg en werking product en dienst: Gebruikers : Categorieën en soorten persoonsgegevens Omschrijving en opsomming categorieën Persoonsgegevens die gebruikt worden: Eventuele optionele Persoonsgegevens (die worden niet standaard gevraagd en opgeslagen): Soorten van gegevens (zoals bijzondere gegevens, of financiële gegevens): Algemene informatie over getroffen beveiligingsmaatregelen: Voor de genomen veiligheidsmaatregelen wordt kortheidshalve verwezen naar Bijlage X bij de Bewerkersovereenkomst. Specifieke beveiligingsmaatregelen voor deze dienst/product [indien van toepassing]: Eventuele certificeringen: Audits/derden-verklaringen: Plaats/Land van opslag en Verwerking van de persoonsgegevens: Subbewerkers Bewerker maakt voor dienst/product gebruik van de volgende Subbewerkers: pagina 12 van 15
[partijnaam, beknopte omschrijving taak/dienst waaruit blijkt welke informatie wordt Verwerkt door deze Subbewerker] Plaats/Land van opslag en Verwerking van de Persoonsgegevens (indien de Persoonsgegevens buiten de EER worden verwerkt wordt apart opgave gedaan van de landen waar de Persoonsgegevens worden verwerkt). Contactgegevens Voor vragen of opmerkingen over de werking van dit product of deze dienst, kunt u terecht bij: [contactgegevens]. Versie [versie nummer en datum laatste aanpassing] pagina 13 van 15
Bijlage X Technische en organisatorische beveiligingsmaatregelen De Bewerker is overeenkomstig de Wbp en artikel 6 bewerkersovereenkomst verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens. Indien de ruimte in deze bijlage onvoldoende is om de benodigde informatie te beschrijven, is het mogelijk de informatie op te nemen in separate Bijlage(n), welke als volgt genummerd worden: Bijlage 2A, Bijlage 2B, etc.. Deze Bijlagen worden aan de Bewerkersovereenkomst gehecht. Omschrijving van de maatregelen zoals bedoeld in artikel 6 Bewerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens. Meer in het bijzonder de uitwerking welke (groepen) medewerkers van de Bewerker toegang hebben tot welke Persoonsgegevens, inclusief een omschrijving van handelingen die deze medewerkers uit mogen voeren met de persoonsgegevens. a. (groepen van) medewerkers die toegang hebben tot welke Persoonsgegevens: b. handelingen die deze medewerkers uitvoeren met de Persoonsgegevens: II. Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking. Meer in het bijzonder de uitwerking van de door Bewerker getroffen technische en organisatorische (beveiligings-)maatregelen en de daarbij gehanteerde beveiligingsnorm. [beschrijving beveiliging applicatie/platform] [beschrijving wijze van identificatie/authenticatie/autorisatie en beveiliging daarvan] [beschrijving beveiliging van wijze van uitwisseling/transport van gegevens] pagina 14 van 15
III. Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verantwoordelijke. [zoals een periodieke analyse van (security) incidenten, het periodiek uitvoeren van een extern/intern kwetsbaarhedenonderzoek (ethical hack) of het periodiek uitvoeren van controles op beveiliging van systemen] Rapportage Bewerker rapporteert periodiek met een frequentie van [ ] maal per jaar, uiterlijk op [ ] aan Verantwoordelijke over de door Bewerker genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten daarin. [contactgegevens helpdesk/servicedesk voor beveiligingsincidenten] Versie [versie nummer en datum laatste aanpassing] pagina 15 van 15