Verwerkersovereenkomst

Verwerkersovereenkomst IT-ForYou


De ondergetekenden:

  1. De eenmanszaak IT-ForYou, statutair gevestigd te Lisse en kantoorhoudende te Lisse aan de Koningstraat 29, ingeschreven in het handelsregister onder nummer 75766442, hierbij rechtsgeldig vertegenwoordigd door haar bestuurder Cor van Vaneveld, hierna te noemen:
    Verwerkingsverantwoordelijke“;
    en
  2. De TeamLeader statutair gevestigd te Amsterdam en kantoorhoudende te Amsterdam aan de Helmholtzstraat 61H (1098 LE), ingeschreven in het handelsregister onder nummer 63326426, hierbij rechtsgeldig vertegenwoordigd door haar bestuurder Jeroen de Wit, hierna
    te noemen: “Verwerker“;

Verwerker en Verwerkingsverantwoordelijke worden gezamenlijk aangeduid met: “Partijen“:


In aanmerking nemende dat:

 

  • Partijen een (hoofd)overeenkomst hebben gesloten op , betreffende het vereenvoudigen en automatiseren van administratieve taken in ruime zin door Verwerker, op basis waarvan Verwerkingsverantwoordelijke aan Verwerker de opdracht geeft tot het verwerken van Persoonsgegevens als bedoeld in de Algemene Verordening Gegevensbescherming;
  • Partijen in deze Verwerkersovereenkomst de rechten en plichten voor de verwerking van de Persoonsgegevens door Verwerker wil vastleggen.

Komen overeen dat:

Artikel 1. Definities

1. Betrokkene: de persoon op wie de verwerkte Persoonsgegevens betrekking hebben;
2. Beveiligingsincident: een inbreuk op de beveiliging, waardoor de Persoonsgegevens zijn
vernietigd, verloren zijn gegaan, gewijzigd zijn, ongeoorloofd zijn verstrekt aan derden, of
waardoor derden ongeoorloofd toegang hebben (gehad) tot de Persoonsgegevens;
3. Persoonsgegevens: persoonsgegevens als bedoeld in de Algemene Verordening
Gegevensbescherming;
4. Verwerkersovereenkomst: deze overeenkomst, zoals gesloten tussen Verwerker en
Verwerkingsverantwoordelijke en die betrekking heeft op het verwerken van
Persoonsgegevens van Verwerkingsverantwoordelijke door Verwerker, inclusief bijlagen;
5. Voor overige definities verwijzen we u graag naar artikel 4 van de AVG.


Artikel 2. Inhoud Verwerkersovereenkomst

  1. In deze Verwerkersovereenkomst wordt de verwerking van Persoonsgegevens door Verwerker geregeld.
  2. Verwerker garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de verwerking van de Persoonsgegevens aan de vereisten van de Algemene Verordening Gegevensbescherming voldoet en de bescherming van de rechten van Betrokkenen zijn gewaarborgd.
  3. Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.
  4. In Bijlage 1 zijn de aard en het doel van de verwerking van de Persoonsgegevens, het soort Persoonsgegevens en de categorieën van Betrokkenen nader omschreven.


Artikel 3. Inwerkingtreding en duur

  1. Deze Verwerkersovereenkomst treedt in werking na ondertekening door Partijen.
  2. Deze Verwerkersovereenkomst eindigt nadat en voor zover Verwerker alle Persoonsgegevens overeenkomstig artikel 11.4 heeft gewist of terugbezorgd.
  3. Tussentijdse opzegging van deze Verwerkersovereenkomst is door geen van beide Partijen mogelijk.


Artikel 4. Verwerking

  1. Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de Algemene Verordening Gegevensbescherming worden gesteld aan het verwerken van de Persoonsgegevens.
  2. Verwerker verwerkt de Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder diens verantwoordelijkheid. Indien een dergelijke instructie naar de mening van Verwerker een inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming, dan stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis.
  3. Verwerker heeft geen zeggenschap over het doel en de middelen van de verwerking van de Persoonsgegevens en neemt geen beslissingen over het gebruik, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens.
  4. Bij de uitvoering van deze Verwerkersovereenkomst zal Verwerker vertrouwelijkheid in acht nemen.
  5. Verwerkingsverantwoordelijke staat er voor in dat de verwerking van de Persoonsgegevens is vrijgesteld van melding bij de Autoriteit Persoonsgegevens.
  6. Verwerker slaat gegevens op in landen binnen de Europese Economische Ruimte (hierna: EER) en in derde landen met een passend beschermingsniveau. Doorgifte en opslag van Persoonsgegevens buiten de EER of in derde landen zonder passend beschermingsniveau is
    niet toegestaan zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerker zal op verzoek van Verwerkingsverantwoordelijke melden in welke landen de persoonsgegevens worden verwerkt.
  7. Verwerker en degenen die onder het gezag van Verwerker werkzaam zijn, zijn verplicht tot geheimhouding van de Persoonsgegevens die Verwerker verwerkt en/of waarvan Verwerker kennis heeft genomen, tenzij een wettelijk voorschrift Verwerker tot mededeling verplicht of uit de taak van Verwerker de noodzaak tot mededeling voortvloeit.
  8. Verwerker dient Verwerkingsverantwoordelijke binnen 8 (acht) uur in kennis te stellen van alle tot Verwerker gerichte verzoeken die betrekking hebben op de rechten van betrokkenen, zoals (maar niet per definitie beperkt tot) een verzoek om inzage, verbetering, aanvulling, verwijzing of afscherming van de Persoonsgegevens. Verwerker verleent Verwerkingsverantwoordelijke volledige medewerking om te kunnen voldoen aan de
    betreffende verplichtingen van Verwerkingsverantwoordelijke op grond van de Algemene Verordening Gegevensbescherming, ongeacht of het verzoek van betrokkene is gericht tot Verwerker of tot Verwerkingsverantwoordelijke.
  9. Verwerker verleent Verwerkingsverantwoordelijke kosteloos volledige medewerking en bijstand om te kunnen voldoen aan alle op Verantwoordelijke rustende verplichtingen op grond van de Algemene Verordening Gegevensbescherming.
  10. Verwerker dient Verwerkingsverantwoordelijke de mogelijkheid te geven om te controleren of Verwerker de in deze Verwerkersovereenkomst vastgelegde afspraken nakomt.


Artikel 5. Inschakelen derden

  1. Het is Verwerker slechts toegestaan na schriftelijke instemming van de Verwerkingsverantwoordelijke om een derde in te schakelen bij de uitvoering van deze Verwerkersovereenkomst. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker een lijst van derden (subverwerkers) aanleveren.
  2. In het geval van de inschakeling van derden garandeert Verwerker dat schriftelijk is vastgelegd in een verwerkersovereenkomst dat deze derden dezelfde plichten op zich nemen als overeengekomen tussen Verwerker en Verwerkingsverantwoordelijke. Verwerker is verantwoordelijk voor de correcte naleving van de verplichtingen voortvloeiend uit de verwerkersovereenkomst zoals gesloten met deze derden. Bij beoogde veranderingen inzake de toevoeging of vervanging van andere sub-verwerkers, wordt dit schriftelijk medegedeeld aan de Verwerkingsverantwoordelijke en haar de mogelijkheid geboden tegen deze veranderingen binnen veertien dagen bezwaar te maken.
  3. Het is Verwerkingsverantwoordelijke conform art. 28 lid 3 onder h AVG toegestaan om de naleving van de verplichtingen voor Verwerker uit deze Verwerkersovereenkomst te (laten) controleren door middel van het uitvoeren van een audit. Verwerkingsverantwoordelijke draagt de kosten van een dergelijke audit, tenzij blijkt dat Verwerker zich niet aan de verplichtingen uit deze Verwerkersovereenkomst heeft gehouden, in welk geval de kosten voor rekening van Verwerker komen. Verwerkingsverantwoordelijke draagt niet bij aan mogelijke kosten van Verwerker ten gevolge van de audit (welke bijvoorbeeld kunnen ontstaan door het verlenen van medewerking en/of het doen van een tijdsinvestering).
    Verwerker verleent alle in redelijkheid te verlangen medewerking in het kader van de audit. Verwerker zal in overleg met Verwerkingsverantwoordelijke de eventuele aanbevelingen welke blijken uit de audit en noodzakelijk zijn om te kunnen voldoen aan de AVG zo spoedig mogelijk en op eigen kosten uitvoeren.
  4. Verwerker stelt Verwerkingsverantwoordelijke uiterlijk ten tijde van het sluiten de Verwerkersovereenkomst de informatie ter beschikking (bijvoorbeeld per e-mail of via een privacybeleid op de website) waaruit zo concreet mogelijk blijkt dat Verwerker voldoet aan de verplichtingen uit deze Verwerkersovereenkomst.


Artikel 6. Medewerking Verwerker

  1. Verwerker zal de Verwerkingsverantwoordelijke medewerking verlenen bij het doen nakomen van de verplichtingen om:
    a) verzoeken van Betrokkenen met betrekking tot de uitoefening van rechten van Betrokkenen
    op grond van de toepasselijke Privacywetgeving te beantwoorden;
    b) passende technische en organisatorische maatregelen te nemen om een op het risico afgestemde beveiligingsniveau te waarborgen;
    c) datalekken te melden aan toezichthouder en de betrokkenen;
    d) een gegevensbeschermingseffectbeoordeling uit te voeren; en
    e) de toezichthouder te raadplegen voorafgaand aan een Verwerking die een hoog risico met zich meebrengt.


Artikel 7. Beveiligingsincidenten

  1. Als blijkt dat bij Verwerker sprake is van een Beveiligingsincident, dan zal Verwerker Verwerkingsverantwoordelijke daarover binnen 8 (acht) uur informeren nadat Verwerker bekend is geworden met het Beveiligingsincident.
  2. Verwerker dient Verwerkingsverantwoordelijke in ieder geval informatie te verstrekken over
    het volgende:
    I. de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van
    Betrokkenen in kwestie en, bij benadering, het aantal Betrokkenen in kwestie;
    II. de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen
    Persoonsgegevens in kwestie;
    III. de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de
    Persoonsgegevens en de daarbij betrokken personen; en
    IV. de maatregelen die Verwerker heeft getroffen en zal treffen om de inbreuk aan te
    pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de
    eventuele negatieve gevolgen van de inbreuk.
  3. Als blijkt dat bij Verwerker sprake is van een Beveiligingsincident, dan zal Verwerker alle maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken. Verwerker verplicht zich in dat geval ook tot het verlenen van alle mogelijke medewerking, zodat Verwerkingsverantwoordelijke tijdig de Autoriteit Persoonsgegevens en eventueel de betrokkene kan informeren.
  4. Verwerker informeert Verwerkingsverantwoordelijke ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de inbreuk in verband met Persoonsgegevens.
  5. Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en de Betrokkene te maken kosten.
  6. Het is uitsluitend aan Verwerkingsverantwoordelijke om te bepalen of een bij Verwerker geconstateerd Beveiligingsincident juridisch gezien kwalificeert als een inbreuk in verband met de Persoonsgegevens als bedoeld in artikel 33 en/of artikel 34 AVG (ook wel genoemd: “datalek”) en of de betreffende inbreuk aldus dient te worden gemeld aan de Autoriteit Persoonsgegevens en/of aan betreffende betrokkenen. Verwerker verplicht zich tot het op eerste verzoek van Verwerkingsverantwoordelijke en op eigen kosten verlenen van alle mogelijke medewerking, zodat Verwerkingsverantwoordelijke tijdig de toezichthouder en eventueel de betrokkene(n) kan informeren.


Artikel 8. Beveiliging

  1. Verwerker garandeert dat Verwerker zich steeds vergewist van de laatste stand van de wetenschap en techniek met betrekking tot informatiebeveiliging en de bescherming van persoonsgegevens. Verwerker neemt alle passende technische en organisatorische maatregelen, nader omschreven in Bijlage 2, om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.
  2. Het waarborgen van een passend beveiligingsniveau kan voortdurend dwingen tot het treffen van aanvullende beveiligingsmaatregelen, dit erkennen Partijen. Verwerker waarborgt dan ook een op het risico afgestemd beveiligingsniveau. Verwerker zal aanvullende maatregelen treffen met betrekking tot de beveiliging van de Persoonsgegevens indien Verwerkingsverantwoordelijke daar uitdrukkelijk en schriftelijk om verzoekt.


Artikel 9. Geheimhouding

  1. Verwerker zal de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke strikt geheimhouden, waarbij zij minstens eenzelfde mate van zorg zal betrachten als die, die zij ten aanzien van de bescherming van haar eigen informatie van zeer vertrouwelijke aard in acht neemt. Verwerker zal de Persoonsgegevens of andere informatie verkregen door de Verwerkingsverantwoordelijke niet openbaar maken, distribueren, verstrekken, of op andere wijze bekend maken aan andere personen dan haar werknemers die van de Persoonsgegevens of andere informatie verkregen van de Verwerkingsverantwoordelijke kennis moeten kunnen nemen voor hun werkzaamheden voor de Verwerker en zal deze werknemers pas toegang geven tot de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke, nadat zij zijn geïnformeerd over het vertrouwelijke karakter van de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke. Verwerker legt het in deze overeenkomst bepaalde ook aan haar werknemers op.


Artikel 10. Aansprakelijkheid en vrijwaring

  1. Verwerker is aansprakelijk jegens Verwerkingsverantwoordelijke voor schade die het gevolg is van een tekortkoming in de nakoming van een verbintenis van Verwerker uit deze Verwerkersovereenkomst en/of uit de AVG. Daarnaast vrijwaart Verwerker Verwerkingsverantwoordelijke voor alle aanspraken en/of vorderingen van derden, waaronder boetes van de Autoriteit Persoonsgegevens, die het gevolg zijn van een tekortkoming in de nakoming van een verbintenis van Verwerker uit deze Verwerkersovereenkomst en/of uit de AVG.


Artikel 11. Slotbepalingen

  1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
  2. Alle geschillen die tussen Verwerker en Verwerkingsverantwoordelijke mochten ontstaan worden beslecht door de bevoegde rechter van de rechtbank Den Haag.
  3. Deze Verwerkersovereenkomst en de rechten en plichten uit deze Verwerkersovereenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
  4. In geval van beëindiging van deze Verwerkersovereenkomst zal Verwerker onverwijld de Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren of alle Persoonsgegevens vernietigen, zulks ter keuze van Verwerkingsverantwoordelijke. Indien de Persoonsgegevens reeds (in welke vorm dan ook) bij Verwerkingsverantwoordelijke in bezit zijn, dan is Verwerker slechts gehouden tot vernietiging.
  5. Mocht enige bepaling in deze Verwerkersovereenkomst nietig, vernietigbaar of onverbindend zijn, dan zal deze Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de betreffende bepaling overleg plegen, met het doel om een rechtsgeldige bepaling overeen te komen die zoveel mogelijk dezelfde inhoud en werking heeft als de nietige, vernietigbare of niet-verbindende bepaling. Aldus overeengekomen en ondertekend in tweevoud, Verwerkingsverantwoordelijke Verwerker.

 

Bijlage 1: Verwerking Persoonsgegevens

In deze bijlage wordt de verwerking van Persoonsgegevens nader gespecificeerd. Verwerker zal in het kader van de Verwerkersovereenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:


Het soort Persoonsgegevens:

NAW-gegevens

  • E-mailadres(sen);
  • IP-adres;
  • Betalingsgegevens ;
  • Factuuradres(sen);
  • Adresgegevens


Inloggegevens

  • Andere informatie over uw server(s), computer(s) of overige apparatuur;
  • Dataverkeer en;
  • Bezoekgedrag.


Het doel van de verwerking van Persoonsgegevens:
Afhandelen van de overeenkomst.

Een beschrijving van de categorieën van de betrokkenen:

  • Accounthouders;
  • Klanten;
  • Mogelijke klanten;
  • Websitebezoekers.


Een beschrijving van de categorieën ontvangers van Persoonsgegevens:

Verwerker maakt ten tijde van het afsluiten van de Verwerkersovereenkomst gebruik van de
volgende Subverwerkers:

Partijnaam Statutaire vestigingsplaats Subverwerker Beknopte omschrijving
taak/dienst waaruit blijkt
welke informatie wordt
Verwerkt door deze Subverwerker
Plaats/land van
opslag en Verwerking Persoonsgegevens
[….] [….]    
[….] [….]    

 

Opmerking: indien de Persoonsgegevens buiten de EER worden verwerkt wordt apart opgave gedaan van de landen waar de Persoonsgegevens worden verwerkt én op welke wijze is gewaarborgd dat de gegevens rechtmatig kunnen worden doorgegeven.


Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.


Bijlage 2: Technische en organisatorische beveiligingsmaatregelen

Verwerker neemt ter beveiliging van de verwerking van Persoonsgegevens ten minste de volgende maatregelen:

  1. Verwerker heeft een passend beleid voor de beveiliging van de verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en zo nodig aangepast;
  2. Verwerker heeft de Persoonsgegevens die worden Verwerkt geclassificeerd op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid en heeft op basis van die classificatie beveiligingsmaatregelen genomen om de risico’s voor de verwerking van
    Persoonsgegevens te beperken;
  3. Verwerker neemt maatregelen om te waarborgen dat enkel geautoriseerde medewerkers van Verwerkingsverantwoordelijk en Verwerker toegang hebben tot de verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst. Hierbij heeft Verwerker procedures vastgesteld en gedeeld met de Verwerkingsverantwoordelijke voor de identificatie, autorisatie en authenticatie van medewerkers alsmede rondom de registratie, aanmelding en afmelding van de medewerkers;
  4. Verwerker zorgt dat de toegang tot het product of de dienst beveiligd is door middel van een passend beleid voor wachtwoorden dat aansluit bij de stand van de techniek;
  5. Verwerker heeft procedures voor het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. De Verwerkingsverantwoordelijke wordt in de gelegenheid gesteld om deze logbestanden
    periodiek te controleren;
  6. Verwerker heeft maatregelen genomen om de Persoonsgegevens te beschermen tegen verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
  7. Verwerker maakt bij de beveiliging van de verwerking van Persoonsgegevens gebruik van een (inter)nationale beveiligingsnorm;
  8. Verwerker heeft maatregelen genomen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Verwerkingsverantwoordelijke.
  9. Verwerker neemt ter beveiliging van de verwerking van Persoonsgegevens daarnaast de volgende aanvullende maatregelen:
    a. De verbinding met de servers van IT-ForYou zijn beveiligd met een SSL-certificaat. Servers kunnen alleen met SSH-key worden benaderd.


Bijlage 3: Afspraken bij een inbreuk op Persoonsgegevens

De Verwerkingsverantwoordelijke hecht belang aan een goede beveiliging van haar (elektronische)systemen, waarin persoonsgegevens zijn opgeslagen en worden verwerkt. Het valt desalniettemin nooit volledig te voorkomen dat er een datalek zal plaatsvinden. De Verwerkingsverantwoordelijke is op grond van de Algemene verordening gegevensbescherming (AVG) verplicht om (ernstige) datalekken te melden aan de Autoriteit Persoonsgegevens, en aan de betrokkenen. Om te voldoen aan onze wettelijke verplichtingen hanteren we een ‘protocol melding inbreuk persoonsgegevens’ om zo adequaat mogelijk te handelen als er onverhoopt toch een datalek plaatsvindt. Via een
registratieformulier ‘melding inbreuk persoonsgegevens’ en bijbehorende ‘register’ wordt de verwerking en registratie ervan geborgd.


1. Definitie datalek

Er is sprake van een datalek als er een inbreuk op de beveiliging plaatsvindt die per ongeluk of op
onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of
ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.


2. Interne verantwoordelijken melding datalekken

Verwerker heeft interne verantwoordelijken voor de verwerking en het melden van datalekken;
hierna te noemen ‘interne verantwoordelijke’:
Aanspreekpunt: Jeroen de Wit


3. Interne vervolgstappen bij ontdekking van een datalek

  • Degene die een datalek bij Verwerker ontdekt, meldt dit per omgaande aan de interne verantwoordelijke.
  • Indien mogelijk, en in overleg met de interne verantwoordelijke, zorgt degene die het datalek heeft ontdekt er gelijktijdig voor dat de gelekte gegevens meteen op afstand worden gewist of ontoegankelijk gemaakt.


4. Onderzoek en te nemen stappen door de interne verantwoordelijke

De interne verantwoordelijke onderzoekt/ onderneemt:

  • Of er persoonsgegevens verloren zijn gegaan of onrechtmatig gebruikt kunnen worden;
  • Wie of welke afdelingen binnen de organisatie betrokken zijn bij het datalek;
  • Of er een verwerker betrokken is bij het incident;
  • Stappen om het datalek te stoppen, of neemt de noodzakelijke maatregelen om het datalek zo goed mogelijk te bestrijden.


5. Vaststelling van de gevolgen van een datalek

De interne verantwoordelijke onderzoekt de mogelijke gevolgen van het datalek aan de handvan de aard en de omvang van de gegevens die gelekt zijn en stelt vast wat de nadelige gevolgen van de betrokkenen kunnen zijn.


6. Medewerking verstrekking gegevens omtrent het datalek

De ontdekker/melder van het datalek en de interne verantwoordelijk geven zo snel (uiterlijk binnen 24 uur) en zo volledig mogelijk schriftelijk antwoorden (zie registratieformulier https://datalekken.autoriteitpersoonsgegevens.nl).


7. Beschikbaarheid personeel na ontdekking datalek

De verantwoordelijke vanuit waar het datalek heeft plaatsgevonden, alsook de ontdekker van het datalek, en iedereen die vanuit hun functie of kennis in staat is om organisatorische en/of technische maatregelen te treffen om de gevolgen van het datalek te beperken, houden zich de eerste 24 uur na ontdekking van het datalek beschikbaar voor overleg met de interne verantwoordelijke c.q. eventueel door hem aangewezen experts en voor het zo nodig uitvoeren van opgedragen werkzaamheden als gevolg van het datalek.


8. Beslissing melding datalekken

  • De interne verantwoordelijke beslist uiterlijk binnen 60 uur na ontdekking van het datalek, in overleg met de partners, externe verantwoordelijken en/of door hem aangewezen experts, of het datalek dient te worden gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkenen.
  • Een datalek wordt in principe altijd gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen.
  • De melding van het datalek gaat gepaard met beantwoording van de vragen zoals omschreven in het registratieformulier (https://datalekken.autoriteitpersoonsgegevens.nl).
  • Een datalek dat gemeld is aan de Autoriteit Persoonsgegevens wordt eveneens gemeld aan de betrokkenen als het een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, tenzij inmiddels passende maatregelen zijn genomen dat het hoge risico heeft afgewend.


9. Melding datalekken aan de Autoriteit Persoonsgegeven en/of betrokkenen

  • De interne verantwoordelijke draagt zo nodig zorg voor de melding aan de Autoriteit Persoonsgegevens.
  • Melding geschiedt zo spoedig mogelijk na de ontdekking en uiterlijk binnen 72 uur na
    ontdekking van het datalek (https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0).
  • Het is de interne verantwoordelijke of enige andere werknemer van de Verwerker niet toegestaan om het (mogelijke) datalek zelf aan de betrokkene(n) te melden.
  • Als daartoe verzocht, verleent een werknemer alle medewerking aan de Verwerkingsverantwoordelijke om de getroffen personen conform artikel 34 AVG te kunnen informeren omtrent het datalek.


10. Gevolgen melding datalekken

Als het datalek negatieve gevolgen heeft voor betrokkenen, dan doet de interne verantwoordelijke er alles aan om deze gevolgen zoveel mogelijk te beperken.

  • Afhankelijk van de aard en de omvang van het datalek voor betrokkenen bepaalt de
    Verwerkingsverantwoordelijke:
    a. Op welke wijze betrokkenen worden geïnformeerd, waaronder in ieder geval de
    mededelingen worden gedaan welke soorten persoonsgegevens getroffen zijn, wat de mogelijke
    gevolgen zijn, welke maatregelen Jeroen de Wit neemt en op welke wijze betrokkenen zelf de schade
    kunnen voorkomen of beperken;
    b. Welke nazorg betrokkenen krijgen;
    c. Welke acties in het belang van de organisatie noodzakelijk zijn.
  • Als een datalek heeft plaatsgevonden – ongeacht of deze is gemeld of niet – worden zo
    spoedig mogelijk adequate technische en/of organisatorische maatregelen getroffen om
    toekomstige gelijksoortige datalekken te voorkomen.


11. Bijhouden register datalekken

De interne verantwoordelijke en Verwerkingsverantwoordelijke houden een register bij van
alle datalekken, waarin alle gegevens rondom het datalek worden geregistreerd, zoals:

  • Een omschrijving van het incident;
  • Datum en tijdstip van het datalek;
  • Datum en tijdstip ontdekking van het datalek;
  • Omschrijving van de soort gelekte persoonsgegevens;
  • Omschrijving van de categorie(ën) van betrokkenen die zijn getroffen;
  • Omschrijving aantal betrokkenen (bij benadering);
  • Of ook gegevens van personen in andere EU-landen zijn gelekt.