Contract voor orderverwerking

tussen

Klant in overeenstemming met de AV als Controller (hierna "Controller"),

en

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland als Gegevensverwerker (hierna "Gegevensverwerker", Verwerkingsverantwoordelijke en Gegevensverwerker gezamenlijk de "Partijen")

Preambule

De Verwerkingsverantwoordelijke heeft de Gegevensverwerker in de AVG (hierna te noemen de "Hoofdovereenkomst") opdracht gegeven voor de daarin gespecificeerde diensten. Onderdeel van de uitvoering van de overeenkomst is de verwerking van persoonsgegevens. In het bijzonder stelt Art. 28 GDPR specifieke eisen aan een dergelijke in opdracht gegeven verwerking. Om aan deze vereisten te voldoen, sluiten de Partijen de volgende Gegevensverwerkingsovereenkomst (hierna de "Overeenkomst" genoemd), waarvan de uitvoering niet afzonderlijk wordt vergoed, tenzij uitdrukkelijk overeengekomen.

§ 1 Definities

(1) Op grond van Art. 4 (7) GDPR is de Verwerkingsverantwoordelijke de entiteit die alleen of samen met andere Verwerkingsverantwoordelijken het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

(2) Op grond van Art. 4 (8) GDPR is een Gegevensverwerker een natuurlijke of rechtspersoon, autoriteit, instelling of ander orgaan die persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.

(3) Overeenkomstig Art. 4 (1) GDPR betekent persoonsgegevens elke informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (hierna "Betrokkene"); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.

(4) Persoonsgegevens die speciale bescherming vereisen zijn persoonsgegevens op grond van Art. 9 GDPR waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging van Betrokkenen blijkt, persoonsgegevens overeenkomstig Art. 10 GDPR over strafrechtelijke veroordelingen en strafbare feiten of gerelateerde veiligheidsmaatregelen, evenals genetische gegevens op grond van Art. 4 (13) GDPR, biometrische gegevens volgens Art. 4 (14) GDPR, gezondheidsgegevens volgens Art. 4 (15) GDPR, en gegevens over het seksleven of de seksuele geaardheid van een natuurlijke persoon.

(5) Volgens artikel 4 (2) GDPR is de verwerking elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, beperken, wissen of vernietigen van gegevens.

(6) Overeenkomstig artikel 4 (21) GDPR is de toezichthoudende autoriteit een onafhankelijk overheidsorgaan dat door een lidstaat is ingesteld overeenkomstig artikel 51 GDPR.

§ 2 Onderwerp van het contract

(1) De Gegevensverwerker levert de in het Hoofdcontract gespecificeerde diensten voor de Verwerkingsverantwoordelijke. Daarbij krijgt de Gegevensverwerker toegang tot persoonsgegevens, die de Gegevensverwerker voor de Verwerkingsverantwoordelijke verwerkt uitsluitend namens en in overeenstemming met de instructies van de Verwerkingsverantwoordelijke. De omvang en het doel van de gegevensverwerking door de Gegevensverwerker worden uiteengezet in het Hoofdcontract en eventuele bijbehorende dienstbeschrijvingen. De Verwerkingsverantwoordelijke is verantwoordelijk voor de beoordeling van de toelaatbaarheid van de gegevensverwerking.

(2) De Partijen sluiten deze Overeenkomst om de wederzijdse rechten en plichten onder de wetgeving inzake gegevensbescherming te specificeren. In geval van twijfel hebben de bepalingen van deze Overeenkomst voorrang op de bepalingen van het Hoofdcontract.

(3) De bepalingen van deze overeenkomst zijn van toepassing op alle activiteiten die verband houden met de Hoofdovereenkomst waarbij de Gegevensverwerker en zijn werknemers of door de Gegevensverwerker gemachtigde personen in contact komen met persoonsgegevens die afkomstig zijn van de Verwerkingsverantwoordelijke of die ten behoeve van de Verwerkingsverantwoordelijke zijn verzameld.

(4) De looptijd van deze Overeenkomst wordt beheerst door de looptijd van de Hoofdovereenkomst, tenzij de volgende bepalingen aanleiding geven tot nadere verplichtingen of beëindigingsrechten.

§ 3 Recht op instructie

(1) De Gegevensverwerker mag uitsluitend gegevens verzamelen, verwerken of gebruiken binnen de reikwijdte van het Hoofdcontract en in overeenstemming met de instructies van de Verwerkingsverantwoordelijke. Indien de Gegevensverwerker op grond van de wetgeving van de Europese Unie of de lidstaten waaronder hij valt, verplicht is verdere verwerking uit te voeren, stelt hij de Verwerkingsverantwoordelijke voorafgaand aan de verwerking op de hoogte van deze wettelijke vereisten.

(2) De instructies van de Controller worden in eerste instantie bepaald door deze Overeenkomst. Daarna kunnen zij door de Controller schriftelijk of in tekstvorm worden gewijzigd, aangevuld of vervangen door individuele instructies (Individuele Instructies). De Controller is te allen tijde gerechtigd dergelijke instructies te geven. Dit omvat instructies met betrekking tot het corrigeren, verwijderen en afschermen van gegevens.

(3) Alle gegeven instructies dienen door de Controller te worden gedocumenteerd. Instructies die verder gaan dan de in het Hoofdcontract overeengekomen dienstverlening, dienen te worden behandeld als een verzoek tot wijziging van de dienstverlening.

(4) Indien de Gegevensverwerker van mening is dat een instructie van de verantwoordelijke voor de verwerking in strijd is met de bepalingen inzake gegevensbescherming, stelt hij de verantwoordelijke voor de verwerking hiervan onverwijld in kennis. De Gegevensverwerker heeft het recht de uitvoering van de betreffende instructie op te schorten totdat deze door de verantwoordelijke voor de verwerking is bevestigd of gewijzigd. De Gegevensverwerker kan weigeren een duidelijk onrechtmatige instructie uit te voeren.

§ 4 Soorten gegevens die worden verwerkt, groep betrokkenen, derde land

(1) In het kader van de uitvoering van de Hoofdovereenkomst heeft de Gegevensverwerker toegang tot de persoonsgegevens die nader zijn gespecificeerd in bijlage 1..

(2) De groep Betrokkenen op wie de gegevensverwerking betrekking heeft, is vermeld in bijlage 1..

(3) Een overdracht van persoonsgegevens naar een derde land kan plaatsvinden onder de voorwaarden van Art. 44 e.v. GDPR.

§ 5 Beschermende maatregelen van de Gegevensverwerker

(1) De Gegevensverwerker is verplicht de wettelijke bepalingen inzake gegevensbescherming na te leven en geen informatie verkregen uit het domein van de Verwerkingsverantwoordelijke aan derden bekend te maken of aan hun toegang bloot te stellen. Documenten en gegevens worden beveiligd tegen openbaarmaking aan onbevoegden, rekening houdend met de stand van de techniek.

(2) De Gegevensverwerker dient de interne organisatie binnen zijn verantwoordelijkheidsgebied zodanig in te richten dat deze voldoet aan de bijzondere eisen van gegevensbescherming. Hij dient de in bijlage 2 vermelde technische en organisatorische maatregelen te hebben genomen om de gegevens van de Verwerkingsverantwoordelijke adequaat te beschermen overeenkomstig Art. 32 GDPR, die de Verwerkingsverantwoordelijke als adequaat erkent. De Gegevensverwerker behoudt zich het recht voor om de genomen beveiligingsmaatregelen te wijzigen en er tegelijkertijd voor te zorgen dat het contractueel overeengekomen beschermingsniveau niet wordt ondermijnd.

(3) Het is de personen die werkzaam zijn bij de gegevensverwerking door de Gegevensverwerker verboden om zonder toestemming persoonsgegevens te verzamelen, te verwerken of te gebruiken. De Gegevensverwerker zal alle personen die door hem zijn belast met de verwerking en uitvoering van dit contract (hierna "Medewerkers") dienovereenkomstig verplichten (geheimhoudingsplicht, Art. 28 (3) lit. b GDPR) en ziet met de nodige zorgvuldigheid toe op de naleving van deze verplichting.

(4) De Gegevensverwerker heeft een functionaris voor gegevensbescherming aangesteld. De functionaris voor gegevensbescherming van de Gegevensverwerker is heyData GmbH, Schützenstr. 5, 10117 Berlijn, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Informatieverplichtingen van de Gegevensverwerker

(1) In het geval van verstoringen, vermoedelijke schendingen van gegevensbescherming of schendingen van contractuele verplichtingen van de Gegevensverwerker, vermoedelijke veiligheidsgerelateerde incidenten of andere onregelmatigheden bij de verwerking van persoonsgegevens door de Gegevensverwerker, door personen die door hem in dienst zijn genomen binnen het kader van het contract of door derden, informeert de Gegevensverwerker de Verantwoordelijke voor de verwerking zonder onnodige vertraging. Hetzelfde geldt voor controles van de Gegevensverwerker door de toezichthoudende autoriteit voor gegevensbescherming. De melding van een inbreuk in verband met persoonsgegevens bevat ten minste de volgende informatie:

(a) een beschrijving van de aard van de inbreuk in verband met persoonsgegevens, voor zover mogelijk met inbegrip van de getroffen categorieën en het aantal Betrokkenen, de getroffen categorieën en het aantal getroffen bestanden met persoonsgegevens;

(b) een beschrijving van de maatregelen die de Gegevensverwerker heeft genomen of voorgesteld om de inbreuk aan te pakken en, indien van toepassing, maatregelen om de mogelijke negatieve gevolgen te beperken;

(c) een beschrijving van de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens.

(2) De Gegevensverwerker neemt onmiddellijk de nodige maatregelen om de gegevens te beveiligen en eventuele nadelige gevolgen voor de Betrokkenen te beperken, stelt de Verantwoordelijke voor de verwerking daarvan in kennis en verzoekt om verdere instructies.

(3) Daarnaast is de Gegevensverwerker verplicht de Verwerkingsverantwoordelijke te allen tijde informatie te verstrekken voor zover de gegevens van de Verwerkingsverantwoordelijke worden getroffen door een inbreuk op grond van lid 1.

(4) De Gegevensverwerker stelt de Verwerkingsverantwoordelijke op de hoogte van alle belangrijke wijzigingen in de beveiligingsmaatregelen overeenkomstig artikel 5, lid 2.

§ 7 Controlerechten van de controller

(1) De verantwoordelijke voor de verwerking kan zich vergewissen van de technische en organisatorische maatregelen van de gegevensverwerker vóór aanvang van de gegevensverwerking en daarna regelmatig op jaarbasis. Daartoe kan de verantwoordelijke voor de verwerking bijvoorbeeld informatie inwinnen bij de gegevensverwerker, bestaande certificaten van deskundigen, certificeringen of interne audits inwinnen of, na tijdige coördinatie, de technische en organisatorische maatregelen van de gegevensverwerker persoonlijk inspecteren tijdens normale kantooruren of laten inspecteren door een bevoegde derde, op voorwaarde dat de derde geen concurrentierelatie heeft met de gegevensverwerker. De Verwerkingsverantwoordelijke voert slechts controles uit voor zover deze noodzakelijk zijn en verstoort daarbij de activiteiten van de Gegevensverwerker niet onevenredig.

(2) De Gegevensverwerker verbindt zich ertoe de Verwerkingsverantwoordelijke op diens mondeling of schriftelijk verzoek binnen een redelijke termijn alle informatie en bewijsstukken te verstrekken die nodig zijn om de technische en organisatorische maatregelen van de Gegevensverwerker te controleren.

(3) De verantwoordelijke voor de verwerking documenteert de resultaten van de inspectie en stelt de gegevensverwerker daarvan in kennis. Indien de verantwoordelijke voor de verwerking fouten of onregelmatigheden ontdekt, met name tijdens de controle van de controleresultaten, stelt hij de verwerker hiervan onverwijld in kennis. Indien tijdens de controle feiten aan het licht komen die in de toekomst kunnen worden vermeden en die een wijziging van de opgedragen procedure vereisen, stelt de verantwoordelijke voor de verwerking de verwerker onverwijld in kennis van de noodzakelijke procedurele wijzigingen.

§ 8 Gebruik van dienstverleners

(1) De contractueel overeengekomen diensten worden uitgevoerd met inschakeling van de in bijlage 3 genoemde dienstverleners (hierna "Subverwerkers"). De Verwerkingsverantwoordelijke verleent de Gegevensverwerker zijn algemene machtiging in de zin van artikel 28 (2) s. 1 GDPR om aanvullende Subverwerkers in te schakelen binnen de reikwijdte van zijn contractuele verplichtingen of om reeds ingeschakelde Subverwerkers te vervangen.

(2) De Gegevensverwerker informeert de Verwerkingsverantwoordelijke voorafgaand aan elke voorgenomen wijziging met betrekking tot de betrokkenheid of vervanging van een Subverwerker. De Verwerkingsverantwoordelijke kan bezwaar maken tegen de voorgenomen betrokkenheid of vervanging van een Subverwerker vanwege een belangrijke reden op grond van de wetgeving inzake gegevensbescherming.

(3) Het bezwaar tegen de voorgenomen betrokkenheid of vervanging van een Subverwerker moet binnen 2 weken na ontvangst van de informatie over de wijziging worden ingediend. Als er geen bezwaar wordt gemaakt, wordt de inschakeling of vervanging geacht te zijn goedgekeurd. Als er een belangrijke reden is op grond van de gegevensbeschermingswetgeving en er geen minnelijke oplossing mogelijk is tussen de Verwerkingsverantwoordelijke en de Verwerker, heeft de Verwerkingsverantwoordelijke een bijzonder recht van beëindiging aan het einde van de maand volgend op het bezwaar.

(4) Bij het inschakelen van Sub-verwerkers, zal de Gegevensverwerker hen verplichten in overeenstemming met de bepalingen van deze Overeenkomst.

(5) Er is geen sprake van een subverwerkersrelatie in de zin van deze bepalingen indien de Gegevensverwerker aan derden diensten opdraagt die als louter ondersteunende diensten worden beschouwd. Hieronder vallen bijvoorbeeld post-, vervoers- en verzenddiensten, schoonmaakdiensten, telecommunicatiediensten zonder specifieke verwijzing naar diensten die de Gegevensverwerker aan de Verantwoordelijke voor de verwerking verleent en bewakingsdiensten. Onderhouds- en testdiensten vormen Subverwerkersrelaties waarvoor toestemming is vereist voor zover ze worden geleverd voor IT-systemen die ook worden gebruikt in verband met het leveren van diensten aan de Verwerkingsverantwoordelijke.

§ 9 Verzoeken en rechten van betrokkenen

(1) De Gegevensverwerker ondersteunt de Verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen bij het nakomen van de verplichtingen van de Verwerkingsverantwoordelijke op grond van de artikelen 12-22 en 32 tot en met 36 GDPR.

(2) Indien een Betrokkene rechten, zoals het recht op toegang tot en rectificatie of verwijdering van zijn of haar gegevens, rechtstreeks tegen de Gegevensverwerker doet gelden, reageert deze niet zelfstandig, maar verwijst hij de Betrokkene door naar de Verantwoordelijke voor de verwerking en wacht hij diens instructies af.

§ 10 Aansprakelijkheid

(1) In de interne relatie met de Gegevensverwerker is alleen de Verantwoordelijke jegens de Betrokkene aansprakelijk voor vergoeding van schade die een Betrokkene lijdt als gevolg van ontoelaatbare of onjuiste gegevensverwerking op grond van de wetgeving inzake gegevensbescherming of gebruik binnen het bestek van de opgedragen verwerking.

(2) De Gegevensverwerker is onbeperkt aansprakelijk voor schade voor zover de oorzaak van de schade gebaseerd is op een opzettelijk of grof nalatig plichtsverzuim door de Gegevensverwerker, zijn wettelijke vertegenwoordiger of plaatsvervanger.

(3) De Gegevensverwerker is alleen aansprakelijk voor nalatig gedrag in geval van schending van een verplichting waarvan de nakoming een voorwaarde is voor de goede uitvoering van de overeenkomst en op de naleving waarvan de Verwerkingsverantwoordelijke regelmatig vertrouwt en mag vertrouwen, maar beperkt tot de gemiddelde schade die kenmerkend is voor de overeenkomst. In alle andere opzichten is de aansprakelijkheid van de Verwerker - inclusief voor zijn plaatsvervangers - uitgesloten.

(4) De beperking van de aansprakelijkheid volgens § 10.3 is niet van toepassing op vorderingen tot schadevergoeding die voortvloeien uit letsel aan leven, lichaam, gezondheid of uit de overname van een garantie.

§ 11 Beëindiging van het Hoofdcontract

(1) Na beëindiging van de Hoofdovereenkomst zal de Gegevensverwerker alle aan hem verstrekte documenten, gegevens en gegevensdragers aan de Verwerkingsverantwoordelijke retourneren of - op verzoek van de Verwerkingsverantwoordelijke, tenzij er op grond van het recht van de Unie of het recht van de Bondsrepubliek Duitsland een bewaarplicht voor de persoonsgegevens bestaat - verwijderen. Dit geldt ook voor eventuele back-ups van gegevens bij de Gegevensverwerker. De Gegevensverwerker zal op verzoek gedocumenteerd bewijs leveren van de correcte verwijdering van gegevens.

(2) De verantwoordelijke voor de verwerking heeft het recht om de volledige en contractuele teruggave of verwijdering van de gegevens bij de gegevensverwerker op passende wijze te controleren.

(3) De Gegevensverwerker is verplicht tot geheimhouding van de gegevens waarvan hij kennis heeft gekregen in verband met de Hoofdovereenkomst, zelfs na afloop van de Hoofdovereenkomst. Deze Overeenkomst blijft geldig na het einde van de Hoofdovereenkomst zolang de Gegevensverwerker beschikt over persoonsgegevens die hem door de Verantwoordelijke zijn verstrekt of die hij voor de Verantwoordelijke heeft verzameld.

§ 12 Slotbepalingen

(1) Voor zover de Gegevensverwerker ondersteunende handelingen uit hoofde van deze Overeenkomst niet uitdrukkelijk kosteloos verricht, kan hij de Verwerkingsverantwoordelijke daarvoor een redelijke vergoeding in rekening brengen, tenzij de eigen handelingen of nalatigheden van de Gegevensverwerker deze ondersteuning rechtstreeks noodzakelijk hebben gemaakt.

(2) Wijzigingen van en aanvullingen op deze Overeenkomst moeten schriftelijk worden vastgelegd. Dit geldt ook voor elke verklaring van afstand van dit formele vereiste. De prioriteit van individuele contractuele overeenkomsten blijft onaangetast.

(3) Indien afzonderlijke bepalingen van deze Overeenkomst geheel of gedeeltelijk ongeldig of niet-afdwingbaar zijn of worden, heeft dit geen invloed op de geldigheid van de overige bepalingen.

(4) Deze overeenkomst is onderworpen aan het Duitse recht.

Bijlage 2 - Technische en organisatorische maatregelen van de Gegevensverwerker

1. Inleiding

Dit document geeft een samenvatting van de technische en organisatorische maatregelen die door de Verwerker zijn genomen in de zin van Art. 32 para. 1 GDPR. Dit zijn maatregelen die de Verwerker heeft genomen om persoonsgegevens te beschermen. Het doel van het document is om de Verwerkingsverantwoordelijke te ondersteunen bij het voldoen aan haar verantwoordingsverplichtingen op grond van Art. 5 para. 2 GDPR.

2. Vertrouwelijkheid (Art. 32 lid 1 lit. b GDPR)

2.1 Toegangscontrole

De volgende geïmplementeerde maatregelen voorkomen dat onbevoegden toegang krijgen tot de gegevensverwerkingssystemen:

• Thuiswerken: onbevoegden hebben geen toegang tot de woning van werknemers

• Werken in het kantoor aan huis: instructie aan werknemers om indien mogelijk in een apart kantoor van hun woonkamer te werken

2.2 Toegangscontrole

De volgende geïmplementeerde maatregelen voorkomen dat onbevoegden toegang krijgen tot de gegevensverwerkingssystemen:

• Authenticatie met gebruiker en wachtwoord

• Gebruik van firewalls

• Gebruik van beheer van mobiele apparaten

• Encryptie van gegevensdragers

• Automatisch bureaublad vergrendelen

• Beheer van gebruikersautorisaties

• Gebruikersprofielen aanmaken

• Centrale wachtwoordregels

• Gebruik van 2-factor authenticatie

• Bedrijfsbeleid voor veilige wachtwoorden

• Algemene instructie om het bureaublad handmatig te vergrendelen bij het verlaten van het werkstation

2.3 Toegangscontrole

De volgende geïmplementeerde maatregelen zorgen ervoor dat onbevoegden geen toegang hebben tot persoonlijke gegevens:

• Vastleggen van toegang tot applicaties (met name bij het invoeren, wijzigen en verwijderen van gegevens)

• Aantal beheerders wordt zo klein mogelijk gehouden

• Beheer van gebruikersrechten door systeembeheerders

• Instructie aan werknemers dat gegevens alleen na overleg worden verwijderd

2.4 Scheidingscontrole

De volgende maatregelen zorgen ervoor dat persoonsgegevens die voor verschillende doeleinden worden verzameld, afzonderlijk worden verwerkt:

• Fysiek gescheiden opslag op afzonderlijke systemen of gegevensdragers

• Scheiding van productie- en testsysteem

• Logische clientscheiding (aan de softwarekant)

• Definitie van databaserechten

• Interne instructie om persoonsgegevens te anonimiseren/pseudonimiseren in geval van openbaarmaking of na het verstrijken van de wettelijke verwijderingstermijn, indien mogelijk.

3. Integriteit (Art. 32 lid 1 lit. b GDPR)

3.1 Overdrachtscontrole

Er wordt voor gezorgd dat persoonsgegevens tijdens verzending of opslag op gegevensdragers niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd en dat kan worden nagegaan welke personen of instanties persoonsgegevens hebben ontvangen. De volgende maatregelen zijn geïmplementeerd om dit te waarborgen:

• WLAN-encryptie (WPA2 met sterk wachtwoord)

• Loggen van toegang en opvragingen

• Aanleveren van gegevens via versleutelde verbindingen zoals SFTP of HTTPS

• Verbod op het uploaden van bedrijfsgegevens naar externe servers

3.2 Ingangsregeling

De volgende maatregelen zorgen ervoor dat het mogelijk is om te controleren wie persoonsgegevens heeft verwerkt in gegevensverwerkingssystemen en op welk moment:

• Vastleggen van het invoeren, wijzigen en verwijderen van gegevens

• Handmatige of automatische controle van de logboeken

• Traceerbaarheid van gegevensinvoer, wijziging en verwijdering via individuele gebruikersnamen (geen gebruikersgroepen)

• Duidelijke verantwoordelijkheden voor verwijderingen

legal.dpa.latest.annexes.2.3.2.text.6

4. Beschikbaarheid en veerkracht (Art. 32 lid 1 lit. b GDPR)

De volgende maatregelen zorgen ervoor dat persoonlijke gegevens worden beschermd tegen onopzettelijke vernietiging of verlies en altijd beschikbaar zijn voor de klant:

• Brandblussers in serverruimtes

• Apparaten voor het bewaken van de temperatuur en vochtigheid in serverruimtes

• Airconditioning in serverruimtes

• Beschermende contactdoosstrips in serverruimtes

• Ononderbreekbare stroomvoorziening (UPS)

• Videobewaking in serverruimtes

• Alarmmelding voor onbevoegde toegang tot serverruimtes

• Regelmatige back-ups

• Het back-upproces controleren

• Opslag van gegevensback-ups op een veilige, externe locatie

• Regelmatig testen van gegevensherstel en vastleggen van de resultaten

• Geen sanitaire voorzieningen in of boven de serverruimte

• Hosting (ten minste van de belangrijkste gegevens) bij een professionele hoster

5. Procedures voor regelmatige herziening, beoordeling en evaluatie (Art. 32 lid 1 letter d GDPR; Art. 25 lid 1 GDPR)

5.1 Beheer gegevensbescherming

De volgende maatregelen zijn bedoeld om ervoor te zorgen dat de organisatie voldoet aan de basiseisen van de wet op gegevensbescherming:

• Gebruik van het heyData platform voor gegevensbeschermingsbeheer

• Benoeming van de functionaris voor gegevensbescherming heyData

• Verplichting van werknemers om gegevens geheim te houden

• Regelmatige gegevensbeschermingstraining voor werknemers

• Een overzicht bijhouden van verwerkingsactiviteiten (Art. 30 GDPR)

5.2 Beheer van respons bij incidenten

De volgende maatregelen zijn bedoeld om ervoor te zorgen dat meldprocessen in gang worden gezet in het geval van inbreuken op de gegevensbescherming:

• Meldingsproces voor schendingen van gegevensbescherming in overeenstemming met Art. 4 Nr. 12 GDPR aan de toezichthoudende autoriteiten (Art. 33 GDPR)

• Kennisgevingsproces voor datalekken in overeenstemming met Art. 4 Nr. 12 GDPR aan de betrokkenen (Art. 34 GDPR)

• Betrokkenheid van de functionaris voor gegevensbescherming bij beveiligingsincidenten en datalekken

• Gebruik van firewalls

5.3 Gegevensbeschermingsvriendelijke standaardinstellingen (Art. 25 lid 2 GDPR)

De volgende maatregelen zijn bedoeld om ervoor te zorgen dat meldprocessen in gang worden gezet in het geval van inbreuken op de gegevensbescherming:

• Meldingsproces voor schendingen van gegevensbescherming in overeenstemming met Art. 4 Nr. 12 GDPR aan de toezichthoudende autoriteiten (Art. 33 GDPR)

• Kennisgevingsproces voor datalekken in overeenstemming met Art. 4 Nr. 12 GDPR aan de betrokkenen (Art. 34 GDPR)

5.4 Ordercontrole

De volgende maatregelen zorgen ervoor dat persoonsgegevens alleen in overeenstemming met de instructies kunnen worden verwerkt:

• Schriftelijke instructies aan de opdrachtnemer of instructies in tekstvorm (bijv. via een gegevensverwerkingsovereenkomst)

• Zorgen voor de vernietiging van gegevens na voltooiing van de bestelling, bijvoorbeeld door overeenkomstige bevestigingen te vragen

• Bevestiging van aannemers dat zij hun eigen werknemers verplichten tot geheimhouding van gegevens (meestal in de gegevensverwerkingsovereenkomst)

• Zorgvuldige selectie van aannemers (vooral met betrekking tot gegevensbeveiliging)

• Voortdurende beoordeling van aannemers en hun activiteiten

• Zorgen voor de vernietiging van gegevens na voltooiing van de bestelling, bijvoorbeeld door overeenkomstige bevestigingen te vragen

Versie 1.3, geldig vanaf 10 april 2024