Verwerkersovereenkomst

Chat of Bel Ons Direct Met Skype!

In onderstaande tabel zullen we de begrippen die in deze Overeenkomst gebruikt worden uiteenzetten. Begrippen zullen we altijd met een hoofdletter schrijven. Deze begrippen kunt u ook vaak vinden in de omschrijvingen uit de privacy wet- en regelgevingen.

Betrokkene:Degene van wie wij Persoonsgegeven kunnen verzamelen.
Verwerker:Een rechtspersoon, een overheidsinstantie, natuurlijk persoon, een dienst of een ander orgaan die ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Sub-verwerker:Een overige verwerker die door de Verwerker is ingezet om verwerkingsactiviteiten te verrichten in opdracht van de Verwerkingsverantwoordelijke.
Verwerkingsverantwoordelijke / Verantwoordelijke:Een rechtspersoon, natuurlijk persoon, overheidsinstantie of een dienst of  overig orgaan die alleen of met anderen het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
Bijzondere Persoonsgegevens:Gegevens waarbij politieke opvattingen, ras of etnische afkomst, religieuze en/of levensbeschouwelijke overtuigingen, genetische gegevens, lidmaatschap van een vakbond, biometrische gegevens waarmee een persoon kan worden geidentificeerd, gegevens seksuele voorkeur of gegevens over de gezondheid. Tevens persoonsgegevens met betrekking op strafrechtelijke veroordelingen, strafbare feiten en/of ermee verband houdende veiligheidsmaatregelen.
Datalek / Inbreuk in verband met persoonsgegevens:Dit duid op inbreuk van de beveiliging die op onrechtmatige wijze of per ongeluk leidt tot of kan leiden tot verlies, vernietiging, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang tot verzonden, opgeslagen of verwerkte persoonsgegevens.
Derden:Anderen dan U of Onze Medewerkers.
Meldplicht Datalekken:De meldplicht van Datalekken aan de Autoriteit Persoonsgegevens en indien nodig aan Betrokkene(n).
MedewerkersDe mensen die bij U of Ons werkzaam zijn in dienstbetrekking of ingehuurd als tijdelijke kracht.
Onderliggende opdracht:De opdracht zoals beschreven in de overwegingen onder A.
Overeenkomst:Deze verwerkersovereenkomst.
Persoonsgegevens:Informatiegegevens van een geïdentificeerde en/of identificeerbare natuurlijke persoon hierbij genoemd “de Betrokkene” die voor de “Onderliggende opdracht” worden verwerkt. Als identificeerbaar wordt aangemerkt een natuurlijk persoon die kan worden geïdentificeerd al dan niet direct of indirect, en met name aan de hand van een identificator zoals een naam, locatiegegevens, identificatienummer, online identificator of een of meer elementen die te kenmerken zijn voor fysiologische, fysieke, genetische, economische, psychische, sociale of culturele identiteit van deze natuurlijke persoon.
Persoonsgegevens van gevoelige aardGegevens van een persoons waarbij onrechtmatige Verwerking of verlies kan leiden tot stigmatisering en/of uitsluiting van Betrokkene, schade aan gezondheid, (identiteits)fraude of financiële schade.

De categorieën van persoonsgegevens die hieronder vallen zijn:

  • Bijzondere persoonsgegevens
  • Financiële gegevens of gegevens over de economische situatie van de Betrokkene
  • Gegevens die het gevolg kunnen hebben van stigmatisering of uitsluiting van de Betrokkene
  • Inloggegevens zoals wachtwoorden en gebruikersnamen
  • Persoonsgegevens die kunnen worden gebruikt voor (identiteits)fraude
Verwerken / Verwerking:Bewerkingen van persoonsgegevens welke al dan niet automatisch of handmatig worden uitgevoerd. Onder Bewerkingen vallen: het verzamelen, ordenen, vastleggen, opslaan, bijwerken, wijzigen, structureren, opvragen, gebruiken, raadplegen, verstrekken door middel van doorzenden, verspreiding of op een andere manier het ter beschikking stellen, afschermen, wissen, vernietigen, aligneren of combineren van gegevens.
AVGAlgemene Verordening Gegevensbescherming, inclusief de uitvoerde wet van deze verordening. De AVG verving de Wbp op 25-05-2018.

Artikel 2. Toepasselijkheid en looptijd

2.1 Deze Overeenkomst is van toepassing op iedere Verwerking die door Ons als Verwerker wordt gedaan op basis van de Onderliggende opdracht, gegeven door U als Verantwoordelijke.

2.2 Deze Overeenkomst treedt in werking op de datum waarop de Onderliggende opdracht van kracht wordt en eindigt op het moment dat wij geen Persoonsgegevens meer onder ons hebben die wij in het kader van de Onderliggende Opdracht voor u verwerken. Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen.

2.3 Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst (of de Onderliggende opdracht) is geëindigd.

Artikel 3. Verwerking

3.1 Wij Verwerken de Persoonsgegevens uitsluitend op de manier die Wij met U hebben afgesproken in de Onderliggende opdracht. Wij verwerken Persoonsgegevens in principe via de aan ons in licentie gegeven softwareapplicaties dan wel via een door U aan Ons ter beschikking gestelde softwareapplicatie. Dit Verwerken doen Wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Onderliggende opdracht. 3.2 De Verwerking vindt plaats onder Uw verantwoordelijkheid. Wij hebben geen zeggenschap over het doel en de middelen van de Verwerking en nemen geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor u verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. U moet er voor zorgen dat U het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij Ons. Als Wij een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften of geldende beroeps- en gedragsregels met betrekking tot Verwerking van Persoonsgegevens, dan leven Wij deze verplichtingen na.

3.3 Voor de Verwerking gelden de volgende uitgangspunten:

Op de verwerking van Persoonsgegevens is ons privacyreglement van toepassing, laatste uitgave, welk reglement op eerste verzoek kosteloos zal worden verstrekt.
Wij zullen Persoonsgegevens alleen verwerken voor de doeleinden die voortvloeien uit de Overeenkomst inzake arbeids- en gezondheidsdienstverlening.
Persoonsgegevens die Wij verwerken, moeten toereikend zijn, ter zake dienend en niet bovenmatig gelet op de doeleinden waarvoor ze worden verzameld of vervolgens worden verwerkt.
Wij voldoen aan de wettelijke eisen ten aanzien van informatiebeveiliging en nemen voldoende beveiligingsmaatregelen.

3.4 U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Wij zorgen ervoor dat Wij voldoen aan de op ons als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die We hebben gemaakt in deze Overeenkomst.

3.5 Wij zorgen ervoor dat alleen Onze Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.6. Wij beperken de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Wij zorgen er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

3.6 Wij kunnen andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze Sub-verwerkers over specialistische kennis of middelen beschikken waarover Wij niet beschikken. Als het inschakelen van Sub-Verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan zullen wij die Sub-Verwerkers (schriftelijk) de verplichtingen uit deze Overeenkomst opleggen. Met ondertekening van deze Overeenkomst geeft u toestemming voor het inschakelen van de Sub-Verwerkers die genoemd zijn in de Bijlage die bij deze Overeenkomst hoort. Voor het inschakelen van overige Sub-Verwerkers vragen Wij eerst om Uw toestemming. U kunt toestemming weigeren maar dit kan in sommige gevallen betekenen dat Wij de Onderliggende opdracht moeten beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan Ons.

3.7 Voor zover mogelijk verlenen Wij U bijstand bij het vervullen van Uw verplichtingen om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als Wij (rechtstreeks) verzoeken ontvangen van Betrokkene(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zenden Wij deze verzoeken door naar U. U handelt deze verzoeken zelf af, waarbij Wij U natuurlijk behulpzaam kunnen zijn als Wij in het kader van de Onderliggende opdracht toegang hebben tot deze Persoonsgegevens. Hiervoor kunnen wij kosten in rekening brengen.

3.8 Wij zullen de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij Wij hierover met U andere afspraken hebben gemaakt. Deze afspraken leggen Wij Gezamenlijk schriftelijk vast, of per e-mail.

3.9 Als Wij een verzoek krijgen om Persoonsgegevens ter beschikking te stellen dan doen Wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen Wij eerst of Wij van mening zijn dat het verzoek bindend is, of dat Wij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen Wij U op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor U mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als Wij U op de hoogte mogen stellen dan zullen Wij ook met U overleggen over de wijze waarop en welke gegevens Wij ter beschikking zullen stellen.

Artikel 4. Beveiligingsmaatregelen

4.1 Wij hebben in ieder geval de volgende beveiligingsmaatregelen genomen:

Van Persoonsgegevens wordt dagelijks een back-up gemaakt om te verzekeren dat het eventuele verlies van Persoonsgegevens niet meer dan één (1) dag bedraagt.
De onder sub a genoemde back-ups worden op een (brand)veilige plaats bewaard.
Wij treffen voorzieningen voor een adequate toegangsbeveiliging tot de voor de werkzaamheden relevante Persoonsgegevens zodat alleen geautoriseerd personeel toegang kan verkrijgen. Wij houden een lijst bij van geautoriseerd personeel.
Wij hebben een adequaat en actueel mechanisme in werking om kwaadaardige software, waaronder – maar niet alleen – computervirussen, op te sporen en af te wenden.

Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.

4.2 U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.

4.3 Wij informeren U als een van de beveiligingsmaatregelen substantieel wijzigt.

4.4 Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als U de wijze waarop Wij de beveiligingsmaatregelen naleven wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Ons doen. Wij zullen hierover Gezamenlijk met U afspraken maken. De kosten van een inspectie zijn voor Uw rekening. U stelt aan Ons een kopie van het inspectierapport ter beschikking.

Artikel 5. Datalekken

5.1 Als er sprake is van een Datalek dan stellen Wij U daarvan op de hoogte. Wij zullen dit doen uiterlijk binnen 48 uur nadat wij dit Datalek hebben ontdekt, of zo snel mogelijk nadat wij daarover door Onze Sub-verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van en de bijlage bij deze Overeenkomst. Wij zullen U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om – indien nodig – een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze Sub-verwerker aan u door. Ook van de door Ons, of onze Sub-verwerker, naar aanleiding van het Datalek genomen maatregelen houden Wij U op de hoogte.

5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid. U moet deze melding binnen 72 uur na een Datalek doen.

5.3 Het (bij)houden van een register van Datalekken is altijd Uw eigen verantwoordelijkheid.

Artikel 6. Geheimhoudingsplicht:

6.1 Wij houden de van u verkregen Persoonsgegevens geheim en verplichten Onze Medewerker en eventuele Sub-verwerkers ook tot geheimhouding.

6.2 Deze geheimhouding geldt niet wanneer Wij:

op grond van een wettelijk voorschrift tot mededelen verplicht zijn, of
de gegevensverstrekking plaatsvindt in Uw opdracht, of
Wij van U of betrokkene(n) voorafgaande uitdrukkelijke toestemming hebben gekregen om Persoonsgegevens te verstrekken aan derden, of
het verstrekken van Persoonsgegevens logischerwijs noodzakelijk is gezien de aard van de door Ons verrichte dienstverlening.

6.3 Ook na beëindiging van deze Overeenkosmt blijft de geheimhoudingsplicht bestaan, behalve voor zover het Persoonsgegevens betreft die al publiekelijk bekend zijn geworden, anders dan door een schending van deze geheimhoudingsplicht.

Artikel 7. Aansprakelijkheid

7.1 U staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).

7.2 Wij zijn niet aansprakelijk voor schade die het gevolg is van het door U niet naleven van de AVG of andere wet- of regelgeving. U vrijwaart ons ook voor aanspraken van Derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Ons worden opgelegd ten gevolge van Uw handelen.

7.3 De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van Onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.

7.4 Onze aansprakelijkheid is in ieder geval beperkt tot directe schade en tot het maximale bedrag dat de verzekeraar van de aansprakelijkgestelde partij uitkeert. Voor indirecte schade zijn Wij niet aansprakelijk.

Artikel 8. Overdraagbaarheid Overeenkomst

8.1 Het is voor U en Ons, behalve als Wij Gezamenlijk schriftelijke anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.

Artikel 9. Beëindiging en teruggave / vernietiging Persoonsgegevens

9.1 Als de Onderliggende opdracht wordt beëindigd dan zullen Wij de door U aan Ons verstrekte Persoonsgegevens aan U terug overdragen of – als U Ons daarom verzoekt – vernietigen. Wij zullen uitsluitend een kopie van de Persoonsgegevens bewaren als Wij hiertoe op grond van wet- of (beroeps)regelgeving verplicht zijn.

9.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als U daarom vraagt dan geven Wij U vooraf een kosteninschatting.

Artikel 10. Aanvullingen en wijziging Overeenkomst

10.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.

10.2 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de onderliggende opdracht, of wanneer Wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor Ons reden zijn om de Onderliggende opdracht te beëindigen.

Artikel 11. Slotbepalingen

11.1 Op Uw verzoek stellen Wij U alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen. Wij maken audits mogelijk, waaronder inspecties, door U of een door U gemachtigde controleur en dragen er aan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij Onze Sub-bewerkers zijn voor Uw rekening.

11.2 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.

11.3 Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.

11.4 Deze Overeenkomst is hoger in rang dan andere door Ons met U gesloten overeenkomsten. Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.

11.5 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.

11.6 Mededelingen in het kader van deze Overeenkomst (inclusief mededelingen in het kader van artikel 5 – Datalekken) zullen door U en Ons worden gedaan aan onderstaande Medewerkers:

Jasper Gunsing

JG Webmarketing

+31 26 8200068

Bijlage

Verwerkingsdoelen:

– Verzenden van onze nieuwsbrief en/of reclamefolder;

– U te kunnen bellen of e-mailen indien dit nodig is om onze dienstverlening uit te kunnen voeren;

– U te informeren over wijzigingen van onze diensten en producten;

– Om onze diensten te kunnen leveren;

– Wij analyseren uw gedrag op de website om daarmee de website te verbeteren en het aanbod van producten en diensten af te stemmen op uw voorkeuren;

– Wij volgen uw surfgedrag over verschillende websites waarmee wij onze producten en diensten afstemmen op uw behoefte;

– Wij verwerken ook persoonsgegevens als wij hier wettelijk toe verplicht zijn, zoals gegevens die wij nodig hebben voor onze administratie en/of belastingaangifte.

Sub verwerkers:

– Hostingproviders,

– boekhouder,

– Wefact,

– Google,

– Salesfeed,

– HotJar.

Verwerkte Persoonsgegevens:

– Voor- en achternaam;

– Geslacht;

– Geboortedatum;

– Geboorteplaats;

– Adresgegevens;

– Telefoonnummer;

– E-mailadres;

– IP-adres;

– Overige persoonsgegevens die u actief verstrekt in correspondentie en telefonisch;

– Gegevens over uw activiteiten op onze website;

– Gegevens over uw surfgedrag over verschillende websites heen (bijvoorbeeld omdat dit bedrijf onderdeel is van een advertentienetwerk).

Bewaartermijn:

Wij bewaren uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld.

Overzicht met beveiligingsmaatregelen

Hier moet een overzicht van de beveiligingsnormen opgenomen worden die de jij aan de Verwerker opgelegt. Om vast te stellen wat passende beveiligingsmaatregelen zijn moet een afweging worden gemaakt op basis van de risico’s van de verwerking aan de hand van onder meer de volgende punten:

* Het soort persoonsgegevens dat verwerkt wordt (normaal, bijzonder of gevoelig) en eventueel de daarbij behorende (risico)classificatie die de organisatie zelf aan de gegevens heeft gegeven. Gaat het bijvoorbeeld om een naam of een emailadres, wat minder gevoelige persoonsgegevens zijn, of gaat het om het verwerken van een BSN.

* De hoeveelheid betrokkenen van wie gegevens worden verwerkt. Hoe meer betrokkenen er zijn hoe meer eisen er worden gesteld aan de beveiliging van de gegevens.

* Het doel waarvoor gegevens worden verwerkt.

* De duur en de wijze waarop gegevens bewaard moeten worden.

Er kan vervolgens onderscheid gemaakt worden tussen organisatorische beveiligingseisen, zoals het voorkomen van diefstal van een laptop met daarop persoonsgegevens uit de auto, en technische beveiligingseisen, zoals een uitgebreide IT omgeving die beveiligd wordt tegen virussen en waar encryptie van de gegevens wordt toegepast. Van een grote organisatie wordt meer verwacht ten aanzien van de te nemen beveiligingseisen.

Hieronder staan een aantal voorbeelden. Kijk goed binnen jouw organisatie om deze lijst volledig en juist in te vullen. Weet je bepaalde dingen niet, vraag dan aan je ITC-leverancier of die meer informatie kan verstrekken.

Technische beveiligingsmaatregelen

Up to date virusscan

Beveiligde USB-sticks

Accurate beveilliging medewerkerstelefoon

Unieke inlogcode en wachtwoord (regelmatig aanpassen)

Versleutelde email

Geen onbeveiligde externe harde schijven

Geen onbeveiligde back ups maken

Geen documenten op privé laptop op slaan

Organisatorische beveiligingsmaatregelen

Clean desk policy

Laptop niet onbemand achterlaten

Laptop nooit achterlaten in de auto

Privacy screens medewerkers

Oude documenten op juiste manier vernietigen

Zorgvuldig gebruikt van USB-sticks

Proces rondom het melden van Datalekken en de te verstrekken informatie

Wat is een beveiligingsincident en wanneer moet dit gemeld worden?

Een datalek is een beveiligingsincident waarbij Persoonsgegevens, die de Verwerker namens de Verwerkingsverantwoordelijke beheert, mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, log in gegevens, cookies, IP adressen of identificerende gegevens van computers of telefoons.

Hieronder vind je een aantal voorbeelden van beveiligingsincidenten die moeten worden gemeld bij de Autoriteit Persoonsgegevens.

– De website met logingegevens is gehackt of is toegankelijk voor derden.

– Verlies van een laptop of USB-stick met persoonsgegevens.

– Salarisstroken van medewerkers zijn per ongeluk naar verkeerde personen gestuurd.

– Brieven of e-mails worden naar een verkeerd adres gestuurd.

– Een aanval van een hacker op het ICT systeem.

– Een verloren of gestolen telefoon waar persoonsgegevens op aanwezig zijn.

Wat te doen bij twijfel?

Als je op basis van bovenstaande niet zeker weet of er sprake is van een beveiligingsincident, stel je jezelf in ieder geval alvast de volgende vragen als hulpmiddel:

– Is er een technisch of fysiek beveiligingsprobleem?

– Gaat het probleem over de beveiliging van Persoonsgegevens? Ook IP-adressen, telefoonnummers ofidentificerende gegevens, bijvoorbeeld van hardware, kunnen hieronder vallen.

– Gaat het om gevoelige gegevens zoals ras, gezondheidsgegevens, informatie over iemands financiëlesituatie, zoals salaris of gegevens waar (identiteits)fraude mee kan worden gepleegd, zoals eenBurgerservicenummer.

– Zijn er grote hoeveelheden persoonsgegevens onbedoeld toegankelijk geworden voor derden?

– Gaat het om gegevens van kwetsbare groepen zoals kinderen?

– Worden de persoonsgegevens beheerd door een leverancier?

Als Wij een beveiligingsincident hebben ontdekt, zullen wij direct contact opnemen met uw contactpersoon die gaat over gegevensbescherming.

In een e-mail zullen wij de volgende vragen beantwoorden, zodat U als Verantwoordelijke zelf kunt bepalen of u wel of geen melding van het incident moet doen bij de Autoriteit Persoonsgegevens.

Geef een samenvatting van het beveiligingslek / beveiligingsincident / datalek: wat is er gebeurd?

Vermeld hier ook de naam van het betrokken systeem.

Welke typen persoonsgegevens zijn betrokken bij het beveiligingsincident?

Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, Burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.

Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident?

Geef a.u.b. een minimum en maximum aantal personen.

Omschrijving groep personen om wiens gegevens het gaat.

Geef aan of het gaat om medewerkersgegevens, gegevens van internetgebruikers. Bijzondere aandacht verdienen gegevens van een kwetsbare groepen personen, zoals kinderen.

Zijn de contactgegevens van de betrokken personen bekend?

Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen we deze personen in dat geval bereiken?

Wat is de oorzaak van het beveiligingsincident?

Heeft u een idee hoe het beveiligingsincident heeft kunnen ontstaan?

Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden?

Geef dit a.u.b. zo specifiek mogelijk aan.