BEWERKERSOVEREENKOMST behorende bij <> Partijen STICHTING RIJNSTATE ZIEKENHUIS, gevestigd te Arnhem aan de Wagnerlaan 55, ingeschreven in het handelsregister onder nummer 09096140, te dezen vertegenwoordigd door de heer drs. G. de Bey, in de functie van Voorzitter van de Raad van Bestuur, hierna te noemen: “Verantwoordelijke”; en <> <> <> ingeschreven bij de Kamer van Koophandel onder nummer <>, hierbij vertegenwoordigd door <>, in de hoedanigheid van <>, hierna te noemen: “Bewerker”; nemen het volgende in overweging: -
Dat Verantwoordelijke beschikt over persoonsgegevens van diverse betrokkenen; Dat Verantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de bewerker, waarbij de Verantwoordelijke doel en middelen aanwijst; Dat de Bewerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Wet bescherming persoonsgegevens na te komen, voor zover dit binnen zijn macht ligt; Dat Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de Wet bescherming persoonsgegevens, hun rechten en plichten schriftelijk wensen vast te leggen.
Komen het volgende overeen: Artikel 1
Definitiebepalingen
De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis: -
Betrokkene: betrokkene in de zin van de Wet bescherming persoonsgegevens; Onderliggende Overeenkomst: de overeenkomst, d.d. [DATUM] waarbij Verantwoordelijke aan Bewerker opdracht heeft gegeven om Verwerkingen te verrichten; Bewerkersovereenkomst: deze overeenkomst. Datalek: een inbreuk op de beveiliging van Persoonsgegevens die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens die door hem worden verwerkt; Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat Bewerker op grond van de Onderliggende Overeenkomst verwerkt of dient te verwerken; FG: Functionaris Gegevensbescherming als bedoeld in artikel 62 van de Wet bescherming persoonsgegevens; Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzamelen, vastleggen, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen (zowel bedoeld, als onbedoeld), gebruiken, bekendmaken door overdracht, verspreiding of anderszins beschikbaar maken, afstemmen of combineren, blokkeren, wissen of vernietigen
V 1.0
Artikel 2
Onderwerp van de overeenkomst
2.1 Deze Bewerkersovereenkomst is gekoppeld aan Onderliggende Overeenkomst <> betreffende << invullen>>. De Algemene Inkoopvoorwaarden van Rijnstate zijn van toepassing zowel op de onderliggende overeenkomst als op deze Bewerkersovereenkomst. Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Bewerkersovereenkomst van toepassing op iedere Verwerking door Bewerker op grond van de Onderliggende Overeenkomst. 2.2 Bewerker verbindt zich onder de voorwaarden van deze Bewerkersovereenkomst in opdracht van Verantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van <>. 2.3 Bewerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Bewerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Bewerkersovereenkomst zijn genoemd. 2.4 De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen. Artikel 3
Verplichtingen Bewerker
3.1 Bewerker verwerkt de Persoonsgegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen. 3.2 Bewerker verwerkt gegevens ten behoeve van Verantwoordelijke, overeenkomstig diens instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in de Onderliggende Overeenkomst. 3.3 Bewerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens en neemt geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens. 3.4 Bewerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de Wbp en andere regelgeving worden gesteld aan het verwerken van Persoonsgegevens. 3.5 Bewerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de diensten op grond van de Onderliggende Overeenkomst. 3.6 Bewerker houdt een logboek bij van de inzage van bijzondere Persoonsgegevens. Dit logboek bevat gegevens omtrent de persoon en tijdstip van inzage. Artikel 4
Inzet Subbewerkers
4.1 Bewerker is gerechtigd de uitvoering van de Bewerkersovereenkomst geheel of ten dele uit te besteden aan Subbewerkers. Bewerker blijft voor Verantwoordelijke te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Bewerkersovereenkomst. 4.2 Bewerker zal aan Subbewerkers dezelfde of soortgelijke verplichtingen opleggen als voor zichzelf uit deze Bewerkersovereenkomst voortvloeien en toezien op de naleving daarvan door Subbewerker. 4.3 Bewerker blijft volledig aansprakelijk jegens Verantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan Subbewerkers. 4.4 Voor de inzet van Subbewerkers in een land buiten de Europese Economische Ruimte is afzonderlijke voorafgaande schriftelijke toestemming vereist van Verantwoordelijke. Artikel 5
Doorgifte van persoonsgegevens
5.1 Bewerker mag de Persoonsgegevens enkel buiten Nederland verwerken met voorafgaande schriftelijke toestemming van de Verantwoordelijke. 5.2 Bewerker zal geen Persoonsgegevens aan een derde verstrekken of ter beschikking stellen tenzij op grond van een uitdrukkelijke schriftelijke opdracht van Verantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Bewerker in dat geval Verantwoordelijke binnen 24 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om Verantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.
V 1.0
5.3 Indien Bewerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en goedkeuring van Verantwoordelijke. Zij zal Verantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden. Daarnaast zal bewerker: a) alles in het werk stellen om de verstrekking te beperken tot hetgeen wettelijk verplicht is; b) verantwoordelijke in staat stellen om de rechten van Verantwoordelijke en Betrokkenen uit te oefenen en de belangen van Verantwoordelijke en Betrokkenen te verdedigen. Artikel 6
Datalek
6.1 Bewerker dient Verantwoordelijke onverwijld en niet later dan 24 uur nadat Bewerker ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging van Persoonsgegevens, met bijvoorbeeld de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot Persoonsgegevens tot mogelijk gevolg en Verantwoordelijke alle noodzakelijke informatie en medewerking te verlenen om de Verantwoordelijke in staat te stellen zo spoedig mogelijk de oorzaak en de omvang hiervan vast te stellen. Bewerker meldt dit aan een door Verantwoordelijke aan te wijzen persoon of personen. Hiervan wordt een afschrift verzonden naar de functionaris voor de gegevensbescherming (FG) van Verantwoordelijke. 6.2 Deze meldplicht houdt in het melden door Bewerker bij Verantwoordelijke van het feit dat er een lek is geweest, alsmede (i) wat de (vermeende) oorzaak is van het lek, (ii) wat het (vooralsnog bekende en/of te verwachten) gevolg is van het lek en (iii) wat de voorgestelde oplossing is. 6.3 Wanneer zich een Datalek voordoet bij Verantwoordelijke, meldt Verantwoordelijke het Datalek onverwijld aan een door Bewerker aan te wijzen persoon of personen onder opgave van de aard van het Datalek, de geconstateerde en vermoedelijke gevolgen van het Datalek voor de Verwerking van Persoonsgegevens zoals bedoeld in deze Bewerkersovereenkomst en de maatregelen die zijn getroffen om de gevolgen te verhelpen of te matigen. Tevens stelt Verantwoordelijke aan Bewerker maatregelen voor die Bewerker kan treffen om deze gevolgen te verhelpen of te matigen. 6.4 Tevens maken Partijen afspraken over de nadere invulling van de naleving van de Wbp meer in het bijzonder van de naleving van de meldplicht datalekken als de richtsnoeren van het College Bescherming Persoonsgegevens naar aanleiding van de wijziging van de Wet bescherming persoonsgegevens die per 1 januari 2016 van kracht is. Deze betreffen in ieder geval de nadere invulling van de meldplicht zelf, afspraken en afstemming over de uitvoering van onderzoeken naar oorzaken van incidenten, alsook afspraken over de wijze van detecteren van beveiligingsincidenten. De afspraken zijn beschreven in Bijlage 1. Artikel 7
Verzoeken van Betrokkenen
7.1 Bewerker dient Verantwoordelijke in kennis te stellen van alle verzoeken met betrekking tot inzage in de Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen. Bewerker geeft aan een dergelijk verzoek alleen gevolg indien Verantwoordelijke Bewerker daartoe schriftelijk opdracht heeft gegeven. Deze inzage wordt alleen via verantwoordelijke verschaft. 7.2 Bewerker handelt alle verzoeken om inlichtingen van Verantwoordelijke met betrekking tot de verwerking van de Persoonsgegevens vlot en behoorlijk af. 7.3 Bewerker mag uitsluitend na voorafgaande schriftelijke toestemming van Verantwoordelijke een derde inschakelen bij de uitvoering van deze Overeenkomst, onder de voorwaarden die Verantwoordelijke daarbij stelt. 7.4 Bewerker verleent Verantwoordelijke haar volledige medewerking om betrokkenen in de zin van artikel 1 onder f Wet bescherming persoonsgegevens (i) inzage in hun persoonsgegevens te laten krijgen, (ii) persoonsgegevens te laten verwijderen of te corrigeren, en/of (iii) aan te laten tonen dat de persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn of, indien Verantwoordelijke het standpunt van betrokkene bestrijdt, vast te leggen dat betrokkene zijn persoonsgegevens als incorrect beschouwt.
V 1.0
Artikel 8
Verplichtingen Verantwoordelijke
8.1 Verantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Bewerkersovereenkomst de 'Verantwoordelijke' zoals omschreven in artikel 1 sub d Wbp. 8.2 Verantwoordelijke gaat ermee akkoord en staat er voor in dat de verwerking van de Persoonsgegevens overeenkomstig de Bewerkersovereenkomst in overeenstemming is met de Wbp. Artikel 9
Doorgifte van Persoonsgegevens
9.1 Bewerker mag de Persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden. 9.2 Bewerker zal Verantwoordelijke melden om welke land of landen het gaat. Artikel 10
Beveiliging
10.1 Verantwoordelijke en Bewerker zullen de Verwerking van Persoonsgegevens beveiligen overeenkomstig de voorschriften gesteld bij of krachtens de Wbp en bij of krachtens overige (bijzondere) wetgeving ten aanzien van het verwerken van Persoonsgegevens. 10.2 Verantwoordelijke en Bewerker zullen daarbij zorg dragen dat het beveiligingsbeleid en de uitvoering van het beveiligingsbeleid tenminste voldoen aan het criterium van een “passend beveiligingsniveau” als bepaald in artikel 13 van de Wbp. 10.3 Verantwoordelijke en Bewerker zullen zich maximaal inspannen om de te verwerken Persoonsgegevens te beveiligen en beveiligd te houden tegen indringers en tegen van buiten komend onheil alsmede onzorgvuldig, ondeskundig of ongeoorloofd gebruik. 10.4 Partijen zullen elkaar op verzoek van de andere Partij periodiek informeren in hoeverre de tussen Partijen overeengekomen beveiligings- en continuïteitsplannen worden uitgevoerd. Indien nodig worden deze plannen geactualiseerd. 10.5 De door of vanwege Bewerker aan Verantwoordelijke verstrekte toegangs- of identificatiecodes en certificaten zijn vertrouwelijk en zullen door Verantwoordelijke als zodanig worden behandeld en slechts aan geautoriseerde Medewerkers uit de eigen organisatie van Verantwoordelijke kenbaar worden gemaakt. Bewerker is gerechtigd toegewezen toegangs- of identificatiecodes en certificaten te wijzigen. 10.6 Een keer per jaar rapporteert de Bewerker de Verantwoordelijke over de maatregelen die zijn genomen ter beveiliging van gegevens. Artikel 11
Geheimhouding en vertrouwelijkheid
11.1 Op alle persoonsgegevens die Bewerker van Verantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Bewerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Deze geheimhoudingsplicht blijft voortduren na het eindigen van onderliggende overeenkomst. Bewerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is. 11.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Bewerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken. 11.3 Onder derden wordt ook het personeel van Bewerker begrepen voor zover het niet noodzakelijk is dat zij bij de Opdracht en/of deze overeenkomst kennis hoeft te nemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht. 11.4 Bewerker zorgt dat zijn personeel en contractuele onderaannemers gebonden zijn aan de in dit artikel opgenomen geheimhoudingsplicht en dat Bewerker van die gebondenheid schriftelijk bewijs bezit. Op eerste verzoek van Verantwoordelijke verstrekt Bewerker Verantwoordelijke dat bewijs. De DDMA model integriteits- en geheimhoudingsverklaring levert daarvan bewijs mits ondertekend ofwel bepalingen van soortgelijke strekking die onderdeel uitmaken van het met de personeelsleden afgesloten arbeidscontract.
V 1.0
Artikel 12
Audit
12.1 Verantwoordelijke heeft het recht om audits uit te voeren. Bewerker zal in deze meewerken en ondersteuning verlenen. Verantwoordelijke kan dat na toestemming van Bewerker daartoe zelf doen of hij kan dat laten doen door een onafhankelijke auditor. 12.2 Wanneer Verantwoordelijke een derde inschakelt ten behoeve van de uitvoering van het onderzoek verplicht Verantwoordelijke de derde tot geheimhouding. 12.3 Verantwoordelijke draagt de kosten van controle met uitzondering van de kosten van het personeel van Bewerker dat de controle begeleidt. Deze laatste kosten zijn voor Bewerker. Indien uit de controle blijkt dat Bewerker materieel tekortschiet in de nakoming van deze overeenkomst, komen alle kosten voor rekening van Bewerker, onverminderd de overige rechten van Verantwoordelijke. Indien Bewerker tekortschiet doch de tekortkomingen zijn niet materieel, zal Bewerker die tekortkomingen op zo kort mogelijke termijn herstellen. 12.4 Een controle mag de bedrijfsactiviteiten van Bewerker niet onnodig verstoren. 12.5 Indien Bewerker zelf de naleving van deze overeenkomst laat controleren door een onafhankelijke daartoe gecertificeerde partij, verstrekt Bewerker daarvan de eindresultaten kosteloos aan Verantwoordelijke. 12.6 Voor zaken die niet vallen onder de ISAE 3402 verklaring of een daarmee vergelijkbare verklaring van Bewerker is Verantwoordelijke te allen tijde, maar niet vaker dan één keer per kalenderjaar, gerechtigd de Verwerkingen van Persoonsgegevens te (doen) controleren op naleving van de Bewerkersovereenkomst door middel van een onderzoek. Artikel 13
Aansprakelijkheid
13.1 Bewerker is aansprakelijk voor alle schade voortvloeiende uit of verband houdend met het niet-nakomen van deze Bewerkersovereenkomst dan wel handelen in strijd met de Wbp. 13.2 Bewerker vrijwaart Verantwoordelijke tegen aanspraken van derden, waaronder Betrokkenen, in verband met het toerekenbaar tekortschieten van Bewerker in de nakoming van de Bewerkersovereenkomst of overtreding door Bewerker van de Wbp en zal alle daarmee verband houdende en daaruit voortvloeiende kosten (waaronder mede begrepen kosten van juridische bijstand) en schade van Verantwoordelijke vergoeden. Artikel 14
Tekortschieten in de nakoming
14.1 Indien Partijen toerekenbaar tekortschieten in de nakoming van hun verplichtingen uit deze Bewerkersovereenkomst kunnen zij elkaar in gebreke stellen, tenzij nakoming blijvend onmogelijk is. De ingebrekestelling geschiedt schriftelijk, waarbij aan de andere Partij een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is de Partij in verzuim. 14.2 Indien een Partij in verzuim is, kan de andere Partij ter aansporing om alsnog tot nakoming over te gaan deze Partij een boete opleggen van ten hoogste €1.000,- per dag tot een maximum van het totaalbedrag dat jaarlijks wordt gefactureerd door Bewerker aan Verantwoordelijke in het kader van de Overeenkomst. Artikel 15
Duur en beëindiging
15.1 Deze Bewerkersovereenkomst gaat in voor onbepaalde tijd. 15.2 Onverminderd andersluidende schriftelijke opdracht van Verantwoordelijke zal Bewerker in geval van beëindiging van de onderliggende Overeenkomst onverwijld alle aan haar ter beschikking gestelde Persoonsgegevens aan Verantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen en aan Verantwoordelijke verklaren dat zij dit heeft uitgevoerd. Daarnaast zal de Bewerker het bijgehouden logboek overhandigen. Indien naar het redelijk oordeel van Bewerker een zelfstandige wettelijke verplichting van Bewerker het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Bewerker verbiedt of beperkt zal zij Verantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en, zo ja, onder welke voorwaarden. Indien naar het redelijk oordeel van Verantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Bewerker toelaat zal Bewerker daartoe op verzoek van Verantwoordelijke onverwijld overgaan. Is
V 1.0
Verantwoordelijke van oordeel dat vernietiging niet mag plaatsvinden, dan zal zij Bewerker daarvan schriftelijk op de hoogte stellen. Bewerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens Verantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verantwoordelijke. 15.3 In geval van beëindiging om welke reden dan ook, zal Bewerker alle Persoonsgegevens die bij haar aanwezig zijn inclusief eventuele kopieën daarvan zodanig verwijderen en/of vernietigen dat hergebruik van de data uitgesloten is. 15.4 In geval dat vernietiging (gedeeltelijk) niet mogelijk is, is het niet toegestaan deze gegevens geanonimiseerd te gebruiken. Artikel 16
Overdracht rechten en plichten
16.1 Deze Bewerkersovereenkomst en de rechten en verplichtingen uit deze Bewerkersovereenkomst kunnen door Bewerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verantwoordelijke. Artikel 17
Intellectuele eigendomsrechten
17.1 Alle intellectuele eigendomsrechten - waaronder auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie - op de verzameling van data en Persoonsgegevens, kopieën of bewerkingen daarvan, berusten te allen tijde bij Verantwoordelijke. Bewerker erkent de intellectuele eigendomsrechten van Verantwoordelijke en verbindt zich ertoe het bestaan daarvan niet te betwisten. 17.2 Alle intellectuele eigendomsrechten - waaronder auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie - op de producten en dienstverlening van Bewerker, berusten te allen tijde bij Bewerker. Verantwoordelijke erkent de intellectuele eigendomsrechten van Bewerker en verbindt zich ertoe het bestaan daarvan niet te betwisten.
Artikel 18
Deelbaarheid
18.1 Indien één of meer bepalingen van deze Bewerkersovereenkomst niet rechtsgeldig blijkt te zijn, zal de Bewerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling. Artikel 19
Toepasselijk recht en geschillen
19.1 Nederlands recht is van toepassing op deze Bewerkersovereenkomst. 19.2 Alle geschillen voortvloeiende uit of samenhangende met deze Bewerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Arnhem. 19.3 Deze Bewerkersovereenkomst kan slechts worden gewijzigd door middel van een schriftelijk stuk waarin uitdrukkelijk staat vermeld dat het stuk bedoelt een dergelijke wijziging aan te brengen en dat door ter zake bevoegde vertegenwoordigers van Partijen is ondertekend. 19.4 Wanneer de richtsnoeren van het College Bescherming Persoonsgegevens naar aanleiding van de wetswijziging Wet bescherming persoonsgegevens, de Europese verordening betreffende de bescherming van Persoonsgegevens (COM 2012/11 final) of andere relevante regelgeving van kracht wordt, treden Partijen in overleg om te bezien of en hoe deze Bewerkersovereenkomst gewijzigd moet worden.
In tweevoud getekend op………
Stichting Rijnstate Drs. J.K. Cappon Lid Raad van Bestuur
V 1.0
te………
Bijlage 1 Nadere afspraken omgang datalek incident 2015 Achtergrond In de bewerkersovereenkomst nieuwe stijl zoals deze tot stand is gekomen met het oog op huidige en toekomstige wetgeving is in artikelen 11.3 en 11.4 vermeld dat nadere afspraken gemaakt worden gemaakt over de nadere invulling en naleving van de Wet bescherming persoonsgegevens meer in het bijzonder van de naleving van de meldplicht datalekken als de richtsnoeren van het College Bescherming Persoonsgegevens naar aanleiding van de Wet meldplicht datalekken (33.662) van kracht zijn geworden. Dat geldt zowel voor een datalek incident bij de verantwoordelijke als bij de bewerker. Het doel is naast wederzijdse tijdige en juiste informatieuitwisseling, het voorkomen van escalatie in brede zin des woords. Dit document bevat een aantal afspraken maar is geen standaardprotocol dat iedere situatie volledig kan en zal afdekken. Gezond verstand en onderling overleg zullen altijd noodzakelijk blijven. Basisaanpak Contactgegevens Om bij calamiteiten met persoonsgegevens snel en met de juiste personen contact op te kunnen nemen moeten vooraf de wederzijdse contactgegevens bekend zijn. Dit kunnen de contactgegevens van de Functionaris voor de Gegevensbescherming (FG) zijn of de persoon die binnen de organisatie als contactpersoon voor datalek incidenten benoemd is (beide hierna: contactpersoon). Deze contactpersoon zal bij incidenten de verdere communicatie binnen de eigen organisatie verzorgen en aanspreekpunt zijn voor de wederpartij Verantwoordelijke en bewerker zorgen er voor dat de contactpersonen voldoende gemandateerd zijn om dit overleg te voeren. Voor doorgifte van de contactgegevens kan het formulier zoals opgenomen in bijlage 1.a. gebruikt worden. Op het moment dat de contactgegevens wijzigen zullen partijen elkaar onmiddellijk de betreffende wijzigingen doorgeven per email via het formulier. Melding van incidenten Incidenten in de keten van verwerkingen kunnen zich op velerlei manieren voordoen. De volgende scenario’s zijn bijvoorbeeld denkbaar: Er is een datalek incident bij de verwerkende partij. De bewerker informeert onmiddellijk de getroffen verantwoordelijke middels een zo compleet mogelijk ingevuld meldingsformulier (zie bijlage 1.b.), in ieder geval per email en zo mogelijk ook aansluitend per telefoon. De verantwoordelijke bevestigt de goede ontvangst van het meldingsformulier. Er is een datalek incident bij de verantwoordelijke. De verantwoordelijke informeert onmiddellijk de relevante/getroffen bewerker middels een zo compleet mogelijk ingevuld meldingsformulier (zie bijlage 1.b.), in ieder geval per email en zo mogelijk ook aansluitend per telefoon. De bewerker de goede ontvangst van het meldingsformulier. Nadat de melding is ontvangen vindt onderlinge afstemming plaats. Afhankelijk van de ernst van de situatie en de aard van het datalek incident overleggen bovenbedoelde contactpersonen namens hun beider organisaties of: melding aan het CBP gedaan dient te worden, en/of; melding aan de betrokkenen dient plaats te vinden; welke meldingstekst en informatie hiervoor gebruikt gaat worden. In geval eerst nader onderzoek noodzakelijk is, zullen de getroffen partijen overwegen of gezien het dwingende tijdschema een voorlopige melding gedaan zal worden; andere verantwoordelijken geïnformeerd dienen te worden; andere (sub)bewerkers geïnformeerd dienen te worden; aanvullend onderzoek door of op initiatief van verantwoordelijke bij bewerker ondernomen zal worden. Dit onderzoek staat apart van hetgeen in artikel 10 van de bewerkersovereenkomst is bepaald. De kosten van het onderzoek komen voor rekening van de verantwoordelijke.
V 1.0
Naarmate de bewerker verder afstaat van de gegevens of het systeem dat getroffen is door een datalek incident, zal deze zich meer terughoudend opstellen inzake de invulling en uitvoering van de hier genoemde actiepunten. Voor de vastlegging van de documentatie behorende bij het datalek incident wordt het formulier zoals bijgevoegd in bijlage 1.b. gebruikt. Het zal een iteratief proces zijn. Naarmate het onderzoek voortgaat komt er meer informatie beschikbaar waardoor de documentatie steeds completer wordt. Het is de bedoeling dat uiteindelijk alle onderdelen van het formulier ingevuld zijn door die partij waar het datalek incident heeft plaatsgevonden en dat dit met alle betrokken partijen gedeeld is. Na de eerste melding zal telkens een update van de situatie via een aangepast formulier plaatsvinden op die momenten dat dit zinvol geacht wordt. Communicatiewijze Het verdient de voorkeur om te communiceren per telefoon. Het kan echter vanwege tijdstip of aantal contactpersonen de voorkeur verdienen eerst per email te communiceren. Indien gecommuniceerd wordt per telefoon, bevestigen partijen achteraf schriftelijk de inhoud van het besprokene en de gemaakte afspraken. Partijen nemen maatregelen om er voor te zorgen dat het opgegeven telefoonnummer en emailadres actueel is. Minimaal 1x per dag wordt gecontroleerd op binnengekomen e-mailberichten. De mogelijkheid blijft bestaan dat toekomstige nieuwe manieren van communicatie toegevoegd worden.
(vermoedelijke) Datum en tijdstip datalek Datum en tijdstip constatering datalek Datum en tijdstip melding ketenpartner
Wijze van constatering alsmede door wie geconstateerd
Omschrijving datalek
Geconstateerde gevolgen voor de gegevensverwerking
Getroffen gegevens (welke en aantallen)
V 1.0
Getroffen betrokkenen
Is het op basis van de beschikbare informatie noodzakelijk dat ook de betrokkenen worden ingelicht? Zo ja, welke informatie. Zo nee, wat is hiervoor de onderliggende informatie.
Gekozen tijdelijke oplossing
Gekozen structurele oplossing
Verstuurde informatie extern
Waar informatie extern
Aanbevolen maatregelen om nadelige gevolgen te beperken
