Ferwurkingsoerienkomst

Ynlieding

Autosoft BV ferwurket ûnder oare persoanlike gegevens foar en út namme fan de klant. Autosoft BV en de klant binne dêrom ûnder de Algemiene Data Protection Regulation (GDPR) ferplichte om in prosessoroerienkomst te sluten. Neffens de GDPR is Autosoft BV in 'processor' en is de klant in 'controller'. Dizze prosessoroerienkomst beskriuwt ek hoe't Autosoft BV omgiet mei de ferplichting foar melding fan gegevensbreuk.

Ferwurkingsoerienkomst

Dy't bestean út:
Diel 1: Data Pro Statement
Diel 2: Standert Processing Clauses

Diel 1: Data Pro Statement

algemiene ynformaasje

1). Dizze Data Pro Statement is opsteld troch de folgjende gegevensferwurker (ferwurker):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Foar fragen oer dizze Data Pro Statement of gegevensbeskerming, nim dan kontakt op mei:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Dizze Data Pro Statement is fan tapassing fan 1 augustus 2021
Wy oanpasse dizze Data Pro Statement regelmjittich en de befeiligingsmaatregels dy't dêryn beskreaun binne om te soargjen dat wy altyd taret en aktueel binne oangeande gegevensbeskerming. Wy sille jo op 'e hichte hâlde fan nije ferzjes fia ús normale kanalen.

3). Dizze Data Pro Statement jildt foar de folgjende gegevensferwurkerprodukten en tsjinsten

• AutoWebsite
• AutoCommerce

4). Beskriuwing Auto webside
Autobedriuwen brûke Autowebsite. Mei Autowebsite kinne autobedriuwen har op ynternet presintearje.

5). Bedoeld gebrûk Auto webside
Autowebsite is ûntworpen en ynrjochte om de folgjende soarten gegevens te ferwurkjen:
Besikers fan websiden ûntwikkele troch Autosoft mei Autowebsite hawwe de opsje om har kontaktgegevens dêr te litten, sadat it autobedriuw de kâns hat om de besiker te benaderjen foar fierdere tsjinsten. Dizze kontaktgegevens wurde net opslein by Autosoft, mar wurde direkt fia e-post trochstjoerd nei it e-mailadres fan it autobedriuw.

• Dizze tsjinst hâldt gjin rekken mei de ferwurking fan spesjale persoanlike gegevens, of gegevens oangeande kriminele feroardielingen en misdriuwen of persoanlike nûmers útjûn troch de oerheid.

6). Beskriuwing Autocommerce
Autobedriuwen brûke Autocommerce. Mei Autocommerce kinne autobedriuwen har auto's beheare en presintearje op har eigen webside en ynternetsykportalen fan tredden.

7). Bedoeld gebrûk Autocommerce
Autocommerce is ûntworpen en ynrjochte om de folgjende soarten gegevens te ferwurkjen:
Autobedriuwen kinne har registrearre auto's pleatse fia Autocommerce op har eigen auto-webside. Dizze registrearre auto's befetsje gjin gegevens dy't yn hokker foarm dan ek kinne wurde weromfierd nei persoanlike gegevens. Besikers fan de webside fan Auto hawwe de mooglikheid om harren kontaktgegevens dêr te litten, sadat it autobedriuw de kâns hat om de besiker te benaderjen foar fierdere tsjinsten. De kontaktgegevens efterlitten troch de besiker op har eigen Auto-webside wurde opslein yn Autocommerce.

• Dizze tsjinst hâldt gjin rekken mei de ferwurking fan spesjale persoanlike gegevens, of gegevens oangeande kriminele feroardielingen en misdriuwen of persoanlike nûmers útjûn troch de oerheid.

8). Gegevensferwurker brûkt de Standertklausules foar ferwurking foar Autowebsite en Autocommerce, dy't te finen binne as in taheaksel by de oerienkomst.

9). Gegevensferwurker ferwurket de persoanlike gegevens fan har kliïnten binnen de EU / EER foar Autowebsite en Autocommerce.

10). Gegevensferwurker brûkt de folgjende subferwurkers foar Autocommerce:
Yn guon gefallen stjoert Autosoft har registrearre auto's fia Autocommerce nei de sykportalen op it ynternet fan tredden as sub-ferwurkers út namme fan it Car Company. In list mei sub-processors is beskikber op oanfraach by support@autosoft.eu.

11). Nei it beëinigjen fan de oerienkomst mei in opdrachtjouwer sil de gegevensbewurker de persoansgegevens dy't hy foar de opdrachtjouwer ferwurket yn prinsipe binnen 3 moannen sa fuortsmite dat se net mear brûkt wurde kinne en net mear tagonklik binne (ûnberikber meitsje).

Feiligensbelied

Gearfetting de folgjende feiligensmaatregels dy't gegevensferwurker hat nommen om har produkt of tsjinst te beskermjen:

Incident behear en antwurd belied
Ynsidintenbehear en antwurdbelied op it mêd fan ynformaasjefeiligens omfetsje it tafersjoch en opspoaren fan feiligensynsidinten op in kompjûter of IT-ynfrastruktuer, mar ek it observearjen fan fertochte aktiviteiten troch it personiel, en de ymplemintaasje fan de juste antwurden op dizze eveneminten.

It primêre doel fan dit belied is om in goed begrepen en foarsisber antwurd te ûntwikkeljen op kweade eveneminten en kompjûterynbraken yn 'e breedste sin fan it wurd.

Ynsidintenbehear en antwurdbelied is it proses fan it behearen en beskermjen fan kompjûters, netwurken en ynformaasjesystemen en de dêryn opsleine ynformaasje. Autosoft is bewust fan har ferantwurdlikheden as it giet om it beskermjen fan dizze ynformaasje foar it foardiel fan har klanten en supply chain partners. Dizze ferantwurdlikens wreidet út nei it hawwen fan in ynsidintproseduere. Ynsidintenbehear is in set fan aktiviteiten dy't in proses definiearje en útfiere dat in organisaasje kin brûke om har eigen wolwêzen en de feiligens fan it publyk te befoarderjen.

IT en feiligens
De ICT-struktuer fan Autosoft BV is adekwaat befeilige mei in brânmuorre en de firusscansoftware wurdt aktueel hâlden. Elke meiwurker hat in oanmeldprofyl. By it opstarten fan in kompjûter moatte de meiwurkers in oanmeldnamme en wachtwurd ynfiere en wêr mooglik mei 2-stapsautentikaasje.

Bepaalde software freget ek om in oanmeldnamme en wachtwurd en wêr mooglik mei 2-stap autentikaasje. Bewustwêzen by meiwurkers oer feilich wurkjen wurdt stimulearre, lykas omtinken foar it net iepenjen fan fertochte e-mails, net oanklikke op fertochte keppelings, ôfmelde by it ferlitten fan it wurkplak foar in lange tiid, ensfh.

De bestannen wurde oerdeis en elke nacht reservekopy makke. Om feiligensredenen is de fierdere opslachproseduere om de reservekopy hinne fertroulik. Autosoft BV hat dêrfoar tsjinstkontrakten sletten mei kompjûterleveransiers en ynternethostingproviders.

Gegevensbeskermingsbelied
Autosoft BV nimt passende technyske en organisatoaryske maatregels om de persoanlike gegevens fan de klant te beskermjen tsjin ferlies of elke foarm fan yllegale ferwurking. Dizze technyske en organisatoaryske maatregels wurde beskôge as in passend feiligensnivo yn 'e betsjutting fan kêst 1 fan' e GDPR en wurde opslein as dokuminten yn 'e sintrale Basecamp (Projekt: Organisaasje / Data Protection Policy) fan Autosoft BV

Technysk en organisatoarysk

1. Maatregelen om te garandearjen dat allinich autorisearre personiel tagong hat ta de Persoanlike Gegevens dy't ferwurke binne yn it ramt fan 'e ferwurkeroerienkomst;
2. Maatregels om de Persoanlike Gegevens yn it bysûnder te beskermjen tsjin tafallige of yllegale ferneatiging, ferlies, tafallige feroaring, net autorisearre of yllegale opslach, tagong of iepenbiering;
3. Maatregelen om de Persoanlike Gegevens te beskermjen tsjin, benammen, tafallige of yllegale ferneatiging, ferlies, tafallige feroaring, net autorisearre of yllegale opslach, tagong of iepenbiering by gegevensútwikseling/ferfier;
4. Maatregels om de mooglikheid te garandearjen om de fertroulikens, yntegriteit, beskikberens en fearkrêft fan 'e bewurkingssystemen en tsjinsten op in trochgeande basis te garandearjen;
5. Maatregels om de beskikberens en tagong ta de Persoanlike Gegevens op 'e tiid te herstellen yn gefal fan in fysyk of technysk ynsidint;
6. Maatregels om kwetsberens te identifisearjen oangeande de ferwurking fan Persoanlike gegevens yn 'e systemen dy't brûkt wurde om de tsjinsten te leverjen ûnder it kontrakt;

Organisatoaryske lykas:

• Beheining fan 'e rûnte fan amtners dy't tagong hawwe ta bepaalde persoanlike gegevens ta dy persoanen dy't de gegevens nedich binne foar de útfiering fan har taken;
• dizze persoanen tagong jaan ta allinich persoanlike gegevens dy't se nedich binne foar de útfiering fan har taken;
• it oerienkommen fan in geheimhâldingsklausule mei in strafklausule mei alle persoanen oan wa't tagong ta persoanlike gegevens wurdt ferliend;
• opslaan fan persoanlike gegevens op servers yn in sletten romte;
• bewarjen fan papieren triemmen yn beskoattelbere kasten;
• it meitsjen fan bewustwêzen foar ynformaasjefeiligens ûnder meiwurkers;
• it fêststellen fan dúdlike protokollen en prosedueres foar it behanneljen fan ynsidinten fan ynformaasjefeiligens en feiligenskwetsberheden op in tiidige en effektive manier;

Gegevensferwurker brûkt syn eigen metoaden en prosedueres foar behear dy't passe binnen de wurkwize fan 'e organisaasje:

• Binnen Basecamp wurde relevante dokuminten beheard en periodyk evaluearre.

Data breach protokol

Yn it gefal dat der wat mis giet, brûkt de gegevensferwurker it folgjende protokol foar gegevenslek om te soargjen dat de klant bewust is fan ynsidinten:

Autosoft BV - Data breach proseduere

Wat is in gegevensbreuk en wannear moat ik it melde by de AP?
In gegevensbreuk is in ynsidint foar ynformaasjefeiligens wêrby't in ynbreuk op 'e feiligens fan persoanlike gegevens is troch bleatstelling oan ferlies of yllegale ferwurking lykas (mar net útputtend):

• It oanpassen en/of wizigjen fan persoanlike gegevens en sûnder foech tagong ta dizze persoanlike gegevens;
• Yn it gefal fan in ynbraak troch in hacker;
• It ferliezen fan in USB-stick, stellerij fan in laptop;
• It ferstjoeren fan gefoelige gegevens nei in ferkeard e-postadres;

Neffens de wet moat in 'ernstige' gegevenslek sûnder ûnfoldwaande fertraging, en as it kin net letter as 72 oeren nei de ûntdekking, melden wurde by de Autoriteit Persoonsgegevens.

Autosoft BV hoecht net te melden by de Nederlandse Autoriteit Persoonsgegevens as feitlike identifikaasje fan yndividuele natuerlike persoanen ridlik útsletten is.
Alle fertochten fan in ynsidint foar ynformaasjefeiligens wurde yn earste ynstânsje oanpakt support@autosoft.eu rapportearre en registrearre. Support rapportearret it ynsidint oan it Management Team en bepaalt hokker ferfolchaksjes moatte wurde nommen.

Ferfolchproseduere

Wannear moat ik de gegevens ûnderwerpen ynformearje?
In gegevensynbrekking moat by de gegevenssubjekt melde as der by in ynbreuk in heech risiko is dat de ynbreuk neidielige gefolgen hat foar syn/har priveelibben. Ûngeunstige gefolgen foar de gegevens ûnderwerp binne: skea oan eare en reputaasje, identiteitsfraude of diskriminaasje. As Autosoft BV passende technyske beskermingsmaatregels nommen hat, wêrtroch't de oanbelangjende persoanlike gegevens ûnbegryplik of ûnberikber makke wurde, is de meidieling oan de gegevenssubjekt net nedich. De notifikaasje oan de gegevenssubjekt sil in beskriuwing befetsje, yn dúdlike en dúdlike taal, fan 'e aard fan' e ynbreuk op persoanlike gegevens en op syn minst:

• de namme en kontaktgegevens fan de gegevensbeskermingsoffisier of in oar kontaktpunt dêr't mear ynformaasje kin wurde krigen;
• de wierskynlike gefolgen fan 'e ynbreuk op persoanlike gegevens;
• de maatregels foarsteld of nommen troch de kontrôler om de ynbreuk op persoanlike gegevens oan te pakken, ynklusyf, wêr passend, maatregels om alle neidielige effekten dêrfan te ferminderjen. It beoardieljen oft der in gegevenslek oanjefte dien wurde moat by de Nederlandse Autoriteit Persoonsgegevens en/of de troffen persoanen is altyd oan Autosoft BV. Om te bepalen oft in ynsidint melden moat, hat de Autoriteit Persoonsgegevens beliedsregels opsteld (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) en de wurkgroep 29 fan de Europeeske tafersjochhâlders rjochtlinen publisearre op de rapportaazje ferplichting yn de GDPR. As Autosoft BV de gegevenslekken net melden hat, kin de Nederlandse Autoriteit Persoonsgegevens easkje dat Autosoft BV noch in melding docht. It net melden kin bestraft wurde mei in bestjoerlike boete.

Hoe rapportearje ik in gegevensbreuk?
De Nederlandse Autoriteit Persoonsgegevens stelt in webformulier beskikber dat brûkt wurde moat foar it melden fan gegevenslekken (https://dataleks.autoriteitpersoonsgegevens.nl/). De Nederlandse Autoriteit Persoonsgegevens hâldt in register by fan de ûntfongen meldingen fan gegevenslekken. Dit register is net iepenbier. As troch de Nederlandse Autoriteit Persoonsgegevens in boete oplein wurdt as gefolch fan it gegevenslek, wurdt dit beslút iepenbier makke. In gegevensbreuk wurdt ek iepenbier makke as gegevensûnderwerpen ynformearre wurde moatte oer de gegevensynbreuk. Yn de notifikaasje oan de betûfte persoan moat yn elts gefal de aard fan de ynbreuk oanjaan en de autoriteiten dêr't de betûfte mear ynformaasje oer de ynbreuk krije kin. Ek moat oanjûn wurde wat de betûfte sels dwaan kin om de negative gefolgen fan it gegevenslek te beheinen. Bygelyks it feroarjen fan brûkersnammen en wachtwurden as se miskien binne kompromittearre troch de ynbreuk.

Wat moat ik melde?
In melding oan de Nederlandse Autoriteit Persoonsgegevens omfettet:

• De ferslachjouwer fan 'e gegevensbreuk.
• De persoan mei wa't de Autoriteit Persoonsgegevens kontakt opnimme kin foar fierdere ynformaasje oer de melding.
• In gearfetting fan it ynsidint dêr't de ynbreuk op de feiligens fan persoanlike gegevens barde.
• De tiid fan 'e ynbreuk.
• De aard fan 'e ynbreuk.
• It oanbelangjende type persoanlike gegevens.
• De gefolgen dy't de ynbreuk hawwe kin foar de privacy fan de belutsenen.
• De technyske en organisatoaryske maatregels dy't Autosoft BV nommen hat om de ynbreuk oan te pakken en om fierdere ynbreuken foar te kommen.
• Oft Autosoft BV de gegevensbreuk oan de gegevenssubjekten rapportearre hat en sa net, oft Autosoft BV fan doel is dat te dwaan:
• As dat sa is, de ynhâld fan 'e notifikaasje oan de gegevens ûnderwerpen.
• Sa net, de reden wêrom't Autosoft BV him derfan ôfhâldt fan it rapportearjen fan de gegevensbreuk oan de gegevenssubjekten.
• Binne de persoanlike gegevens fersifere, hashed of oars ûnbegryplik of net tagonklik makke foar net foechhawwende persoanen?

Diel 2: Standert Processing Clauses

Ferzje: septimber 2019
Foarmet tegearre mei de Data Pro Statement de ferwurkingsoerienkomst en is in taheakke by de oerienkomst en de byhearrende taheaksels lykas jildende algemiene betingsten.

Kêst 1. Definysjes

De betingsten hjirûnder hawwe de folgjende betsjuttingen yn dizze Standertferwurkingsklausules, yn 'e Data Pro Statement en yn' e oerienkomst:

• 1.1 Nederlandse Autoriteit Persoonsgegevens (AP): tafersjochautoriteit, lykas beskreaun yn kêst 4, sub 21 fan it Avg.
• 1.2 AVG: de Algemiene Gegevensbeskermingsregeling.
• 1.3 Gegevensferwurker: partij dy't as ICT-leveransier Persoansgegevens ferwurket yn it foardiel fan syn Opdrachtgever yn it ramt fan de útfiering fan de oerienkomst.
• 1.4 Data Pro-ferklearring: ferklearring fan gegevensferwurker wêryn it ynformaasje jout oangeande it beëage gebrûk fan har produkt of tsjinst, nommen befeiligingsmaatregels, subferwurkers, gegevenslekken, sertifikaasjes en behanneling fan rjochten fan gegevensûnderwerpen.
• 1.5 Gegevensûnderwerp (gegevensûnderwerp): in identifisearre of identifisearre natuerlike persoan.
• 1.6 Klant: partij út waans namme gegevensferwurker persoanlike gegevens ferwurket. De kliïnt kin in kontrôler ("kontrôler") as in oare prosessor wêze.
• 1.7 Oerienkomst: de oerienkomst tusken Opdrachtgever en Ferwurker, op grûn wêrfan de ICT-leveransier tsjinsten en/of produkten oan Opdrachtgever leveret, dêr’t de ferwurkeroerienkomst diel fan útmakket.
• 1.8 Persoanlike gegevens: alle ynformaasje oer in identifisearre of identifisearbere natuerlike persoan, lykas beskreaun yn kêst 4, sub 1 AVG, dy't gegevensferwurker ferwurket yn it ramt fan it útfieren fan syn ferplichtings dy't fuortkomme út 'e oerienkomst.
• 1.9 Ferwurkingsoerienkomst: dizze Standertbepalingen foar ferwurking, dy't tegearre mei de Data Pro Statement (of fergelykbere ynformaasje) fan Data Processor de ferwurkingsoerienkomst foarmje as bedoeld yn kêst 28, lid 3 fan 'e AVG.

Kêst 2. Algemien

• 2.1 Dizze standertferwurkingsklausules binne fan tapassing op alle ferwurking fan Persoanlike gegevens dy't gegevensferwurker docht yn it ramt fan de levering fan syn produkten en tsjinsten en op alle oerienkomsten en oanbiedingen. De tapaslikheid fan de ferwurkingsôfspraken fan de Opdrachtgever wurdt útdruklik ôfwiisd.
• 2.2 De Data Pro Statement, en yn it bysûnder de befeiligingsmaatregels dy't dêryn befette, kinne fan tiid ta tiid wurde wizige troch Data Processor om feroarjende omstannichheden te reflektearjen. Data Processor sil Client ynformearje fan wichtige feroarings. As de Opdrachtgever it ridlik net iens kin mei de oanpassingen, hat de Opdrachtgever it rjocht de ferwurkingsoerienkomst binnen 30 dagen nei de melding fan de oanpassingen skriftlik op te sizzen.
• 2.3 Data Processor ferwurket de Persoanlike Gegevens út namme fan en út namme fan Client yn oerienstimming mei de skriftlike ynstruksjes fan Client oerienkommen mei Data Processor.
• 2.4 De Klant, of syn klant, is de kontrôler yn 'e betsjutting fan' e GDPR, hat kontrôle oer de ferwurking fan 'e Persoanlike Gegevens en hat it doel en de middels foar it ferwurkjen fan de Persoanlike Gegevens bepaald.
• 2.5 Gegevensferwurker is in ferwurker yn de betsjutting fan de GDPR en hat dêrom gjin kontrôle oer it doel en de middels fan it ferwurkjen fan de Persoanlike Gegevens en nimt dêrom gjin besluten oer ûnder oare it brûken fan de Persoanlike Gegevens.
• 2.6 Gegevensferwurker ymplementearret de GDPR lykas fêstlein yn dizze Standertklausules foar ferwurking, de Data Pro-ferklearring en de oerienkomst. It is oan de Klant om op basis fan dizze ynformaasje te beoardieljen oft Data Processor foldwaande garânsjes biedt oangeande it tapassen fan passende technyske en organisatoaryske maatregels, sadat de ferwurking foldocht oan de easken fan 'e GDPR en de beskerming fan' e rjochten fan Data subjects is genôch garandearre.
• 2.7 De Klant garandearret de gegevensferwurker dat hy hannelet yn oerienstimming mei de GDPR, dat it syn systemen en ynfrastruktuer te alle tiden adekwaat beskermet en dat de ynhâld, gebrûk en/of ferwurking fan de Persoanlike Gegevens net yllegaal binne en gjin rjocht ynbreuk meitsje. fan in tredde partij.
• 2.8 In bestjoerlike boete oplein oan de Klant troch de AP kin net weromhelle út Data Processor.

Kêst 3. Feiligens

• 3.1 Data Processor nimt de technyske en organisatoaryske feiligens maatregels, lykas beskreaun yn syn Data Pro Statement. By it nimmen fan de technyske en organisatoaryske befeiligingsmaatregels hat gegevensferwurker rekken holden mei de steat fan 'e technyk, de útfieringskosten fan' e befeiligingsmaatregels, de aard, omfang en kontekst fan 'e ferwurking, de doelen en it bedoelde gebrûk fan har produkten en tsjinsten , de ferwurkingsrisiko's en de risiko's dy't ferskille yn kâns en earnst foar de rjochten en frijheden fan Betrokkene dy't hy koe ferwachtsje mei it each op it bedoelde gebrûk fan syn produkten en tsjinsten.
• 3.2 Behalven as eksplisyt oars oanjûn yn 'e Data Pro Statement, is it produkt of tsjinst fan Data Processor net ûntworpen om spesjale kategoryen fan Persoanlike Gegevens of gegevens te ferwurkjen oangeande kriminele oertsjûgingen of misdriuwen of troch de regearing útjûn persoanlike nûmers.
• 3.3 Gegevensferwurker stribbet dernei om te soargjen dat de befeiligingsmaatregels dy't him te nimmen binne passend binne foar it beëage gebrûk fan it produkt of tsjinst troch de gegevensferwurker.
• 3.4 Neffens de Opdrachtgever biede de beskreaune befeiligingsmaatregels, rekken hâldend mei de yn kêst 3.1 neamde faktoaren, in befeiligingsnivo ôfstimd op it risiko fan de ferwurking fan de troch har brûkte of levere Persoanlike gegevens.
• 3.5 Gegevensferwurker kin wizigingen oanmeitsje oan 'e nommen befeiligingsmaatregels as hy dit nedich acht om troch te gean mei it leverjen fan in passend nivo fan feiligens. Data Processor sil opnimme wichtige feroarings, bygelyks yn in wizige Data Pro Statement, en sil ynformearje Client fan dy feroarings wêr relevant.
• 3.6 Klant kin Data Processor freegje om fierdere feiligensmaatregels te nimmen. Gegevensferwurker is net ferplichte om wizigingen oan te bringen oan syn feiligensmaatregels op sa'n fersyk. Data Processor kin charge de kosten yn ferbân mei de feroarings makke op fersyk fan de Klant oan de Klant. Pas neidat de troch de Opdrachtgever winske wizige befeiligingsmaatregels skriftlik binne ôfpraat en troch de Partijen ûndertekene binne, is Dataferwurker ferplichte om dizze befeiligingsmaatregels feitlik út te fieren.

Kêst 4. Ynbreuk op persoanlike gegevens

• 4.1 Data Processor net garandearje dat de feiligens maatregels binne effektyf ûnder alle omstannichheden. As gegevensferwurker in ynbreuk ûntdekt yn ferbân mei Persoanlike gegevens (lykas neamd yn kêst 4 sub 12 Avg), sil it Klant ynformearje sûnder ûnnedige fertraging. De Data Pro Statement (ûnder it datalekprotokol) stelt út hoe't de Data Processor de Klant ynformearret oer ynbreuken yn ferbân mei Persoanlike Gegevens.
• 4.2 It is oan de kontrôler (Klant, as syn klant) om te beoardieljen oft de ynbreuk op Persoanlike gegevens dêr't gegevensferwurker oer ynformearre hat, moat wurde rapportearre oan de AP as de gegevenssubjekt. It rapportearjen fan ynbreuken yn ferbân mei Persoanlike Gegevens, dy't moatte wurde rapportearre oan de AP en/of Gegevensûnderwerpen neffens kêsten 33 en 34 GDPR, bliuwt te alle tiden de ferantwurdlikens fan de kontrôler (Klant of syn klant). Gegevensferwurker is net ferplichte om ynbreuken op persoanlike gegevens te melden by de AP en/of de gegevensûnderwerp.
• 4.3 Gegevensferwurker sil, as it nedich is, fierdere ynformaasje jaan oer de ynbreuk yn ferbân mei Persoanlike Gegevens en sil gearwurkje mei de nedige ynformaasjeferskaffing oan de Klant foar it doel fan in meidieling as bedoeld yn kêsten 33 en 34 Avg.
• 4.4 Gegevensferwurker kin de ridlike kosten dy't it yn dit ferbân makket oan 'e Klant yn rekken brocht tsjin syn doe jildende tariven.

Kêst 5. Fertroulikens

• 5.1 Gegevensferwurker garandearret dat de persoanen dy't Persoanlike Gegevens ûnder har ferantwurdlikens ferwurkje in geheimhâldingsplicht hawwe.
• 5.2 Gegevensferwurker hat it rjocht om de Persoanlike Gegevens oan tredden te jaan, as en foarsafier't foarsjenning nedich is op grûn fan in rjochtbankbeslút, in wetlike regeling of op grûn fan in autorisearre opdracht fan in oerheidsbestjoer.
• 5.3 Alle tagongs- en/of identifikaasjekoades, sertifikaten, ynformaasje oangeande tagongs- en/of wachtwurdbelied levere troch Data Processor oan Client en alle ynformaasje levere troch Data Processor oan Client dy't de technyske en organisatoaryske feiligensmaatregels útfiert dy't opnommen binne yn 'e Data Pro Statement binne fertroulik. en sil as sadanich wurde behannele troch de Klant en allinich bekend makke oan autorisearre meiwurkers fan 'e Klant. De Klant soarget derfoar dat syn meiwurkers de ferplichtings ûnder dit artikel neikomme.

Kêst 6. Term en beëiniging

• 6.1 Dizze ferwurkeroerienkomst makket diel út fan de oerienkomst en elke nije of fierdere oerienkomst dy't dêrút ûntstiet, komt yn op it momint fan it sluten fan de oerienkomst en wurdt sletten foar in ûnbepaalde tiid.
• 6.2 Dizze prosessoroerienkomst einiget by wurking fan wet by beëiniging fan 'e oerienkomst of in nije of fierdere oerienkomst tusken de partijen.
• 6.3 By it einigjen fan de ferwurkingsoerienkomst sil Data Processor alle Persoanlike Gegevens yn syn besit en ûntfongen fan de Klant wiskje binnen de termyn opnommen yn de Data Pro Statement op sa'n manier dat se net mear brûkt wurde kinne en net mear wurde tagonklik (ûnberikber meitsje). , of, as ôfpraat, weromjaan oan de Klant yn in masine-lêsber formaat.
• 6.4 Gegevensferwurker kin alle kosten dy't er makke yn it ramt fan de bepalingen fan kêst 6.3 oan de Klant yn rekken brocht. Fierdere ôfspraken dêroer kinne fêstlein wurde yn de Data Pro Statement.
• 6.5 De bepalings fan kêst 6.3 binne net fan tapassing as in wetlike regeling foarkomt dat de gegevensferwurker de Persoanlike Gegevens hielendal of foar in part fuortsmiten of werombringt. Yn sa'n gefal sil gegevensferwurker allinich trochgean mei it ferwurkjen fan de Persoanlike gegevens foar safier't it nedich is ûnder syn wetlike ferplichtings. De bepalingen fan kêst 6.3 binne ek net fan tapassing as de gegevensferwurker de kontrôler is yn 'e betsjutting fan 'e GDPR oangeande de Persoanlike gegevens.

Kêst 7. Rjochten fan gegevensûnderwerpen, beoardieling fan ynfloed op gegevensbeskerming (DPIA) en kontrôlerjochten

• 7.1 Gegevensferwurker sil, wêr mooglik, gearwurkje mei ridlike oanfragen fan Klant yn ferbân mei de rjochten fan Gegevensûnderwerpen dy't op Klant oproppen wurde troch Gegevensûnderwerpen. As gegevensferwurker direkt benadere wurdt troch in gegevenssubjekt, sil hy dizze persoan wêr mooglik ferwize nei de klant.
• 7.2 As de Klant is ferplichte om dit te dwaan, Data Processor sil gearwurkje mei in gegevens beskerming impact assessment (DPIA) of in dêrop folgjende foarôfgeande oerlis as bedoeld yn kêsten 35 en 36 Avg.
• 7.3 Gegevensferwurker sil meiwurkje oan fersiken fan Klant foar it fuortheljen fan persoanlike gegevens foarsafier't Klant dit sels net útfiere kin.
• 7.4 Op fersyk fan de Opdrachtgever sil Gegevensferwurker ek alle fierdere ynformaasje beskikber stelle dy't ridlik nedich is om it neilibjen fan de yn dizze ferwurkingsoerienkomst makke ôfspraken oan te tonen. As de Opdrachtgever dochs reden hat om oan te nimmen dat de ferwurking fan Persoansgegevens net plakfynt neffens de ferwurkingsoerienkomst, kin dy op syn heechst ien kear yn it jier rieplachte wurde troch in ûnôfhinklike, sertifisearre, eksterne saakkundige dy't oannimlike ûnderfining hat mei it type fan ferwurking dy't útfierd wurdt op grûn fan de oerienkomst. , in kontrôle op kosten fan de Opdrachtgever útfiere. De kontrôle wurdt beheind ta it kontrolearjen fan neilibjen fan de ôfspraken oangeande de ferwurking fan Persoanlike gegevens lykas fêstlein yn dizze ferwurkeroerienkomst. De saakkundige hat geheimhâldingsplicht oer wat er fynt en meldt oan de Opdrachtgever allinnich dat wat resulteart yn in tekoartkomming yn it neikommen fan ferplichtings dy't Ferwurker hat út dizze ferwurkeroerienkomst. De saakkundige sil in kopy fan syn rapport oan Data Processor leverje. Gegevensferwurker kin in kontrôle of ynstruksje fan 'e saakkundige wegerje as dit, nei syn miening, yn striid is mei de GDPR of oare wetjouwing of in net tastiene ynbreuk is op' e feiligensmaatregels dy't hy hat nommen.
• 7.5 De partijen sille sa gau mooglik oerlizze oer de útkomsten fan it rapport. Partijen folgje de foarnommen ferbetteringsmaatregels dy't yn it rapport fêstlein binne foar safier't dat ridlikerlik fan harren ferwachte wurde kin. Gegevensferwurker sil de foarstelde ferbetteringsmaatregels ymplementearje foar safier't se passend binne yn syn miening, rekken hâldend mei de ferwurkingsrisiko's ferbûn mei syn produkt of tsjinst, de steat fan 'e technyk, de útfieringskosten, de merk wêryn't it wurket, en it beëage gebrûk fan it produkt of tsjinst. de tsjinst.
• 7.6 Gegevensferwurker hat it rjocht om de kosten dy't it makket yn it ramt fan 'e bepalingen fan dit artikel oan' e Klant yn te rekkenjen.

Kêst 8. Sub-Processors

• 8.1 Data Processor hat yn de Data Pro Statement oanjûn oft, en as dat sa is hokker tredden (sub-ferwurkers of sub-ferwurkers) Data Processor him dwaande hâldt mei de ferwurking fan de Persoanlike Gegevens.
• 8.2 Opdrachtgever jout tastimming oan gegevensferwurker om oare sub-ferwurkers yn te skeakeljen om syn ferplichtingen út 'e oerienkomst út te fieren.
• 8.3 De Gegevensferwurker sil de Opdrachtgever ynformearje oer in feroaring yn de troch de Gegevensferwurker ynskeakele tredden, bygelyks troch in wizige Data Pro Statement. De Klant hat it rjocht om beswier te meitsjen tsjin de earder neamde feroaring troch Data Processor. Gegevensferwurker soarget derfoar dat de dêrmei ynskeakele tredden har ynsette foar itselde feiligensnivo oangeande de beskerming fan Persoanlike gegevens as it befeiligingsnivo dêr't de gegevensferwurker oan bûn is oan 'e Klant op grûn fan 'e Data Pro Statement.

Kêst 9. Oare

Dizze Standertferwurkingsklausules foarmje tegearre mei de Data Pro Statement in yntegraal diel fan 'e oerienkomst. Alle rjochten en plichten út de oerienkomst, ynklusyf de jildende algemiene betingsten en/of beheiningen fan oanspraaklikens, jilde dus ek foar de ferwurkingsoerienkomst.