Inloggen

Verwerkersovereenkomst

& Datalek procedure

Inleiding

Autosoft B.V. verwerkt onder andere persoonsgegevens voor en in opdracht van de klant. Autosoft B.V. en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Volgens de AVG is Autosoft B.V. ‘verwerker’ en is de klant  verwerkingsverantwoordelijke’. In deze Verwerkersovereenkomst staat ook beschreven hoe Autosoft B.V. met de meldplicht datalekken omgaat

 

Verwerkersovereenkomst

Autosoft B.V. en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen die in deze Verwerkersovereenkomst worden gebruikt verwijzen wij u naar artikel 1 van de AVG.
Autosoft B.V. zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst. Autosoft B.V. heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal Autosoft B.V. de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.

Autosoft B.V. neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze technische en organisatorische maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van artikel 1 van de AVG en is een gedocumenteerde procedure van Autosoft B.V.

De klant is gerechtigd om in overleg met Autosoft B.V. tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. Autosoft B.V. zal, indien een verzoek gedaan wordt door een bevoegde instantie op grond van wet- en regelgeving, alle informatie beschikbaar stellen aan de betreffende organisatie. Tevens verplicht Autosoft B.V. eventuele sub-verwerkers, indien van toepassing, eveneens te voldoen aan een dergelijk verzoek van deze toezichthouders. De klant zal alle interne en externe kosten in verband met bovengenoemde controles en audits dragen.

De Autoriteit Persoonsgegevens zal eerst aan de klant een bindende aanwijzing geven voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. De klant zal Autosoft B.V. direct op de hoogte stellen van deze bindende aanwijzing. Autosoft B.V. zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als Autosoft B.V. niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Autosoft B.V., dan geldt de toepasselijke aansprakelijkheidsbeperking (art. 16 van de algemene voorwaarden) als hiervoor genoemd in de algemene voorwaarden niet.

 

Sub-verwerker

Autosoft B.V. is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de sub-verwerker waarbij de aansprakelijkheidsbeperking uit de algemene voorwaarden geldt. De toepasselijke aansprakelijkheidsbeperking (art. 16 van de algemene voorwaarden) geldt niet indien er bij de sub-verwerker sprake is van grove nalatigheid of opzettelijk wangedrag. Autosoft B.V. is niet aansprakelijk in geval van overmacht (zoals gedefinieerd in de algemene voorwaarden) aan de kant van de sub-verwerker.

De datacenters waar de software van Autosoft B.V. op is geïnstalleerd, bevinden zich uitsluitend in de Europese Unie. De datacenters voldoen aan de strenge Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn ISO 27001 gecertificeerd. Autosoft B.V. zorgt ervoor dat er met deze sub-verwerkers een verwerkersovereenkomst is afgesloten. Op verzoek kan klant een overzicht krijgen van gebruikte datacenters.

Persoonsgegevens worden door Autosoft B.V. en eventuele sub-verwerkers verwerkt binnen de Europese Unie. Klant geeft Autosoft B.V. daarnaast toestemming voor de verwerking van persoonsgegevens in landen buiten de Europese Unie, met inachtneming van de daarvoor geldende wet- en regelgeving. Autosoft zal Klant op verzoek melden naar welk land of welke landen de persoonsgegevens worden doorgegeven.

Autosoft B.V. zal geen andere sub-verwerkers gegevens laten verwerken zonder de klant vooraf om toestemming te vragen

Indien klant zelf verzoekt om een sub-verwerker of andere derden toegang te geven tot de hier genoemde gegevens, is klant verantwoordelijk voor het afsluiten van een
verwerkersovereenkomst met deze derde en om te controleren dat deze zich ook aan de verplichten voortkomende vanuit de AVG en andere overeenkomsten houdt.

 

Privacy en geheimhouding

Autosoft B.V. is zich bewust dat de informatie die de klant met Autosoft B.V. deelt en opslaat binnen de infrastructuur vaak een geheim en bedrijfsgevoelig of persoonlijk karakter heeft.

Alle Autosoft B.V. medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.

 

Medewerkers met toegang tot klantgegevens

Beheerders, supportmedewerkers en ontwikkelaars van Autosoft B.V. hebben volledige toegang tot de klanten website beheeromgevingen voor:

  • Het plaatsen van een nieuwe versie;
  • Het doorvoeren van patches en hotfixes;
  • Het maken van een back-up;
  • Het verplaatsen van een omgeving.
Toegangsgegevens tot systemen van Autosoft B.V.

Autosoft B.V. registreert een aantal gegevens van de medewerkers van de klant of door haar ingeschakelde derden om hen toegang te verlenen tot de door Autosoft B.V. verleende diensten, en hun te informeren over belangrijke zaken omtrent deze systemen (denk hierbij aan storingen, statusoverzichten en veiligheidswaarschuwingen).

Deze gegevens zullen voor geen ander doel dan bovengenoemd gebruikt worden en niet aan derden worden verstrekt.

 

Door klant verzamelde gegevens

Autosoft B.V. verwerkt namens de klant gegevens. Bij het overeenkomen van deze verwerkersovereenkomst leggen klant en Autosoft B.V. vast welke gegevens worden
vastgelegd, en registreren:

  • Het onderwerp en de duur van de gegevensverwerking.
  • De aard en het doel van de gegevensverwerking.
  • Het soort persoonsgegevens.
  • De categorieën van betrokkenen.

Autosoft B.V. levert oplossingen waarin de klant vaak zelf ruimte heeft om te bepalen welke gegevens gevraagd worden (bijvoorbeeld door het toevoegen van een contact/webformulier).

De klant is verantwoordelijk dat er geen andere gegevens worden gevraagd dan overeengekomen is bij de verwerkersovereenkomst en te zorgen dat registratie bij Autosoft B.V. van de verwerkte gegevens up-to-date is.

 

Door verwerker zelf verzamelde gegevens

Autosoft B.V. verzamelt geanonimiseerde gegevens over het gebruik van haar producten (denk hierbij aan gebruiksstatistieken en storingsinformatie). Deze gegevens ondersteunen Autosoft B.V. om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden en voor de registratie en het oplossen van storingen. De geanonimiseerde gegevens zullen uitsluitend gebruikt worden om producten en dienstverlening te verbeteren.

 

Meldplicht datalekken

De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Autosoft B.V. zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Autosoft B.V. als verwerker de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.

 

Bepaling datalek

Voor het bepalen van een datalek, gebruikt Autosoft B.V. de AVG en de beleidsregels meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden, een malware besmetting of een calamiteit zoals brand in een datacenter.

Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Autosoft B.V., terwijl zonder meer voor de klant duidelijk is dat bij Autosoft B.V. geen sprake is van een datalek dan is de klant aansprakelijk voor alle door Autosoft B.V. geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken en, indien noodzakelijk ook te rectificeren in de media.

Melding aan de klant

Indien blijkt dat bij Autosoft B.V. sprake is van een datalek, dat door de klant gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal Autosoft B.V. de klant daarover zo spoedig mogelijk informeren nadat Autosoft B.V. bekend is geworden met het datalek. Om dit te realiseren zorgt Autosoft B.V. ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Autosoft B.V. van haar opdrachtnemers dat zij Autosoft B.V. in staat stelt om hieraan te kunnen voldoen.

Ter verduidelijking: als er een datalek is bij een leverancier van Autosoft B.V., dan meldt Autosoft B.V. dit uiteraard ook. Autosoft B.V. is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van Autosoft B.V..

 

Informeren klant

In eerste instantie zal Autosoft B.V. de primaire contactpersoon van de klant informeren over een datalek. Indien deze primaire contactpersoon om wat voor reden dan ook niet beschikbaar is nemen wij contact op met een volgende contactpersoon binnen de organisatie.

Voortgang en maatregelen

Autosoft B.V. zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Autosoft B.V. maakt hierover afspraken met de primaire  contactpersoon bij de initiële melding. In ieder geval houdt Autosoft B.V. de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.

Juist, tijdig en volledig

Autosoft B.V. registreert alle security-incidenten en handelt deze volgens een vaste procedure (workflow) af. De registratie en afhandeling van security-incidenten wordt periodiek intern getoetst door de Functionaris voor de gegevensbescherming (FG).

Informatie verstrekken

Autosoft B.V. probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.

Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door Autosoft B.V. wordt onderzocht, dan zal Autosoft B.V. de klant de informatie verstrekken die de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te kunnen verrichten.

Hierbij volgt Autosoft B.V. de intern bekend zijnde Datalek procedure. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.

 

Wat is een datalek en wanneer wordt een melding gedaan bij de AP?

Een datalek is een informatiebeveiligingsincident waarbij sprake is van een inbreuk op de beveiliging van persoonsgegevens door blootstelling aan verlies of onrechtmatige verwerking zoals (maar niet uitputtend):

  • Het aanpassen en/of veranderen van persoonsgegevens en niet geautoriseerde
    toegang tot deze persoonsgegevens;
  • Bij een inbraak door een hacker;
  • Kwijtraken van een USB-stick, diefstal van een laptop;
  • Verzenden van gevoelige gegevens naar een onjuist e-mailadres;

Volgens de wet moet een ‘ernstig’ datalek, zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, worden gemeld aan de Autoriteit Persoonsgegevens.

Autosoft B.V. hoeft geen melding te doen aan de Autoriteit Persoonsgegevens indien daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt
uitgesloten.

Alle verdachtmakingen van een informatiebeveiligingsincident worden aan de Functionaris voor de gegevensbescherming (FG) gemeld. De FG bepaalt welke vervolgacties moeten worden ondernomen.

 

Hoe wordt een datalek gemeld?

De Autoriteit Persoonsgegevens stelt een webformulier beschikbaar dat gebruikt moet worden voor het melden van datalekken (https://datalekken.autoriteitpersoonsgegevens.nl/). De Autoriteit Persoonsgegevens houdt een register bij van de ontvangen datalekmeldingen. Dit register is niet openbaar. Als er door de Autoriteit Persoonsgegevens een boete opgelegd wordt naar aanleiding van het datalek, wordt dit besluit wel openbaar gemaakt. Een datalek wordt ook openbaar gemaakt op het moment dat betrokkenen geïnformeerd moeten worden over het datalek. Bij de melding aan de betrokkene moet in ieder geval worden aangegeven wat de aard van de inbreuk is en de instanties waar de betrokkene meer informatie, over de inbreuk, kan krijgen. Verder moet aangegeven worden wat de betrokkene zelf kan doen om de negatieve gevolgen van het datalek te beperken. Bijvoorbeeld het veranderen van gebruikersnamen en wachtwoorden wanneer deze door de inbreuk mogelijk gecompromitteerd zijn.

Wanneer wordt een melding gedaan bij de betrokkenen?

Een datalek moet aan de betrokkene worden gemeld als bij een inbreuk het risico groot is dat die inbreuk ongunstige gevolgen zal hebben voor diens privéleven. Ongunstige gevolgen voor de betrokkene zijn: aantasting in eer en goede naam, identiteitsfraude of discriminatie. Als Autosoft B.V. passende technische beschermingsmaatregelen heeft genomen, waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn gemaakt, is de melding aan de betrokkene niet nodig.

Wat bevat de datalek melding?

De melding aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste:

  • De naam en de contactgegevens van de FG of een ander contactpunt waar meer informatie kan worden verkregen;
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. De beoordeling of een datalek gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de getroffen personen, ligt te allen tijde bij Autosoft B.V.. Om te bepalen of een incident gemeld moet worden heeft de Autoriteit Persoonsgegevens beleidsregels (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematischebeleidsregels/beleidsregels-meldplicht-datalekken-2015) opgesteld en de werkgroep 29 van de Europese toezichthouders guidelines gepubliceerd over de meldplicht in de AVG. Als Autosoft B.V. het datalek niet heeft gemeld kan de Autoriteit Persoonsgegevens verlangen dat Autosoft B.V. alsnog een melding doet. Het niet-melden kan worden bestraft met een bestuurlijke boete.

 

Wat wordt gemeld?

Een melding aan het Autoriteit Persoonsgegevens omvat:

  • De melder van het datalek.
  • Degene met wie de Autoriteit Persoonsgegevens contact op kan nemen voor nadere informatie over de melding.
  • Een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan.
  • Het tijdstip van de inbreuk.
  • De aard van de inbreuk.
  • Het type persoonsgegevens waarover het gaat.
  • De gevolgen die de inbreuk kunnen hebben voor de persoonlijke levenssfeer van de betrokkenen.
  • De technische en organisatorische maatregelen die Autosoft B.V. heeft getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen.
  • Of Autosoft B.V. het datalek gemeld heeft aan de betrokkenen en zo niet, of Autosoft B.V. van plan is dit te gaan doen:
  • Zo ja, de inhoud van de melding aan de betrokkenen.
  • Zo nee, de reden waarom Autosoft B.V. afziet van het melden van het datalek aan de betrokkenen.
  • Zijn de persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden?

Stroomschema Meldpricht Datalekken

Klantbeoordelingen

9,3 van 10

* enquêteresultaten 2020

Ik zorg voor jouw website!

Thijs Bode
+31 (0)53 428 00 98

Thijs Bode

Powered by: Autosoft B.V. - © 2020 Autosoft - Disclaimer - Privacy - Sitemap