Verwerkersovereenkomst Autosoft – Datalek procedure

 

Inleiding
Autosoft B.V. verwerkt onder andere persoonsgegevens voor en in opdracht van de klant. Autosoft B.V. en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Volgens de AVG is Autosoft B.V. ‘verwerker’ en is de klant ‘verwerkingsverantwoordelijke’. In deze Verwerkersovereenkomst staat ook beschreven hoe Autosoft B.V. met de meldplicht datalekken omgaat

 

Verwerkersovereenkomst
Autosoft B.V. en de klant verplichten zich over en weer om de Algemene Verordening
Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen die in deze
Verwerkersovereenkomst worden gebruikt verwijzen wij u naar artikel 1 van de AVG.
Autosoft B.V. zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en
om uitvoering te geven aan de overeenkomst. Autosoft B.V. heeft geen zeggenschap over de
persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien
de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of
wettelijke verplichting zal Autosoft B.V. de gegevens niet aan derden verstrekken of voor
andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant
garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG
genoemde grondslag

 

Autosoft B.V. neemt passende technische en organisatorische maatregelen om de
persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige
verwerking. Deze technische en organisatorische maatregelen worden aangemerkt als een
passend beveiligingsniveau in de zin van artikel 1 van de AVG en is een gedocumenteerde
procedure van Autosoft B.V.

 

De klant is gerechtigd om in overleg met Autosoft B.V. tijdens de looptijd van de
overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren,
bijvoorbeeld door middel van het uitvoeren van een audit. Autosoft B.V. zal, indien een
verzoek gedaan wordt door een bevoegde instantie op grond van wet- en regelgeving, alle
informatie beschikbaar stellen aan de betreffende organisatie. Tevens verplicht Autosoft B.V.
eventuele sub-verwerkers, indien van toepassing, eveneens te voldoen aan een dergelijk
verzoek van deze toezichthouders. De klant zal alle interne en externe kosten in verband met
bovengenoemde controles en audits dragen.

 

De Autoriteit Persoonsgegevens zal eerst aan de klant een bindende aanwijzing geven
voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. De klant zal
Autosoft B.V. direct op de hoogte stellen van deze bindende aanwijzing. Autosoft B.V. zal er
alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te
maken. Als Autosoft B.V. niet doet wat in redelijkheid van haar gevraagd kan worden
waardoor er een boete volgt, of als de Autoriteit direct een boete oplegt omdat sprake is van
opzet of ernstige verwijtbare nalatigheid aan de kant van Autosoft B.V., dan geldt de
toepasselijke aansprakelijkheidsbeperking (art. 16 van de algemene voorwaarden) als
hiervoor genoemd in de algemene voorwaarden niet.

 

Sub-verwerker
Autosoft B.V. is aansprakelijk voor schade in het kader van persoonsgegevens door handelen
of nalaten van de sub-verwerker waarbij de aansprakelijkheidsbeperking uit de algemene
voorwaarden geldt. De toepasselijke aansprakelijkheidsbeperking (art. 16 van de algemene
voorwaarden) geldt niet indien er bij de sub-verwerker sprake is van grove nalatigheid of
opzettelijk wangedrag. Autosoft B.V. is niet aansprakelijk in geval van overmacht (zoals
gedefinieerd in de algemene voorwaarden) aan de kant van de sub-verwerker.

 

De datacenters waar de software van Autosoft B.V. op is geïnstalleerd, bevinden zich
uitsluitend in de Europese Unie. De datacenters voldoen aan de strenge Europese wetgeving
met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters
zijn ISO 27001 gecertificeerd. Autosoft B.V. zorgt ervoor dat er met deze sub-verwerkers een
verwerkersovereenkomst is afgesloten. Op verzoek kan klant een overzicht krijgen van
gebruikte datacenters.

 

Persoonsgegevens worden door Autosoft B.V. en eventuele sub-verwerkers verwerkt binnen
de Europese Unie. Klant geeft Autosoft B.V. daarnaast toestemming voor de verwerking van
persoonsgegevens in landen buiten de Europese Unie, met inachtneming van de daarvoor
geldende wet- en regelgeving. Autosoft zal Klant op verzoek melden naar welk land of welke
landen de persoonsgegevens worden doorgegeven.

 

Autosoft B.V. zal geen andere sub-verwerkers gegevens laten verwerken zonder de klant
vooraf om toestemming te vragen

 

Indien klant zelf verzoekt om een sub-verwerker of andere derden toegang te geven tot de
hier genoemde gegevens, is klant verantwoordelijk voor het afsluiten van een
verwerkersovereenkomst met deze derde en om te controleren dat deze zich ook aan de
verplichten voortkomende vanuit de AVG en andere overeenkomsten houdt.

 

Privacy en geheimhouding
Autosoft B.V. is zich bewust dat de informatie die de klant met Autosoft B.V. deelt en opslaat
binnen de infrastructuur vaak een geheim en bedrijfsgevoelig of persoonlijk karakter heeft.
Alle Autosoft B.V. medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun
arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze
met de informatie van de klant omgaan.

 

Medewerkers met toegang tot klantgegevens
Beheerders, supportmedewerkers en ontwikkelaars van Autosoft B.V. hebben volledige
toegang tot de klanten website beheeromgevingen voor:

  • het plaatsen van een nieuwe versie;
  • het doorvoeren van patches en hotfixes;
  • het maken van een back-up;
  • het verplaatsen van een omgeving.

Toegangsgegevens tot systemen van Autosoft B.V.
Autosoft B.V. registreert een aantal gegevens van de medewerkers van de klant of door haar
ingeschakelde derden om hen toegang te verlenen tot de door Autosoft B.V. verleende
diensten, en hun te informeren over belangrijke zaken omtrent deze systemen (denk hierbij
aan storingen, statusoverzichten en veiligheidswaarschuwingen). Deze gegevens zullen voor
geen ander doel dan bovengenoemd gebruikt worden en niet aan derden worden verstrekt.

Door klant verzamelde gegevens
Autosoft B.V. verwerkt namens de klant gegevens. Bij het overeenkomen van deze
verwerkersovereenkomst leggen klant en Autosoft B.V. vast welke gegevens worden
vastgelegd, en registreren:

  • Het onderwerp en de duur van de gegevensverwerking.
  • De aard en het doel van de gegevensverwerking.
  •  Het soort persoonsgegevens.
  • De categorieën van betrokkenen.

Autosoft B.V. levert oplossingen waarin de klant vaak zelf ruimte heeft om te bepalen welke
gegevens gevraagd worden (bijvoorbeeld door het toevoegen van een
contact/webformulier). De klant is verantwoordelijk dat er geen andere gegevens worden
gevraagd dan overeengekomen is bij de verwerkersovereenkomst en te zorgen dat registratie
bij Autosoft B.V. van de verwerkte gegevens up-to-date is.

Door verwerker zelf verzamelde gegevens
Autosoft B.V. verzamelt geanonimiseerde gegevens over het gebruik van haar producten
(denk hierbij aan gebruiksstatistieken en storingsinformatie). Deze gegevens ondersteunen
Autosoft B.V. om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product
gebruikt worden en voor de registratie en het oplossen van storingen. De geanonimiseerde
gegevens zullen uitsluitend gebruikt worden om producten en dienstverlening te verbeteren.

 

Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit
Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Autosoft B.V. zal
daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Autosoft
B.V. als verwerker de klant juist, tijdig en volledig informeren over relevante incidenten,
zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan
voldoen. De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven
hierover meer informatie.

Bepaling datalek
Voor het bepalen van een datalek, gebruikt Autosoft B.V. de AVG en de beleidsregels
meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten
waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of
waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking.
Het kan bijvoorbeeld gaan om het verlies van een USB-stick of computer, inbraak door een
hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle
geadresseerden, een malware besmetting of een calamiteit zoals brand in een datacenter.

Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de
betrokkene(n) over een datalek bij Autosoft B.V., terwijl zonder meer voor de klant duidelijk
is dat bij Autosoft B.V. geen sprake is van een datalek dan is de klant aansprakelijk voor alle
door Autosoft B.V. geleden schade en kosten. De klant is daarnaast verplicht een dergelijke
melding direct in te trekken en, indien noodzakelijk ook te rectificeren in de media.

Melding aan de klant
Indien blijkt dat bij Autosoft B.V. sprake is van een datalek, dat door de klant gemeld moet
worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal Autosoft B.V. de
klant daarover zo spoedig mogelijk informeren nadat Autosoft B.V. bekend is geworden met
het datalek. Om dit te realiseren zorgt Autosoft B.V. ervoor dat al haar medewerkers in staat
zijn en blijven om een datalek te constateren en verwacht Autosoft B.V. van haar
opdrachtnemers dat zij Autosoft B.V. in staat stelt om hieraan te kunnen voldoen. Ter
verduidelijking: als er een datalek is bij een leverancier van Autosoft B.V., dan meldt Autosoft
B.V. dit uiteraard ook. Autosoft B.V. is het contactpunt voor de klant. De klant hoeft geen
contact op te nemen met de leveranciers van Autosoft B.V..

Informeren klant
In eerste instantie zal Autosoft B.V. de primaire contactpersoon van de klant informeren over
een datalek. Indien deze primaire contactpersoon om wat voor reden dan ook niet
beschikbaar is nemen wij contact op met een volgende contactpersoon binnen de
organisatie.

Informatie verstrekken
Autosoft B.V. probeert de klant direct alle informatie te verstrekken die de klant nodig heeft
om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te
verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door
Autosoft B.V. wordt onderzocht, dan zal Autosoft B.V. de klant de informatie verstrekken die
de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de Autoriteit
Persoonsgegevens en/of de betrokkene(n) te kunnen verrichten. Hierbij volgt Autosoft B.V.
de intern bekend zijnde Datalek procedure. Dit bevat in ieder geval de aard van de inbreuk,
een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de
getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken
en te verhelpen.

Voortgang en maatregelen
Autosoft B.V. zal de klant op de hoogte houden over de voortgang en de maatregelen die
getroffen worden. Autosoft B.V. maakt hierover afspraken met de primaire contactpersoon
bij de initiële melding. In ieder geval houdt Autosoft B.V. de klant op de hoogte in geval van
een wijziging van de situatie, het bekend worden van nadere informatie en over de
maatregelen die getroffen worden.

Juist, tijdig en volledig
Autosoft B.V. registreert alle security-incidenten en handelt deze volgens een vaste
procedure (workflow) af. De registratie en afhandeling van security-incidenten wordt
periodiek intern getoetst door de Functionaris voor de gegevensbescherming (FG).

Wat is een datalek en wanneer wordt een melding gedaan bij de AP?
Een datalek is een informatiebeveiligingsincident waarbij sprake is van een inbreuk op de
beveiliging van persoonsgegevens door blootstelling aan verlies of onrechtmatige verwerking
zoals (maar niet uitputtend):

  • Het aanpassen en/of veranderen van persoonsgegevens en niet geautoriseerde
    toegang tot deze persoonsgegevens;
  • Bij een inbraak door een hacker;
  • Kwijtraken van een USB-stick, diefstal van een laptop;
  • Verzenden van gevoelige gegevens naar een onjuist e-mailadres;

Volgens de wet moet een ‘ernstig’ datalek, zonder onnodige vertraging, en zo mogelijk niet
later dan 72 uur na de ontdekking, worden gemeld aan de Autoriteit Persoonsgegevens.

Autosoft B.V. hoeft geen melding te doen aan de Autoriteit Persoonsgegevens indien
daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt
uitgesloten.

Alle verdachtmakingen van een informatiebeveiligingsincident worden aan de Functionaris
voor de gegevensbescherming (FG) gemeld. De FG bepaalt welke vervolgacties moeten
worden ondernomen.

Wanneer wordt een melding gedaan bij de betrokkenen?
Een datalek moet aan de betrokkene worden gemeld als bij een inbreuk het risico groot is dat
die inbreuk ongunstige gevolgen zal hebben voor diens privéleven. Ongunstige gevolgen voor
de betrokkene zijn: aantasting in eer en goede naam, identiteitsfraude of discriminatie. Als
Autosoft B.V. passende technische beschermingsmaatregelen heeft genomen, waardoor de
persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn gemaakt, is de melding
aan de betrokkene niet nodig. De melding aan de betrokkene bevat een omschrijving,in
duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens
en ten minste:

  • de naam en de contactgegevens van de FG of een ander contactpunt waar meer informatie
    kan worden verkregen;
  • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de
    inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval,
    de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. De beoordeling
    of een datalek gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de getroffen
    personen, ligt te allen tijde bij Autosoft B.V.. Om te bepalen of een incident gemeld moet
    worden heeft de Autoriteit Persoonsgegevens beleidsregels
    (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematischebeleidsregels/
    beleidsregels-meldplicht-datalekken-2015) opgesteld en de werkgroep 29 van
    de Europese toezichthouders guidelines gepubliceerd over de meldplicht in de AVG. Als
    Autosoft B.V. het datalek niet heeft gemeld kan de Autoriteit Persoonsgegevens verlangen
    dat Autosoft B.V. alsnog een melding doet. Het niet-melden kan worden bestraft met een
    bestuurlijke boete.

Hoe wordt een datalek gemeld?
De Autoriteit Persoonsgegevens stelt een webformulier beschikbaar dat gebruikt moet
worden voor het melden van datalekken
(https://datalekken.autoriteitpersoonsgegevens.nl/). De Autoriteit Persoonsgegevens houdt
een register bij van de ontvangen datalekmeldingen. Dit register is niet openbaar. Als er door
de Autoriteit Persoonsgegevens een boete opgelegd wordt naar aanleiding van het datalek,
wordt dit besluit wel openbaar gemaakt. Een datalek wordt ook openbaar gemaakt op het
moment dat betrokkenen geïnformeerd moeten worden over het datalek. Bij de melding aan
de betrokkene moet in ieder geval worden aangegeven wat de aard van de inbreuk is en de
instanties waar de betrokkene meer informatie, over de inbreuk, kan krijgen. Verder moet
aangegeven worden wat de betrokkene zelf kan doen om de negatieve gevolgen van het
datalek te beperken. Bijvoorbeeld het veranderen van gebruikersnamen en wachtwoorden
wanneer deze door de inbreuk mogelijk gecompromitteerd zijn.

Wat wordt gemeld?
Een melding aan het Autoriteit Persoonsgegevens omvat:

  • De melder van het datalek.
  • Degene met wie de Autoriteit Persoonsgegevens contact op kan nemen voor nadere
    informatie over de melding.
  • Een samenvatting van het incident waarbij de inbreuk op de beveiliging van
    persoonsgegevens zich heeft voorgedaan.
  • Het tijdstip van de inbreuk.
  • De aard van de inbreuk.
  • Het type persoonsgegevens waarover het gaat.
  • De gevolgen die de inbreuk kunnen hebben voor de persoonlijke levenssfeer van de
    betrokkenen.
  •  De technische en organisatorische maatregelen die Autosoft B.V. heeft getroffen om de
    inbreuk aan te pakken en om verdere inbreuken te voorkomen.
  •  Of Autosoft B.V. het datalek gemeld heeft aan de betrokkenen en zo niet, of Autosoft B.V.
    van plan is dit te gaan doen:
  • Zo ja, de inhoud van de melding aan de betrokkenen.
  • Zo nee, de reden waarom Autosoft B.V. afziet van het melden van het datalek aan de
    betrokkenen.
  • Zijn de persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of
    ontoegankelijk gemaakt voor onbevoegden?