Annex C: Verwerkersovereenkomst
De partijen genoemd in deze Verwerkersovereenkomst zijn gelijk aan de partijen als genoemd in de Overeenkomst, waarbij HealthTrain kwalificeert als Verwerker en Klant als Verwerkingsverantwoordelijke.
- Definities
De hierna en hiervoor gebruikte begrippen hebben de betekenis zoals in de Gebruiksvoorwaarden, althans de onderstaande betekenis:
-
- AVG: de Algemene Verordening Gegevensbescherming
- Betrokkene(n): geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte Persoonsgegevens betrekking hebben (ex artikel 4 lid 1 AVG).
- Bijlage: een bijlage bij deze Verwerkersovereenkomst die daarvan integraal onderdeel uitmaakt.
- Datalek: een inbreuk die in verband met Persoonsgegevens heeft plaatsgevonden, waaronder bijvoorbeeld doch niet uitsluitend begrepen iedere inbreuk op organisatorische en/of technische beveiligingsmaatregelen die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot en/of inzage in doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
- Derde(n): een natuurlijk persoon of rechtspersoon, een overheidsinstantie, en dienst of een ander orgaan, niet zijnde de Betrokkene, noch Klant, noch HealthTrain, noch de personen die onder rechtstreeks gezag van Klant of HealthTrain gemachtigd zijn om Persoonsgegevens te verwerken.
- Overeenkomst: de Gebruiksvoorwaarden waar deze Verwerkersovereenkomst uit voortvloeit.
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de Betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon (ex artikel 4 lid 1 AVG).
- Programmatuur: de (standaard)computerprogrammatuur zoals nader omschreven in Bijlage SLA1;
- Toezichthouder: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de Wet- en Regelgeving in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens.
- HealthTrain Platform: het door HealthTrain ‘op afstand’ via internet of een ander datanetwerk aan Klant beschikbaar stellen en beschikbaar houden van de Programmatuur, thans bekend onder de naam HealthTrain Platform.
- Schriftelijk: de term ‘Schriftelijk’ omvat ook per e-mail of ander elektronisch medium.
- Specificaties: de technische en functionele eigenschappen van het HealthTrain Platform zoals gespecificeerd in Bijlage SLA1.
- Subverwerker: een andere verwerker die door de HealthTrain is aangezocht om ten behoeve van de Klant specifieke verwerkingsactiviteiten te verrichten.
- Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (ex artikel 4 lid 2 AVG).
- Verwerker: HealthTrain II B.V. (ex artikel 4 lid 7 AVG).
- Verwerkingsverantwoordelijke: Klant (ex artikel 4 lid 8 AVG).
- Verwerkersovereenkomst: deze verwerkersovereenkomst inclusief de bijlagen (ex artikel 28 lid 3 AVG).
- Wet- en Regelgeving: hieronder wordt in ieder geval, doch niet uitsluitend, begrepen de AVG.
- Totstandkoming, duur en einde van de Verwerkersovereenkomst
- Deze Verwerkersovereenkomst geldt met ingang van de Startdatum.
- Deze Verwerkersovereenkomst is en blijft van kracht zo lang HealthTrain de beschikking heeft of zal verkrijgen, op welke wijze dan ook, over Persoonsgegevens (afkomstig) van de Klant. Niet eerder dan nadat voor Partijen kenbaar is dat HealthTrain geen beschikking meer heeft of zal verkrijgen, op welke wijze dan ook, over Persoonsgegevens (afkomstig) van de Klant kan de Verwerkersovereenkomst door elk der Partijen met onmiddellijke ingang worden opgezegd. Deze Verwerkersovereenkomst is derhalve in ieder geval van kracht gedurende de looptijd van de Overeenkomst.
- Deze Verwerkersovereenkomst maakt onverbrekelijk onderdeel uit van de Overeenkomst. Het is niet mogelijk de Verwerkersovereenkomst apart (tussentijds) op te zeggen.
- Afwijkingen van deze Verwerkersovereenkomst zijn slechts bindend voor zover Partijen dit uitdrukkelijk schriftelijk zijn overeengekomen.
- Verwerken Persoonsgegevens
- HealthTrain verwerkt de Persoonsgegevens die noodzakelijk zijn voor het uitvoeren van de Overeenkomst uitsluitend op schriftelijke instructie van Klant. In Bijlage VW1 is een niet uitputtend overzicht opgenomen van het doel van de Verwerking, de Persoonsgegevens, categorieën van Betrokkenen en (feitelijke) Verwerking(en) die plaatsvinden/ die HealthTrain kan verwerken ter uitvoering van de Overeenkomst.
- Indien een Betrokkene overeenkomstig de geldende Wet- en Regelgeving haar rechten wenst uit te oefenen, zal HealthTrain Klant hierover informeren.
- HealthTrain zal Klant in kennis stellen indien naar haar mening een instructie van Klant in strijd is met de Wet- en Regelgeving.
- HealthTrain ondersteunt, voor zover mogelijk, Klant, binnen de wettelijk gestelde termijnen, te voldoen aan de verplichtingen op grond van de geldende Wet- en Regelgeving, waaronder de rechten van Betrokkene(n), zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet alsook bij de op Klant rustende verplichtingen als bedoeld in de artikelen 32 tot en met 36 AVG. HealthTrain behoudt zich het recht voor de kosten gemoeid met deze inspanningen in rekening te brengen bij de Klant. Waarbij de door HealthTrain bestede tijd in rekening wordt gebracht tegen het dan bij HealthTrain geldende uurtarief.
- Klant verleent HealthTrain in het kader van de Overeenkomst toestemming om een Subverwerker in te schakelen bij het verwerken van de Persoonsgegevens. HealthTrain zal Klant informeren over de ingezette Subverwerkers. De door HealthTrain ingeschakelde Subverwerkers zijn gespecificeerd als opgenomen in Bijlage VW2. Indien Klant zich op redelijke gronden niet kan verenigen met de voorgenomen wijziging of toevoeging van een bepaalde Subverwerker is het Klant toegestaan bezwaar te maken. Het is HealthTrain toegestaan om binnen een termijn van 4 weken een alternatief te bieden.
- Wanneer HealthTrain een Subverwerker inschakelt, draagt de HealthTrain er voor zorg dat wordt voldaan aan het bepaalde in artikel 28 lid 4 AVG, waarbij de Subverwerker zich in ieder geval verplicht tot het nemen van passende technische en organisatorische maatregelen ten opzichte van de Verwerking van Persoonsgegevens en zich verplicht tot geheimhouding.
- Het is HealthTrain in beginsel niet toegestaan Persoonsgegevens te verwerken buiten de EER, behoudens voorafgaande schriftelijke instructie of goedkeuring daarvoor van Klant. Klant verleent hierbij goedkeuring voor de internationale doorgiftes als opgenomen in Bijlage VW2.
- Het is HealthTrain, buiten de uitvoering van de Overeenkomst, niet toegestaan Persoonsgegevens aan anderen dan Klant te verstrekken, tenzij op schriftelijk verzoek van Klant, of met diens uitdrukkelijke schriftelijke toestemming of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.
- Beveiliging Persoonsgegevens
- Partijen zijn gehouden ervoor zorg te dragen dat de Persoonsgegevens voldoende worden beveiligd en zijn gehouden passende technische en organisatorische maatregelen te nemen om verlies en onrechtmatige Verwerking te voorkomen.
- HealthTrain heeft in ieder geval op het moment van aangaan de beveiligingsmaatregelen als opgenomen in Bijlage VW3 genomen. HealthTrain mag deze maatregelen van tijd tot tijd evalueren en aanpassen.
- HealthTrain laat periodiek een audit uitvoeren. Desondanks is het is Klant, in onderling overleg met HealthTrain, één keer per jaar toegestaan voor eigen rekening een audit, uit te (laten) voeren om te bepalen of het verwerken van Persoonsgegevens aan de geldende Wet- en Regelgeving en de afspraken gemaakt in deze Verwerkersovereenkomst voldoet. Een verzoek hiertoe dient door Klant met redenen te worden omkleed. HealthTrain zal (in een dergelijk geval) alle benodigde informatie ter beschikking stellen die nodig is om de nakoming van de in deze Verwerkersovereenkomst neergelegde verplichtingen aan te tonen. De kosten gemoeid met de inspanningen van HealthTrain komen voor rekening van Klant, waarbij de door HealthTrain bestede tijd bij Klant in rekening wordt gebracht tegen het dan bij HealthTrain geldende uurtarief.
- De in artikel 4.3 genoemde audit mag alleen plaatsvinden door een auditor die voldoet aan de volgende cumulatieve eisen:
- een diploma van een erkende IT-audit opleiding;
- onbesproken gedrag, blijkens een recente Verklaring Omtrent het Gedrag (VOG);
- ten minste drie (3) jaar aantoonbare ervaring met IT-auditwerkzaamheden; en
- Indien en voor zover een audit ex artikel 4.3 uitwijst dat de naleving door HealthTrain op één of meer onderdelen te kort schiet, zal HealthTrain concrete voorstellen doen ter verbetering daarvan. Klant zal HealthTrain voor het doorvoeren van de afgesproken oplossing ook een redelijke termijn gunnen, binnen welke termijn HealthTrain niet aansprakelijk of schadeplichtig is jegens Klant of enige derde gelieerd aan Klant.
- Partijen treden met elkaar in overleg indien een wijziging in de te nemen (organisatorische en/of technische) beveiligingsmaatregelen noodzakelijk is. Zij trachten in goed overleg tot een wijziging in de beveiligingsmaatregelen te komen.
- Geheimhouding
- HealthTrain houdt de Persoonsgegevens die zijn verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om de geheimhouding van de Persoonsgegevens te verzekeren. HealthTrain zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen en Subverwerkers.
- De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien Klant uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken dan wel het gegevens betreft die geen geheim of vertrouwelijk karakter hebben, reeds van algemene bekendheid zijn, dan wel geheimhouding niet mogelijk is op grond van een wettelijke verplichting.
- Datalekken
- In geval van een ontdekking van een (mogelijk) Datalek zal HealthTrain Klant hierover zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van de inbreuk in verband met Persoonsgegevens. Deze melding van HealthTrain zal de volgende informatie bevatten:
- Een beschrijving van de aard van de inbreuk, waaronder in ieder geval begrepen, indien mogelijk:
- de datum en het tijdstip waarop het incident plaatsvond en werd ontdekt;
- (het aantal) Betrokkenen getroffen door het incident en
- welke categorieën persoonsgegevens zijn betrokken bij het incident ;
- De contactgegevens van het aanspreekpunt binnen HealthTrain omtrent het Datalek;
- De (vermeende)oorzaak van het Datalek;
- De reeds bekende en te verwachten gevolgen van het Datalek;
- HealthTrain zal Klant op de hoogte houden van nieuwe ontwikkelingen rondom het (mogelijke) Datalek, ook zal HealthTrain de getroffen maatregelen om het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen, overleggen aan Klant.
- HealthTrain zal niet op eigen initiatief melding maken van een Datalek aan de Toezichthouder en zal ook de Betrokkene(n) niet op eigen initiatief informeren over een Datalek. Deze verantwoordelijkheid ligt bij Klant.
- Aansprakelijkheid
- Indien HealthTrain, op welke grondslag dan ook, aansprakelijk is voor de schade en kosten die de Klant lijdt of heeft geleden in verband met de uitvoering van deze Verwerkersovereenkomst, waaronder tevens begrepen door toedoen van HealthTrain aan de Klant opgelegde boetes en/of dwangsommen, zijn hierop de bepalingen uit artikel 12 van de Overeenkomst van overeenkomstige toepassing.
- Klant vrijwaart HealthTrain voor aanspraken van personen van wie persoonsgegevens zijn of worden verwerkt waarvoor Klant op grond van de wet verantwoordelijk is, tenzij Klant bewijst dat de feiten die aan de aanspraak ten grondslag liggen aan HealthTrain toerekenbaar zijn.
- De verantwoordelijkheid van de gegevens die met gebruikmaking van het HealthTrain Platform door Klant worden verwerkt, ligt bij de Klant. Klant staat er tegenover HealthTrain voor in dat de inhoud, het gebruik en/of de verwerking van persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde. Klant vrijwaart HealthTrain tegen elke aanspraak en/ of rechtsvordering van een derde, uit welke hoofde dan ook, in verband met deze gegevens of de uitvoering van de Overeenkomst en Verwerkersovereenkomst.
- Teruggave Persoonsgegevens en bewaartermijn
- Conform hetgeen bepaald is in artikel 5 van de Overeenkomst, zullen Partijen na beëindiging van de Overeenkomst en deze Verwerkersovereenkomst of na een daartoe strekkend rechtsgeldig verzoek van de Klant, de teruggave van de met het HealthTrain Platform verwerkte gegevens en Persoonsgegevens bewerkstelligen.
- Slotbepalingen
- In geval van wijzigingen in de Overeenkomst en/of de Wet- en Regelgeving die van invloed zijn op de (wijze van) verwerking van Persoonsgegevens en waardoor wijziging van deze Verwerkersovereenkomst noodzakelijk is, treden Partijen in overleg en zullen Partijen trachten zo spoedig mogelijk overeenstemming te bereiken over de te wijzigen bepaling(en) die waar mogelijk dezelfde strekking en inhoud zal hebben als de bepaling(en) die zij vervangt.
- Indien enige bepaling van deze Verwerkersovereenkomst niet rechtsgeldig of niet afdwingbaar blijkt te zijn, zal die ongeldigheid of onafdwingbaarheid geen invloed hebben op de rechtsgeldigheid en afdwingbaarheid van de overige bepalingen van deze Verwerkersovereenkomst. In het geval een bepaling niet rechtsgeldig of niet afdwingbaar is zullen HealthTrain en Klant trachten zo spoedig mogelijk in redelijkheid en billijkheid een vervangende bepaling met elkaar overeen te komen die wel geldig en afdwingbaar is en die voor zoveel mogelijk dezelfde strekking en inhoud zal hebben als de bepaling die zij vervangt.
- Bijlagen bij Verwerkersovereenkomst
Bijlage VW1: Overzicht doel, specificatie persoonsgegevens, verwerkingen, categorieën
Bijlage VW2: Subverwerkers
Bijlage VW3: Beveiligingsmaatregelen
Bijlage VW1: Specificatie Persoonsgegevens en betrokkenen
Welke persoonsgegevens Verwerker in het kader van de in artikel 3 van de Verwerkersovereenkomst genoemde opdracht verwerkt is mede afhankelijk van de door Verwerkingsverantwoordelijke afgenomen diensten van Verwerker. Ter verduidelijking is hieronder een opsomming opgenomen van de aan de orde zijnde onderwerp en duur van de Verwerking, doeleinden van de Verwerking, (categorieën van) Persoonsgegevens, categorieën van betrokkenen en verwerkingsgrondslag(en).
Categorieën (Persoons-)gegevens
- Identiteit: Gegevens ter identificatie van een gebruiker. Bijvoorbeeld: voornaam, achternaam en geboortedatum
- Contact: Gegevens om communicatie met een contactpersoon mogelijk te maken. Bijvoorbeeld: naam van organisatie, naam van contactpersoon, e-mailadres, (mobiel) telefoonnummer
- Facturatie: Gegevens om facturatie van het HealthTrain Platform uit te voeren. Bijvoorbeeld: Factuuradres, KVK-nummer, BTW-nummer, betaalmethode
- Afspraak: Gegevens om afspraken te kunnen tonen en communicatie rond afspraken mogelijk te maken. Bijvoorbeeld: Datum en tijd van een afspraak, afspraaktype, afspraak beschrijving, behandelcode, locatie
- Programma: Gegevens voor het uitleveren van persoonlijke programma’s en daarbij behorende functionaliteit. Bijvoorbeeld: Oefeningen, aantekeningen, evaluatiemetingen, (feedback)berichten, timestamps van verschillende acties
- Technisch: Gegevens over de verbinding en/op apparaat waarmee het HealthTrain Platform wordt geraadpleegd, voor analyse over het gebruik van functies, voorkomen van technische problemen en/of detectie van beveiligingsincidenten. Bijvoorbeeld: IP-adres, type device, device naam, details van serververzoeken.
Verwerking Omschrijving van het onderwerp en de duur van verwerking |
Doeleinden Omschrijving van de aard en doeleinden van verwerking |
Categorieën Omschrijving van de categorieën betrokkenen |
Persoonsgegevens Categorie van persoonsgegevens dat verwerkt gaat worden |
Verwerkings- grondslag(en) |
Patiëntcommunicatie via HealthTrain Platform 2 jaar |
Opslaan Delen Verwijderen Raadplegen Anonimiseren Koppelen Verifiëren Communiceren |
Gebruikers Eindgebruikers |
Identiteit Contact Afspraak Programma Technisch |
Uitvoering van een overeenkomst met de betrokkenen (artikel 6 lid 1 sub b AVG) Wettelijke plicht (artikel 6 lid 1 sub c AVG) |
Facturatie 1 jaar |
Opslaan Delen Verwijderen Raadplegen Anonimiseren Koppelen Verifiëren Communiceren |
Klanten |
Contact Facturatie |
Uitvoering van een overeenkomst met de betrokkenen (artikel 6 lid 1 sub b AVG) Wettelijke plicht (artikel 6 lid 1 sub c AVG) |
Ondersteuning 1 jaar |
Opslaan Delen Verwijderen Raadplegen Anonimiseren Koppelen Verifiëren Communiceren |
Klanten Gebruikers Eindgebruikers |
Contact |
Uitvoering van een overeenkomst met de betrokkenen (artikel 6 lid 1 sub b AVG) |
Bijlage VW2: Subverwerkers
HealthTrain maakt bij het aangaan van de Overeenkomst gebruik van de volgende Subverwerkers :
Subverwerker en regio |
Maatregelen |
Beschrijving |
Categorie Persoonsgegevens (zie Bijlage VW1) |
Fenêtre B.V. EU |
AVG/GDPR-compliant, verwerkersovereenkomst actief. |
Fenêtre B.V. verzorgt de hosting van HealthTrain Platform. |
Identiteit Contact Facturatie Afspraak Programma Technisch |
Google LLC (Firebase) VS |
AVG/GDPR-compliant, verwerkersovereenkomst actief. Internationale doorgifte op basis van EU-US Data Privacy Framework. |
We versturen push notificaties via Firebase. |
Identiteit Afspraak |
Google LLC (Google Workspace) VS |
AVG/GDPR-compliant, verwerkersovereenkomst actief. Internationale doorgifte op basis van EU-US Data Privacy Framework |
We gebruiken Google Workspace voor interne tools zoals e-mail, bestanden en agenda’s. |
Contact Facturatie Technisch |
Slack Technologies Limited |
AVG/GDPR-compliant, verwerkersovereenkomst actief. Internationale doorgifte op basis van EU-US Data Privacy Framework |
We gebruiken Slack voor interne communicatie. |
Contact Facturatie Technisch |
Spryng B.V. EU |
AVG/GDPR-compliant, verwerkersovereenkomst actief. |
We versturen SMS-berichten via Spryng. |
Contact Afspraak |
Trengo B.V. EU |
AVG/GDPR-compliant, verwerkersovereenkomst actief. |
We ondersteunen klanten en gebruikers via support tools (o.a. chat, email en telefoon) van Trengo. |
Contact |
Spotler Nederland B.V. EU |
AVG/GDPR-compliant, verwerkersovereenkomst actief. |
We versturen transactionele e-mail en mailings via Spotler. |
Contact |
Exact Group B.V. EU |
AVG/GDPR-compliant, verwerkersovereenkomst actief. |
We gebruiken Exact voor relatiebeheer, boekhouding en facturatie. |
Facturatie |
Calendly LLC VS |
AVG/GDPR-compliant, verwerkersovereenkomst actief. Internationale doorgifte op basis van EU-US Data Privacy Framework |
We gebruiken Calendly om afspraken in te plannen in onze agenda. |
Contact |
Stripe, Inc. VS |
AVG/GDPR-compliant, verwerkersovereenkomst actief. Internationale doorgifte op basis van EU-US Data Privacy Framework |
We gebruiken Stripe voor aanvraag en facturatie van HealthTrain Platform. |
Facturatie Contact |
Klant verklaart zich door het aangaan van de Overeenkomst akkoord met deze Subverwerkers en de hierboven genoemde internationale doorgifte. Als er een wijziging komt van Subverwerker zal HealthTrain de Klant hiervan op de hoogte stellen.
De meest actuele lijst van Subverwerkers van HealthTrain is te raadplegen via https://www.healthtrain.app/over/compliance/
HealthTrain zal geen persoonsgegevens doorgeven aan of toegankelijk maken vanuit een land buiten de Europese Unie zonder voorafgaande toestemming van Klant, tenzij er sprake is van een wettelijke verplichting of noodzaak aan de zijde van HealthTrain om persoonsgegevens buiten de Europese Unie te verwerken. In dat geval zal HealthTrain de Klant hiervan zo mogelijk vooraf in kennis stellen, tenzij specifieke wetgeving dit verbiedt.
Bijlage VW3: Beveiligingsmaatregelen
De technische en organisatorische beveiligingsprocedures en maatregelen zullen voldoen aan de toepasselijke en algemeen aanvaarde beveiligingsstandaarden. De door HealthTrain genomen beveiligingsmaatregelen zijn de volgende:
# |
Onderwerp |
Maatregel |
1 |
Informatie-, beveiligings- en privacybeleid |
Er is een informatiebeveiligings- en privacybeleid dat voldoet aan de AVG en eventuele richtsnoeren van de Autoriteit Persoonsgegevens, ISO 27001 en NEN7510. Dit beleid is intern gecommuniceerd en concreet geïmplementeerd door middel van gedocumenteerde procedures. HealthTrain wordt jaarlijks geaudit door een onafhankelijke partij om conformiteit volgens ISO 27001 en NEN7510 vast te stellen. |
2 |
Access management |
De principes van ‘least privilege’ en ‘need-to-know’ worden toegepast op personeel en toegestane Subverwerkers. Gebruikerstoegang wordt tijdig ingetrokken of gewijzigd bij enige verandering in de status van personeel, leveranciers, klanten, zakelijke partners of derden. Er wordt gebruik gemaakt van actuele en algemeen als veilig beschouwde vormen van versleuteling en encryptie ten behoeve van identificatie, authenticatie en autorisatie. |
3 |
Personeel |
Medewerkers worden geïnformeerd over hun verantwoordelijkheden m.b.t. privacy en informatiebeveiliging en er wordt erop toegezien dat zij hun verplichtingen nakomen. Medewerkers die toegang hebben tot patiëntgegevens zijn gebonden aan geheimhouding. |
4 |
Contractmanagement (Sub)verwerkers |
Met iedere toegestane (Sub)verwerker wordt een (sub)verwerkersovereenkomst gesloten, die de (Sub)verwerker contractueel verplicht tot nakoming van dezelfde verplichtingen in verband met de verwerking als in de verwerkersovereenkomst waar deze bijlage bij hoort. |
5 |
Security incident & response |
Er is een gedocumenteerd security incident response plan dat geschikt is om Datalekken te detecteren, op te lossen en te melden, in overeenstemming met de verplichtingen in deze verwerkersovereenkomst. |
6 |
Vulnerability / patch management |
Er wordt periodiek beoordeeld of er kwetsbaarheden binnen de gebruikte applicaties, systemen en netwerken zijn. Patches en updates voor gevonden kwetsbaarheden worden doorgevoerd. |
7 |
Netwerk- en systeembeveiliging |
Er zijn maatregelen getroffen om malware en misbruik van het netwerk en de systemen tegen te gaan en te detecteren (zoals firewalls en antivirussoftware van betrouwbare leveranciers). |
8 |
Fysieke toegangsbeveiliging |
Er zijn passende maatregelen (zoals sloten, camera’s, alarmsystemen) genomen om de ruimtes waarin de Persoonsgegevens kunnen worden verwerkt, te beveiligen tegen onbevoegde toegang. |
9 |
Logging |
Er vindt logging plaats waarmee inzicht wordt verkregen in welke Gebruikers op welke momenten inloggen. |
10 |
Locatie |
Persoonsgegevens worden voor het merendeel verwerkt binnen de grenzen van de Europese Unie. Bij gebruik van subverwerkers van buiten de EER voldoen deze aan de GDPR via door de EU getoetste Data Privacy Frameworks of standard contractual clauses (SCC) |
11 |
Business continuity & disaster recovery |
Er is beleid en er zijn procedures en processen geïmplementeerd om te waarborgen dat de geleverde Diensten of Producten en de verwerkte Persoonsgegevens beschikbaar blijven in geval van onvoorziene omstandigheden en rampen, dan wel zo snel mogelijk volledig worden hersteld. |
12 |
Applicatieontwikkeling – beveiligingsprincipes |
Er worden beveiligingsprincipes toegepast om informatiebeveiliging in applicatie ontwikkeling te integreren. |
13 |
Onafhankelijke controle |
Externe audits, kwetsbaarheidsscans en penetratietests worden periodiek uitgevoerd op applicaties en netwerken om zwakheden en potentiële Datalekken te ontdekken. |