Overeenkomst

tussen

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, DE-080686 München enerzijds

– hierna kortweg aan te duiden als ‘Opdrachtnemer’ of als ‘Opdrachtverwerker’ – 

en haar cliënt

– hierna kortweg aan te duiden als ‘Opdrachtgever’–

Wenk

Dit document bevat de bepalingen van Opdrachtnemer inzake de overeenkomst voor het verwerken in opdracht tussen Opdrachtgever en Opdrachtnemer conform artikel 28, lid 3 van de AVG. Opdrachtgever verklaart in te stemmen met deze bepalingen en in het kader van het afsluiten van een gebruiksovereenkomst betreffende online te verrichten informatiediensten resp. andere informatiediensten van Opdrachtnemer of – als sprake is van een al bestaande prestatieovereenkomst – in het kader van een verklaring achteraf.

1. Voorwerp en duur van de opdracht

(1) Voorwerp

Het voorwerp van de opdracht betreffende de omgang met gegevens volgt uit de onderliggende prestatieovereenkomst.

(2) Duur

De duur van de opdracht (looptijd) komt overeen met de looptijd van de onderliggende prestatieovereenkomst.

2. Concretisering van de inhoud van de opdracht

(1) Soort en doel van de beoogde verwerking van gegevens
De opdracht omvat de volgende verwerkingen:

  1. Verwerking van persoonsgegevens die door de Opdrachtgever in het kader van het gebruik van de desbetreffende online-informatiedienst of van overige informatiediensten worden ingevoerd en door de Opdrachtnemer worden verwerkt om de productfuncties te kunnen leveren.
  2. Verwerking van persoonsgegevens waarvoor toegang door de Opdrachtnemer in het kader van andere activiteiten niet kan worden uitgesloten.
    • Enerzijds kan er toegang worden verschaft tot de onder a) genoemde persoonsgegevens in het kader van de eigen evaluaties van de Opdrachtnemer, met name waar het de analyse van productfunctionaliteiten voor productoptimalisatie en succes- en gebruiksmetingen betreft. In een dergelijk geval maken de gegevens waarop de opdracht betrekking heeft geen onderdeel uit van de evaluatie en worden deze verwijderd of gepseudonimiseerd/geanonimiseerd door de Opdrachtnemer.
    • Anderzijds kan er in het kader van hulp en ondersteuning sprake zijn van toegang tot andere persoonsgegevens die lokaal bij de Opdrachtgever zijn opgeslagen.
  3. Om onderdelen op basis van het voertuigidentificatienummer (VIN) te achterhalen, kan de Opdrachtnemer het VIN naar de server van de betreffende fabrikant verzenden. De fabrikant voegt aan het VIN bepaalde informatie toe die voor de betreffende onderdelen nodig is en stuurt deze weer terug naar de Opdrachtnemer. De fabrikant verwerkt het VIN ook voor eigen doeleinden en is daarmee een onafhankelijke verwerkingsverantwoordelijke in het kader van de AVG. De Opdrachtgever machtigt de Opdrachtnemer bij dezen om het VIN voor dit doeleinde aan de fabrikant te verstrekken.

(2) Soort gegevens

Onderstaande soorten resp. categorieën vormen het voorwerp van het verwerken van persoonsgegevens (opsomming/beschrijving van de gegevenscategorieën):

  • - door Opdrachtgever via de onlinedienst ingevoerde voertuigidentificatienummers (VIN) en/of autokentekennummers;
  • Door de Opdrachtgever via de onlinedienst ingevoerde gegevens van eindklanten, in het bijzonder:
    • adresgegevens in het kader van onderdeelbestellingen
    • e-mailadressen voor het verzenden van pagina's met tekst en afbeeldingen
  • - door eindklanten in het kader van de registratie bij de onlinedienst ingevoerde klantgegevens evenals;
  • - lokaal bij Opdrachtgever opgeslagen klantgegevens (in kader van onderhoud op afstand door de klantendienst;
    • - stamgegevens van individuen;
    • - communicatiegegevens (bijvoorbeeld telefoonnummers, e-mailadressen).

(3) Categorieën betroffen personen

De categorieën personen die door de verwerking worden betroffen omvatten:

  • eindklanten van de Opdrachtgever

(4) De Opdrachtnemer behoudt zich het recht voor om de gegevens van de Opdrachtgever te anonimiseren of te aggregeren zodat het niet meer mogelijk is om individuele gegevenssubjecten te identificeren, maar wel om de gegevens in deze vorm te gebruiken ten behoeve van ontwerpen, ontwikkelen, optimaliseren en leveren van de in de hoofdovereenkomst overeengekomen diensten. De partijen komen overeen dat volgens de bovenstaande wijze geanonimiseerde of geaggregeerde gegevens van de Opdrachtgever in de zin van deze overeenkomst niet meer als gegevens van de Opdrachtgever worden beschouwd.

(5) De Opdrachtnemer mag de gegevens van de Opdrachtgever binnen het toepassingsgebied van de wetgeving inzake gegevensbescherming voor eigen doeleinden en op eigen verantwoordelijkheid verwerken en gebruiken wanneer er sprake is van een wettelijke toestemming of toestemmingsverklaring van de betrokken persoon waarin dit wordt toestaan. Op een dergelijke gegevensverwerking is deze overeenkomst niet van toepassing.

3. Plaats van verwerking

De uitvoering van de contractueel overeengekomen verwerking van gegevens vindt in eerste instantie plaats in Duitsland of in een lidstaat van de Europese Unie of in een andere verdragsstaat van de overeenkomst betreffende de Europese Economische Ruimte. Indien gegevens ook worden verwerkt door een subopdrachtnemer in een extern land, dient dit te gebeuren volgen de speciale vereisten van art. 44 e.v. van de AVG.

4. Technisch-organisatorische maatregelen

(1) Opdrachtnemer documenteert de implementatie van de voorafgaand aan het verstrekken van de opdracht overlegde en vereiste technische en organisatorische maatregelen, in het bijzonder met het oog op de concrete uitvoering van de opdracht en stelt deze documentatie inclusief deze verklaring ter controle ter beschikking van Opdrachtgever. De gedocumenteerde maatregelen worden bij acceptatie door Opdrachtgever geacht de grondslagen van de opdracht te betreffen. Anders zullen partijen geen prestatieovereenkomst sluiten.

(2) Opdrachtnemer zal bescherming bieden conform artikel 28, lid 3c evenals artikel 32 van de AVG in samenhang met artikel 5, lid 1 en 2 van de eerder genoemde AVG. In het algeheel handelt het bij de te treffen maatregelen om maatregelen ter bescherming van gegevens en ter borging van een bij het risico passend niveau van bescherming qua vertrouwelijkheid, integriteit, beschikbaarheid en belastbaarheid van de systemen. Daarbij houdt Opdrachtnemer rekening met de stand der techniek, de kosten van implementatie, en met de wijze, omvang en doel van de verwerking evenals met de verscheidene waarschijnlijkheden en ernst van mogelijk optredende risico's voor de rechten en vrijheden van natuurlijke personen, zoals bedoeld in artikel 32, lid 1 van de AVG (zie Bijlage 1 voor meer details).

(3) De technische en organisatorische maatregelen zijn onderworpen aan de technische vooruitgang en verder gaande ontwikkelingen. Daarom is het Opdrachtnemer toegestaan alternatieve, adequate maatregelen te implementeren. Daarbij mag het niveau van bescherming van de al getroffen maatregelen niet worden onderschreden. Opdrachtnemer moet wezenlijke veranderingen documenteren.

5. Rectificeren, inperken en doorhalen van gegevens

(1) Opdrachtnemer zal in opdracht verwerkte gegevens niet eigenmachtig, maar uitsluitend op basis van gedocumenteerde instructies van Opdrachtgever rectificeren of doorhalen resp. de verwerking ervan inperken. Mocht de betroffen persoon zich in dit verband rechtstreeks tot Opdrachtnemer wenden, dan zal Opdrachtnemer een dergelijk verzoek terstond doorzetten naar Opdrachtgever.

(2) Indien en voor zover de omvang van de prestaties daarin voorziet, zal Opdrachtnemer het doorhaalconcept, het recht in vergetelheid te geraken, rectificatie, dataportabiliteit en het verstrekken van inlichtingen terstond veilig stellen na daartoe van Opdrachtgever een gedocumenteerde instructie te hebben ontvangen. Afzonderlijke instructies die afwijken van de prestatieovereenkomst of die aanvullende eisen stellen, zijn gebonden aan voorafgaande toestemming van Opdrachtnemer. Hierbij moet rekening worden gehouden met het feit dat de door Opdrachtnemer beschikbaar gestelde onlinediensten feitelijk standaardproducten zijn waarvan aanpassing aan de door Opdrachtgever gestelde eisen op het gebied van bescherming van persoonsgegevens hoge kosten met zich kunnen brengen. Deze kosten komen – na een desbetreffende individuele overeenkomst te hebben gesloten – ten volle voor rekening van Opdrachtgever.

6. Kwaliteitsborging en overige plichten van Opdrachtnemer

Op Opdrachtnemer rust – in aanvulling op het naleven van de regelingen van deze opdracht – de wettelijke verplichtingen zoals bedoeld in de artikelen 28 t/m 33 van de AVG. In dat kader borgt hij in het bijzonder de naleving van onderstaande voorschriften:

  1. Schriftelijke aanstelling van een functionaris, belast met het beschermen van persoonsgegevens, die zijn activiteiten uitoefent in overeenstemming met de artikelen 38 en 39 van de AVG. Zijn contactgegevens worden ter kennis van Opdrachtgever gebracht zodat deze rechtstreeks met hem contact kan opnemen. Opdrachtgever wordt terstond geïnformeerd als van functionaris wordt gewisseld.
  2. Behoud van vertrouwelijkheid conform artikel 28, lid 3b, artikel 29 en artikel 32 lid 4 van de AVG. Opdrachtnemer zet bij de uitvoering van zijn werkzaamheden uitsluitend werknemers in die zich tot geheimhouding hebben verplicht en die op voorhand vertrouwd werden gemaakt met de voor hen relevante bepalingen betreffende de bescherming van persoonsgegevens. Opdrachtnemer en elke aan Opdrachtnemer ondergeschikte medewerker die toegang heeft tot persoonsgegevens mogen deze gegevens uitsluitend verwerken in overeenstemming van de instructies van Opdrachtgever, onder inclusie van de in deze overeenkomst verleende bevoegdheden, tenzij zij op basis van enige wet tot verwerking zijn verplicht.
  3. Implementatie en naleving van alle voor deze opdracht vereiste technische en organisatorische maatregelen conform artikel 28 lid 3.c en artikel 32 van de AVG [details in Bijlage 1].
  4. Opdrachtgever en Opdrachtnemer werken bij de uitvoering van hun taken op verzoek samen met toezichthoudende autoriteiten.
  5. Momentane informatie van Opdrachtgever betreffende controlerende handelingen en maatregelen van toezichthoudende autoriteiten, indien en voor zover die betrekking hebben op deze opdracht. Dit geldt ook als een verantwoordelijke autoriteit in het kader van een inbreukprocedure of strafproces betreffende de verwerking van persoonsgegevens bij de opdrachtverwerking inlichtingen bij Opdrachtnemer vergaart.
  6. Mocht Opdrachtgever zelf worden onderworpen aan een controle door een toezichthouder, een inbreukprocedure of strafproces, een door een betroffene of derde gestelde vordering qua aansprakelijkheid of een andere vordering in samenhang met de opdrachtverwerking bij Opdrachtnemer, dan zal Opdrachtnemer hem naar beste kunnen ondersteunen.
  7. Opdrachtnemer controleert periodiek de interne processen evenals de technische en organisatorische maatregelen om te borgen dat de verwerking binnen zijn verantwoordelijkhedendomein geschiedt, een en ander in overstemming met de eisen die de toepasselijke wet op de bescherming van persoonsgegevens stelt en wel zo dat bescherming van de rechten van de betroffen persoon is geborgd.
  8. Aantoonbaarheid van de getroffen technische en organisatorische maatregelen jegens Opdrachtgever in het kader van zijn recht tot controle conform artikel 7 van deze overeenkomst.

7. Subcontractuele relaties

(1) Als subcontractuele relaties in de zin van deze regeling worden die vormen van dienstverlening begrepen, welke rechtstreeks verband houden met de voortbrenging van de hoofdprestatie. Nevenprestaties, die Opdrachtnemer bijvoorbeeld verricht in de zin van telecommunicatiediensten, post- of transportdiensten, onderhoud en gebruikersgerichte diensten of het verwijderen van datadragers evenals overige maatregelen voor het veilig stellen van de vertrouwelijkheid, beschikbaarheid, integriteit en belastbaarheid van apparatuur en programmatuur waarvan de informatieverwerkende systemen zich bedienen, worden niet hiertoe gerekend. Opdrachtnemer is echter verplicht – ter borging van de bescherming van persoonsgegevens en ter bescherming van de gegevens van Opdrachtgever – ook bij uitbestede nevenprestaties passende en wettelijk conforme contractuele overeenkomsten te sluiten evenals maatregelen ter controle te treffen.

(2) De Opdrachtgever verstrekt de opdrachtnemer hiermee de algemene vergunning om verdere Opdrachtverwerkers te betrekken.

De Opdrachtgever stemt in met het verstrekken van opdrachten aan onderstaande subopdrachtnemer onder de bepaling van een contractuele overeenkomst in de zin van artikel 28, lid 2, 3 en 4 van de AVG:

Naam van de subopdrachtnemer

Adres / Land

Te verrichten prestaties

Belenus LOB GmbH

Rüdesheimer Str. 23
DE-80686 München
DUITSLAND

Ter beschikking stellen van het totale interne en externe IT-gebruik

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA

Klantenondersteuning

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN

Klantenondersteuning

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM

Klantenondersteuning

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANKRIJK

Klantenondersteuning

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZILIË

Klantenondersteuning

Element1 Media GmbH

Rüdesheimer Str. 21
D - 80686 München
DUITSLAND

Verwerking van klantgegevens, ingevoerd in het kader van registratie

Wisseling van bestaande subopdrachtnemer is toegestaan, mits

  • Opdrachtnemer een dergelijk voorgenomen uitbesteding aan een subopdrachtnemer ruim van tevoren schriftelijk of anderszins tekstueel bij Opdrachtgever meldt en
  • Opdrachtgever niet op het moment van overdracht van gegevens jegens Opdrachtnemer schriftelijk of anderszins tekstueel bezwaar maakt tegen de voorgenomen uitbesteding en
  • daaraan een contractuele overeenkomst resp. een bindende verklaring conform artikel 28, lid 2, 3 en 4 van de AVG ten grondslag ligt.

(3) Het doorzetten van persoonsgegevens van Opdrachtgever naar de subopdrachtnemer en diens eerste verrichtingen zijn pas toegestaan nadat is voldaan aan alle voorwaarden voor een subcontractering.

(4) Elke verder gaande uitbesteding door de subopdrachtnemer behoeft de expliciete toestemming van de hoofdopdrachtnemer (minstens in tekstuele vorm); alle contractuele regelingen in de contractketen moeten ook van toepassing worden verklaard op de volgende subopdrachtnemer in de keten.

8. Recht op controle door Opdrachtgever

(1) Opdrachtgever heeft het recht het zakelijk verkeer met Opdrachtnemer te controleren of door dat verkeer per individuele situatie te laten controleren door een te benoemen inspecteur. Hij heeft het recht door middel van steekproeven, welke plaatsvinden in het kader van de gebruikelijke arbeidstijden zonder de bedrijfsvoering bij Opdrachtnemer te verstoren en onder strikte geheimhouding van de bedrijfsgeheimen en zakelijke geheimen van Opdrachtnemer, en die tijdig moeten worden aangemeld, zich in diens bedrijf te overtuigen van de naleving door Opdrachtnemer van deze overeenkomst. 

(2) De Opdrachtnemer borgt dat Opdrachtgever zich kan overtuigen van de naleving door de Opdrachtnemer van de plichten zoals geformuleerd in artikel 28 van de AVG. Opdrachtnemer verplicht zich Opdrachtgever op vraag de vereiste inlichtingen te verstrekken en in het bijzonder bewijs te leveren voor de correcte implementatie van de technische en organisatorische maatregelen. Opdrachtgever mag gebruikelijk eens per jaar een controle uitvoeren; in geval van bijzondere voorvallen zijn meer controles toelaatbaar.

(3) Opdrachtnemer heeft het recht naar eigen goeddunken en onder inachtneming van de wettelijke verplichtingen van Opdrachtgever informatie niet openbaar te maken als die gevoelig is qua bedrijfsvoering van Opdrachtgever en als Opdrachtnemer door die openbaarmaking inbreuk maakt op wettelijke of contractuele verplichtingen.

(4) Naar keuze van Opdrachtnemer kan het bewijs voor dergelijke maatregelen die niet enkel betrekking hebben op de concrete opdracht in plaats van een controle op locatie plaatsvinden door 

  1. de naleving van goedgekeurde gedragsregels zoals bedoeld in artikel 40 van de AVG;
  2. de certificering conform een goedgekeurd certificeerprocedure in overeenstemming met artikel 42 van de AVG;
  3. Actuele attesten, verslagen of excerpten daarvan door onafhankelijke instanties (bijvoorbeeld accountants, revisors, functionarissen belast met de bescherming van persoonsgegevens, afdeling IT-veiligheid, beoordelaars van databescherming, kwaliteitsbeoordelaars)
  4. Een passende certificering door middel van controle van de IT-veiligheid of de bescherming van persoonsgegevens (Bijvoorbeeld conform de basisbescherming van het British Standards Institution)

Een voorwaarde daarvoor is dat deze maatregel Opdrachtgever redelijkerwijs in staat stelt zich te overtuigen van de naleving van de technische en organisatorische maatregelen en wel in overeenstemming met de bijlage bij deze overeenkomst.

(5) Opdrachtnemer kan vergoeding verlangen om controles door Opdrachtgever mogelijk te maken.

9. Meldingen bij inbreuk door Opdrachtnemer

(1) De Opdrachtnemer ondersteunt de Opdrachtgever bij het naleven van artikel 32 t/m artikel 36 van de in de AVG genoemde plichten ter bescherming van persoonsgegevens, meldplichten in geval van gegevensproblemen, inschattingen van de gevolgen van het beschermen van persoonsgegevens en voorafgaande consultaties. Daartoe wordt onder andere gerekend:

  1. het borgen van passende beschermniveaus door technische en organisatorische maatregelen die rekening houden met de omstandigheden en doelen van verwerking evenals de geprognosticeerde waarschijnlijkheid en ernst van een mogelijk rechtsinbreuk door leemten in de beveiliging en die een onverwijlde bepaling van de relevante inbreukincidenten mogelijk maken;
  2. de plicht inbreuk op persoonsgegevens terstond bij Opdrachtgever te melden;
  3. de plicht Opdrachtgever in het kader van zijn informatieplicht jegens betrokkenen te ondersteunen en hem in dat verband terstond alle relevante informatie ter beschikking te stellen;
  4. Opdrachtgever te ondersteunen bij diens inschatting van de gevolgen van de bescherming van persoonsgegevens;
  5. Opdrachtgever te ondersteunen in het kader van eerdere consultaties van de toezichthoudende autoriteiten.

10. Bevoegdheid van Opdrachtgever tot het geven van instructies

(1) Opdrachtgever bevestigt onverwijld mondelinge instructies (minstens tekstueel).

(2) Opdrachtnemer zal Opdrachtgever onverwijld informeren als hij van mening is dat een instructie leidt tot een inbreuk op de voorschriften betreffende de bescherming van persoonsgegevens. Opdrachtnemer heeft het recht de uitvoering van de desbetreffende instructie zolang op te schorten tot Opdrachtgever die instructie bevestigt of wijzigt. Voor de inspanningen die Opdrachtnemer zich daarvoor moet getroosten kan hij van Opdrachtgever een vergoeding verlangen.

11. Doorhalen en retourneren van persoonsgegevens

(1) Kopieën of duplicaten van gegevens worden niet zonder voorkennis van Opdrachtgever aangemaakt. Uitgesloten daarvan zijn veiligheidsduplicaten indien en voor zover die vereist zijn om een ordelijke verwerking van gegevens te borgen, evenals gegevens die met het oog op naleving van de wettelijke bewaarplicht vereist zijn.

(2) Na afsluiting van de contractueel overeengekomen werkzaamheden of eerder op verlangen van Opdrachtgever – ten laatste op het moment van beëindiging van de prestatieovereenkomst – moet Opdrachtnemer alle in zijn bezit gekomen bescheiden, geproduceerde resultaten van verwerking en gebruik evenals de databestanden die samenhangen met de opdrachtsituatie aan Opdrachtgever overhandigen of na voorafgaand verkregen instemming vernietigen op een manier die recht doet aan de manier van bescherming van persoonsgegevens. Datzelfde geldt voor bij tests en steekproeven genomen datamateriaal. Het verslag van de wis- resp. verwijderingsprocedure moet op verzoek worden overlegd.

(3) Opdrachtnemer zal alle documentatie die dient als bewijs voor de verwerking van gegevens overeenkomstig de overdracht en conform de voorschriften bewaren in overeenstemming met de desbetreffende bewaartermijnen welke aanvangen op moment van beëindiging van de overeenkomst. Hij kan deze documentatie bij beëindiging van de overeenkomst aan Opdrachtgever overdragen om zich zo van die bewaarplicht te vrijwaren.

1. Vertrouwelijkheid (artikel 32 lid 1b van de AVG)

Toegangscontrole

  • Bewijs van vergunning
  • Toegangscodekaarten/toegangstransponders
  • Concept toegangsrecht
  • Bewakingseenheden (bijv. videobewaking)
  • Sleutelregeling
  • Regeling voor externen, bezoekerspassen
  • Begeleiding van bezoekers door afzonderlijke medewerkers
  • Aanwezigheidslijsten van bezoekers
  • Beveiliging door alarminstallatie en/of werkbeveiliging, ook buiten werktijden
  • Gedefinieerde veiligheidsgebieden en gecontroleerde toegang
  • Beveiligde ingang voor aan- en aflevering
  • Deurbeveiliging (elektrische deursluiter, paslezer, monitor, poortwachter)
  • Controle door medewerkers (4-ogen-principe)
  • Maatregelen voor de objectbeveiliging (bijv. speciale beglazing, alarminstallatie, terreinbewaking)
  • Afzonderlijk beveiligde toegang tot het informatiecentrum
  • Bewaring van de servers in afsluitbare ruimtes
  • Bewaring van de gegevensdragers achter slot en grendel, bijv. in afgesloten ruimtes
  • Bewaring van gegevensbeveiligingen (bijv. banden, cd's) in een kluis
  • Aanwijzingen voor het verstrekken van sleutels
  • Overige/specificatie van de bovenstaande maatregelen:

Toegangscontrole

  • Versleuteling van netwerken
  • Afsluiten van gegevensverwerkingssystemen
  • Identificatie van een gebruiker tegenover het DV-systeem
  • Verstrekking en beveiliging van identificatiesleutels
  • Wachtwoordbeveiliging van werkplekken met beeldschermen
  • Functioneel en/of tijdelijk gebruik van computers en identificatiekenmerken op de werkplek
  • Regeling van gebruikersrechten
  • Gebruik van individuele wachtwoorden
  • Automatische vergrendeling van een gebruikersaccount na meervoudig foutieve wachtwoordinvoer
  • Automatische wachtwoordbeveiligde blokkering van het beeldscherm na inactiviteit (screensaver)
  • Richtlijnen voor wachtwoorden met minimale vereisten betreffende wachtwoordcomplexiteit en actualisatie-interval
  • Hashing van opgeslagen wachtwoorden
  • Proces van rechtenverlening bij nieuwe medewerkers
  • Intrekkingsproces van rechten bij afdelingswisseling van medewerkers
  • Intrekkingsproces van rechten bij ontslag
  • Geheimhoudingsplicht volgens artikel 28 lid 3b van de AVG
  • Richtlijnen voor bestandsorganisatie
  • Registratie en evaluatie van het systeemgebruik
  • Gecontroleerde vernietiging van gegevensdragers
  • Werkaanwijzingen en bewerkingsproces voor het verzamelen van gegevens
  • Proces programmacontrole en vrijgave
  • Overige/specificatie van de bovenstaande maatregelen:

Toegangscontrole

  • Vastleggen van toegangsrechten, berechtigingsconcept
  • Vastleggen van bevoegdheden voor het invoeren, wijzigen en wissen
  • Scheiden van vergunningsverlening (organisatorisch) en
  • vergunningsuitgifte (technisch)
  • Concept van het gebruik en de toewijzingen van drives
  • Regeling voor gegevensherstel uit back-ups (wie,
  • wanneer, op wiens opdracht)
  • Regelmatige controle van de verleende rechten
  • Begrenzing van vrije en ongecontroleerde
  • toegang tot databanken
  • Regelmatige evaluatie van protocollen (logbestanden)
  • Paslezer bij de terminal
  • Gedeeltelijke toegangsmogelijkheden tot gegevensbestanden en functies (lezen, schrijven, uitvoeren)
  • Registratie van gegevensinzagen, wissen en/of wijzigen van gegevens
  • Virusscanners op werkstations
  • Virusfilter voor internet
  • Virus-/spamfilter voor e-mail
  • Firewalls
  • Intrusion Detection/Prevention (IDS/IPS)
  • Beperkte toegang tot logbestanden (alleen logadministratoren)
  • Opslag van logbestanden op toegewezen logserver
  • Overige/specificatie van de bovenstaande maatregelen:

Scheidingscontrole

  • Scheiding van klanten/afnemers
  • Scheiding van ontwikkelings-, test- en werksysteem

2. Integriteit (artikel 32 lid 1b van de AVG)

Doorgeefcontrole

  • Veilige gegevensuitwisseling (SFTP/FTPS)
  • Gegevensuitwisseling via HTTPS-verbinding (TLS 1.1 en 1.2)
  • Vastleggen van doorgeefrecht, berechtigingsconcept
  • Controle door medewerkers (4-ogen-principe)
  • Beveiligde ingang voor aan- en aflevering
  • Beheer van gegevensdragers, bestandscontrole
  • Vastleggen van de gebieden, waarin gegevensdragers zich moeten bevinden
  • Versleutelen van vertrouwelijke gegevensdragers
  • Versleutelen van laptops
  • Bewaren van persoonsgegevens in afsluitbare
  • veiligheidskabinetten
  • Verbod op meenemen van tassen en andere bagage binnen beveiligde zones
  • Veilig wissen van gegevensdragers (bijv. fysiek vernietigen, meervoudig overschrijven)
  • Veilige papierverwerking: afgesloten, metalen containers (zgn. privacyvaten)
  • Regeling voor het maken van kopieën
  • Beveiligingskopieën van gegevensdragers, die getransporteerd moeten worden
  • Verpakkings- en verzendvoorschriften
  • Direct ophalen, koerierdienst, transportbegeleiding
  • Volledigheids- en juistheidscontrole

Invoercontrole

  • Aanduiding/classificatie van geregistreerde gegevens
  • Vastleggen van gebruikersrechten (rollen/profielen)
  • Gedifferentieerde gebruikersrechten (lezen, wijzigen, wissen van gegevens, gedeeltelijke toegang tot gegevens en/of functies)
  • Organisatorisch vastleggen van invoertaken
  • Registratie van gegevensinvoer of -verwijdering
  • Regeling voor opslagtermijnen voor revisie of naslagdoeleinden

3. Beschikbaarheid en belastbaarheid (artikel 32, lid 1b van de AVG)

Beschikbaarheidscontrole

  • Gegevensbeveiligings- en back-upconcept
  • Regelmatige controle van gegevensbeveiligings- en back-upconcept
  • Toegang binnen serverruimtes begrensd tot noodzakelijk personeel
  • Brandmeldingsinstallaties binnen serverruimtes
  • Automatische brandblusinstallaties binnen serverruimtes
  • Watervrije brandblusmiddelen (bijv. CO2-blussers) binnen serverruimtes
  • Klimaatbeheersing in serverruimtes
  • Bliksem/-overspanningsbeveiliging
  • Onderbrekingsvrije stroomvoorziening (USV)
  • Vervangend netwerk (NEA)
  • Watersensoren binnen serverruimtes
  • Onderbrengen van back-upsystemen in aparte ruimtes en brandveilige gebieden
  • Gegevensopslag in gegevensbeveiligingskabinetten, kluizen
  • Regelmatige controle van de herstelbaarheid van back-upopslagmedia
  • Garantie van technische leesbaarheid van back-upopslagmedia voor de toekomst
  • Opslag van back-upopslagmedia onder noodzakelijke opslagvoorwaarden (airconditioning, beveiligingsbehoefte etc.)
  • Overeenkomst voor verstrekking van (gegevens)beveiligingen
  • Regelmatige controle op zwakke plekken (terreinbeveiliging, gebouwbeveiliging, binnendringen in netwerken en IT-systemen)
  • Redundant opslagsysteem
  • Reserve-informatiecentra

4. Herstel van beschikbaarheid en toegang (art. 32, lid 1c van de AVG)

  • Crisis- of noodgevallenplan (bijv. water, vuur, explosie, terroristische dreiging, neerstorten, aardbeving)

5. Controle, beoordeling en evaluatie (art. 32, lid 1 van de AVG, art. 25, lid 1 van de AVG)

Procedure betreffende periodieke inspectie, beoordeling en evaluatie

  • Uitgewerkt proces voor gegevensbeschermingsmanagement
  • Uitgewerkt proces voor incident-response-management
  • Gegevensbeschermingsvriendelijke instellingen op voorhand (artikel 25 van de AVG)

Opdrachtcontrole

  • Keuze van subopdrachtnemer volgens zorgvuldig opgestelde criteria (in het bijzonder betreffende gegevensveiligheid)
  • Contract opstellen volgens wettelijke voorschriften (artikel 28 van de AVG)
  • Centrale registratie van beschikbare subopdrachtnemers (uniform contractmanagement)
  • Controles vooraf en ter plaatse voor contractbegin bij subopdrachtnemer
  • Regelmatige controles ter plaatse bij subopdrachtnemer na contractbegin (tijdens contractduur)
  • Controle van gegevensveiligheidsconcept bij subopdrachtnemer
  • Bezichtiging van beschikbare informatieveiligheidscertificaten van de subopdrachtnemer
  • Toewijzing van wijzigingen ter verbetering van gegevensbeveiliging tegenover de subopdrachtnemer
  • Verplichting van de medewerkers van de subopdrachtnemer tot het naleven van de voorschriften voor gegevensbeveiliging