Download hier voor onze Wet Meldplicht Datalekken

Aangepaste verplichtingen Nmbrs BV ter zake het beschermen van persoonsgegevens in het kader van de Wet Meldplicht Datalekken

Publicatie Staatscourant

1. Abonnee, zijnde de natuurlijke persoon of rechtspersoon of vennootschap zonder rechtspersoonlijkheid met wie Nmbrs een Overeenkomst heeft gesloten, draagt de verplichtingen van de Verantwoordelijke en Nmbrs de verplichtingen van de Bewerker in de zin van de Wet bescherming persoonsgegevens.

2. De verantwoordelijkheid voor de nakoming van diens wettelijke verplichtingen ten aanzien van het verwerken van Persoonsgegevens rust volledig en uitsluitend bij Abonnee. Nmbrs zal in alle redelijkheid haar medewerking verlenen aan de door Abonnee na te komen verplichtingen. Abonnee garandeert dat is voldaan aan alle vereisten voor de rechtmatige verwerking van de Persoonsgegevens die door Abonnee worden ingevoerd en staat er jegens Nmbrs voor in dat de inhoud, het gebruik en de verwerking van de gegevens geen inbreuk maken op de rechten van een derde.

3. Abonnee vrijwaart Nmbrs voor aanspraken van personen van wie persoonsgegevens zijn geregistreerd of worden verwerkt in het kader van een persoonsregistratie die door Abonnee wordt gehouden of waarvoor Abonnee op grond van de wet anderszins verantwoordelijk is, tenzij en voor zover de feiten die aan de aanspraak ten grondslag liggen aan Nmbrs toegerekend moeten worden.

4. Nmbrs is gerechtigd Abonnee toegangs- of identificatiecodes toe te wijzen. Nmbrs is gerechtigd toegewezen toegangs- of identificatiecodes te wijzigen. Abonnee behandelt de toegangs- en identificatiecodes vertrouwelijk en met zorg en maakt deze slechts aan geautoriseerde personeelsleden kenbaar. Nmbrs is niet aansprakelijk voor schade of kosten die het gevolg zijn van gebruik of misbruik dat van toegangs- of identificatiecodes wordt gemaakt.

Uitvoering verwerking:

a. Bewerker zal ten behoeve van Verantwoordelijke Persoonsgegevens verwerken in het kader van de opdracht zoals nader gespecificeerd in de Overeenkomst. Overige verwerkingen zullen uitsluitend worden uitgevoerd in aanvullende opdracht en redelijke instructies van Verantwoordelijke of als daartoe een wettelijke verplichting bestaat

b. Bewerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de op haar rustende overeengekomen verplichtingen verwerken

c. Het is Bewerker niet toegestaan de Persoonsgegevens aan enige derde te tonen, verstrekken of anderszins ter beschikking te stellen, tenzij dit voortvloeit uit de opdracht zoals neergelegd in de Overeenkomst, voortvloeit uit een aanvullende opdracht dan wel uitdrukkelijke instructie van Verantwoordelijke of uit een wettelijke verplichting, ingeval van een fusie of overname of hiervoor voorafgaande schriftelijke toestemming is verkregen van de Verantwoordelijke (namens de betrokkene).

d. Bewerker zal – op kosten van Verantwoordelijke- haar medewerking verlenen aan Verantwoordelijke om (i) betrokkenen een afschrift van of anderszins inzicht te laten verkrijgen in hun verwerkte persoonsgegevens waarbij de bescherming van de Persoonsgegevens van andere geborgd is alsmede de vertrouwelijkheid van andere gegevens die naar hun aard vertrouwelijk zijn, (ii) Persoonsgegevens te verwijderen, te corrigeren, aan te vullen of af te schermen, en/of (iii) aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn

e. Bewerker zal toepasselijke technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de kenbare aard van de te verwerken Persoonsgegevens en de opdracht waarin de gegevens worden gebruikt, ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking.

f. De Verantwoordelijke zal Bewerker tijdig op de hoogte stellen van de (gewijzigde) risico’s die samenhangen met alsmede de (gewijzigde) risicoklasse behorende bij de door de Bewerker te verwerken persoonsgegevens

g. Bewerker is verplicht tot geheimhouding van de Persoonsgegevens die door Verantwoordelijke aan haar worden verstrekt, behoudens voor zover enig toepasselijk wettelijk voorschrift of rechterlijk bevel hem tot mededeling verplicht dan wel uit hoofde van de Overeenkomst noodzakelijk voortvloeit. Bewerker draagt ervoor zorg dat een ieder die onder diens gezag handelt, verplicht is tot geheimhouding van de Persoonsgegevens waarvan hij/zij kennis neemt.

h. Bewerker zal de Persoonsgegevens in de Europese Unie verwerken, en zal ervoor zorgen dat geen enkele verwerkingshandeling (in de ruimste zin van het woord) buiten de Europese Unie zal plaatsvinden, tenzij Bewerker hiervoor de uitdrukkelijke goedkeuring heeft ontvangen van Verantwoordelijke, welke toestemming Verantwoordelijke niet op onredelijke gronden zal onthouden.

i. Bewerker zal aan Verantwoordelijke zo spoedig mogelijk na ontdekking melding doen van beveiligingsincident(en) (hierna: “Datalek”) waarvan het redelijke vermoeden bestaat dat het/de Datalek(ken) nadelige gevolgen zal hebben en/of heeft voor de bescherming van Persoonsgegevens van één of meerdere betrokkenen;

j. Bewerker zal zo spoedig mogelijk de maatregelen nemen die redelijkerwijs van haar kunnen worden verwacht om de nadelige gevolgen van het Datalek in voorkomend geval te herstellen, dan wel zoveel mogelijk te beperken.

k. De kennisgeving aan de Verantwoordelijke omvat in ieder geval de aard van de inbreuk en de maatregelen die de Bewerker heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen, dan wel zoveel mogelijk te beperken.

l. Daarnaast zal Bewerker aan Verantwoordelijke waar mogelijk haar medewerking verlenen bij het opstellen van een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van Persoonsgegevens ten behoeve van de meldplicht van Verantwoordelijke.

m. Bewerker verplicht zich Verantwoordelijke in de gelegenheid te stellen te controleren dat de verwerking van de Persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst.

n. Bewerker zal Verantwoordelijke terstond in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Bewerker op grond van enige wettelijke verplichting niet is toegestaan de Verantwoordelijke hiervan in kennis te stellen