Bewerkersovereenkomt (AVG/GDPR-wetgeving vanaf 25/05/2018)

Individuele afspraken met klanten of klanten van klanten. 

Wij kunnen niet met elke klant of klant van een klant individuele afspraken maken, dan zouden we met vele tienduizenden bedrijven aparte bewerkers overeenkomsten moeten sluiten.

Het doel van de wetgeving is dat we zorgvuldig met persoonsgegevens van klanten omgaan. We begrijpen uiteraard de zorg en wettelijke plicht die we hebben. Daarvoor hebben we de hieronder genoemde structurele maatregelen getroffen.  Ook in de toekomst zullen wij aan de (Europese) wetgeving moeten voldoen. 25 mei 2018 komt de nieuwe AVG/GDPR-wetgeving waaraan wij moeten voldoen.  Daarover zullen wij tijdig communiceren welke maatregelen we hebben getroffen dan we ook aan deze EU wetgeving voldoen. Tot de in werking treding van deze nieuwe wetgeving zullen wij vasthouden aan de huidige methodiek waarbij we aan de wetgeving voldoen. 

Datalek

Er zijn twee vormen van een datalek: kwantitatief (als er heel veel gegevens zijn verdwenen) of kwalitatief (als er persoonsgegevens zijn verdwenen, zoals inloggegevens, gezondheidsgegevens of financiële data). In beide gevallen moet dit worden gemeld aan de toezichthouder die hiervoor formulieren heeft opgesteld. Nmbrs is niet rechtstreeks verantwoordelijk voor het melden van een datalek van gegevens die een organisatie op onze servers heeft staan. Maar als ‘bewerker’ (zo luidt de ambtelijke term voor een leverancier van cloud diensten) moet Nmbrs de eigenaar van de gegevens in staat stellen om zo spoedig mogelijk een lek aan de toezichthouder te melden.

Meldplicht

Bij een inbreuk op de beveiliging (datalek) zoals bedoeld in de Wet Meldplicht Datalekken die vanaf 1 januari 2016 in werking is getreden, zal Nmbrs aan de klant-verantwoordelijke zo spoedig mogelijk na ontdekking hiervan melding doen. Deze kennisgeving zal de aard van de inbreuk bevatten en de maatregelen die de bewerker heeft getroffen of voorstelt te treffen om deze gevolgen te beperken. Nmbrs moet documenteren hoe een lek is ontstaan, wanneer dat is gebeurd, het soort gegevens die zijn gelekt en op welke manier het lek is gedicht. De eigenaar van de data moet die gegevens namelijk opgeven, en bovendien die feiten minstens een jaar bewaren. 

In onze interne procedures zijn deze stappen uitgewerkt en deze worden gecontroleerd door Deloitte in ons ISAE 3402 type II rapport. Deze audit laten we jaarlijks uitvoeren.

Juridische implicaties

Als onderdeel van de overeenkomst verbindt Nmbrs BV zich jegens haar klanten als beschreven in 6.2 van de Algemene Voorwaarden als Bewerker in de zin van de Wet Bescherming Persoonsgegevens tot het naleven van de vereisten zoals deze in de wet op haar rusten.  Deze nieuwe vereisten worden zodoende automatisch onderdeel van onze huidige afspraken.

Toch hebben we een aanvullend document gemaakt waarin deze nieuwe verplichtingen van Nmbrs en die van onze abonnees helder worden weergegeven.Dit getekende document is beschikbaar via: Getekend Datalekken_24112016172105.pdf

 

 

 

Volgen

Opmerkingen

Mogelijk gemaakt door Zendesk