Privacy en persoonsgegevens
- a. Partijen verplichten zich over en weer in overeenstemming met de wetgeving op het gebied van de bescherming van persoonsgegevens te handelen. Partijen handelen in overeenstemming met de Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens, de AVG en de Uitvoeringwet AVG.
- b. Onder een datalek wordt verstaan: alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan om het verlies van een USB-stick of computer, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden, een calamiteit zoals brand in een datacenter of malwarebesmetting.
- c. RG zal voor iedere verwerking vaststellen of zij in de rol van verwerker of verwerkingsverantwoordelijke opereert. RG verwerkt persoonsgegevens om aan de leveringen en huurovereenkomsten te kunnen voldoen.
- d. Als een verwerkingsverantwoordelijke zicht bewust is geworden van een datalek, moet hij dit direct, waar mogelijk binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Als dit niet mogelijk is, moet een verklaring worden gegeven voor de vertraging.
- e. Indien blijkt dat bij RG sprake is van een datalek, dat door Opdrachtgever gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal RG Opdrachtgever daarover zo spoedig mogelijk informeren nadat RG bekend is geworden met het datalek. RG probeert de Opdrachtgever direct alle informatie te verstrekken die zij nodig heeft om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.
- f. Partijen nemen passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
- g. Opdrachtgever is in overleg met RG gerechtigd tijdens de looptijd van de overeenkomst de naleving op het gebied van de bescherming van persoonsgegevens te controleren door middel van een onafhankelijke deskundige. Opdrachtgever draagt alle kosten in verband met deze controle.
- h. RG kan derden (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden, bijvoorbeeld als deze Derden over specialistische kennis of middelen beschikken waarover RG niet beschikt. Als het inschakelen van Derden tot gevolg heeft dat deze Persoonsgegevens gaat verwerken dan zal RG met die Derden (schriftelijk) afspraken maken over de beveiliging van persoonsgegevens. Met het aangaan van een overeenkomst met RG geeft Opdrachtgever toestemming voor het inschakelen van de Derden.
- i. RG verwerkt de Persoonsgegevens alleen binnen de Europese Economische Ruimte, tenzij RG hierover met Opdrachtgever andere schriftelijke afspraken heeft gemaakt.
- j. RG is niet aansprakelijk voor boetes of claims als Opdrachtgever de verplichtingen op grond van de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens niet nakomt.