Verwerkers-overeenkomst
van Naris.

Duidelijkheid scheppen is wel zo prettig!

Daarom hebben wij een verwerkersovereenkomst opgesteld voor onze geleverde diensten. Zo kunnen we van te voren afspraken maken over wat de verwerker wel en niet mag/moet doen met de persoonsgegevens die de verwerkingsverantwoordelijke aanlevert dan wel invoert.

Een goede basis voor een succesvolle samenwerking zonder misverstanden!

Verwerkersovereenkomst

Verwerkersovereenkomst

Versie: 2.0
Deze verwerkersovereenkomst treedt in werking op 5 februari 2025.

Deze verwerkersovereenkomst van Naris is van toepassing op het gebruik van de applicatie NARIS-GRC® van Naris B.V. 

Naris B.V. (KvK-nummer 08127850) is gevestigd aan Colosseum 19, 7521 PV in Enschede en is verantwoordelijk voor deze verwerkersovereenkomst.

Contactgegevens:
Naris B.V.
Colosseum 19
7521 PV Enschede
+31 (0)88 4300100
info@naris.com

De ondergetekenden:

  1. De besloten vennootschap met beperkte aansprakelijkheid Naris B.V., gevestigd te Enschede, hierna te noemen: ‘Verwerker’,

en

  1. de entiteit die u vertegenwoordigt hierna te noemen: ‘Verwerkingsverantwoordelijke’,

Artikel 1. Definities

1.1 Bijlagen: aanhangsels bij deze verwerkersovereenkomst, die na door beide partijen te zijn geparafeerd, deel uitmaken van deze verwerkersovereenkomst.

1.2 Normen en standaarden: de door de verwerkingsverantwoordelijke vastgestelde normen en standaarden ter zake van methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften welke bij de uitvoering van de werkzaamheden door de verwerker zullen worden gevolgd als vastgelegd in bijlage 1.

1.3 Toezichthouder: de Autoriteit Persoonsgegevens (AP) is het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op het verwerken van persoonsgegevens.

1.4. (Verwerkings)verantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

1.5. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, in opdracht van de verwerker, is een sub-verwerker.

Artikel 2 Ingangsdatum en duur

2.1 Deze verwerkersovereenkomst gaat in op het moment van ondertekening en duurt voort zolang de verwerker als verwerker van persoonsgegevens optreedt in het kader van de door de verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens voor NARIS-GRC® software

Artikel 3 Onderwerp van deze verwerkersovereenkomst

3.1 De verwerker verwerkt de door of via verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke in het kader van de uitvoering van de licentieovereenkomst tussen de Verwerker en Verwerkingsverantwoordelijke; dit is de bovenliggende hoofdovereenkomst.

De door de verwerker uit te voeren werkzaamheden waar deze verwerkersovereenkomst betrekking op heeft, worden nader, uitputtend, omschreven in bijlage 2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken, behoudens afwijkende wettelijke verplichtingen.

3.2 De verwerker verbindt zich om in het kader van die werkzaamheden de door of via de verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te
verwerken.

Artikel 4 Verplichtingen verwerker

4.1 De verwerker verwerkt gegevens ten behoeve van de verwerkingsverantwoordelijke, in overeenstemming met diens schriftelijke instructies.

4.2 De verwerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze verwerkersovereenkomst komt nimmer bij de verwerker te berusten.

4.3 De verwerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 3 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens. De verwerker zal alle redelijke
instructies van de contactpersoon opvolgen, behoudens afwijkende wettelijke verplichtingen. Indien deze afwijkende wettelijke verplichtingen er zijn wordt de verantwoordelijke hiervan, voorafgaand aan de verwerking, schriftelijk op de hoogte gebracht door de verwerker.

4.4 De verwerker zal te allen tijde op eerste verzoek van de contactpersoon, als bedoeld in artikel 12.2, door verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens met betrekking tot deze verwerkersovereenkomst ter hand stellen.4.5 De verwerker stelt de verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

4.6 De verwerker werkt op verzoek van verwerkingsverantwoordelijke te allen tijde mee aan een gegevensbeschermingseffectbeoordeling (PIA).

Artikel 5 Geheimhoudingsplicht

5.1 Personen in dienst van, dan wel werkzaam ten behoeve van de verwerker, evenals de verwerker zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet
gegeven voorschrift tot verstrekking verplicht. De medewerkers van de verwerker tekenen hiertoe een geheimhoudingsverklaring.

5.2 Indien de verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal de verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de verwerker de verwerkingsverantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.

Artikel 6 Meldplicht datalekken en beveiligingsincidenten

6.1 De verwerker zal de verwerkingsverantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 24 uur na de eerste ontdekking – informeren over alle (vermoedelijke) inbreuken op de beveiliging alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken.

6.2 Verwerker zal voorts, op het eerste verzoek van de verwerkingsverantwoordelijke, alle inlichtingen verschaffen die de verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft verwerker in ieder geval de informatie aan de verwerkingsverantwoordelijke zoals omschreven in bijlage 3.

6.3 De verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken en zal de verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in het plan. Verwerker stelt de verwerkingsverantwoordelijke op de hoogte van materiele wijzigingen in het plan van aanpak.

6.4 De verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de verwerkingsverantwoordelijke.

6.5 De verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n). Daarbij verschaft verwerker in ieder geval de informatie, zoals beschreven in bijlage 3, aan de verwerkingsverantwoordelijke.

6.6 De verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen waarin minimaal de informatie zoals bedoeld in bijlage 3 is opgenomen, en geeft daar op eerste verzoek van de verwerkingsverantwoordelijke inzage in.

Artikel 7 Beveiligingsmaatregelen en controle

7.1 De verwerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de verwerkingsverantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onrechtmatige verwerking. De wijze van beveiliging wordt nader omschreven in bijlage 4.

7.2 Maatregelen als bedoeld in het eerste lid houden tenminste voorzieningen in tegen:

  1. Beschadiging of verlies van persoonsgegevens;
  2. Onbevoegde wijziging van persoonsgegevens;
  3. Ontvreemding van persoonsgegevens;
  4. Kennisneming van persoonsgegevens door onbevoegden;
  5. Onnodige verdere verwerking en verzameling van persoonsgegevens.

7.3 Deze maatregelen zullen, met inachtneming van de stand der techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, met inachtneming van de risico’s die het verwerken van de persoonsgegevens en de aard daarvan meebrengen.

7.4 De verwerkingsverantwoordelijke is te allen tijde gerechtigd de verwerking van de persoonsgegevens te doen controleren. Verwerker is verplicht de verwerkingsverantwoordelijke, of controlerende instantie in opdracht van de verwerkingsverantwoordelijke, toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden. De verwerkingsverantwoordelijke draagt de kosten van dergelijke audits, tenzij bij een audit tekortkomingen blijken in de naleving van voormelde verplichtingen, in welk geval de kosten van de audit door Verantwoordelijke voor rekening van Verwerker worden gebracht.

7.5 De verwerkingsverantwoordelijke zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de verwerker.

7.6 De verwerker verbindt zich om binnen een door de verwerkingsverantwoordelijke te bepalen termijn de verwerkingsverantwoordelijke, of de door de verwerkingsverantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de verwerkingsverantwoordelijke, of de door de verwerkingsverantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de verwerker van deze verwerkersovereenkomst. De verwerkingsverantwoordelijke, of de door de verwerkingsverantwoordelijke ingeschakelde derde, is gehouden alle informatie over deze controles vertrouwelijk te behandelen.

7.7 Verwerker staat ervoor in, de door de verwerkingsverantwoordelijke of ingeschakelde derde, aangegeven aanbevelingen ter verbetering binnen de daartoe door de verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.

Artikel 8 Inschakeling derden

8.1 De verwerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande, duidelijk gespecificeerde, schriftelijke toestemming van de verwerkingsverantwoordelijke.

8.2 De verwerkingsverantwoordelijke kan aan de schriftelijke toestemming voorwaarden verbinden, op het gebied van geheimhouding en ter naleving van de verplichtingen uit deze verwerkersovereenkomst.

8.3 De verwerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze verwerkersovereenkomst. De verwerker garandeert dat deze derden schriftelijk minimaal dezelfde plichten op zich nemen als tussen de verwerkingsverantwoordelijke en de verwerker zijn overeengekomen en zal de verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in de overeenkomsten met deze derden waarin deze plichten zijn opgenomen.

8.4 De verwerker mag de persoonsgegevens uitsluitend verwerken in Nederland. Doorgifte naar andere landen is uitsluitend toegestaan na voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke en met inachtneming van de toepasselijke wet- en regelgeving. 

Artikel 9 Wijziging en beëindigen verwerkersovereenkomst

9.1 Wijziging van deze verwerkersovereenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.

9.2 Zodra de samenwerking is beëindigd, zal de verwerker naar keuze van de verwerkingsverantwoordelijke (i) alle of een door verwerkingsverantwoordelijke bepaald gedeelte van haar in het kader van deze verwerkersovereenkomst ter beschikking gestelde persoonsgegevens aan de verwerkingsverantwoordelijke ter beschikking stellen (ii) de persoonsgegevens die hij van de verwerkingsverantwoordelijke heeft ontvangen op alle locaties vernietigen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. Deze werkzaamheden moeten, binnen nader overeen te komen redelijke termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt.

9.3 De verwerker zal te allen tijde de in het vorig lid beschreven recht op overdraagbaarheid van gegevens conform artikel 20 AVG waarborgen, zodanig dat er geen sprake is van verlies van functionaliteit of (delen van) de gegevens.

9.4 Verwerkingsverantwoordelijke en verwerker treden met elkaar in overleg over wijzigingen in deze verwerkersovereenkomst als een wijziging in regelgeving of een wijziging in de uitleg van regelgeving daartoe aanleiding geven.

9.5 Indien een partij tekortschiet in de nakoming van een overeengekomen verplichting, kan de andere partij haar in gebreke stellen waarbij de nalatige partij alsnog een redelijke termijn voor de nakoming wordt gegund. Blijft nakoming ook dan uit dan is de nalatige partij in verzuim. Ingebrekestelling is niet nodig wanneer voor de nakoming een fatale termijn geldt, nakoming blijvend onmogelijk is of indien uit een mededeling dan wel de houding van de andere partij moet worden afgeleid dat deze in de nakoming van haar verplichting zal tekortschieten.

9.6 De verwerkingsverantwoordelijke is gerechtigd, onverminderd hetgeen daartoe bepaald is in de verwerkersovereenkomst en de daarmee samenhangende hoofdovereenkomst, en onverminderd hetgeen overigens in de wet is bepaald, de uitvoering van deze verwerkersovereenkomst door middel van een aangetekend schrijven op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang geheel of gedeeltelijk te ontbinden, nadat verwerkingsverantwoordelijke constateert dat:

  1. a) verwerker (voorlopige) surseance van betaling aanvraagt; of
    b) verwerker zijn faillissement aanvraagt of in staat van faillissement wordt verklaard; of
    c) de onderneming van verwerker wordt ontbonden; of
    d) verwerker zijn onderneming staakt; of
    e) sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de onderneming van verwerker die maakt dat het in alle redelijkheid niet van de verwerkingsverantwoordelijke kan worden verwacht dat zij de verwerkersovereenkomst in stand houdt; of
    f) op een aanmerkelijk deel van het vermogen van verwerker beslag wordt gelegd (anders dan door verantwoordelijke); of
    g) de andere partij aantoonbaar tekortschiet in de nakoming van de
    verplichtingen die voortvloeien uit deze verwerkersovereenkomst en die
    ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling dan wel een van de overige situaties bedoeld in artikel 9.5 zich voordoet.

    7 Verwerker informeert ogenblikkelijk de verwerkingsverantwoordelijke indien een faillissement dreigt dan wel surseance van betaling, zodat de verwerkingsverantwoordelijke tijdig kan beslissen de persoonsgegevens terug te vorderen alvorens faillissement wordt uitgesproken.

9.8 Verwerkingsverantwoordelijke is gerechtigd deze verwerkersovereenkomst en de hoofdovereenkomst per direct te ontbinden indien verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld.

9.9 Indien de verwerkersovereenkomst voortijdig wordt beëindigd is artikel 9 lid 2 en 3 van overeenkomstige toepassing.

Artikel 10 Aansprakelijkheid

10.1 Indien de verwerker tekortschiet in de nakoming van de verplichting uit deze verwerkersovereenkomst kan verwerkingsverantwoordelijke hem in gebreke stellen. Verwerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de verwerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is verwerker in verzuim.

10.2 Verwerker is aansprakelijk voor schade of nadeel voortvloeiende uit het niet nakomen van deze verwerkersovereenkomst, daaronder begrepen wanneer bij de verwerking niet wordt voldaan aan de specifiek tot verwerkingsgerichte verplichtingen van de AVG, of buiten de rechtmatige instructies van verwerkingsverantwoordelijke is gehandeld.

10.3 Verwerker vrijwaart verwerkingsverantwoordelijke voor schade of nadeel voor zover ontstaan door werkzaamheid van de verwerker.

10.4 Indien verwerker de in artikel 6 lid 1 van deze verwerkersovereenkomst neergelegde verplichting niet of niet-tijdig nakomt en de toezichthouder de verwerkingsverantwoordelijke dientengevolge een bestuurlijke boete oplegt, is verwerker aansprakelijk en zal verwerkingsverantwoordelijke een contractuele boete ter hoogte van hetzelfde bedrag opleggen aan verwerker. Deze boete is niet vatbaar voor verrekening en opschorting en laat de rechten van verwerkingsverantwoordelijken op nakoming en schadevergoeding onverlet.

10.5 De aansprakelijkheid van verwerker is beperkt tot het in artikel 12 van de hoofdovereenkomst overeengekomen bedrag.

Artikel 11 Toepasselijk recht

11.1 Op deze verwerkersovereenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing.

Artikel 12 Overige bepalingen

12.1 Deze verwerkersovereenkomst kan worden aangehaald als ‘Verwerkersovereenkomst uitvoering NARIS GRC®.

12.2 De entiteit die u vertegenwoordigt zal een contactpersooon aanwijzen en treedt namens de verwerkingsverantwoordelijke op als contactpersoon.

Door gebruik te maken van de software geeft u te kennen akkoord te gaan met deze overeenkomst.

Bijlage 1: Beschrijving beveiliging ter uitwerking van artikel 1 lid 2

  1. De informatiebeveiliging vindt plaats volgens algemeen erkende normen, namelijk: NEN/ISO 27001;
  2. De toereikbaarheid van de informatiebeveiliging blijkt uit:
  1. Certificering;
  2. Periodieke externe controles zoals audits of TPM’s (bijv. ISAE3xxx SOC type II);
  3. Een Assurance rapport met conclusie over de bevindingen van de auditor;
  4. Eigen controles of eigen mededelingen.
  1. Uit de certificering of periodieke externe controles of uit de audits of uit de eigen controles blijkt of kan afgeleid worden dat de beveiliging voldoet aan of gelijkwaardig is met de toelichting (bijlage 4) en de daarin omschreven elementen.

Bijlage 2: Omschrijving werkzaamheden ter uitwerking van artikel 3 lid 1

Omschrijving van te verwerken persoonsgegevens (dataset) en de te verrichten handelingen (van start tot vernietiging).

1) Naam van de verwerking

  • Verwerking in het kader van de software NARIS®

2) Te verwerken persoonsgegevens:

  • De verwerking omvat de volgende gegevens:
  • Te bewerken gegevens

Categorie 1: natuurlijke personen vanuit hoofde van hun functie werkzaam voor naam organisatie

Gebruiker van de software NARIS®

  • Voor- en achternaam
  • Man/vrouw
  • Functie
  • E-mailadres
  • Zakelijk (mobiel) telefoonnummer
  • Inlognaam

Risico-eigenaar:

  • Voor- en achternaam
  • Eventueel aangevuld met functie, afdeling

Actiehouder maatregel:

  • Voor- en achternaam
  • Eventueel aangevuld met functie, afdeling

Overige velden waarin natuurlijke personen werkzaam voor naam organisatie zijn genoemd

  • Voornaam of voorletter, achternaam, initialen

Categorie 2: overige natuurlijke personen, niet vanuit hoofde van hun functie werkzaam voor de Naam organisatie

In het algemeen worden van deze categorie personen geen persoonsgegevens vastgelegd, echter als onderbouwing van gemanifesteerde risico’s die leiden tot toekennen van schadeclaims, is het mogelijk dat er bij de risico-informatiepersoon gerelateerde gegevens worden vastgelegd. Hierbij kunnen (ook middels documenten als bijlage) een of meer van de onderstaande gegevens worden vastgelegd:

  • Heer/ mevrouw voorletter(s) en achternaam
  • Adresgegevens
  • Geboortedatum
  • BSN-nummer
  • Financiële gegevens (bankrekeningnummer, gegevens gerelateerd aan betalingsgedrag, gegevens gerelateerd aan ingediende claims).
  • De activiteiten in het kader waarvan de persoonsgegevens worden verwerkt
  • De verantwoordelijkheid voor:

1) Het bepalen en eventueel wijzigen van de doelstelling van de verwerking van persoonsgegevens;

2) De communicatie over de doelstelling van de verwerking van persoonsgegevens met de Autoriteit Persoonsgegevens;

3) Het bepalen en eventueel wijzigen van de methode van verwerking van persoonsgegevens berust volledig bij verwerkingsverantwoordelijke.

Verwerkingen die plaatsvinden door verwerkingsverantwoordelijke:

  • Verzamelen en vastleggen van persoonsgegevens;
  • Indien dit door verwerkingsverantwoordelijke nodig wordt geacht:

1) Opvragen en raadplegen van persoonsgegevens;

2)  Doorzenden van persoonsgegevens ter ondersteuning bij het vaststellen van de echtheid van het te authentiseren document;

Verwerkingen die plaatsvinden door verwerker:

  • Bewaren van persoonsgegevens;
  • Afschermen van persoonsgegevens;
  • Bij beëindiging van de Hoofdovereenkomst en/of het Service Level Agreement, van rechtswege of anderszins, overdragen en/of vernietigen van de in bewaring gestelde persoonsgegevens, alsmede eventuele back-ups van de persoonsgegevens.

Bijlage 3: Inlichtingen om incidenten te beoordelen ter uitwerking van art. 6 lid 1 en 5

Verwerker zal alle inlichtingen verschaffen die verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft verwerker in ieder geval de volgende informatie aan verwerkingsverantwoordelijke:

  • Wat de (vermeende) oorzaak is van de inbreuk;
  • Wat het (vooralsnog bekende en/of te verwachten) gevolg is;
  • Wat de (voorgestelde) oplossing is;
  • Contactgegevens voor de opvolging van de melding;
  • Aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk);
  • Een omschrijving van de groep personen van wie gegevens betrokken zijn bij de inbreuk;
  • Het soort of de soorten persoonsgegevens die betrokken zijn bij de inbreuk;
  • De datum waarop de inbreuk heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen de inbreuk heeft plaatsgevonden);
  • De datum en het tijdstip waarop de inbreuk bekend is geworden bij verwerker of bij een door hem ingeschakelde derde of onderaannemer;
  • Of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
  • Wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken.

Bijlage 4: Wijze van beveiliging

Verwerker rapporteert hierbij aan verwerkingsverantwoordelijke over de genomen technische en organisatorische maatregelen ter beveiliging van persoonsgegevens.

Algemene informatie over de door verwerker getroffen beveiligingsmaatregelen

  • Certificeringen: ISO27001 + Level 1 PCI-DSS Certificied Cloud Service
  • Audits/derden-verklaringen: ISO27001 > BSI Group en Profect
  • Land van opslag en verwerking van persoonsgegevens: Nederland, EU

Maatregelen om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking.

  • Beveiliging applicatie/platform: Incapsula CDN, WAF, DDoS, IPS/IDS;
  • Wijze van identificatie/authenticatie/autorisatie en beveiliging daarvan: persoonlijke gebruikersnaam en wachtwoord (afgedwongen sterk wachtwoord). Lock-out na 3 foutieve inlog pogingen. Optioneel 2 factor authenticatie per sms of e-mail (token). Optioneel SSO.;
  • Autorisatie d.m.v. rollen en rechten structuur in NARIS®;
  • Wijze van uitwisseling/transport van gegevens: communicatie vindt plaats over SSL (https).

Maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in NARIS®.

  • Periodiek penetration test door een onafhankelijke derde partij;
  • Periodieke audits m.b.t. ISO27001;
  • Actieve continue logging en monitoring van het systeem.

Nederland

Plantageweg 1C
3833 AZ Leusden

Colosseum 19
7521 PV Enschede

Duitsland

Hohenzollernring 57
50672 Köln

Over NARIS

Partners

GRC tooling

Support