Verwerkersovereenkomst eindtoets ROUTE 8...As/JSQN »Cr HET OOG OP DE TOCKOMST Partijen:...

As/JSQN»Cr HET OOG OP DE TOCKOMST

Partijen:

Verwerkersovereenkomst eindtoets ROUTE 8

LHet bevoegd gezag van S00 d C &>iSWgeregistreerd onder BRIN-nummer 20AJV bij de Dienst UitvoeringOnderwijs \an het Ministerie van Onderwijs, gevestigd er\(<anl;oorhoudende aan

iel'dig vertegenwoordigd door' ~ ~J\^\\, hierna te noemen: "Onderwijsinstelling".I"

en

2. De besloten vennootschap A-VISION B. V., gevestigd en kantoorhoudende aan de Laan vanWestenenk 162, te 7336 AV Apeldoorn, te dezen rechtsgeldig vertegenwoordigd doordirecteur A. Lubbers, hierna te noemen: "Verwerker"

hierna gezamenlijk te noemen: "Partijen", of afzonderlijk: "Partij"

Overweeen het voleende:

a. Onderwijsinstelling en Verwerker zijn een overeenkomst aangegaan waarbij deOnderwijsinstelling gebruik maakt van de door A-VISION ontwikkelde eindtoets ROUTE 8.Deze Product- en Dienstenovereenkomst leidt ertoe dat Verwerker in opdracht vanOnderwijsinstelling Persoonsgegevens verwerkt.

b. Partijen wensen, mede gelet op het bepaalde in artikel 28 lid 3 Algemene VerordeningGegevensbescherming, in deze Verwerkersovereenkomst hun wederzijdse rechten enverplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.

Komen het volgende overeen:

Artikel 1: DefinitiesIn deze Verwerkersovereenkomst wordt verstaan onder:

a. Betrokkene, Verwerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens enVerwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG;

b. Bijlage(n): bijlage(n) bij het Convenant of de Verwerkersovereenkomst;c. Convenant: het Convenant Digitale Onderwijsmiddelen en Privacy 3.0;d. Convenantpartij: een tot het Convenant toegetreden Onderwijsinstelling of Leverancier;e. Datalek: een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 sub 12

AVG;f. Digitaal Onderwijsmiddel: Leermiddelen en Toetsen, en School- en

Leerlinginformatiemiddelen;g. Initiatiefnemers: partijen die de initiatiefnemers zijn van het Convenant als opgenomen in

de aanhef van het Convenant;h. Instructies: geschreven of elektronisch gestuurde aanwijzing van de

Verwerkingsverantwoordelijke aan de Verwerker in het kader van haar bevoegdheden zoalsgeformuleerd in deze Verwerkersovereenkomst of in de Product- en Dienstenovereenkomst.Instructies worden verstrekt door en aan de contactpersonen van partijen zoals die zijnopgenomen in de Bijlage(n);

i. Keten iD: een pseudoniem van een persoonsgebonden nummer van een Onderwijsdeelnemerdat de Onderwijsdeelnemer niet langer direct identificeerbaar maakt. Hierna wordt datpseudoniem opnieuw versleuteld tot het Keten iD, dat voor identificatiedoeleinden gebruiktwordt voor de toegang tot en het gebruik van Digitale Onderwijsmiddelen. Het Keten iDwordt ook ECK iD genoemd;

j. Leermiddelen en Toetsen: digitaal product en/of digitale dienst bestaande uit leerstofen/of toetsen en de daarmee samenhangende digitale diensten, gericht oponderwijsleersituaties, ten behoeve van het geven van onderwijs door of namensOnderwijsi nstelh' ngen;

k. Leverancier: leverancier van een Digitaal Onderwijsmiddel, zoals een distributeur, uitgeverof leverancier van een administratiesysteem;

Pagina l va n 14

.t/IC?ICAVJ31QNl. Model Verwerkersovereenkomst: het model voor een verwerkersovereenkomst die als

bijlage is bijgevoegd bij het Convenant;m. Onderwijsdeelnemer: onderwijsdeelnemer in het primair onderwijs, voortgezet onderwijs of

middelbaar beroepsonderwijs;n. Platform: het platform als bedoeld in artikel 8 van het Convenant, thans bekend als Edu-K;o. Product- en Dienstenovereenkomst: de overeenkomst tussen Onderwijsinstelling en

Verwerker, zoals omschreven in overweging a met inbegrip van een op basis van dieovereenkomst gesloten overeenkomst tussen een Onderwijsdeelnemer en Leverancier voorhet betreffende product of dienst;

p. Privacybijsluiter: één of meerdere privacybijsluiter(s) zoals opgenomen in de Bijlage(n) dievan toepassing zijn op de aangeboden Digitale Onderwijsmiddelen;

q. Reglement: het reglement als bedoeld in artikel 8 lid 4 van het Convenant;r. School- en Leerlinginformatiemiddelen: een digitaal product en/of digitale dienst ten

behoeve van het onderwijs(proces), zoals een leerling-administratiesysteem,kernregistratiesysteem, studentinformatiesysteem, deelnemersadministratie,roostersysteem, ouderportaal, leerlingen oudercommunicatiesysteem, dashboards enkwaliteitsmanagementsystemen voor zover zij Persoonsgegevens van Onderwijsdeelnemersbevatten, een elektronische leeromgeving en een leerling volgsysteem;

s. Standaardattributenset: de door het Platform vastgestelde aanvullende gestandaardiseerdePersoonsgegevens van Onderwijsdeelnemers die naast het Keten iD gebruikt kunnen wordenvoor de toegang tot en het gebruik van Digitale Onderwijsmiddelen (zoals gepubliceerd opde website van het Platform);

t. Subverwerker: de partij die door Verwerker wordt ingeschakeld als Verwerker ten behoevevan de Verwerking van de Persoonsgegevens in het kader van de ModelVerwerkersovereenkomst en de Product- en Dienstenovereenkomst;

u. AVG: de Algemene Verordening Gegevensbescherming (Verordening 2016/679 van hetEuropees Parlement en de Raad van 27 april 2016 betreffende de bescherming vannatuurlijke personen in verband met de verwerking van persoonsgegevens en betreffendehet vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG);

v. Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: detoepasselijke (Unierechtelijke en Udstaatrechtelijke) wet- en regelgeving en/of (nadere)verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/ofaanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking vanPersoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvullinghierop, inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en deTelecommunicatiewet.

Artikel 2: Onderwerp en opdracht Verwerkersovereenkomst1. Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in

het kader van de uitvoering van de Product- en Dienstenovereenkomst.2. De Onderwijsinstelling geeft Verwerker conform artikel 28 AVG opdracht en Instructies om

Persoonsgegevens te verwerken namens de Onderwijsinstelling. De Instructies van deOnderwijsinstelling kunnen onder meer nader omschreven zijn in dezeVerwerkersovereen komst en de Product- en Dienstenovereenkomst.

3. De bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen zoalsopgenomen in Bijlage 1, die plaatsvinden ter uitvoering van de Product- enDienstenovereenkomst. Verwerker brengt Onderwijsinstelling onverwijld op de hoogteindien Verwerker reden heeft om aan te nemen dat Verwerker niet langer aan deVerwerkersovereenkomst kan voldoen.

Artikel 3: Rolverdeling1. Onderwijsinstelling is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van

Persoonsgegevens de Verwerkingsverantwoordelijke. Verwerker is Verwerker in de zin vande AVG. De Onderwijsinstelling heeft en houdt zelfstandige zeggenschap over het (hetbepalen van) doel en de middelen van de Verwerking van de Persoonsgegevens.

2. Verwerker draagt er zorg voor dat de Onderwijsinstelling voorafgaande aan het sluiten vandeze Verwerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die deVerwerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie stelt deOnderwijsinstelling in staat om te doorgronden welke Verwerkingen onlosmakelijk zijn

Pagina 2 van 14

^LA^IESJONMtTMET 006 Of DETOÉItONaT

4.

5.

6.

verbonden met een aangeboden dienst en voor welke Verwerkingen Onderwijsinstelling eenkeuze kan maken voor eventueel aangeboden optionele diensten.Onverminderd hetgeen elders in deze Verwerkersovereenkomst is bepaald, informeertVerwerker voorafgaand aan het sluiten van deze Verwerkersovereenkomst deOnderwijsinstelling in Bijlage 1 over de in lid 2 bedoelde diensten, waaronder eventueleoptionele diensten, en de Verwerkingen die in dat kader plaatsvinden. De in Bijlage 1opgenomen informatie moet in begrijpelijke taal zijn beschreven, waardoorOnderwijsinstelling geïnformeerd akkoord kan gaan met de afname van deze dienst(en) ende uitvoering van de bijbehorende Verwerkingen.De Onderwijsinstelling neemt de in lid 2 van dit artikel genoemde Verwerking van dePersoonsgegevens op in een register van de verwerkingsactiviteitenl die onder hunverantwoordelijkheid plaatsvinden.Voor zover artikel 30 lid 5 AVG daartoe verplicht, houdt Verwerker conform artikel 30, lid 2AVG een register bij van alle categorieën van verwerkingsactiviteiten die Verwerker tenbehoeve van een Onderwijsinstelling verricht.Onderwijsinstelling en Verwerker verstrekken elkaar over en weer alle benodigde informatieteneinde een goede naleving van de Toepasselijke wet- en regelgeving betreffende deVerwerking van Persoonsgegevens mogelijk te maken.

Artikel 4: Privacyconvenant1. Partijen onderschrijven de bepalingen in het Convenant.

Artikel 5: Gebruik Persoonsgegevens1. Verwerker verplicht zich om de van Onderwijsinstelling verkregen Persoonsgegevens niet

voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en conform dewijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het isVerwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door deOnderwijsinstelling (schriftelijk dan wel elektronisch) aan Verwerker in het kader van deuitvoering van de Product- en Dienstenovereenkomst zijn opgedragen, behoudens eeneventuele afwijkende Unierechtelijke of lidstaatrechtelijke bepaling, dan wel eenrechterlijke uitspraak, voor zover daartegen geen beroep meer openstaat. In dat geval steltVerwerker de Onderwijsinstelling voorafgaand aan de Verwerking van dat wettelijkevoorschrift dan wel de rechterlijke uitspraak in kennis, tenzij dergelijke kennisgeving omgewichtige redenen van algemeen belang verboden is.

2. Een overzicht van onder meer de categorieën Persoonsgegevens en het doel waarvoor dePersoonsgegevens worden verwerkt, is uiteengezet in de Privacybijsluiter bij dezeVerwerkersovereenkomst.

3. De Verwerker dient in de Phvacybijsluiter aan te geven of de Privacybijsluiter ziet op eenLeermiddel en Toets en/of een School- en Leerlinginformatiemiddel. Verwerker specificeertin de Privacybijsluiter voor welke, door de Verwerkersverantwoordelijke vastgestelde,doeleinden persoonsgegevens worden verwerkt bij het gebruik zijn product en/of dienst, enwelke categorieën Persoonsgegevens daarbij worden verwerkt

4. Indien Verwerker in strijd met de AVG het doel en de middelen van de Verwerking vanPersoonsgegevens bepaalt, wordt Verwerker met betrekking tot die Verwerking alsVerwerkingsverantwoordelijke beschouwd.

5.a. Convenantspartijen die Leermiddelen en Toetsen ontwikkelen en aanbieden (hierna

te noemen: Leermiddelenleverancier), zullen jaarlijks ten behoeve van hetopstellen van de leermiddelenlijsten voor het eerstvolgende schooljaar, (welkeleermiddelenlijsten ten behoeve van de uitvoering van de Product- enDienstenovereenkomst worden opgesteld) de Privacy Bijsluiter voor dieLeermiddelen en Toetsen aanvullen en/of wijzigen door het opnemen van decategorieën Persoonsgegevens en het gebruik dat van deze Persoonsgegevens wordtgemaakt (met betrekking tot de Leermiddelen en Toetsen die op de desbetreffendeleermiddelenlijsten worden opgenomen).

1 Zie voor een voorbeeld de Aanpak IBP bij https://kn. nu/IBPonderwijs

Pagina 3 van 14

-1È-AVJfSON

b.

c.

d.

Verwerker (de distributeur) wisselt in opdracht van de Onderwijsinstelling gegevensuit met deze Leermiddelenleveranciers.De Onderwijsinstelling is verantwoordelijk voor het maken en vastleggen vanafspraken met iedere Leermiddelenleverancier in een Verwerkersovereenkomst.Onderwijsinstelling vrijwaart Verwerker (distributeur) voor eventuele aansprakenvan derden ten gevolge van het niet (tijdig) maken van Verwerkersafspraken metLeermlddelenleverander, en de Onderwijsinstelling vrijwaart deLeermiddelenleverander voor eventuele aanspraken van derden ten gevolge van hetniet (tijdig) maken van Verwerkersafspraken met Verwerker (distributeur).

e. De verantwoordelijkheid van Verwerker (distributeur) voor het beheer van dePersoonsgegevens houdt op, op het moment dat de Leermlddelenleverancier diegegevens heeft ontvangen van Verwerker (distributeur).

Artikel 6: Vertrouwelijkheid1. Verwerker garandeert dat hij alle Persoonsgegevens strikt vertrouwelijk zal behandelen ten

opzichte van derden, waaronder overheidsinstanties. Verwerker zorgt er voor dat een iederdie hij betrekt bij de Verwerking van Persoonsgegevens, waaronder zijn werknemers,vertegenwoordigers en/of Subverwerkers, deze gegevens als vertrouwelijk behandelt.Verwerker waarborgt dat met de tot het Verwerken van de Persoonsgegevensgeautoriseerde personen een geheimhoudingsovereenkomst of -beding is gesloten, of datdeze door een wettelijke verplichting tot geheimhouding zijn gebonden.

2. De in lid 1 bedoelde geheimhoudingsplicht geldt niet in de hierna genoemde gevallen:a. voor zover Onderwijsinstelling uitdrukkelijk toestemming heeft gegeven om de

Persoonsgegevens aan een Derde te verstrekken;b. indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is

gezien de aard van de door Verwerker aan Onderwijsinstelling te verlenen diensten;of

c. indien Verwerker op grond van een Unierechtelijke of lidstaatrechtelijke bepalingdan wel een gerechtelijke uitspraak, voor zover daartegen geen beroep meeropenstaat, tot verstrekking verplicht is.

3. Verwerker onthoudt zich van verstrekking of bekendmaking van Persoonsgegeven aan eenDerde, tenzij deze verstrekking of bekendmaking plaatsvindt in opdracht vanOnderwijsinstelling respectievelijk wanneer dit noodzakelijk is om te voldoen aan eengerechtelijke uitspraak, voor zover daartegen geen beroep meer openstaat, of een op deVerwerker rustende wettelijke verplichting. Onder wettelijke verplichtingen zijn begrepenUnierechtelijke of Udstaatrechtelijke bepalingen op grond waarvan Verwerker totverstrekken verplicht is. In geval van een wettelijke verplichting, verifieert Verwerkervoorafgaand aan de verstrekking de wettelijke grondslag en de identiteit van de partij diezich daarop beroept. Daarnaast stelt Verwerker - tenzij die wetgeving deze kennisgeving omgewichtige redenen van algemeen belang verbiedt - Onderwijsinstelling onmiddellijk, zomogelijk voorafgaand aan de verstrekking, in kennis van de voor Onderwijsinstellingrelevante informatie inzake deze verstrekking.

4. Verwerker zorgt er voor dat de onder diens gezag werkende medewerkers uitsluitendtoegang hebben tot Persoonsgegevens voor zover noodzakelijk voor de vervulling van hunwerkzaamheden.

Artikel 7: Beveiliging en controle1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de

Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelenom Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatigeverwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgendemaatregelen - waar passend - genomen:a. een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens;b. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben

tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst wordenverwerkt;

c. het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens(waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten),

Pagina 4 van 14

Ayi|?ONNET HET OOG OF DC TOCKON6T

en het in logbestanden vastleggen van gebeurtenissen betreffendegebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen(vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met hetgeldende Certificeringsschema informatiebeveiliging en privacy ROSA). DeOnderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek tecontroleren.

3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren enaanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische)ontwikkelingen daartoe aanleiding geven.

4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische enorganisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijzevan de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen.

5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnenvoldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door deVerwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op denaleving van de 1n artikel 8 genoemde verplichtingen ten aanzien van Datalekken.

6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om,in overleg met de Verwerker en met inachtneming van een redelijke termijn, de nalevingvan Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, deProduct- en Dienstenovereenkomst en deze Verwerkersovereen komst, waaronder de doorVerwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen)controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externedeskundige:a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een

door Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundigedie een derden-verklaring (TPM) afgeeft.

b. De auditor verstrekt het auditrapport alleen aan Partijen.c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit.d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige

(inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel,een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kanworden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van deaudit.

e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van deOnderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerkerkunnen worden toegerekend. In dat geval treden partijen in overleg over de verdelingvan de kosten van de audit.

Artikel 8: Datalekken1. Partijen hebben een passend beleid voor de omgang met Datalekken.2. Indien Onderwijsinstelling of Verwerker een Datalek vaststelt, dan zal deze de andere Partij

daarover zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van datDatalek. Verwerker verstrekt ingeval van een Datalek alle relevante informatie aanOnderwijsinstelling met betrekking tot het Datalek, waaronder informatie over eventueleontwikkelingen rond het Datalek, en de maatregelen die de Verwerker treft om aan zijnkant de gevolgen van het Datalek te beperken en herhaling te voorkomen.

3. Verwerker informeert Onderwijsinstelling onverwijld indien een vermoeden bestaat dat eenDatalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijkepersonen zoals bedoeld in artikel 34, lid 1, AVG.

4. Verwerker stelt bij een Datalek de Onderwijsinstelling in staat om passende vervolgstappente (laten) nemen ten aanzien van het Datalek. Verwerker dient hierbij aansluiting te zoekenbij de bestaande processen die Onderwijsinstelling daartoe heeft ingericht. Partijen nemenzo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending ofinbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder(verdere) schending van de Toepasselijke wet- en regelgeving betreffende de Verwerkingvan Persoonsgegevens, te voorkomen of te beperken.

5. In geval van een Datalek, voldoet Onderwijsinstelling aan eventuele wettelijkemeldingsplichten. In geval een Datalek bij Verwerker meerdere Onderwijsinstellingen ingelijke mate treft, kan Verwerker, na overleg met een of meerdere

Pagina 5 van 14

.11LAs/ISSlONMBT HET 000 OP MTOEKONST

Verwerkingsverantwoordelijken, namens de Onderwijsinstellingen een melding doen van hetDatalek aan de Autoriteit Persoonsgegevens. Van het voornemen hiervan zal VerwerkerOnderwijsinstelling onverwijld (en zo mogelijk voorafgaand aan de melding) in kennisstelten.

6. In geval van het Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijhedenvan natuurlijke personen, zal de Onderwijsinstelling de Betrokkenen informeren over hetDatalek.

7. Partijen zullen te goeder trouw 1n onderling overleg afspraken maken over de redelijkeverdeling van de eventuele kosten die verbonden zijn aan het voldoen aan demeldingsplichten.

8. Partijen documenteren alle Datalekken in een (inddenten)register, met inbegnp van defeiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en degenomen corrigerende maatregelen.

9. Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, die vallenbuiten het bereik van artikel 1 sub e van deze Verwerkersovereenkomst, informeert deVerwerker de Onderwijsinstelling conform de afspraken zoals neergelegd in Bijlage 2.

Artikel 9 Bijstand1. Verwerker verleent Onderwijsinstelling bijstand bij het doen nakomen van de op

Onderwijsinstelling rustende verplichtingen op grond van de AVG en andere Toepasselijkewet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zoals met betrekking

maar niet beperkt - tot:a. het - voor zover redelijkerwijs mogelijk - vervullen van de plicht van

Onderwijsinstelling om aan verzoeken van de in hoofdstuk III van de AVGvastgelegde rechten van de betrokkene binnen de wettelijke termijnen te voldoen,zoals een verzoek om inzage, verbetehng, aanvulling, verwijdering of afschermingvan Persoonsgegevens;

b. het uitvoeren van controles en audits zoals bedoeld in artikel 7 van dezeVerwerkersovereenkomst;

c. het uitvoeren van een gegevensbeschenningseffectbeoordeling (DPIA) en eeneventuele daaruit voortkomende verplichte voorafgaande raadpleging van deAutoriteit Persoonsgegevens;

d. het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andereoverheidsinstantie;

e. het voorbereiden, beoordelen en melden van datalekken zoals bedoeld in artikel 8van deze Verwerkersovereenkomst.

2. Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de AutoriteitPersoonsgegevens met betrekking tot de Verwerking van de Persoonsgegevens, wordt doorde Verwerker, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naarOnderwijsinstelling, die verantwoordelijk is voor de afhandeling van het verzoek.

3. Partijen brengen elkaar voor in redelijkheid verleende bijstand geen kosten In rekening. Inhet geval dat één van de Partijen kosten in rekening wil brengen, brengt deze partij deandere partij hiervan vooraf op de hoogte.

Artikel 10: Doorgifte aan derde landen buiten de Europese Economische Ruimte1. Verwerker is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land

of internationale organisatie indien Onderwijsinstelling daarvoor specifieke Schriftelijketoestemming heeft gegeven, tenzij een op Verwerker van toepassing zijnde Unierechtelijkeof Udstaatrechtelijke bepaling Verwerker tot Verwerking verplicht. In dat geval steltVerwerker Onderwijsinstelling voorafgaand aan de Verwerking Schriftelijk op de hoogte vandeze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen vanalgemeen belang verbiedt.

2. Indien na toestemming van Onderwijsinstelling Persoonsgegevens worden doorgegeven aanderde landen buiten de Europese Economische Ruimte of aan een internationale organisatiezoals bedoeld in artikel4 lid 26 AVG, dan zien Partijen er op toe dat dit alleen plaatsvindtconform wettelijke voorschriften en eventuele verplichtingen die in dit verband opOnderwijsinstelling rusten. Indien gegevens worden doorgegeven aan een derde land of eeninternationale organisatie, dan wordt dit in Bijlage 1 bij deze Verwerkers-overeenkomstaangegeven, inclusief een opgave van de landen waar, of internationale organisaties door

Pagina 6 van 14

^È-AVJSON

wie, de Persoonsgegevens worden verwerkt. Daarbij wordt tevens aangegeven op welkewijze is voldaan aan de voorwaarden op basis van de AVG voor doorgifte vanPersoonsgegevens aan derde landen of internationale organisaties.

Artikel 11: Inschakeling Subverwerker1. Onderwijsinstelling geeft Verwerker door ondertekening van deze Verwerkers-overeenkomst

toestemming tot het inschakelen van Subverwerkers, van wie de identiteit envestigt ngsgegevens zijn opgenomen in de Privacybijslulter.

2. Tijdens de duur van de Verwerkersovereenkomst licht Verwerker Onderwijsinstelling in overeen voorgenomen toevoeging van een nieuwe Subverwerker of wijziging in de samenstellingvan de bestaande Subverwerkers, waarbij Onderwijsinstelling de mogelijkheid wordtgeboden tegen deze veranderingen bezwaar te maken.

3. Verwerker is verplicht iedere Subverwerker via een overeenkomst of andere rechtshandelingminimaal dezelfde verplichtingen inzake gegevensbescherming op te leggen als in dezeVerwerkersovereenkomst aan Verwerker zijn opgelegd. Hieronder vallen onder meer deverplichting om de Persoonsgegevens niet verder te Verwerken anders dan in het kader vandeze Verwerkersovereenkomst is overeengekomen, en de verplichting tot het nakomen vande geheimhoudingsverplichtingen, meldingsverplichtingen, medewerkingsverpllchtingen enbeveiligingsmaatregelen met betrekking tot de Verwerking van Persoonsgegevens zoals indeze Verwerkersovereenkomst vastgelegd. Verwerker zal op verzoek van Onderwijsinstellingafschriften verstrekken van deze Verwerkers-overeenkomsten, of van de relevante passagesuit de Verwerkersovereenkomst of een andere overeenkomst of een andere bindenderechtshandeling tussen Verwerker en de door deze overeenkomstig artikel 11, lid 1, vandeze overeenkomst ingeschakelde Subverwerker.

Artikel 12: Bewaartermijnen en vernietiging Persoonsgegevens1. Onderwijsinstelling zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen

die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker. Verwerkerzal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.

2. Onderwijsinstelling verplicht Verwerker om de in opdracht van OnderwijsinstellingVerwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst te (doen)vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kadervan (wettelijke) verplichtingen, dan wel op verzoek van de Onderwijsinstelling. DeOnderwijsinstelling kan op eigen kosten een controle laten uitvoeren of vernietiging heeftplaatsgevonden.

3. Verwerker zal Onderwijsinstelling (schriftelijk of elektronisch) bevestigen dat vernietigingvan de Verwerkte persoonsgegevens heeft plaatsgevonden.

4. Verwerker zal alle Subverwerkers die betrokken zijn bij de Verwerking van dePersoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkers-overeenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten)vernietigen.

Artikel 13: Aansprakelijkheid1. Een Partij kan geen beroep doen op een aansprakelijkheidsbeperking, die is opgenomen in

de Product- of Dienstenovereen komst of andere tussen Partijen bestaande overeenkomst ofregeling, ten aanzien van een door de andere Partij ingestelde:

a. verhaalsactie op grond van artikel 82 AVG; ofb. schadevergoedingsactie uit hoofde van deze Verwerkersovereenkomst, indien en

voor zover de actie bestaat uit verhaal van een aan de Toezichthouder betaaldegeldboete die geheel of gedeeltelijk toerekenbaar is aan de andere Partij.Het bepaalde in dit artikel laat onverlet de rechtsmiddelen die de aangesprokenpartij op grond van de geldende wet- of regelgeving ter beschikking staat.

2. Het bepaalde in lid 1 sub b geldt onverminderd het bepaalde in artikel 14 lid 2.3. ledere Partij is verplicht de andere Partij zonder onnodige vertraging op de hoogte te

stellen van een (mogelijke) aansprakelijkstelling of het (mogelijk) opleggen van een boetedoor de Toezichthouder, beiden in verband met deze Verwerkersovereenkomst. lederePartij is in redelijkheid verplicht de andere Partij informatie te verstrekken en/ofondersteuning te verlenen ten behoeve van het voeren van verweer tegen een (mogelijke)aansprakelijkstetling of boete, zoals bedoeld in de vorige volzin. De Partij die informatie

Pagina 7 van 14

x^-AV^IQN

verstrekt en/of ondersteuning verleent, is gerechtigd om eventuele redelijke kostendienaangaande in rekening te brengen bij de andere Partij, Partijen informeren elkaar zoveel mogelijk vooraf over deze kosten.

Artikel 14: Tegenstrijdigheid en wijziging Verwerkersovereenkomst1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst

en de bepalingen van de Product- en Dienstenovereenkomst, dan zullen de bepalingen vandeze Verwerkersovereenkomst leidend zijn.

2. Indien Partijen van de artikelen in de Model Verwerkersovereenkomst door omstandighedenmoeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of aanvullingendoor Partijen worden beschreven en gemotiveerd in een overzicht dat als Bijlage 3 aan dezeVerwerkersovereenkomst zal worden gehecht. Het bepaalde in dit lid geldt niet vooraanvullingen en/of wijzigingen van de Bijlagen 1 en 2.

3. Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloedzijn op de Verwerking van de Persoonsgegevens wordt, alvorens de Onderwijsinstelling dekeuze hiertoe aanvaardt, de Onderwijsinstelling in begrijpelijke taal geïnformeerd over deconsequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder gevalverstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding tenaanzien van de te Verwerken Persoonsgegevens en de doeleinden waaronder dePersoonsgegevens worden Verwerkt. De wijzigingen zullen in Bijlage 1 worden opgenomen.

4. Wijzigingen in de artikelen van de Verwerkersovereenkomst kunnen uitsluitend ingezamenlijkheid worden overeengekomen.

5. In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar ofanderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van dezeVerwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar inoverleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling tevervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveelmogelijk rekening houden met het doel en de strekking van de nietige, vernietigde ofanderszins niet afdwingbare bepaling.

Artikel 15: Duur en beëindiging1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen

Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingendaarvan.

2. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product- enDienstenovereenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen nietontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naarhun aard worden geacht ook na beëindiging voort te duren, waaronder in ieder geval artikel5, lid 1, en de artikelen 6, 9 en 12.

Aldus overeengekomen, in tweevoud opgemaakt en ondertekend,

Onderwijsinstelling, Verwerker,

Naam: (A)/l^rnJ^ &hj2 \

Fuana3ie:VOTÖinQ^d dSSVÖWTDatum: 05 - oï- wqDatum:

Naam: Astrid LubbersFunctie: DirecteurDatum: 01-09-2018

Pagina 8 van 14

^AV^SIQN

BIJLAGE 1: PRIVACYBUSLUITER EINDTOETS ROUTE 8

A. Aleemene informatie

Naam product/dienst Deze privacy bijsluiter heeft betrekking op deEindtoets ROUTE 8 ontwikkeld door A-VISION

Naam Bewerker en vestigingsgegevens A-VISION Onderwijsadvisering en begeleiding B.V

Beknopte uitleg en werking product en dienst A-VISION B.V. heeft de Eindtoets ROUTE 8 ontwikkeldwelke goedgekeurd door het ministerie van OCenW enwelke ingezet kan worden in het kader van dewettelijke verplichting van basisscholen tot hetafnemen van een Eindtoets bij hun leerlingen in groep8.

Link naar uitgever en/of productpagina www.a-vlsion. nuwww.route8.nl

Doelgroep PO

Gebruikers(leerlingen/ouders/verzorgers/docenten)

Leerlingen en docenten

B. Omschrijving specifieke dienstenOmschrijving van de specifiek verleende diensten en bijbehorende Verwerkingen vanPersoonsgegevens:

Verwerkingen die een onlosmakelijk onderdeel vormen van de aangeboden dienst:A. Verwerking van persoonsgegevens van leerlingen uit groep 8 ten behoeve van de afname van

de Eindtoets ROUTES.B. Verwerking van de score van de leerlingen.C. Gebruik van de gegevens ten behoeve van wetenschappelijk onderzoek voor de

onderbouwing van de Eindtoets ROUTE 8.

C. Doeleinden voor het verwerken van gegevensDe Verwerker dient in deze Bijsluiter expliciet aan te geven of deze:

l. leverancier is van een digitaal product en/of digitale dienst bestaande uit toetsen.

Omdat Verwerker een leverancier is van een digitaal product en/of digitale dienst bestaande uitToetsen, zijn de volgende doelstellingen van gegevensverwerking in het kader van deze productenen diensten van toepassing:

A. Het met gebruikmaking van het Digitale Onderwijsmiddel geven en volgen van onderwijs enhet begeleiden en volgen van Onderwijsdeelnemers, waaronder:

. de opslag van leer- en toetsresultaten;

. het terugontvangen door de Onderwijsinstelling van leer- en toetsresuttaten;

. de beoordeling van leer- en toetsresultaten om leerstof en toetsmateriaal te kunnenverkrijgen dat is afgestemd op de specifieke leerbehoefte van een Onderwijsdeelnemer;

. analyse en interpretatie van leerresultaten;

. het kunnen uitwisselen van leer- en toetsresultaten tussen Digitale Onderwijsmiddelen.B. Het geleverd krijgen/in gebruik kunnen nemen van Digitale Onderwijsmiddelen conform de

afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier;C. Het verkrijgen van toegang tot de aangeboden Digitale Onderwijsmiddelen, en externe

informatiesystemen, waaronder de identificatie, authenticatie en autorisatie;

Pagina 9 van 14

.§LAs/EïQNNET MET OOG OP DE TQEKONST

D. De beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomenvan inconsistentie en onbetrouwbaarheid in de, met behulp van het DigitaleOnderwijsmiddel Verwerkte Persoonsgegevens.

E. De continuïteit en goede werking van het Digitale Onderwijsmiddel conform de afsprakendie zijn gemaakt tussen de Onderwijsinstelling en de Leverancier, waaronder het latenuitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringenna geconstateerde fouten of onjuistheden en het krijgen van ondersteuning;

F. Onderzoek en analyse op basis van strikte voorwaarden, vergelijkbaar met bestaandegedragscodes op het terrein van onderzoek en statistiek, ten behoeve van het(optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling;

G. Het door de Onderwijsinstelling voor onderzoeks- en analyse doeleinden beschikbaar kunnenstellen van volledig geanonimiseerde Persoonsgegevens om daarmee de kwaliteit van hetonderwijs te verbeteren.

H. Het beschikbaar stellen van Persoonsgegevens voor zover noodzakelijk om te kunnenvoldoen aan de wettelijke eisen die worden gesteld aan Digitale Onderwijsmiddelen.

l. De uitvoering of toepassing van een andere wet: Wet Eindtoetsing.

D. Categorieën en soorten persoonseeeevens1. Omschrijving van de categorieën Betrokkenen over wie Persoonsgegevens worden verwerkt, en decategorieën persoonsgegevens van de Betrokkenen:

l. Lontactgegevens Naam, voornamen, voorletters, gesiacnt,geboortedatumPersoonlijke set = geboortedatum, geslacht;

2. Onderwijs-deelnemer-nummer

een administratienummer dat onderwijsdeelnemersidentificeert

3. Onderwijsorganisatiegegevens met het oog op de organisatie van hetonderwijs en het verstrekken of ter beschikkingstelten van leermiddelen;

4. Docent, zorg-coördinator, internbegeleider, decaan,mentor

Gegevens van docenten en begeleiders, voor zoverdeze gegevens van belang zijn voor de organisatie vanhet instituut

5. Overige gegevens, teweten....

Dyslexie: ja of nee

3. Door de Verwerker te hanteren specifieke bewaartermijnen van Persoonsgegevens (oftoetsingscriteria om dit vast te stellen):2 jaar

E. Opslag Verwerking Persoonseeeevens:Plaats/Land van opslag en Verwerking van de Persoonsgegevens:West-Europa: binnen de EU.

F. SubverwerkersOnderwijsinstelling geeft Verwerker door ondertekening van de Verwerkersovereenkomst eenalgemene schriftelijke toestemming voor het inschakelen van een Subverwerker. Verwerker heefthet recht gebruik te gaan maken van andere Subverwerkers, mits daarvan voorafgaand mededelingwordt gedaan aan Onderwijsinstelling, en Onderwijsinstelling daartegen bezwaar kan maken binneneen redelijke periode.Verwerker maakt ten tijde van het afsluiten van de Verwerkersovereen komst gebruik van devolgende Subverwerkers:Verwerker maakt geen gebruiker Subverwerkers.

Pagina 10 va n 14

^gQN

G. Contactaeeevens

Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kuntu terecht bij:Astrid Lubbers, 055-5400333.

G. Versie20180901, 1 september 2018

Pagina 11 van 14

.ILAï/JESONNET HET 000 OP Dt TOEftOUBT

BIJLAGE 2: BEVEILIGINGSBULAGE

De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplichtpassende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerkingvan Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknoptebeschrijving en opsomming van die maatregelen.

Normen informatiebeveiliging

l. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeeltoegang heeft tot de Verwerking van Persoonsgegevens.

De on li ne toegang tot de (verwerking van) gegevens van leerlingen verloopt via het beheer systeemvan Routewijs.nl. Routewijs.nl draalt op een Microsoft Azure cloud-omgeving binnen de EU (hiernagenoemd: cloud) en toegang wordt verleend via de uitgifte van een persoonlijke gebruikersnaam enwachtwoord combinatie met een 2-factor verificatie aan de hand van TOTP.Voor de interne verwerking van gegevens wordt gebruik gemaakt van netwerk locaties die op basisvan RBAC (Role Based Access Control) welke benaderbaar zijn door werknemers met de juiste rol.

Hier zijn 3 groepen van medewerkers die toegang hebben tot bepaalde gegevens:

1. Administratieve medewerkers ö Management.a. Toegang tot alle school, leerling en testgegevens.b. Handelingen: Importeren school- en leerlingen gegevens, corrigeren importfouten,aan/uitzetten dyslexie/dyscalculie, testen klaarzetten en beschikbaar maken voorleerlingen, rapportages beschikbaar maken voor scholen.

2. Testers

a. Toegang tot dezelfde soorten gegevens als Groep 1 maar dan binnen een apartetestomgeving met een geanonimiseerde kopie van de productiegegevens. Binnen deze rol iser geen toegang tot de productieomgeving.b. Handelingen: Het functioneel en technisch testen van nieuwe functies en het uitvoerenvan handelingen in het kader van regressie-testen. Dit betekent dat alle handelingen welkein een normale use-case worden uitgevoerd door Groep 1 ook hier aan bod komen.

3. Database-beheerdera. Toegang tot alle data op databaseniveau.b. Handelingen: Alleen bulkhandelingen wat betreft de integriteit en beschikbaarheid vande data op de productieomgeving.

Minimale beveiligingsmaatregelen en aantoonbaarheidOp dit moment wordt de online toegang tot de gegevens via een gebruikersnaam/wachtwoordaanmelding met 2-factor authenticatie op RouteWijs geregeld, wijzigingen worden bijgehouden opdatabase niveau.

Toegang tot de gegevens wordt op basis van functie via een persoonlijke combinatie vanwachtwoord en gebruikersnaam geregeld, bij vastgesteld misbruik wordt de toegang ontzegt.Binnen de interne bedrijfsomgeving wordt de toegang tot de data geregeld via eenaccount/wachtwoord aanmelding waarbij via SSO (Kerberos authenticatieprotocol) op basis van derol (RBAC) toegang verleend wordt tot (persoons-) gegevens voor de uitoefening van de dagelijksewerkzaamheden. Deze data kan alleen intern via een versleutelde verbinding benaderd worden.Voor fysiek transport van gevoelige digitale gegevens wordt ten alle tijden gebruik gemaakt van eenopslagmedium met minimaal AES246 schijf versleuteting (XTS) en minimaal een FIPS 197certificering.

Directe toesanE! RouteWiis backend/servers:De database is alleen benaderbaar door de databasebeheerder via een directe versleuteldeverbinding naar de database.

Pagina 12 van 14

MTlÏE'OOS'Sr^

Toegang tot de logboeken gebeurd via een beveiligde omgeving met 2-factor authenticatie incombinatie met een gebruikersnaam en wachtwoord. De logboeken bevat geen persoonlijkegegevens.Alle toegang wordt gelogd en periodiek proactief gemonitord in het systeem om ongeautoriseerdetoegang te kunnen onderscheppen.

Bestand, Transactie logs en databases worden zowel intern als op de azure cloudomgevingregelmatig geback-upt zodat er geen hiaat kan ontstaan waarbij (mutatie-)data of logs permanentverloren kunnen gaan. Data in de database is standaard op database-niveau versleuteld. Evenals debackup welke voor een periode van maximaal 30 dagen wordt bewaard.

Back-ups:

Intern:

. Backups richting onze cloudprovider (Azure/EU) worden versleuteld opgeslagen met eenunieke sleutel welke alleen bekend is bij A-VISION systeembeheer. De gebruikteversleuteling is AES256 en de data wordt verzonden over een https verbinding.

. Interne backups waar persoonlijke data in te vinden is worden eveneens versleuteld metminimaal AES128.

. De bewaartermijn van backups is afgestemd op de wettelijke bewaartermijn van degegevens.

Cloud (Azure):

De back up van het testsysteem is als volgt geregeld:

. Back-ups worden voor het plaatsen versleuteld met een certificaat in combinatie met eenwachtwoord.

. Back-ups worden afhankelijk van de grootte gemaakt; er is een constante doorloop van dedata richting de versleutelde back-ups op basis van een door Azure automatische schema-configuratie.

. Back-ups worden bewaard voor een periode van 30 dagen.

Voor meer informatie over het datacenter / Microsoft Azure omgeving:https://azure.microsoft. com/nl-nl/support/trust-center/

Transport van seeevens:

Persoonlijke data op het Routewijs.nl platform wordt te allen tijde via een versleutelde verbindingbenaderd via HTTPS. RouteWijs data onversleuteld benaderen is derhalve niet mogelijk.

Interne data wordt eveneens of via https of via een versleutelde SMB3+ verbinding benaderd.

De resultaten van de eindtoets zijn tot 1 juli te downloaden voor scholen via een specifieke paginawelke beveiligd is met een unieke gebruikersnaam en wachtwoord en alleen benaderbaar is via"https (EV Certificaat).

Fysieke toegang tot serverruimteTot de serverruimtes op het kantoor van A-VISION hebben de volgende personen toegang:

A. Databasebeheerders.B. Management.C. De medewerker belast met zowel BHV taken (brand blussen C02 indien nodig) en facilitaire

taken (controleren van airconditioning).

Pagina 13 va n 14

&/^/JESIQNllKTHETOÓGOPDtfÖiKOUBT

II. Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien vande Verwerking van Persoonsgegevens in de systemen die worden ingezet voor hetverlenen van diensten aan de Onderwijsinstelling.

Op het moment van schrijven is er sprake van een beveiligingsbeleid waarbij op basis van actuele(CVE) dreigings Informatie pro-actief wordt gehandeld, zowel binnen het eigen bedrijfsnetwerk alsbinnen het netwerk op de cloudomgeving.Kritische beveiligsupdates worden afhankelijk van de impact met de hoogste prioriteit getest endoorgevoerd.Daarnaast doen de verantwoordelijke collega's pro actief onderzoek naar fouten/kwetsbaarheden inhet systeem. Zo wordt met regelmaat de code doorlopen en worden er penetratietesten uitgevoerd.

Op het moment van schrijven zijn wij bezig met het voorbereiden van de implementatie vancertificeringsschema informatiebeveiliging en privacy "ROSA" om zo een gestandaardiseerdnormenkader te kunnen bieden.

Helpdesk/servicedesk voor beveiligingslncidenten055-5400333, dagelijks bereikbaar tussen 08:00 en 16:30 uur.

Beveiligingsincidenten en/of datalekken:In geval van een (vermoeden van) beveiligingsincident en/of datalek, kan Onderwijsinstellingcontact opnemen met: Astrid Lubbers, 055-5400333, [email protected]

De contactpersoon voor Verwerker is:

Informeren over Datalekken en/of incidenten met betrekking tot beveiligingEr is een procedure over het informeren in geval van datalekken en/of incidenten met betrekkingtot beveiliging, en bevat ten minste te volgende punten:

De wijze waarop monitonng en identificatie van incidenten plaatsvindt,De wijze waarop informatie wordt gedeeld:Op welke manier (via e-mail, telefoon);Aan wie gericht (contactpersonen en contactgegevens);Met wie kan (bij vervolgacties) contact worden opgenomen.Informatie die in ieder geval over een incident gedeeld moet wordenDe kenmerken van het incident, zoals: datum en tijdstip constatering, samenvattingincident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoeheeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen,verwijderen/vernletigen en/of diefstal van persoonsgegevens);De oorzaak van het bevelligingsinddent;De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen;Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de matewaarin;

. De omvang van de groep betrokkenen;

. Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens,of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiëlegegevens of leerprestaties).

. Eventuele afspraken of, en zo ja hoe, Verwerker een melding aan de AutoriteitPersoonsgegevens kan verrichten.

Versie 20180901

Pagina 14 van 14

Verwerkersovereenkomst eindtoets ROUTE 8...As/JSQN »Cr HET OOG OP DE TOCKOMST Partijen:...

Documents

Transcript of Verwerkersovereenkomst eindtoets ROUTE 8...As/JSQN »Cr HET OOG OP DE TOCKOMST Partijen:...