ISOR:Vormvereisten aan eisen voor afdoende garanties door verwerker: verschil tussen versies
ISOR:Vormvereisten aan eisen voor afdoende garanties door verwerker
Naar navigatie springen
Naar zoeken springen
k (versie, datum, invalshoek, tekstredactie, toelichting, titel, bullets,) |
k (redactie) |
||
| (Een tussenliggende versie door dezelfde gebruiker niet weergegeven) | |||
| Regel 1: | Regel 1: | ||
{{# | {{#element: | ||
|Elementtype=Norm | |||
|ID=PRIV_U.07.02.02 | |ID=PRIV_U.07.02.02 | ||
|Titel=Bepalingen overeengekomen met de verwerker | |Titel=Bepalingen overeengekomen met de verwerker | ||
|Versieaanduiding=3.3 | |Versieaanduiding=3.3 | ||
|Gebruik in Nederlandse publieke sector=In gebruik | |Gebruik in Nederlandse publieke sector=In gebruik | ||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Practice=CIP | |Practice=CIP | ||
| | |Publicatiedatum=2017/10/16 | ||
|Redactionele wijzigingsdatum=2020/06/16 | |Redactionele wijzigingsdatum=2020/06/16 | ||
|Beveiligingsaspect=Uitvoering | |Beveiligingsaspect=Uitvoering | ||
|Invalshoek=Onbekend | |Invalshoek=Onbekend | ||
|Conformiteitsindicator=afdoende garanties | |||
|Stelling= | |Stelling=In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat: | ||
In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat: | |||
#De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften; | #De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften; | ||
#De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden; | #De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden; | ||
#De beveiliging van de verwerking is geborgd, conform | #De beveiliging van de verwerking is geborgd, conform [[ISOR:Beveiligen van de verwerking van persoonsgegevens|PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens]], inclusief: | ||
##Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben. | ##Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben. | ||
##Welke procedure wordt gevolgd in geval van een datalek. | ##Welke procedure wordt gevolgd in geval van een datalek. | ||
| Regel 27: | Regel 25: | ||
##Het contact dat de verwerker mag hebben met de betrokkenen. | ##Het contact dat de verwerker mag hebben met de betrokkenen. | ||
#De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking. | #De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking. | ||
#Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform | #Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform [[ISOR:Bewaren van persoonsgegevens|PRIV_U.06: Bewaren van persoonsgegevens]]. | ||
#De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties. | #De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties. | ||
#De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming. | #De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming. | ||
| Regel 34: | Regel 32: | ||
*Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurd certificeringmechanisme kan worden gebruikt als element om aan te tonen dat voldoende garanties worden geboden. | *Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurd certificeringmechanisme kan worden gebruikt als element om aan te tonen dat voldoende garanties worden geboden. | ||
*Deze vereisten in de overeenkomst gelden ook voor door de verwerker ingehuurde verwerkers. | *Deze vereisten in de overeenkomst gelden ook voor door de verwerker ingehuurde verwerkers. | ||
|Heeft bron=de Privacy Baseline | |Heeft bron=de Privacy Baseline | ||
|Realiseert=ISOR:Doorgifte persoonsgegevens | |||
|Realiseert=ISOR:Doorgifte persoonsgegevens | |||
}} | }} | ||
Huidige versie van 16 jun 2020 om 17:52
| ||||||||||||||||||
Stelling
In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
- De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften;
- De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
- De beveiliging van de verwerking is geborgd, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, inclusief:
- Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben.
- Welke procedure wordt gevolgd in geval van een datalek.
- In welke landen de persoonsgegevens worden opgeslagen.
- De vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker.
- Passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief:
- Hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker;
- Het contact dat de verwerker mag hebben met de betrokkenen.
- De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking.
- Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform PRIV_U.06: Bewaren van persoonsgegevens.
- De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties.
- De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming.
Toelichting
- Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurd certificeringmechanisme kan worden gebruikt als element om aan te tonen dat voldoende garanties worden geboden.
- Deze vereisten in de overeenkomst gelden ook voor door de verwerker ingehuurde verwerkers.
Bovenliggende principe(s)
Deze norm realiseert het principe Doorgifte persoonsgegevens via de conformiteitsindicator afdoende garanties.
Grondslag