Vooraf

Dit contract concretiseert de verplichtingen van de contractpartijen voor gegevensbescherming, die
zich voordoen uit de orderverwerking die in bijzonderheden is beschreven in het contract voor het gebruik van TOPMOTIVE applicaties (het zogenaamde 'Hoofdcontract'). Het contract is van toepassing op alle bezigheden die samenhangen met het hoofdcontract en waarbij medewerkers van de opdrachtnemer of door de opdrachtnemer aangewezen personen persoonsgegevens ('gegevens') van de opdrachtgever verwerken.

§ 1 Onderwerp, duur en specificatie van de verwerking in opdracht

 Het hoofdcontract bepaalt het onderwerp en de duur van het contract, evenals de aard en het doel van de verwerking.

Soort gegevens
De gegevens die onderdeel van de gegevensverwerking zijn, worden genoemd in de bijlage bij dit contract.

Soort en doel van de gegevensbescherming

De diensten omvatten afhankelijk van de toepassing, het beschikbaar stellen van opslagruimte, databases, programma's en gegevensoverdrachten. Het hoofdcontract omvat alle benodigde werkzaamheden voor het uitvoeren van deze diensten. Dit omvat werkzaamheden die zijn beschreven in de offertes/diensten-beschrijvingen/bestelformulieren/contracten.

Daartoe behoort onder andere het verzamelen, registreren, organiseren, ordenen, opslaan, aanpassen of wijzigen, uitlezen, opvragen, gebruiken, bekendmaken door doorgifte, verspreiding of een andere vorm van beschikbaar maken, koppelen, beperken, verwijderen of vernietigen van gegevens.

De materiële systemen stellen informatie over de klanten van de opdrachtgever (betrokkene) ter beschikking.

De opdrachtnemer verschaft in principe geen gegevens over de betrokkenen (registratie), eerder worden de gegevens in het kader van het gebruik van de applicaties gegenereerd. Door het uitvoeren van zijn verplichtingen uit het hoofdcontract is het voor de opdrachtnemer mogelijk om toegang te krijgen tot persoonsgegevens. Dergelijke toegang kan vooral niet worden uitgesloten in het kader van de controle, onderhoud, doorontwikkeling van applicaties en inhoud, voor testdoeleinden, bijv. bij support of gegevensovername van de contractuele toepassing(en) evenals via modules of programma's voor onderhoud op afstand die zijn verbonden via interfaces.

Het uitvoeren van de contractueel overeengekomen gegevensverwerking vindt uitsluitend plaats in een lidstaat van de Europese Unie of in een andere staat die partij is bij de Overeenkomst over de Europese Economische Ruimte. Elke verplaatsing naar een ander land moet vooraf worden goedgekeurd door de opdrachtgever en mag alleen plaatsvinden als is voldaan aan de bijzondere voorwaarden van art. 44ff. GDPR.

Categorieën betrokken personen

§ Klanten (in het bijzonder eindklanten) en geïnteresseerden van de opdrachtgever

§ Medewerkers van de opdrachtgever

§ Zakenpartners van de opdrachtgever

§ Contactpersonen of personen uit de betrokken bedrijven

§ 2 Toepassingsbereik en verantwoordelijkheid

(1) De opdrachtnemer verwerkt persoonsgegevens in opdracht van de opdrachtgever machinaal in de vorm van hosting en machinale back-up. Dit omvat bezigheden die in het hoofdcontract en de dienstenbeschrijving zijn geconcretiseerd. De opdrachtgever is in het kader van dit contract alleen verantwoordelijk voor het naleven van de wettelijke bepalingen uit de wet inzake gegevensbescherming, in het bijzonder voor de rechtmatigheid van de gegevensoverdracht aan de opdrachtnemer en de rechtmatigheid van de gegevensverwerking ('verantwoordelijke' in de zin van art. 4 nr. 7 GDPR).

(2) De opdrachten worden aanvankelijk door het contract vastgelegd en kunnen daarna door afzonderlijke opdrachten door de opdrachtgever worden aangevuld of vervangen (afzonderlijke opdracht) in schriftelijke vorm of in een elektronisch formaat (tekstvorm) aan de door de opdrachtnemer aangewezen plek. Opdrachten die niet zijn opgenomen in het contract worden als aanvraag tot wijziging van diensten behandeld. Mondelinge wijzigingen moeten onmiddellijk schriftelijk of in tekstvorm worden bevestigd.

§ 3 Plichten van de opdrachtnemer

(1) De opdrachtnemer mag gegevens van betrokken personen alleen in het kader van de opdracht van de opdrachtgever machinaal verwerken (in de vorm van hosting/back-up) tenzij de opdrachtnemer door het recht van de Europese Unie of de lidstaten waaraan de opdrachtnemer onderworpen is, verplicht is tot verwerking van deze gegevens. In een dergelijk geval deelt de opdrachtnemer de wettelijke vereiste tot verwerking mee aan de opdrachtgever, voor zover het betreffende een mededeling niet uitsluit vanwege een belangrijk publiek belang. De opdrachtnemer informeert de opdrachtgever onmiddellijk als hij van mening is dat een opdracht indruist tegen het toepasselijke recht. De opdrachtnemer mag de uitvoering van de opdracht uitstellen tot deze door de opdrachtgever is bevestigd of gewijzigd.

(2) De opdrachtnemer zal de interne bedrijfsorganisatie in zijn verantwoordelijkheidsbereik zo vormgeven dat wordt voldaan aan de bijzondere vereisten van gegevensbescherming. Hij zal technische en organisatorische maatregelen voor het juist beschermen van de gegevens van de opdrachtgever, die voldoen aan de vereisten van de algemene verordening gegevensbescherming (art. 32 GDPR). De opdrachtnemer moet de technische en organisatorische maatregelen nemen die de vertrouwelijkheid, integriteit, beschikbaarheid en belastbaarheid van de systemen en diensten in samenhang met de verwerking duurzaam garanderen. Deze technische en organisatorische maatregelen zijn bekend bij de opdrachtgever en deze is ervoor verantwoordelijk dat deze een voldoende beschermingsniveau bieden voor de risico's van de te verwerken gegevens.

Het blijft de opdrachtnemer voorbehouden de getroffen veiligheidsmaatregelen te wijzigen, waarbij echter moet worden gegarandeerd dat het contractueel overeengekomen beveiligingsniveau in stand gehouden wordt.

(3) De opdrachtnemer ondersteunt, indien overeengekomen, de opdrachtgever binnen zijn mogelijkheden bij het voldoen van de aanvragen en claims van betrokken personen conform hoofdstuk III van de GDPR evenals bij het naleven van de in art. 32 tot 36 GDPR genoemde plichten.

(4) De opdrachtnemer garandeert dat het verboden is voor de medewerkers en andere personen die voor de opdrachtnemer werken aan de verwerking van gegevens, om de gegevens buiten de opdracht te verwerken. Verder garandeert de opdrachtnemer dat de personen die bevoegd zijn voor de verwerking van de persoonsgegevens verplicht zijn tot vertrouwelijkheid of onderworpen zijn aan een geschikte wettelijke zwijgplicht. De vertrouwelijkheids-/zwijgplicht blijft ook na afloop van de opdracht bestaan.

(5) Het is de opdrachtnemer bekend dat de opdrachtgever een meldplicht conform art. 33, 34 GDPR kan hebben, die voorziet in een melding aan de toezichthoudende instantie binnen 72 uur na bekend worden. De opdrachtnemer zal de opdrachtgever ondersteunen bij het uitvoeren van de meldingsplichten. De opdrachtnemer zal de opdrachtgever in het bijzonder elke onbevoegde toegang tot persoonsgegevens die in opdracht van de opdrachtgever worden verwerkt, onmiddellijk meedelen, uiterlijk echter binnen 48 uur na kennis van de toegang.

De melding van de opdrachtnemer aan de opdrachtgever moet in het bijzonder de volgende informatie bevatten:

§ een beschrijving van de soort inbreuk op de bescherming van persoonsgegevens, voor zover mogelijk met opgave van de categorieën en het ongeveer aantal betrokken personen, de betrokken categorieën en het ongeveer aantal betrokken persoonsgegevensrecords

§ de naam en de contactgegevens van de verantwoordelijke gegevensbescherming of een ander meldpunt voor meer informatie

§ een beschrijving van de waarschijnlijke gevolgen van de inbreuk op de bescherming van persoonsgegevens

§ een beschrijving van de door de opdrachtnemer uitgevoerde of voorgestelde maatregelen voor het opheffen van de inbreuk op de bescherming van persoonsgegevens en eventueel maatregelen voor het verminderen van de mogelijk nadelige gevolgen

De opdrachtnemer treft de vereiste maatregelen voor het zekeren van de gegevens en het verminderen van mogelijke nadelige gevolgen voor de betrokken personen en komt dit onmiddellijk met de opdrachtgever overeen.

(6) Voor in het kader van het contract vallende vragen inzake gegevensbescherming kan de opdrachtgever zich richten tot de verantwoordelijke gegevensbescherming die op de homepage van de opdrachtnemer staat, of aan: avg@aldoc.nl.

(7) De opdrachtnemer garandeert dat hij zijn plichten conform art. 32 lid 1 punt d) GDPR zal nakomen om een procedure voor de regelmatige controle in te stellen van de werkzaamheid van de technische en organisatorische maatregelen ter waarborging van de veiligheid van de verwerking.

(8) de opdrachtnemer corrigeert of verwijdert de contractuele gegevens als de opdrachtgever dit aangeeft of dit is opgenomen in het opdrachtkader.

In bijzondere, door de opdrachtgever te bepalen gevallen, vindt een bewaring of overdracht plaats. Vergoeding en beschermingsmaatregelen hierbij moeten afzonderlijk worden overeengekomen, voor zover niets  is overeengekomen in het contract.

(9) Gegevens moeten na beëindiging van de opdracht op aanvraag van de opdrachtgever worden teruggegeven of verwijderd. Als er extra kosten ontstaan door afwijkende voorschriften bij de heruitgave of verwijdering van de gegevens, dan worden deze gedragen door de opdrachtgever.

(10) In geval van een beslaglegging van de opdrachtgever door een betrokken persoon betreffende eventuele vorderingen conform art. 82 GDPR, verplicht de opdrachtnemer zich de opdrachtgever binnen zijn mogelijkheden te ondersteunen bij het verweer tegen de vordering.

§ 4 Plichten van de opdrachtgever

 (1) De opdrachtgever moet de opdrachtnemer onmiddellijk en volledig informeren als hij fouten of onregelmatigheden betreffende gegevensbeschermingsbepalingen vaststelt.

(2) In geval van een beslaglegging van de opdrachtnemer door een betrokken persoon betreffende eventuele vorderingen conform art. 82 GDPR zal deze de opdrachtgever hierover onmiddellijk op de hoogte stellen en geldt § 3 lid 10 overeenkomstig.

(3) De opdrachtgever vertelt de opdrachtnemer wie contactpersoon is voor vragen over gegevensbescherming binnen het kader van het contract.

§ 5 Aanvragen van betrokken personen

Als een betrokken persoon met vorderingen voor informatie, verwijdering of kennisgeving zich wendt tot de opdrachtnemer, zal de opdrachtnemer de betrokken persoon naar de opdrachtgever verwijzen, voor zover een toewijzing aan de opdrachtgever mogelijk is op basis van de informatie van de betrokken persoon.  De opdrachtnemer geeft de aanvraag van de betrokken persoon onmiddellijk door naar de opdrachtgever. De opdrachtnemer ondersteunt de opdrachtgever binnen zijn mogelijkheden op aanwijzing voor zover overeengekomen. De opdrachtnemer is niet aansprakelijk als het verzoek van de betrokken persoon niet, niet juist of niet op tijd wordt beantwoord door de opdrachtgever.

§ 6 Bewijsmiddelen

(1) De opdrachtnemer wijst de opdrachtgever met geschikte middelen op het naleven van de in dit contract opgenomen plichten.

(2) Mochten in afzonderlijke gevallen inspecties door de opdrachtgever of een door hem aangewezen controleur vereist zijn, dan worden deze binnen de normale kantoortijden zonder verstoring van het bedrijfsproces uitgevoerd na aanmelding en met inachtneming van een geschikte aanlooptijd. De opdrachtnemer mag deze afhankelijk maken van de voorgaande aanmelding met geschikte aanlooptijd en van de ondertekening van een geheimhoudingsverklaring met betrekking tot de gegevens van andere klanten en de gebruikte technische en organisatorische maatregelen. Als de door de opdrachtgever aangestelde controleur in een concurrerende positie tot de opdrachtnemer staat, heeft de opdrachtnemer het recht zich tegen deze persoon te verzetten.

De opdrachtgever stemt toe in de benoeming van een onafhankelijke externe controleur door de opdrachtnemer.

De opdrachtnemer mag een vergoeding in een gebruikelijke en passende hoogte verlangen voor de ondersteuning bij de uitvoering van een inspectie, als dit is overeengekomen in het contract. De kosten van een inspectie zijn voor de opdrachtnemer in principe begrensd op een dag per kalenderjaar.

(3) Indien een toezichthoudende autoriteit voor gegevensbescherming of een vergelijkbare toezichthoudende overheidsinstantie een inspectie uitvoert, geldt in principe lid 2 overeenkomstig. Een ondertekening van een geheimhoudingsverklaring is niet vereist als deze toezichthoudende autoriteit valt onder een beroepsmatige of wettelijke zwijgplicht, waarbij een inbreuk strafbaar is volgens het wetboek van strafrecht.

§ 7 Onderaannemer (verdere opdrachtverwerkers)

 (1) Het gebruik van onderaannemers als verdere opdrachtverwerker is alleen toegestaan als de opdrachtgever hier vooraf uitdrukkelijk toestemming voor heeft gegeven.

(2) Als onderaannemersverhoudingen in de zin van deze regeling moeten die diensten worden gezien die direct betrekking hebben op het uitvoeren van de hoofddienst. Hiertoe behoren niet nevendiensten die de opdrachtnemer inschakelt als bijv. telecommunicatiediensten, post-/transportdiensten, onderhoud en gebruikersservice of het afvoeren van gegevensdragers evenals maatregelen voor het garanderen van de vertrouwelijkheid, beschikbaarheid, proceszekerheid, integriteit, beschikbaarheid en belastbaarheid van de hard- en software voor gegevensverwerkingsinstallaties. De opdrachtnemer is echter verplicht tot garantie van de gegevensbescherming en de veiligheid van de gegevens van de opdrachtgever, ook bij uitbestede nevendiensten, om geschikte en wettige contracten af te sluiten en controlemaatregelen te nemen. Daarbij is het de taak van de opdrachtnemer zijn wettelijke gegevensbeschermingsplichten uit dit contract over te dragen op de onderaannemer.

(3) Het doorgeven van persoonsgegevens van de opdrachtgever aan de onderaannemer en zijn eerste werkzaamheden zijn pas toegestaan als is voldaan aan alle voorwaarden voor een onderaannemer.

(4) Als de onderaannemer de overeengekomen diensten buiten de EU/de EEG uitvoert, garandeert de opdrachtnemer de toelaatbaarheid volgens de wet gegevensbescherming door overeenkomstige maatregelen. Hetzelfde geldt als dienstverleners in de zin van lid 1 regel 2 worden gebruikt.

(5) Een verdere uitbesteding door de onderaannemer heeft uitdrukkelijke toestemming van de hoofdopdrachtgever nodig (minimaal tekstvorm). Alle contractuele regelingen in de contractketen moeten ook worden toegepast op de verdere onderaannemers.

§ 8 Informatieplichten, schriftelijke vormvereiste, toepasselijk recht

(1) Indien de gegevens van de opdrachtgever bij de opdrachtnemer in gevaar worden gebracht door verpanding, inbeslagname, een insolventie- of faillissementsprocedure of door andere gebeurtenissen of maatregelen van derden, moet de opdrachtnemer de opdrachtgever daarvan onmiddellijk op de hoogte brengen. De opdrachtnemer zal alle hierbij verantwoordelijken onmiddellijk op de hoogte stellen dat de soevereiniteit en het eigendom van de gegevens uitsluitend bij de opdrachtgever liggen als 'verantwoordelijke' in de zin van de Algemene Verordening Gegevensbescherming.

(2) Wijzigingen en aanvullingen van deze bijlage en zijn onderdelen - inclusief eventuele toezeggingen van de opdrachtnemer - moeten schriftelijk worden overeengekomen, dit kan ook in elektronisch formaat (tekstvorm) plaatsvinden, en daarbij moet er uitdrukkelijk op gewezen worden dat het om een wijziging of aanvulling op deze voorwaarden gaat. Dit geldt ook op het afzien van deze vormvereiste.

(3) Bij eventuele tegenstrijdigheden gaan regelingen van dit contract inzake gegevensbescherming voor op de regelingen uit het hoofdcontract. Indien afzonderlijke delen van dit contract onwerkzaam zijn, heeft dit verder geen invloed op de werkzaamheid van de bijlage.

(4) Beide partijen zijn verplicht om alle in het kader van de contractuele verhoudingen verkregen kennis van bedrijfsgeheimen en maatregelen voor gegevensbescherming van de andere partij vertrouwelijk te behandelen, ook na beëindiging van het contract. Als er twijfel is of informatie onder de geheimhoudingsplicht valt, moet deze tot schriftelijke vrijgave door de andere partij worden behandeld als vertrouwelijk.

(5) Het Nederlandse recht is geldig onder uitsluiting van het internationale kooprecht. De bevoegde rechtbank is die van het hoofdkantoor van de opdrachtnemer.

§ 9 Aansprakelijkheid en schadevergoeding

Opdrachtgever en opdrachtnemer zijn aansprakelijk tegenover betrokken personen conform de in art. 82 GDPR getroffen regeling.

1. Soort gegevens uit TOPMOTIVE applicaties
Afrekensystemen voor goederenverkoop en werkplaats

Deze gegevens kunnen vanwege uitbreidingen van de omvang van de softwarefuncties wijzigen en/of anders samengesteld zijn. Bij grote wijzigingen wordt deze bijlage aangevuld en geactualiseerd ter beschikking gesteld aan de partijen. In afzonderlijke gevallen zijn, onder andere, de volgende gegevens onderdeel van de gegevensverwerking:

1.        Stamgegevens van personen en bedrijven

§ Naam

§ Functie resp. positie

§ Adres

§ Klantnummer

§ Belastingnummer

2.        Communicatiegegevens

§ Telefoon- en faxnummer

§ Mobiel telefoonnummer

§ E-mailadres

§ Laatste communicatie inclusief inhoud

3.        Stamgegevens contract

§ Intern contractnummer

§ Contractuele relatie

§ Voorwaarden

§ Product- resp. contractbelangen

§ Afrekenings- en betalingsgegevens contract

4.        Stamgegevens van handelaar

§ Kenmerken

§ Winstfactoren resp. omzet

§ Algemene kosten en periodieke kosten

§ Beoordelingsfactoren

§ Vrijgaven voor marketing

§ Verklaring inzake gegevensbescherming

5.        Voertuiggegevens

§ Voertuigkenmerk

§ Voertuig-identificatienummer

§ Kilometerstand

§ Eerste registratie

§ Motorcode

§ Inspectiegegevens

§ Uitrustingsinformatie van het voertuig

§ Geschiedenis van de ingebouwde vervangende onderdelen

2. Soort gegevens uit TOPMOTIVE applicaties
Catalogus- en informatiesystemen

Deze gegevens kunnen vanwege uitbreidingen van de omvang van de softwarefuncties wijzigen en/of anders samengesteld zijn. Bij grote wijzigingen wordt deze bijlage aangevuld en geactualiseerd ter beschikking gesteld aan de partijen. In afzonderlijke gevallen zijn, onder andere de volgende gegevens onderdeel van de gegevensverwerking:

1.        Stamgegevens van personen en bedrijven

§ Naam

§ Functie resp. positie

§ Adres

§ Klantnummer

§ Belastingnummer

2.        Communicatiegegevens

§ Telefoon- en faxnummer

§ Mobiel telefoonnummer

§ E-mailadres

3.        Stamgegevens contract

§ Vrijschakeling catalogus

§ Vrijgaven catalogus

§ Catalogusmodule

§ Verrekeningsregels

4.        Stamgegevens van handelaar

§ Kenmerken

§ Accountinformatie van bestellingen

§ Leverbonnen van vervangende onderdelenbestellingen

§ Facturen van vervangende onderdelingen

§ Retourzendingen van vervangende onderdelen

§ Back-order

5.        Voertuiggegevens

§ Voertuigkenmerk

§ Voertuig-identificatienummer

§ Kilometerstand

§ Eerste registratie

§ Motorcode

§ Inspectiegegevens

§ Uitrustingsinformatie van het voertuig

§ Geschiedenis van de ingebouwde vervangende onderdelen

3. Technische en organisatorische maatregelen (TOM)

In de zin van art. 32 GDPR

Toepasselijkheid:   TOPMOTIVE Groep

§ DVSE GmbH

§ MSDas automotive software GmbH

§ AWDOC GmbH

§ B-Formance GmbH

§ Topmotive Data GmbH

§ Topmotive Systems GmbH

§ Aldoc-TOPMOTIVE BV

§ DVSE Austria GmbH

§ DVSE RO SRL

Versie:                    2.2

Classificatie:           Vertrouwelijk

Laatste wijziging:   23 mei 2018

Het doorgeven en verveelvoudigen van dit document evenals de verkoop en mededeling van de inhoud is alleen toegestaan met uitdrukkelijke toestemming van de TOPMOTIVE Groep. Alle rechten voorbehouden.

De overdracht van deze documentatie vormt geen enkele aanspraak op een licentie of gebruik. Fouten voorbehouden.

De TOPMOTIVE Groep heeft omvangrijke technische en organisatorische maatregelen getroffen voor het verhogen van de veiligheid van systemen en gegevens om de maximale bescherming van de klantsystemen en -gegevens m.b.t. de vertrouwelijkheid, integriteit, beschikbaarheid en belastbaarheid te garanderen. Deze worden hieronder samengevat:

1. Vertrouwelijkheid conform art. 32 alinea 1 lid GDPR

1.1 Toegangscontrole

Maatregelen die geschikt zijn om onbevoegden de toegang tot gegevensverwerkingsinstallaties te weigeren waarmee persoonlijke gegevens worden verwerkt of gebruikt. Als maatregelen voor toegangscontrole kunnen voor gebouw- en ruimtezekering onder andere automatische toegangscontrolesystemen, gebruik van chipkaarten en transponder, controle van de toegang door portiersdiensten en alarminstallaties worden gebruikt. Servers, telecommunicatie-installaties, netwerktechniek en vergelijkbare installaties moeten worden beveiligd in afsluitbare serverkasten. Bovendien is het nuttig om de toegangscontrole ook te ondersteunen door organisatorische maatregelen (bijv. dienstaanwijzing die voorziet in het afsluiten van de dienstruimtes bij afwezigheid).

1.2 Toegangscontrole

Maatregelen die geschikt zijn om te voorkomen dat gegevensverwerkingssystemen (computers) kunnen worden gebruikt door onbevoegden. Met toegangscontrole wordt het verhinderen van het gebruik van installaties door onbevoegden gebruikt. Mogelijkheden zijn bijvoorbeeld bootwachtwoord, gebruikersherkenning met wachtwoord voor besturingssystemen en gebruikte softwareproducten, screensavers met wachtwoord, het gebruik van chipkaarten voor aanmelding en de inzet van callback-procedures. Bovendien kunnen ook organisatorische maatregelen nodig zijn om bijvoorbeeld een onbevoegde inzage te verhinderen (bijv. voorschriften voor de plaatsing van beeldschermen, heruitgave van oriënteringshulpmiddelen voor gebruikers bij de selectie van een 'goed' wachtwoord).

1.3 Toegangscontrole

Maatregelen die garanderen dat diegenen met recht tot het gebruik van een gegevensverwerkingssysteem alleen toegang hebben tot de gegevens passend bij hun toegangsrecht, en dat persoonsgegevens bij de verwerking, gebruik en na opslag niet onbevoegd kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd. De toegangscontrole kan onder andere gegarandeerd worden door een geschikt rechtenconcept die een gedifferentieerde sturing van de toegang tot gegevens mogelijk maakt. Daarbij geldt dat zowel een differentiatie op inhoud van de gegevens als op de mogelijke toegangsfuncties tot de gegevens moet worden ingesteld. Verder moeten geschikte controlemechanismen en verantwoordelijkheden worden gedefinieerd om de uitgifte en intrekking van rechten vast te leggen en actueel te houden (bijv. bij instelling, wisseling van werkplek, beëindiging van de arbeidsbetrekking). Bijzondere opmerkzaamheid moet ook worden gericht op de rol en mogelijkheden van de beheerders.

1.4 Scheidingscontrole

Maatregelen die garanderen dat gegevens die voor verschillende doeleinden zijn verzameld, gescheiden kunnen worden verwerkt. Dit kan bijvoorbeeld worden gegarandeerd door een logische en fysieke scheiding van de gegevens.

1.5 Pseudonimiseren (art. 32 alinea 1 lid a GDPR; Art. 25 alinea 1 GDPR)

De verwerking van persoonsgegevens op een manier dat de gegevens zonder betrekking van extra informatie niet meer kunnen worden toegewezen aan een specifieke persoon voor zover deze extra informatie apart wordt bewaard en geschikte technische en organisatorische maatregelen zijn genomen.

2. Integriteit (art. 32 alinea 1 lid b GDPR)

2.1 Doorgavecontrole

Maatregelen die garanderen dat persoonsgegevens bij elektronische overdracht of tijdens hun transport of opslag op gegevensdragers niet onbevoegd kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd, en dat kan worden gecontroleerd en vastgesteld op welke plekken een overdracht van persoonsgegevens door installaties voor gegevensoverdracht is voorzien. Ter garantie van de vertrouwelijkheid bij elektronische gegevensoverdracht kunnen bijv. versleutelingstechnieken en virtual private network worden gebruikt. Maatregelen bij het transport van gegevensdragers of gegevensoverdracht moeten transporthouders met sluitmiddelen en regelingen voor een volgens de gegevensbescherming geschikte vernietiging van gegevensdragers.

2.2 Invoercontrole

Maatregelen die garanderen dat later kan worden gecontroleerd en vastgesteld of en door wie persoonsgegevens in de gegevensverwerkingssystemen zijn ingevoerd, gewijzigd of verwijderd. Invoercontrole wordt bereikt door het opstellen van protocollen die op verschillende niveaus (bijv. besturingssysteem, netwerk, firewall, database, toepassing) kunnen plaatsvinden. Daarbij moet verder worden vastgesteld welke gegevens worden geprotocolleerd, wie toegang tot protocollen heeft, door wie en op welk tijdstip deze worden gecontroleerd, hoe lang bewaren nodig is en wanneer het verwijderen van het protocol plaatsvindt.

3. Beschikbaarheid en belastbaarheid (art. 32 alinea 1 lid b GDPR)

3.1 Beschikbaarheidscontrole

Maatregelen die garanderen dat persoonsgegevens zijn beschermd tegen toevallige verstoring of verlies. Hier gaat het om onderwerpen als een onderbrekingsvrije stroomtoevoer, airconditioning, brandbeveiliging, databeveiliging, veilig bewaren van gegevensdragers, virusbescherming, raidsystemen, schijfspiegeling, enz.

4. Procedure voor regelmatige controle, analyse en evaluatie (art. 32 alinea 1 lid d GDPR; art. 25 alinea 1 GDPR)

4.1 Beheer van gegevensbescherming

4.2 Incident-Response-Management

Ondersteuning bij reactie op veiligheidsinbreuken .

4.3 Opdrachtcontrole (outsourcing aan derden)

Maatregelen die garanderen dat persoonsgegevens die in opdracht worden verwerkt, alleen volgens de aanwijzingen van de opdrachtgever kunnen worden verwerkt. Onder dit punt valt naast de gegevensverwerking in opdracht ook het uitvoeren van onderhouds- en systeemondersteuningswerkzaamheden zowel op locatie als op afstand. Voor zover de opdrachtnemer een serviceverlener in de zin van een orderverwerking inzet, moeten de volgende punten steeds met deze worden geregeld.

Een gedetailleerde lijst van de technische en organisatorische maatregelen kan op verzoek worden bekeken in de gebouwen van de TOPMOTIVE Group.