Meldplicht datalekken

Inleiding
De Kruijff Machinebouw B.V., gevestigd aan de Zuidergracht 37, 3763 LS Soest en ingeschreven bij de KvK onder 31049908, verwerkt persoonsgegevens voor en in opdracht van de cliënt. De Wet Bescherming persoonsgegevens merkt De Kruijff Machinebouw B.V. daarom aan als ‘bewerker’ en de cliënt aan als ‘verantwoordelijke’, in de zin van deze wet. De Wet Bescherming Persoonsgegevens vereist dat De Kruijff Machinebouw B.V. en de cliënt een bewerkersovereenkomst sluiten. Tevens is uitgelegd hoe De Kruijff Machinebouw B.V. met de wet Meldplicht Datalekken omgaat.

1.1 Bewerkersovereenkomst

Het onderstaande beschouwen wij als een bewerkersovereenkomst:

De Kruijff Machinebouw B.V. en de cliënt verplichten zich hierbij over en weer om de Wet bescherming Persoonsgegevens na te leven en zal de persoonsgegevens slechts verwerken in opdracht van de cliënt om uitvoering te geven aan de overeenkomst. Het is De Kruijff Machinebouw B.V. niet toegestaan de van de cliënt verkregen persoonsgegevens voor andere doeleinden te verwerken dan voor de doeleinden zoals genoemd in de overeenkomst en in deze voorwaarden. Aangezien De Kruijff Machinebouw B.V. de gegevens voor en in opdracht van de cliënt verwerkt, garandeert de cliënt dat de persoonsgegevens verwerkt mogen worden op basis van een in de Wet Bescherming Persoonsgegevens (WBP) genoemde grondslag.

De Kruijff Machinebouw B.V. neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de cliënt te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de WBP. De cliënt is gerechtigd om tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van een audit. De cliënt zal alle kosten in verband met deze controle dragen.

1.2     Wet meldplicht datalekken

Indien blijkt dat bij De Kruijff Machinebouw B.V. sprake is van een datalek (als bedoeld in artikel 34a van de WBP) dat door De Kruijff Machinebouw B.V. gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal De Kruijff Machinebouw B.V. de cliënt daarover zo snel mogelijk informeren nadat De Kruijff Machinebouw B.V. bekend is geworden met het datalek. De Kruijff Machinebouw B.V. probeert aan de Autoriteit Persoonsgegevens en/of de betrokkene(n)direct alle informatie te verstrekken die nodig is voor een volledige melding. De Kruijff Machinebouw B.V. dient en zal dit onverwijld melden bij het Meldloket datalekken Autoriteit Persoonsgegevens. Indien alle benodigde informatie nog niet bekend is (bijvoorbeeld omdat het datalek door De Kruijff Machinebouw B.V. nader wordt onderzocht), zal De Kruijff Machinebouw B.V. in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene verrichten.

Indien de cliënt van De Kruijff Machinebouw B.V. een (voorlopige) melding bij de Autoriteit Persoonsgegevens en/of de betrokkene eist over een datalek bij De Kruijff Machinebouw B.V., terwijl zonder meer voor de cliënt duidelijk is dat er bij De Kruijff Machinebouw B.V. geen sprake is van een datalek als bedoeld in artikel 34a van de WBP, dan is de cliënt aansprakelijk voor alle door De Kruijff Machinebouw B.V. in dat kader geleden schade en kosten (waaronder begrepen de reputatieschade) welke De Kruijff Machinebouw B.V. daardoor leidt. De Kruijff Machinebouw B.V. zal de melding dan direct intrekken.