Verwerkingsverantwoordelijke: De rechtspersoon zoals gespecificeerd onder ‘Bedrijfsnaam’ in het door Opdrachtgever ingediende en ondertekende Technical Intake Formulier.
Verwerker: DeltaSec, gevestigd te Jeneverbes 15, Borne.
Partijen een overeenkomst zijn aangegaan voor de levering van cyber security diensten (de “Hoofdovereenkomst”).
Verwerker in het kader van deze werkzaamheden persoonsgegevens zal verwerken in opdracht van Verwerkingsverantwoordelijke.
Deze overeenkomst voldoet aan de vereisten van artikel 28 van de AVG.
Artikel 1. Doel van de verwerking Verwerker verbindt zich ertoe om persoonsgegevens te verwerken uitsluitend in het kader van de uitvoering van de security werkzaamheden (zoals penetratietesten of audits). Het doel is het identificeren van kwetsbaarheden en het adviseren over de beveiligingsstatus van de systemen zoals opgegeven in het Technical Intake Formulier.
Artikel 2. Instructies en Geheimhouding Verwerker verwerkt gegevens uitsluitend op basis van schriftelijke instructies (waaronder deze overeenkomst en de opdrachtbevestiging). Verwerker waarborgt dat alle personen die toegang hebben tot de gegevens gebonden zijn aan een strikte geheimhoudingsplicht.
Artikel 3. Beveiliging van gegevens Verwerker treft passende technische en organisatorische maatregelen om de gegevens te beschermen. Dit omvat onder meer het gebruik van encryptie (in transit en at rest), sterke toegangscontrole (MFA), en het periodiek testen van de eigen systemen.
Artikel 4. Datalekken en Rechten van Betrokkenen In het geval van een datalek bij Verwerker, zal Verwerker de Verwerkingsverantwoordelijke onverwijld, doch uiterlijk binnen 24 uur na ontdekking, informeren. Verwerker verleent voor zover redelijkerwijs mogelijk bijstand bij verzoeken van betrokkenen die hun AVG-rechten uitoefenen.
Artikel 5. Subverwerkers Verwerkingsverantwoordelijke verleent hierbij een algemene toestemming voor het inschakelen van subverwerkers (zoals cloud- of hostingproviders voor de test-tooling). Verwerker legt aan deze partijen minstens dezelfde verplichtingen op als in deze overeenkomst.
Artikel 6. Audits en Verwijdering Na afronding van de werkzaamheden zal Verwerker de verzamelde persoonsgegevens binnen een redelijke termijn (standaard 30 dagen na rapportage) verwijderen of anonimiseren, tenzij een wettelijke bewaarplicht anders vereist. Verwerker werkt mee aan audits om naleving van deze overeenkomst aan te tonen.
Artikel 7. Geldigheid en Ondertekening Deze Verwerkersovereenkomst vormt een integraal onderdeel van de afspraken tussen Partijen. Door de digitale ondertekening van het Technical Intake Formulier verklaart de Verwerkingsverantwoordelijke zich akkoord met de bepalingen in dit document.
Onderwerp: Het uitvoeren van security audits en penetratietesten.
Aard/Doel: Identificatie van security risico’s door middel van technische analyse.
Categorieën betrokkenen: Gebruikers, medewerkers of klanten die gebruikmaken van de in-scope systemen.
Soorten gegevens: IP-adressen, loggegevens, gebruikersnamen en technische metadata die tijdens het testen onvermijdelijk worden verwerkt.
