1. Voor zover in het kader van het uitvoeren van de werkzaamheden persoonsgegevens worden verwerkt, zullen deze persoonsgegevens op een behoorlijke en zorgvuldige wijze worden verwerkt en overeenkomstig de Wet Bescherming Persoonsgegevens en Algemene Verordening Gegevensbescherming.
2. Technische en organisatorische maatregelen zullen worden getroffen om de persoonsgegevens te beschermen tegen verlies of enige andere vorm van onrechtmatige verwerking, daarbij rekening houdend met de stand van de techniek en de aard van de verwerking.
Begrippen omtrent persoonsgegevens
3. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
4. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
5. Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegevens betrekking hebben.
6. Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (‘Datalek’).
7. Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit persoonsgegevens.
Verwerking persoonsgegevens
8. Wanneer Stichting Papyrus tijdens het uitvoeren van de overeenkomst persoonsgegevens verwerkt, zal Stichting Papyrus de persoonsgegevens op een behoorlijke en zorgvuldige wijze verwerken en zich houden aan de wettelijke voorschriften die volgen uit de Wet Bescherming Persoonsgegevens en Algemene Verordening Gegevensbescherming.
9. Stichting Papyrus informeert de opdrachtgever of de klant binnen vier werkdagen over ieder verzoek en/of iedere klacht van de toezichthoudende autoriteit of de betrokkene ten aanzien van de persoonsgegevens die worden verwerkt bij het uitvoeren van de overeenkomst.
10. Stichting Papyrus verleent medewerking aan de opdrachtgever of de klant wanneer de betrokkene een verzoek indient ter uitoefening van zijn of haar rechten zoals, maar niet beperkt tot, het recht op inzage, verbetering, verwijdering, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen persoonsgegevens.
11. Stichting Papyrus informeert de opdrachtgever of de klant binnen vier werkdagen over ieder rechterlijk bevel, dagvaarding, wettelijke verplichting of anderszins verplichting tot het delen van persoonsgegevens met derden.
12. Stichting Papyrus informeert de opdrachtgever of de klant over het ontdekken van een mogelijk datalek binnen 24 uur na het ontdekken ervan. Stichting Papyrus zal de opdrachtgever of de klant vervolgens op de hoogte houden van nieuwe ontwikkelingen rondom het datalek.
13. Stichting Papyrus zal de volgende informatie verstrekken in geval van een datalek:
a. een gedetailleerde omschrijving van het datalek;
b. type/soort persoonsgegevens betrokken bij het datalek;
c. van hoeveel personen de persoonsgegevens betrokken zijn bij het datalek;
d. de identiteit van de personen betrokken bij het datalek;
e. de getroffen maatregelen om negatieve gevolgen voor de Betrokkenen te beperken en het
datalek te verhelpen;
f. de oorzaak van het datalek;
g. de duur van het datalek en het ontstaansmoment.
De eventuele kosten die gemaakt worden om het datalek op te lossen, komen voor rekening van degene die de kosten maakt, tenzij het datalek is ontstaan door het niet-nakomen van de overeenkomst door Stichting Papyrus, dan komen de kosten voor rekening van Stichting Papyrus. Daarnaast behoudt de opdrachtgever of de klant de mogelijkheid om andere rechtsmiddelen in te schakelen. Communicatie over het datalek zal altijd geschieden in overleg.
Wanneer de overeenkomst tussen Stichting Papyrus en opdrachtgever of de klant eindigt, zal Stichting Papyrus de originele documenten die persoonsgegevens bevatten en die zij heeft verwerkt bij het uitvoeren van de overeenkomst teruggeven aan de opdrachtgever en/of na het verstrijken van de overeengekomen bewaartermijn vernietigen.