Deelnemer is verplicht passende technische en organisatorische maatregelen te nemen om de (bijzondere) persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens), minstens op een niveau dat gelet op de stand van de techniek en de gevoeligheid van de persoonsgegevens redelijk is rekening houdend met de uitvoeringskosten en de waarschijnlijkheid en ernst van de risico’s e.e.a. conform artikel 32 AVG. Voor zover de wet daartoe verplicht, is de Twiin Deelnemer gehouden om zelf een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren. Deelnemer beoordeelt zelf voor de eigen organisatie en de eigen GtK vermoedelijke datalekken zoals bedoeld in artikel 33 AVG. Als uit deze beoordeling blijkt dat één of meer andere Twiin Deelnemers betrokken zijn, zal Deelnemer hen zo snel als redelijkerwijs mogelijk is, informeren over de aard van het datalek, de mogelijke impact van het datalek op de andere Twiin Deelnemers, en/of de betrokkene(n), alsmede de maatregelen die hij heeft genomen of zal nemen om de beveiliging te corrigeren en/of de gevolgen te beperken. Deelnemer zal samenwerken met de andere Twiin Deelnemers om: i) het datalek zo nodig te melden aan de Autoriteit Persoonsgegevens en zo nodig de betrokkenen; en ii) de oorzaak van het datalek te onderzoeken en alle maatregelen nemen die Twiin Deelnemers nodig achten om een vergelijkbaar incident te voorkomen. Artikel 32 AVG: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&qid=1685451198313#art_32 Artikel 33 AVG: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&qid=1685451198313#art_33