Plaats voor logo’s>

<Plaats voor logo’s>

Verwerkersovereenkomst <valpreventieaaanpak>

Ondergetekenden:

1. <organisatie> gevestigd te <plaats>, ten deze rechtsgeldig vertegenwoordigd door <naam rechtsgeldig vertegenwoordiger>, hierna te noemen: “<organisatie>”, optredend als opdrachtgever

En

2. <organisatie> gevestigd te <plaats>, ten deze rechtsgeldig vertegenwoordigd door <naam rechtsgeldig vertegenwoordiger>, hierna te noemen opdrachtnemer,
   
   
   

Hierna gezamenlijk te noemen: Partijen;

Overwegende dat:

• Opdrachtgever met Opdrachtnemer op <datum> een Overeenkomst is aangegaan met betrekking tot het uitvoeren van in de offerte gedefinieerde werkzaamheden t.b.v. <valpreventieaanpak> geïnitieerd door bovengenoemde opdrachtgever;

• Partijen in samenwerking de activiteiten uitvoeren binnen de afgestemde tijdsplanning;

• Krachtens artikel 4 lid 8 AVG is Opdrachtgever de Verantwoordelijke voor de persoonsgegevens en is opdrachtnemer de verwerker;

• Partijen wensen in overeenstemming met de AVG hun afspraken over het verwerken van persoonsgegevens door opdrachtnemer als verwerker vast te leggen in deze verwerkersovereenkomst;

• Deze verwerkersovereenkomst wordt aangemerkt als een verwerkersovereenkomst in de zin van artikel 28 AVG.

Komen overeen dat:

Artikel 1 Definities

De hierna genoemde begrippen hebben de volgende betekenis:

1.1 Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.2 Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens.

1.3 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.

1.4 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft, i.c. deelnemers aan <valpreventieaanpak>.

1.5 Datalek: een inbreuk op de beveiliging, in de zin van artikelen 5 lid 1 sub f, 24, 25, 28, 32 AVG, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

Artikel 2 Aanvang en einde van de verwerkersovereenkomst

2.1 Deze verwerkersovereenkomst treedt niet eerder in werking dan op de datum waarop Partijen

deze verwerkersovereenkomst hebben ondertekend

2.2 Deze verwerkersovereenkomst zal van kracht zijn gedurende de looptijd van <valpreventieaanpak> door de onder 1 genoemde partijen en eindigt alleen dan eerder indien partijen dat overeenkomen.

2.3 Geen van beide Partijen kan deze verwerkersovereenkomst tussentijds opzeggen.

Artikel 3 Onderwerp van deze verwerkersovereenkomst

3.1 Opdrachtnemer verwerkt in opdracht van Opdrachtgever de in Bijlage 1 beschreven Persoonsgegevens van Opdrachtgever.

3.2 Opdrachtnemer zal de persoonsgegevens op behoorlijke en zorgvuldige wijze en in

overeenstemming met de AVG en andere toepasselijke regelgeving betreffende de

Verwerking van Persoonsgegevens Verwerken.

3.3 Opdrachtnemer Verwerkt persoonsgegevens slechts in opdracht van Opdrachtgever en volgt alle instructies van Opdrachtgever dienaangaande op, behoudens afwijkende wettelijke verplichtingen.

3.4 Opdrachtnemer heeft geen zeggenschap over het doel en de middelen voor de Verwerking van persoonsgegevens. Voor zover niet anders is bepaald in deze verwerkersovereenkomst, neemt Opdrachtnemer geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze verwerkersovereenkomst komt nimmer bij Opdrachtnemer te berusten.

3.5 Opdrachtnemer schakelt geen derden in zonder voorafgaande schriftelijke toestemming van Opdrachtgever. Opdrachtgever kan de toestemming om derden in te schakelen aan nadere voorwaarden binden. Indien Opdrachtnemer met toestemming van opdrachtgever een derde inschakelt dan is die derde eveneens gebonden aan de verplichtingen die rusten op de verwerker op grond van deze overeenkomst en de wettelijke verplichtingen.

3.6 Het is Opdrachtnemer niet toegestaan persoonsgegevens aan anderen dan Opdrachtgever te verstrekken, tenzij op schriftelijk verzoek van Opdrachtgever, of met diens schriftelijke toestemming. Opdrachtnemer is verplicht schriftelijk te bevestigen dat een verstrekking heeft plaatsgevonden, waarbij hij exact de verstrekte Persoonsgegevens, de Betrokkene(n), de ontvanger(s) en het moment van verstrekking dient te beschrijven.

3.7 Indien Opdrachtnemer op grond van een wettelijke verplichting gegevens dient te verstrekken, verifieert Opdrachtnemer de grondslag van het verzoek en de identiteit van de verzoeker en informeert hij onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, Opdrachtgever ter zake.

3.8 Opdrachtnemer verleent Opdrachtgever volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

3.9. Indien Opdrachtnemer onrechtmatige Verwerkingen of inbreuken op de in artikel 8.1 genoemde beveiligingsmaatregelen signaleert, zal hij Opdrachtgever hierover onmiddellijk inlichten en alle redelijkerwijs benodigde maatregelen treffen om deze en verdere onrechtmatige Verwerkingen of inbreuken te beëindigen, te voorkomen of te beperken een en ander onverminderd de verplichting van Opdrachtnemer om de eventueel door Opdrachtgever daardoor geleden schade te vergoeden.

3.10 Opdrachtnemer informeert Opdrachtgever tijdig en adequaat over een datalek. Hierna houdt

Opdrachtnemer Opdrachtgever op de hoogte van nieuwe ontwikkelingen rond het datalek, en van de maatregelen die Opdrachtnemer treft om de gevolgen van het datalek te beperken en herhaling te voorkomen. Tevens verleent Opdrachtnemer Opdrachtgever volledige medewerking aan het voldoen aan de meldplicht van artikelen 12, 33, 34 AVG aan de Autoriteit Persoonsgegevens en de Betrokkenen. Afspraken over hoe Opdrachtnemer Opdrachtgever gaat informeren zijn opgenomen in Bijlage 3.

3.11 De eventuele met de in de artikelen 3.8 tot en met 3.10 gemoeide kosten komen voor rekening van degene die die kosten maakt.

3.12 Onverminderd het bepaalde in artikel 21 van deze overeenkomst en artikel 82 AVG is Opdrachtnemer aansprakelijk voor een door de Autoriteit Persoonsgegevens opgelegde bestuurlijke boete dan wel door Betrokkene(n) of Opdrachtgever geleden schade, voor zover die bestuurlijke boete respectievelijk die geleden schade het gevolg is van toerekenbaar tekortschieten in de nakoming van haar verplichtingen door Opdrachtnemer.

Artikel 4 Blijvende verplichtingen

4.1. Ook na beëindiging van deze verwerkersovereenkomst geldt dat de verplichtingen van deze overeenkomst in stand blijven, zoals, maar niet beperkt tot overdracht, signalering van ongeautoriseerde verwerkingen en geheimhouding zoals ook beschreven in de artikelen 3.8, 3.9, 3.10 en 9.4 van deze verwerkersovereenkomst.

Artikel 5 Verstrekking persoonsgegevens na beëindiging van de verwerkersovereenkomst

5.1. Op het moment dat deze verwerkersovereenkomst eindigt, zal Opdrachtnemer al zijn

medewerking verlenen ter zake van de overdracht van de werkzaamheden inzake de verwerking van de persoonsgegevens aan Opdrachtgever of een opvolgende Opdrachtnemer en wel op zodanige wijze dat vanaf het moment dat de overdracht plaatsvindt de continuïteit van de dienstverlening maximaal gewaarborgd blijft, althans niet door handelen of nalaten van Opdrachtnemer wordt belemmerd.

5.2. Verwerker zal binnen 14 dagen na afloop of (tussentijdse) beëindiging van de Overeenkomst alle door haar verwerkte Persoonsgegevens, die verband houden met de dienstverlening aan opdrachtgever, overdragen aan opdrachtgever of, uitsluitend op schriftelijk verzoek van opdrachtgever, vernietigen en schriftelijk aan opdrachtgever bevestigen dat alle Persoonsgegevens terug zijn overgedragen dan wel zijn vernietigd.

Dit geldt voor (op) alle (plaatsen) door Verwerker verwerkte Persoonsgegevens, zoals bijvoorbeeld maar niet beperkt tot (kopieën van) fysieke documenten en (kopieën van) elektronisch vastgelegde Persoonsgegevens (in productiesystemen, mailboxen en fileservers enz.). Opdrachtgever kan een vertegenwoordiger aanwijzen om de vernietiging te controleren en Partijen komen overeen dat opdrachtgever tot controle bij Verwerker kan overgaan.

Artikel 6 Intellectueel eigendom

6.1. Alle (intellectuele) eigendomsrechten, daaronder begrepen auteursrechten en

databankrechten – de verzameling van persoonsgegevens, kopieën of bewerkingen daarvan, te allen tijde berusten bij Opdrachtgever of haar licentiegever(s).

Artikel 7 Beveiliging

7.1 Opdrachtnemer zal de technische en organisatorische beveiligingsmaatregelen implementeren

zoals beschreven in Bijlage 2. Deze maatregelen zullen, met inachtneming van de stand der techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico's die het verwerken van de persoonsgegevens, en de aard daarvan, meebrengen.

7.2 Opdrachtnemer rapporteert 1 keer per jaar, uiterlijk op <datum> opdrachtgever over de

door Opdrachtnemer genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten daarin.

7.3 De met de rapportage gemoeide kosten zijn voor rekening van Opdrachtnemer.

7.4 Opdrachtnemer Verwerkt geen persoonsgegevens buiten een lidstaat van de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Opdrachtgever.

Artikel 8 Geheimhouding

8.1 Opdrachtnemer is gehouden tot geheimhouding van alle persoonsgegevens en informatie die zij als uitvloeisel van deze verwerkersovereenkomst verwerkt, behoudens in zoverre die persoonsgegevens of informatie klaarblijkelijk geen geheim of vertrouwelijk karakter hebben, dan wel reeds algemeen bekend zijn. Opdrachtnemer is bij schending van de geheimhoudingsverplichting die ingevolge deze verwerkersovereenkomst op hem en zijn personeel rusten, aan Opdrachtgever een boete verschuldigd van € 15.000,-- per gebeurtenis en per dag.

8.2 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Opdrachtnemer ten aanzien van de daarbij aangeduide persoonsgegevens of informatie bijzondere maatregelen treffen met het oog op de geheimhouding daarvan, welke maatregelen onder meer kunnen inhouden de vernietiging van betrokken persoonsgegevens of informatie zodra de noodzaak voor Opdrachtnemer om daarvan nog langer kennis te nemen, is komen te vervallen.

8.3 Opdrachtnemer zal in haar overeenkomsten met het personeel van Opdrachtnemer bedingen dat door die personen op overeenkomstige wijze als in artikel 8.1 en 8.2 bepaald geheimhouding zal worden betracht ten aanzien van alle persoonsgegevens en informatie die zij in het kader van hun werkzaamheden voor Opdrachtnemer Verwerken. Opdrachtnemer staat er jegens Opdrachtgever voor in dat de bedoelde bedingen door de betrokken personen zullen worden nageleefd.

8.4 Na afloop van deze verwerkersovereenkomst blijft dit artikel 8 en de hierin overeengekomen geheimhouding van kracht.

Artikel 9 Controle

9.1 Opdrachtgever kan op elk door haar gewenst moment controleren dan wel laat op elk door haar

gewenst moment de verwerkingen en de naleving van de overeengekomen technische en

organisatorische beveiligingsmaatregelen van Opdrachtnemer controleren, dan wel die van door

Opdrachtnemer ingeschakelde derden, en de naleving van de in bijlage 3 genoemde maatregelen, die nodig zijn om aan de meldplicht, bedoeld in artikelen 12,33,34 AVG, te voldoen.

9.2 Opdrachtnemer zal alle redelijkerwijs benodigde medewerking verlenen aan de controle en er voor zorg dragen ook de door hem ingeschakelde derden hiertoe de redelijkerwijs benodigde medewerking zullen verlenen.

9.3 Het uitvoeren van een controle zal niet tot een vertraging van de door Opdrachtnemer in het kader van deze verwerkersovereenkomst te verrichten werkzaamheden mogen leiden. Indien dat onverhoopt toch het geval is, zullen Partijen in overleg treden teneinde daarvoor zo snel mogelijk een oplossing te vinden.

9.4 De met de controle gemoeide kosten zijn voor rekening van Opdrachtgever tenzij uit de controle blijkt dat Opdrachtnemer is tekortgeschoten in de nakoming van zijn verplichting(en) uit deze verwerkersovereenkomst en/of de Overeenkomst.

9.5 Opdrachtnemer voert de door Opdrachtgever aangegeven aanbevelingen ter verbetering uit

binnen de daartoe door Opdrachtgever te bepalen termijn.

Artikel 10 Uitbesteden werkzaamheden

10.1. Het is Verwerker zonder voorafgaande specifieke schriftelijke toestemming van Opdrachtgever niet toegestaan om in het kader van de Overeenkomst het verwerken van de Persoonsgegevens uit te besteden aan enige Derde. Indien Verwerker van Opdrachtgever schriftelijke toestemming krijgt voor het inschakelen van een of meerderde subverwerker(s) dient Verwerker met de subverwerker(s) een overeenkomst te sluiten waarbij aan de subverwerker(s) tenminste dezelfde verplichtingen worden opgelegd als die waaraan Xxxxxxxxx uit hoofde van deze Verwerkersovereenkomst en de eventuele aanvullende verplichtingen uit onderzoek moet voldoen. Ook in geval van inschakeling van (een) subverwerker(s) blijft Verwerker jegens Opdrachtgever te allen tijde onverkort verantwoordelijk voor het verwerken van Persoonsgegevens conform deze Verwerkersovereenkomst, alsmede aansprakelijk voor eventuele schade bij niet nakoming.

10.2. De Subverwerker legt aan de medewerkers dezelfde verplichtingen inclusief de geheimhoudingsverplichtingen op die gelden voor de verwerker.

Artikel 11 Slotbepalingen

11.1 Afwijkingen van deze verwerkersovereenkomst zijn slechts bindend voor zover zij uitdrukkelijk tussen Partijen schriftelijk zijn overeengekomen.

11.2 Algemene leveringsvoorwaarden dan wel andere algemene of bijzondere voorwaarden van

Opdrachtnemer zijn niet van toepassing op deze verwerkersovereenkomst en worden door

Opdrachtgever uitdrukkelijk van de hand gewezen.

Aldus overeengekomen en in tweevoud ondertekend,

<plaats>, <datum> <plaats>, <datum>

<organisatie opdrachtgever> <organisatie opdrachtnemer>

<naam rechtsgeldig vertegenwoordiger> <naam rechtsgeldig vertegenwoordiger>

<functie> <functie>

Bijlage(n):

- Bijlage 1: De verwerking van persoonsgegevens

- Bijlage 2: Passende technische en organisatorische maatregelen

- Bijlage 3: Maatregelen in verband met de meldplicht datalekken

Bijlage 1 verwerkersovereenkomst
De verwerking van persoonsgegevens

Aan Verantwoordelijke is overeenkomstig de AVG en artikel 7 van de verwerkersovereenkomst de verplichting opgelegd vast te leggen voor welk doel, welk type gegevens op welke manier worden verwerkt.

Doel:

<beschrijving doel>

Type gegevens:

<beschrijving gegevens>

Verwerking:

<beschrijving verwerking>

Bijlage 2 Verwerkersovereenkomst
Passende technische en organisatorische maatregelen

Aan verwerker is overeenkomstig artikel 28 AVG van de verwerkersovereenkomst de verplichting opgelegd adequate technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van persoonsgegevens.

1. Maatregelen om te waarborgen dat uitsluitend bevoegd personeel toegang heeft tot de verwerking van de persoonsgegevens.

<beschrijving maatregelen>

2. Handelingen die deze medewerker uitvoert met de persoonsgegevens

<beschrijving handelingen>

3. Overige technische en organisatorische maatregelen

<beschrijving overige maatregelen>

Bijlage 3 verwerkersovereenkomst
Maatregelen in verband met de meldplicht datalekken

1. Indien zich onverhoopt een datalek voordoet zal de verwerker dit onverwijld melden aan de verantwoordelijke. Onverwijld betekent in dit geval binnen 24 uur nadat het incident zich voordoet en het incident bekend is bij de verwerker. Dit in verband met de verplichting van de verantwoordelijke een datalek binnen 72 uur te melden aan de Autoriteit Persoonsgegevens.
   
   
   

2. Per incident zal de verwerker alle benodigde gegevens conform beschrijving van de melding datalekken van de Autoriteit Persoonsgegevens aan de verantwoordelijke verstrekken. De verwerker zal de verantwoordelijke schriftelijk informeren omtrent het datalek.
   
   
   

3. Indien zich ontwikkelingen voordoen bij de verwerker omtrent het datalek, dan zal de verwerker dit eveneens onverwijld melden aan de verantwoordelijke.
   
   
   

4. De verwerker is verplicht en verantwoordelijk voor het nemen van passende maatregelen ter voorkoming van verdere datalekken en/of schade als gevolg van een datalek;
   
   
   

5. Ook indien de verwerker zich conform de verplichtingen op grond van de AVG omtrent de datalekken gedraagt is ook de verwerker zelfstandig aansprakelijk voor de naleving van de verplichtingen op grond van de AVG.
   
   
   

Voorbeelden van datalekken zijn:

• het kwijtraken van informatiedragers zoals laptops, usbsticks, tablets, papieren documenten, overzichten in software etc.;

• het onbevoegd kennis nemen van de informatie op enige informatiedrager;

• het als gevolg van een hack verliezen of beschadigen van informatie;

• het onbevoegd kopiëren van informatie;

• onbevoegde kennisname of een andere inbreuk op de geheimhoudingsverplichting als gevolg van malware;

• een calamiteit zoals brand of andere schade in een datacentrum.