Plaats voor logo’s>
<Plaats voor logo’s>
Verwerkersovereenkomst <valpreventieaaanpak>
Ondergetekenden:
<organisatie> gevestigd te <plaats>, ten deze rechtsgeldig vertegenwoordigd door <naam rechtsgeldig vertegenwoordiger>, hierna te noemen: “<organisatie>”, optredend als opdrachtgever
En
<organisatie> gevestigd te <plaats>, ten deze rechtsgeldig vertegenwoordigd door <naam rechtsgeldig vertegenwoordiger>, hierna te noemen opdrachtnemer,
Hierna
gezamenlijk te noemen: Partijen;
Overwegende
dat:
Opdrachtgever met Opdrachtnemer op <datum> een Overeenkomst is aangegaan met betrekking tot het uitvoeren van in de offerte gedefinieerde werkzaamheden t.b.v. <valpreventieaanpak> geïnitieerd door bovengenoemde opdrachtgever;
Partijen in samenwerking de activiteiten uitvoeren binnen de afgestemde tijdsplanning;
Krachtens artikel 4 lid 8 AVG is Opdrachtgever de Verantwoordelijke voor de persoonsgegevens en is opdrachtnemer de verwerker;
Partijen wensen in overeenstemming met de AVG hun afspraken over het verwerken van persoonsgegevens door opdrachtnemer als verwerker vast te leggen in deze verwerkersovereenkomst;
Deze verwerkersovereenkomst wordt aangemerkt als een verwerkersovereenkomst in de zin van artikel 28 AVG.
Komen overeen dat:
Artikel 1 Definities
De hierna genoemde begrippen hebben de volgende betekenis:
1.1
Persoonsgegevens:
elk gegeven betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon.
1.2
Verwerking:
elke handeling of elk geheel van handelingen met betrekking tot
Persoonsgegevens, waaronder in ieder geval het verzamelen,
vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiding of enige andere vorm van terbeschikkingstelling,
samenbrengen, met elkaar in verband brengen, alsmede het afschermen,
uitwissen, of vernietigen van gegevens.
1.3
Verwerkersovereenkomst:
deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.
1.4
Betrokkene:
degene op wie een Persoonsgegeven betrekking heeft, i.c. deelnemers
aan <valpreventieaanpak>.
1.5
Datalek:
een inbreuk op de beveiliging, in de zin van artikelen 5 lid 1 sub f,
24, 25, 28, 32 AVG, die leidt tot de aanzienlijke kans op ernstige
nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de
bescherming van persoonsgegevens.
Artikel
2 Aanvang en einde van de verwerkersovereenkomst
2.1 Deze verwerkersovereenkomst treedt niet eerder in werking dan op de datum waarop Partijen
deze verwerkersovereenkomst hebben ondertekend
2.2 Deze verwerkersovereenkomst zal van kracht zijn gedurende de looptijd van <valpreventieaanpak> door de onder 1 genoemde partijen en eindigt alleen dan eerder indien partijen dat overeenkomen.
2.3 Geen van beide Partijen kan deze verwerkersovereenkomst tussentijds opzeggen.
Artikel 3 Onderwerp van deze verwerkersovereenkomst
3.1
Opdrachtnemer verwerkt in opdracht van Opdrachtgever de in Bijlage 1
beschreven Persoonsgegevens van Opdrachtgever.
3.2 Opdrachtnemer zal de persoonsgegevens op behoorlijke en zorgvuldige wijze en in
overeenstemming met de AVG en andere toepasselijke regelgeving betreffende de
Verwerking
van Persoonsgegevens Verwerken.
3.3
Opdrachtnemer
Verwerkt persoonsgegevens slechts in opdracht van Opdrachtgever en
volgt alle instructies van Opdrachtgever dienaangaande op, behoudens
afwijkende wettelijke verplichtingen.
3.4
Opdrachtnemer heeft geen zeggenschap over het doel en de middelen
voor de Verwerking van persoonsgegevens. Voor zover niet anders is
bepaald in deze verwerkersovereenkomst, neemt Opdrachtnemer geen
beslissingen over het gebruik van de Persoonsgegevens, de
verstrekking aan derden en de duur van de opslag van
persoonsgegevens. De zeggenschap over de persoonsgegevens verstrekt
onder deze verwerkersovereenkomst komt nimmer bij Opdrachtnemer te
berusten.
3.5
Opdrachtnemer schakelt geen derden in zonder voorafgaande
schriftelijke toestemming van Opdrachtgever. Opdrachtgever kan de
toestemming om derden in te schakelen aan nadere voorwaarden binden.
Indien Opdrachtnemer met toestemming van opdrachtgever een derde
inschakelt dan is die derde eveneens gebonden aan de verplichtingen
die rusten op de verwerker op grond van deze overeenkomst en de
wettelijke verplichtingen.
3.6
Het is Opdrachtnemer niet toegestaan persoonsgegevens aan anderen dan
Opdrachtgever te verstrekken, tenzij op schriftelijk verzoek van
Opdrachtgever, of met diens schriftelijke toestemming. Opdrachtnemer
is verplicht schriftelijk te bevestigen dat een verstrekking heeft
plaatsgevonden, waarbij hij exact de verstrekte Persoonsgegevens, de
Betrokkene(n), de ontvanger(s) en het moment van verstrekking dient
te beschrijven.
3.7
Indien Opdrachtnemer op grond van een wettelijke verplichting
gegevens dient te verstrekken, verifieert Opdrachtnemer de grondslag
van het verzoek en de identiteit van de verzoeker en informeert hij
onmiddellijk, zo mogelijk voorafgaand aan de verstrekking,
Opdrachtgever ter zake.
3.8
Opdrachtnemer verleent Opdrachtgever volledige medewerking om binnen
de wettelijke termijnen te voldoen aan de verplichtingen op grond van
de AVG, meer in het bijzonder de rechten van Betrokkenen, zoals, maar
niet beperkt tot, een verzoek om inzage, verbetering, aanvulling,
verwijdering of afscherming van persoonsgegevens en het uitvoeren van
een gehonoreerd aangetekend verzet.
3.9. Indien Opdrachtnemer onrechtmatige Verwerkingen of inbreuken op de in artikel 8.1 genoemde beveiligingsmaatregelen signaleert, zal hij Opdrachtgever hierover onmiddellijk inlichten en alle redelijkerwijs benodigde maatregelen treffen om deze en verdere onrechtmatige Verwerkingen of inbreuken te beëindigen, te voorkomen of te beperken een en ander onverminderd de verplichting van Opdrachtnemer om de eventueel door Opdrachtgever daardoor geleden schade te vergoeden.
3.10 Opdrachtnemer informeert Opdrachtgever tijdig en adequaat over een datalek. Hierna houdt
Opdrachtnemer
Opdrachtgever op de hoogte van nieuwe ontwikkelingen rond het
datalek, en van de maatregelen die Opdrachtnemer treft om de gevolgen
van het datalek te beperken en herhaling te voorkomen. Tevens
verleent Opdrachtnemer Opdrachtgever volledige medewerking aan het
voldoen aan de meldplicht van artikelen 12, 33, 34 AVG aan de
Autoriteit Persoonsgegevens en de Betrokkenen. Afspraken over hoe
Opdrachtnemer Opdrachtgever gaat informeren zijn opgenomen in Bijlage
3.
3.11
De eventuele met de in de artikelen 3.8 tot en met 3.10 gemoeide
kosten komen voor rekening van degene die die kosten maakt.
3.12
Onverminderd het bepaalde in artikel 21 van deze overeenkomst en
artikel 82 AVG is Opdrachtnemer aansprakelijk voor een door de
Autoriteit Persoonsgegevens opgelegde bestuurlijke boete dan wel door
Betrokkene(n) of Opdrachtgever geleden schade, voor zover die
bestuurlijke boete respectievelijk die geleden schade het gevolg is
van toerekenbaar tekortschieten in de nakoming van haar
verplichtingen door Opdrachtnemer.
Artikel
4 Blijvende verplichtingen
4.1.
Ook na beëindiging van deze verwerkersovereenkomst geldt dat de
verplichtingen van deze overeenkomst in stand blijven, zoals, maar
niet beperkt tot overdracht, signalering van ongeautoriseerde
verwerkingen en geheimhouding zoals ook beschreven in de artikelen
3.8, 3.9, 3.10 en 9.4 van deze verwerkersovereenkomst.
Artikel
5 Verstrekking persoonsgegevens na beëindiging van de
verwerkersovereenkomst
5.1. Op het moment dat deze verwerkersovereenkomst eindigt, zal Opdrachtnemer al zijn
medewerking verlenen ter zake van de overdracht van de werkzaamheden inzake de verwerking van de persoonsgegevens aan Opdrachtgever of een opvolgende Opdrachtnemer en wel op zodanige wijze dat vanaf het moment dat de overdracht plaatsvindt de continuïteit van de dienstverlening maximaal gewaarborgd blijft, althans niet door handelen of nalaten van Opdrachtnemer wordt belemmerd.
5.2. Verwerker zal binnen 14 dagen na afloop of (tussentijdse) beëindiging van de Overeenkomst alle door haar verwerkte Persoonsgegevens, die verband houden met de dienstverlening aan opdrachtgever, overdragen aan opdrachtgever of, uitsluitend op schriftelijk verzoek van opdrachtgever, vernietigen en schriftelijk aan opdrachtgever bevestigen dat alle Persoonsgegevens terug zijn overgedragen dan wel zijn vernietigd.
Dit geldt voor (op) alle (plaatsen) door Verwerker verwerkte Persoonsgegevens, zoals bijvoorbeeld maar niet beperkt tot (kopieën van) fysieke documenten en (kopieën van) elektronisch vastgelegde Persoonsgegevens (in productiesystemen, mailboxen en fileservers enz.). Opdrachtgever kan een vertegenwoordiger aanwijzen om de vernietiging te controleren en Partijen komen overeen dat opdrachtgever tot controle bij Verwerker kan overgaan.
Artikel
6 Intellectueel eigendom
6.1. Alle (intellectuele) eigendomsrechten, daaronder begrepen auteursrechten en
databankrechten
– de verzameling van persoonsgegevens, kopieën of bewerkingen
daarvan, te allen tijde berusten bij Opdrachtgever of haar
licentiegever(s).
Artikel
7 Beveiliging
7.1 Opdrachtnemer zal de technische en organisatorische beveiligingsmaatregelen implementeren
zoals beschreven in Bijlage 2. Deze maatregelen zullen, met inachtneming van de stand der techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico's die het verwerken van de persoonsgegevens, en de aard daarvan, meebrengen.
7.2 Opdrachtnemer rapporteert 1 keer per jaar, uiterlijk op <datum> opdrachtgever over de
door
Opdrachtnemer genomen maatregelen aangaande de getroffen technische
en organisatorische beveiligingsmaatregelen en eventuele
aandachtspunten daarin.
7.3
De met de rapportage gemoeide kosten zijn voor rekening van
Opdrachtnemer.
7.4
Opdrachtnemer Verwerkt geen persoonsgegevens buiten een lidstaat van
de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk
toestemming heeft verkregen van Opdrachtgever.
Artikel
8 Geheimhouding
8.1
Opdrachtnemer is gehouden tot geheimhouding van alle persoonsgegevens
en informatie die zij als uitvloeisel van deze verwerkersovereenkomst
verwerkt, behoudens in zoverre die persoonsgegevens of informatie
klaarblijkelijk geen geheim of vertrouwelijk karakter hebben, dan wel
reeds algemeen bekend zijn. Opdrachtnemer is bij schending van de
geheimhoudingsverplichting die ingevolge deze verwerkersovereenkomst
op hem en zijn personeel rusten, aan Opdrachtgever een boete
verschuldigd van € 15.000,-- per gebeurtenis en per dag.
8.2
Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk
verzoekt, zal Opdrachtnemer ten aanzien van de daarbij aangeduide
persoonsgegevens of informatie bijzondere maatregelen treffen met het
oog op de geheimhouding daarvan, welke maatregelen onder meer kunnen
inhouden de vernietiging van betrokken persoonsgegevens of informatie
zodra de noodzaak voor Opdrachtnemer om daarvan nog langer kennis te
nemen, is komen te vervallen.
8.3
Opdrachtnemer zal in haar overeenkomsten met het personeel van
Opdrachtnemer bedingen dat door die personen op overeenkomstige wijze
als in artikel 8.1 en 8.2 bepaald geheimhouding zal worden betracht
ten aanzien van alle persoonsgegevens en informatie die zij in het
kader van hun werkzaamheden voor Opdrachtnemer Verwerken.
Opdrachtnemer staat er jegens Opdrachtgever voor in dat de bedoelde
bedingen door de betrokken personen zullen worden nageleefd.
8.4
Na afloop van deze verwerkersovereenkomst blijft dit artikel 8 en de
hierin overeengekomen geheimhouding van kracht.
Artikel
9 Controle
9.1 Opdrachtgever kan op elk door haar gewenst moment controleren dan wel laat op elk door haar
gewenst moment de verwerkingen en de naleving van de overeengekomen technische en
organisatorische beveiligingsmaatregelen van Opdrachtnemer controleren, dan wel die van door
Opdrachtnemer
ingeschakelde derden, en de naleving van de in bijlage 3 genoemde
maatregelen, die nodig zijn om aan de meldplicht, bedoeld in
artikelen 12,33,34 AVG, te voldoen.
9.2
Opdrachtnemer zal alle redelijkerwijs benodigde medewerking verlenen
aan de controle en er voor zorg dragen ook de door hem ingeschakelde
derden hiertoe de redelijkerwijs benodigde medewerking zullen
verlenen.
9.3
Het uitvoeren van een controle zal niet tot een vertraging van de
door Opdrachtnemer in het kader van deze verwerkersovereenkomst te
verrichten werkzaamheden mogen leiden. Indien dat onverhoopt toch het
geval is, zullen Partijen in overleg treden teneinde daarvoor zo snel
mogelijk een oplossing te vinden.
9.4
De met de controle gemoeide kosten zijn voor rekening van
Opdrachtgever tenzij uit de controle blijkt dat Opdrachtnemer is
tekortgeschoten in de nakoming van zijn verplichting(en) uit deze
verwerkersovereenkomst en/of de Overeenkomst.
9.5 Opdrachtnemer voert de door Opdrachtgever aangegeven aanbevelingen ter verbetering uit
binnen
de daartoe door Opdrachtgever te bepalen termijn.
Artikel
10 Uitbesteden werkzaamheden
10.1.
Het is Verwerker zonder voorafgaande specifieke schriftelijke
toestemming van Opdrachtgever niet toegestaan om in het kader van de
Overeenkomst het verwerken van de Persoonsgegevens uit te besteden
aan enige Derde. Indien Verwerker van Opdrachtgever schriftelijke
toestemming krijgt voor het inschakelen van een of meerderde
subverwerker(s) dient Verwerker met de subverwerker(s) een
overeenkomst te sluiten waarbij aan de subverwerker(s) tenminste
dezelfde verplichtingen worden opgelegd als die waaraan Xxxxxxxxx uit
hoofde van deze Verwerkersovereenkomst en de eventuele aanvullende
verplichtingen uit onderzoek moet voldoen. Ook in geval van
inschakeling van (een) subverwerker(s) blijft Verwerker jegens
Opdrachtgever te allen tijde onverkort verantwoordelijk voor het
verwerken van Persoonsgegevens conform deze Verwerkersovereenkomst,
alsmede aansprakelijk voor eventuele schade bij niet nakoming.
10.2. De Subverwerker legt aan de medewerkers dezelfde verplichtingen inclusief de geheimhoudingsverplichtingen op die gelden voor de verwerker.
Artikel
11 Slotbepalingen
11.1
Afwijkingen van deze verwerkersovereenkomst zijn slechts bindend voor
zover zij uitdrukkelijk tussen Partijen schriftelijk zijn
overeengekomen.
11.2 Algemene leveringsvoorwaarden dan wel andere algemene of bijzondere voorwaarden van
Opdrachtnemer zijn niet van toepassing op deze verwerkersovereenkomst en worden door
Opdrachtgever uitdrukkelijk van de hand gewezen.
Aldus overeengekomen en in tweevoud ondertekend,
<plaats>, <datum> <plaats>, <datum>
<organisatie opdrachtgever> <organisatie opdrachtnemer>
<naam rechtsgeldig vertegenwoordiger> <naam rechtsgeldig vertegenwoordiger>
<functie> <functie>
Bijlage(n):
- Bijlage 1: De verwerking van persoonsgegevens
- Bijlage 2: Passende technische en organisatorische maatregelen
- Bijlage 3: Maatregelen in verband met de meldplicht datalekken
Bijlage
1 verwerkersovereenkomst
De verwerking van persoonsgegevens
Aan Verantwoordelijke is overeenkomstig de AVG en artikel 7 van de verwerkersovereenkomst de verplichting opgelegd vast te leggen voor welk doel, welk type gegevens op welke manier worden verwerkt.
Doel:
<beschrijving doel>
Type gegevens:
<beschrijving gegevens>
Verwerking:
<beschrijving verwerking>
Bijlage
2 Verwerkersovereenkomst
Passende technische en organisatorische
maatregelen
Aan verwerker is overeenkomstig artikel 28 AVG van de verwerkersovereenkomst de verplichting opgelegd adequate technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van persoonsgegevens.
Maatregelen om te waarborgen dat uitsluitend bevoegd personeel toegang heeft tot de verwerking van de persoonsgegevens.
<beschrijving
maatregelen>
Handelingen die deze medewerker uitvoert met de persoonsgegevens
<beschrijving handelingen>
Overige technische en organisatorische maatregelen
<beschrijving
overige maatregelen>
Bijlage
3 verwerkersovereenkomst
Maatregelen in verband met de
meldplicht datalekken
Indien zich onverhoopt een datalek voordoet zal de verwerker dit onverwijld melden aan de verantwoordelijke. Onverwijld betekent in dit geval binnen 24 uur nadat het incident zich voordoet en het incident bekend is bij de verwerker. Dit in verband met de verplichting van de verantwoordelijke een datalek binnen 72 uur te melden aan de Autoriteit Persoonsgegevens.
Per incident zal de verwerker alle benodigde gegevens conform beschrijving van de melding datalekken van de Autoriteit Persoonsgegevens aan de verantwoordelijke verstrekken. De verwerker zal de verantwoordelijke schriftelijk informeren omtrent het datalek.
Indien zich ontwikkelingen voordoen bij de verwerker omtrent het datalek, dan zal de verwerker dit eveneens onverwijld melden aan de verantwoordelijke.
De verwerker is verplicht en verantwoordelijk voor het nemen van passende maatregelen ter voorkoming van verdere datalekken en/of schade als gevolg van een datalek;
Ook indien de verwerker zich conform de verplichtingen op grond van de AVG omtrent de datalekken gedraagt is ook de verwerker zelfstandig aansprakelijk voor de naleving van de verplichtingen op grond van de AVG.
Voorbeelden van datalekken zijn:
het kwijtraken van informatiedragers zoals laptops, usbsticks, tablets, papieren documenten, overzichten in software etc.;
het onbevoegd kennis nemen van de informatie op enige informatiedrager;
het als gevolg van een hack verliezen of beschadigen van informatie;
het onbevoegd kopiëren van informatie;
onbevoegde kennisname of een andere inbreuk op de geheimhoudingsverplichting als gevolg van malware;
een calamiteit zoals brand of andere schade in een datacentrum.