Overeenkomst tussen verantwoordelijke voor de verwerking en verwerker
Overeenkomst tussen verantwoordelijke voor de verwerking en verwerker
Tussen,
XXXX
de Verantwoordelijke voor de verwerking,
en
XXXX
hierna genoemd de Xxxxxxxxx,
wordt overeengekomen hetgeen volgt.
Voorafgaandelijke bepaling:
De Verantwoordelijke voor de verwerking beschikt over persoonsgegevens, waarvan hij bepaalde aspecten van de verwerking wil toevertrouwen aan de Verwerker.
Deze overeenkomst strekt ertoe om de uitvoering en de organisatie van die verwerking door de Verwerker, te regelen.
Artikel 1: voorwerp van de overeenkomst
De Verwerker handelt uitsluitend in opdracht van de Verantwoordelijke voor de verwerking.
Overeenkomstig de instructies van de Verantwoordelijke voor de verwerking en de bepalingen van deze overeenkomst zal de Verwerker ten behoeve van de Verantwoordelijke voor de verwerking enkel persoonsgegevens verwerken voor de volgende doeleinden (ook gekend als finaliteit):
“omschrijving doeleinden en bijhorende wettelijke basis” (wetten, decreten, KB's, BVR's, machtigingen etc)
eventueel opsomming over welke concrete persoonsgegevens / datasets het gaat
Artikel 2: Naleving van de Wet verwerking persoonsgegevens
Partijen
verbinden
er
zich
principieel
en
uitdrukkelijk
toe
om
de
bepalingen
van
de
Europese
verordening 2016/679 ( beter gekend als de “EU General Data
Protection Regulation “)
tot
bescherming
van
de
persoonlijke
levenssfeer
ten
opzichte
van
de
verwerking
van
persoonsgegevens
na
te
leven.
Artikel 3: Onderaanneming
Behoudens schriftelijk akkoord van de Verantwoordelijke voor de verwerking, is het de Verwerker verboden het geheel of een onderdeel van de hem toevertrouwde verwerking in onderaanneming door een derde te laten uitvoeren. (nvdr: belangrijk: vaak gebeurt dat immers)
De Verwerker is gehouden iedere door de Verantwoordelijke voor de verwerking toegestane onderaannemer dezelfde verplichtingen wat betreft de bescherming van persoonsgegevens op te leggen als diegene die hem overeenkomstig huidige overeenkomst worden opgelegd.
Artikel 4: Terbeschikkingstelling van de gegevens
Enkel de persoonsgegevens “oplijsten” die strikt noodzakelijk zijn voor de uitvoering van “omschrijving doel” van de Verwerker mogen en kunnen door de Verwerker worden verwerkt.
Artikel 5: Gebruik van de persoonsgegevens
De gegevens mogen door de Verwerker enkel worden verwerkt voor doeleinden omschreven in deze overeenkomst. Dit houdt de principiële verplichting in om de gegevens enkel intern te gebruiken of deze in opdracht van de Verantwoordelijke voor de Verwerking door te sturen naar “naam”.
De mededeling ervan aan derden, op welke wijze dan ook (door middel van doorzending, verspreiding, publicatie of op enigerlei andere wijze) is verboden, tenzij dit door of krachtens de wet wordt opgelegd. Elke wettelijke verplichte mededeling van de persoonsgegevens, die het voorwerp zijn van deze overeenkomst, aan derden moet door de Verwerker, indien mogelijk vooraf, ter kennis worden gebracht van de Verantwoordelijke van de verwerking.
Het is de Verwerker verboden om van de ter beschikking gestelde gegevens een kopie te maken, behoudens met het oog op een back-up, tenzij dit noodzakelijk is voor het uitvoeren van de opdracht zoals omschreven in deze overeenkomst.
De Verwerker zal de gegevens niet langer bewaren dan noodzakelijk is voor het verrichten van de dienst waarvoor ze ter beschikking worden gesteld. Zijn de gegevens hierna niet meer nodig, dan zal de Verwerker ze uitwissen dan wel terugbezorgen aan de Verantwoordelijke voor de verwerking.
Artikel 6: Beveiliging
De Verwerker verbindt er zich toe de gepaste technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen. In het bijzonder zal de Verwerker de persoonsgegevens beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang en elke andere vorm van onwettige verwerking.
De Verwerker verbindt er zich toe de referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens opgesteld door de Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL) / Vlaamse Toezichtcommissie (VTC) na te leven.
URL: xxxx://xxx.xxxxx.xx/xxxx/XXX_XXXXXXXXXX_xxxxxxxxxxxxxxxxxxxxx-xx-00.xxx
De Verwerker zal de Verantwoordelijke voor de verwerking een beschrijving overmaken van de technische maatregelen die hij ten uitvoer heeft gelegd om de persoonsgegevens te beveiligen tegen vernietiging, verlies, vervalsing en niet-toegelaten verspreiding of toegang. Deze beschrijving zal als bijlage 1 bij deze overeenkomst worden gevoegd.
Artikel 7: Fysische toegangsbeperking
De Verwerker zal ervoor zorgen dat de plaatsen waar ten behoeve van de Verantwoordelijke voor de verwerking persoonsgegevens worden verwerkt, niet toegankelijk zijn voor onbevoegden. Daartoe zal hij onder meer de nodige organisatorische maatregelen nemen.
Artikel 8: Functionele toegangsbeperking
De Verwerker zal de toegang tot de verwerkte persoonsgegevens beperken tot die nominatieve personeelsleden die de gegevens nodig hebben om de taken uit te oefenen die de verwerker hen in uitvoering van deze overeenkomst toewijst. Daartoe zal de Verwerker aan de Verantwoordelijke voor de verwerking een lijst bezorgen van de diensten of afdelingen (nvdr: geen namen) die betrokken zijn bij de verwerking van de betrokken persoonsgegevens.
Deze lijst zal als bijlage 2 bij deze overeenkomst worden gevoegd.
De Verwerker verbindt er zich toe om zijn personeelsleden uitdrukkelijk op te leggen de bepalingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens na te leven.
Artikel 9: Voorlichting
De Verwerker verbindt er zich toe om de personen die overeenkomstig deze overeenkomst toegang hebben tot de gegevens, in kennis te stellen van de bepalingen van de bovenvermelde EU GDPR..
Artikel 10: Controle door de verantwoordelijke
De Verantwoordelijke voor de verwerking heeft op elk ogenblik het recht om de naleving van deze overeenkomst te controleren. Daartoe heeft hij het recht om zich ter plaatse te begeven in de lokalen of plaatsen waar de Verwerker de gegevensverwerking uitvoert.
Op eenvoudig verzoek van de Verantwoordelijke voor de verwerking is de Verwerker ertoe gehouden alle inlichtingen die van belang zijn bij de uitvoering van deze overeenkomst over te maken aan de Verantwoordelijke voor de verwerking.
Artikel 11: Aansprakelijkheid
De Verwerker is alleen en volledig aansprakelijk voor de schade die voortvloeit uit zijn niet-naleven van de bepalingen van deze overeenkomst en haar bijlagen.
Indien de Verantwoordelijke voor de verwerking door een betrokkene wordt aangesproken in schadevergoeding, zal de Verwerker, op eenvoudig verzoek van de Verantwoordelijke voor de verwerking, in de procedure tussenkomen teneinde de Verantwoordelijke voor de verwerking te vrijwaren.
Gedaan te ………… op ……………,
In zoveel exemplaren als er partijen zijn
Voor “naam Verantwoordelijke voor de verwerking”,
“naam”
“titel”
Voor “naam Verwerker”
“naam”
“titel”
Bijlage 1: Beschrijving van de technische maatregelen die de verwerker ten uitvoer legt
om de persoonsgegevens te beveiligen tegen vernietiging, verlies,
vervalsing en niet-toegelaten verspreiding of toegang.
Bijlage 2: Lijst van de diensten of afdelingen die betrokken zijn bij de verwerking van de betrokken persoonsgegevens.
5/5