BIJLAGE 10: BEWERKERSOVEREENKOMST

BIJLAGE 10: BEWERKERSOVEREENKOMST

Bewerkersovereenkomst behorend bij de Overeenkomst inkoop Jeugdhulp en WMO “Op weg naar resultaatgericht”

d.d. 26 mei 2016

DE ONDERGETEKENDEN:

De gemeente @@ naam Opdrachtgever @@ ten dezen rechtsgeldig vertegenwoordigd door wethouder H. Xxxxxx, hiertoe gemachtigd door de ingevolge artikel 171 Gemeentewet bevoegde, zijnde de burgemeester;

handelend ter uitvoering van het besluit van het college van burgemeester en wethouders en de burgemeester van de gemeente @@ naam Opdrachtgever @@ van @@ datum besluit @@ hierna te noemen “de Verantwoordelijke”

en

@@ naam Opdrachtnemer @@, statutair gevestigd te @@ correspondentieadres @@ ten deze rechtsgeldig vertegenwoordigd door @@ naam wettelijk vertegenwoordiger @@ en

hierna te noemen ‘de Bewerker’

verklaren, conform het gestelde in en aansluitend op de Overeenkomst inkoop Jeugdhulp en WMO “Op weg naar resultaatgericht”, te zijn overeengekomen een bewerkersovereenkomst als bedoeld in artikel 14, tweede lid, van de Wet bescherming persoonsgegevens (Wbp), tussen de verantwoordelijke en de bewerker.

Artikel 1 Definities

1.1 Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

1.2 Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.

1.3 Bijlagen: mogelijke aanhangsels bij deze overeenkomst, die na door beide partijen te zijn geparafeerd, deel uitmaken van deze overeenkomst.

1.4 Verwerking van persoonsgegevens of het verwerken van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.

1.5 Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

1.6 Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

1.7 Betrokkene: degene op wie een persoonsgegeven betrekking heeft.

1.8 Sub-bewerker: de partij die door Xxxxxxxx wordt ingeschakeld (als bewerker) ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Bewerkersovereenkomst.

1.9 Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.

1.10 Ontvanger: degene aan wie de persoonsgegevens worden verstrekt.

1.11 Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.

1.12 Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens.

1.13 Het College: het College bescherming persoonsgegevens als bedoeld in artikel 51 van de Wbp.

1.14 Normen en standaarden: de door de verantwoordelijke vastgestelde normen en standaards ter zake van methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften voor zover aanwezig, welke bij de uitvoering van de werkzaamheden door de bewerker zullen worden nageleefd. Voorafgaand onderzoek: een onderzoek als bedoeld in artikel 31 van de Wbp.

Artikel 2 Ingangsdatum en duur

2.1 Deze overeenkomst gaat in op het moment van ondertekening en duurt voort zolang de bewerker als bewerker van persoonsgegevens optreedt in het kader van de door de verantwoordelijke ter beschikking gestelde persoonsgegevens:

● ten behoeve van een zo integraal mogelijke dienstverlening op het gebied van maatschappelijke ondersteuning, publieke gezondheid, zorg, onderwijs, welzijn, wonen, werk en inkomen;

● in het kader van de samenwerking met zorgverzekeraars en zorgaanbieders als bedoeld in de Zorgverzekeringswet met het oog op een zo integraal mogelijke dienstverlening;

● ten behoeve van de sociale samenhang, de toegankelijkheid van voorzieningen, diensten en ruimten voor mensen met een beperking te bevorderen, de veiligheid en leefbaarheid in de gemeente te bevorderen, alsmede huiselijk geweld te voorkomen en te bestrijden;

● teneinde de verschillende categorieën van mantelzorgers, en vrijwilligers, zoveel mogelijk in staat te stellen hun taken als mantelzorger of vrijwilliger uit te voeren;

● voor maatwerkvoorzieningen ten behoeve van zelfredzaamheid en/of participatie, beschermd wonen en/of opvang;

● ten behoeve van het maken van statistische- en andere overzichten, voor beleids- of wetenschappelijk onderzoek, voor de interne bedrijfsvoering, de bedrijfsbeveiliging, het behandelen van geschillen en accountantscontrole.

Artikel 3 Onderwerp van deze overeenkomst

3.1 De bewerker verwerkt persoonsgegevens in opdracht van de verantwoordelijke in het kader van de uitvoering van de dienstverlening op het terrein van de Wet Maatschappelijke Ondersteuning 2015 (WMO) en op het terrein van de jeugdhulpverlening op grond van de Jeugdwet.

3.2 Deze bewerkersovereenkomst geeft uitvoering aan de Overeenkomst inkoop Jeugdhulp en WMO “Op weg naar resultaatgericht” .

3.3 De bewerker verbindt zich om in het kader van die werkzaamheden de door de verantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.

3.4 De Wbp legt aan de verantwoordelijke de plicht op om ervoor zorg te dragen dat de bewerker voldoende waarborgen biedt ten aanzien van de technische- en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.

Artikel 4 Naleving wet- en regelgeving

4.1 Het College van Burgemeester en Wethouders is gelet op artikel 1 van de Wbp en de betreffende artikelen van de Jeugdwet en WMO, de verantwoordelijke in de zin van de Wbp.

4.2 Het college heeft een of meer functionarissen aangewezen, belast met het beheer van de binnen het sociaal domein gebruikte gegevens.

4.3 De bewerker verwerkt gegevens ten behoeve van de verantwoordelijke, in overeenstemming met diens instructies en uitsluitend voor de in artikel 2.1 opgenomen doeleinden. In geval van strijdigheid tussen de overeenkomst en de instructies zijn de bepalingen van de overeenkomst van toepassing.

4.4 De bewerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze overeenkomst komt nimmer bij de bewerker te berusten.

4.5 De bewerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 2 genoemde werkzaamheden handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de bescherming van persoonsgegevens. De bewerker verwerkt persoonsgegevens slechts in opdracht van de verantwoordelijke en zal alle redelijke instructies dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen.

4.6 De bewerker zal onverwijld binnen 24 uur na het ontdekken van beveiligingsinbreuken of datalekken deze melden aan de verantwoordelijke.

4.7 Als een inbreuk op de beveiliging of Datalek heeft plaatsgevonden zal de bewerker in overleg met de verantwoordelijke de persoon die de inbreuk betreft informeren als de inbreuk waarschijnlijk negatieve gevolgen heeft voor diens persoonlijke levenssfeer. Aan de betrokkenen wordt de aard van de inbreuk vermeld, maar ook de aanbevolen maatregelen om negatieve gevolgen te voorkomen.

4.8 De bewerker zal de verantwoordelijke te allen tijde en op zijn eerste verzoek onmiddellijk alle persoonsgegevens met betrekking tot deze bewerkersovereenkomst ter hand stellen.

4.9 De bewerker zal alle van de verantwoordelijke afkomstige persoonsgegevens met betrekking tot deze bewerkersovereenkomst op een nader te bepalen wijze vernietigen op het moment van beëindigen van deze overeenkomst, dan wel op uitdrukkelijk verzoek van de verantwoordelijke de gegevens te vernietigen op een nader te bepalen wijze.

4.10 De bewerker stelt de verantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen die op grond van de Wbp, de Jeugdwet en de WMO op haar rusten, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

Artikel 5 Bewaartermijnen en vernietiging persoonsgegevens

5.1 De verantwoordelijke zal bewerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de verwerking van persoonsgegevens door bewerker.

5.2 De bewerker zal de persoonsgegevens niet langer verwerken dan overeenkomstig deze bewaartermijnen.

5.3 De verantwoordelijke verplicht bewerker om de in opdracht van de verantwoordelijke verwerkte persoonsgegevens bij de beëindiging van de bewerkersovereenkomst te (doen) vernietigen, tenzij de persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de verantwoordelijke.

5.4 De verantwoordelijke kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.

5.5 De bewerker zal de verantwoordelijke (schriftelijk of elektronisch) bevestigen dat vernietiging van de verwerkte persoonsgegevens heeft plaatsgevonden.

5.6 De bewerker zal alle sub-bewerkers die betrokken zijn bij de verwerking van de persoonsgegevens op de hoogte stellen van een beëindiging van de bewerkersovereenkomst en zal waarborgen dat alle sub-bewerkers de persoonsgegevens (laten) vernietigen.

Artikel 6 Geheimhouding

6.1 Personen in dienst van, dan wel werkzaam ten behoeve van de bewerker, evenals de bewerker zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht of zijn taak daartoe noodzaakt. De medewerkers van de bewerker tekenen hiertoe een geheimhoudingsverklaring.

6.2 Indien de bewerker op grond van een wettelijke verplichting gegevens dient te verstrekken aan derden, zal de bewerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de bewerker de verantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.

Artikel 7 Beveiligingsmaatregelen

7.1 De bewerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de verantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onzorgvuldig, ondeskundig of ongeoorloofd gebruik. Onderdeel daarvan is het op een juiste wijze (mede) versleutelen van de gegevens en hebben van een adequaat en toegankelijk beveiligingsprotocol.

7.2 De verantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens en de genomen beveiligingsmaatregelen te doen controleren. De bewerker is verplicht de verantwoordelijke of controlerende instantie in opdracht van verantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.

7.3 De verantwoordelijke zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de bewerker.

7.4 De bewerker verbindt zich om binnen een door de verantwoordelijke te bepalen termijn de verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de bewerker van deze overeenkomst. De verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.

7.5 Bewerker staat er voor in, de door de verantwoordelijke of ingeschakelde derde, aangegeven aanbevelingen ter verbetering binnen de daartoe door de verantwoordelijke te bepalen termijn uit te voeren.

7.6 De bewerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze overeenkomst, waaronder de door bewerker genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten daarin.

Artikel 8 Klachtenprocedure betrokkene

8.1 Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Bewerker onverwijld doorgestuurd naar de Verantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek.

8.2 De bewerker verleent de Verantwoordelijke – voor zover redelijkerwijs mogelijk - volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens;

Artikel 9 Inschakeling derden

9.1 De bewerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden (een sub-bewerker) na voorafgaande schriftelijke toestemming van de verantwoordelijke.

9.2 De verantwoordelijke kan aan de schriftelijke toestemming voorwaarden verbinden.

9.3 De bewerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze bewerkersovereenkomst.

9.4 De bewerker verwerkt geen persoonsgegevens buiten een land van de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft gekregen van Verantwoordelijke.

9.5 De bewerker ziet er op toe dat voor zover Persoonsgegevens buiten de Europese Unie worden Verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften. Indien gegevens buiten de Europese Unie worden verwerkt wordt dit in de bijlage aangegeven.

Artikel 10 Wijziging overeenkomst

10.1 Wijziging van deze overeenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.

10.2 Zodra de samenwerking is beëindigd, vernietigt bewerker de persoonsgegevens die hij van de verantwoordelijke heeft ontvangen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. Deze vernietiging moet, binnen nader overeen te komen termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt.

10.3 Deze overeenkomst eindigt, naast met wederzijds goedvinden, slechts wanneer de raamovereenkomst tussen partijen welke aanleiding heeft gegeven tot deze overeenkomst, wordt beëindigd.

Artikel 11 Aansprakelijkheid

11.1 De bewerker is aansprakelijk voor alle schade of nadeel voortvloeiende uit het niet- nakomen van, of in strijd handelen met de bij of krachtens de Wbp gegeven voorschriften en/of het niet-nakomen van, of in strijd handelen met het in deze overeenkomst bepaalde. Onverminderd de aanspraken op grond van wettelijke regels. Bewerker is aansprakelijk voor schade of nadeel voor zover ontstaan door zijn werkzaamheid. Xxxxxxxx is tevens aansprakelijk voor alle schade of nadeel voortvloeiende uit de door zijn werkzaamheid ontstane inbreuken op de persoonlijke levenssfeer van betrokkenen.

11.2 Indien de bewerker tekortschiet in de nakoming van de verplichting uit deze overeenkomst kan verantwoordelijke hem in gebreke stellen. Bewerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de bewerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is bewerker in verzuim.

11.3 De bewerker is tevens aansprakelijk voor het handelen van zijn ondergeschikten en door hem ingeschakelde niet ondergeschikten indien deze personen in strijd handelen met deze overeenkomst op grond van artikel 6:170 en 6:171 BW.

11.4 De bewerker verklaart de persoonlijke gegevens niet aan derden door te geven, uit te lenen, te verkopen of mailing voor derden te verzorgen. Ook mogen de persoonsgegevens niet gebruikt worden voor het exploiteren van eigen media, schriftelijk dan wel via internet.

Artikel 12 Tegenstrijdigheid

12.1 In het geval van tegenstrijdigheid tussen de bepalingen uit deze bewerkersovereenkomst en de bepalingen van de raamovereenkomst, dan zullen de bepalingen van deze bewerkersovereenkomst leidend zijn.

Artikel 13 Toepasselijk recht en bevoegde rechter

13.1 Op deze overeenkomst en op alle geschillen die daaruit voortvloeien of daarmee samenhangen, is het Nederlands recht van toepassing.

13.2 De Nederlandse Rechter te Utrecht is uitsluitend bevoegd kennis te nemen ten aanzien van de geschillen die voortvloeien uit deze overeenkomst.

Artikel 14 Citeertitel

14.1 Deze overeenkomst kan worden aangehaald als ‘Bewerkersovereenkomst uitvoering Overeenkomst inkoop Jeugdhulp en WMO “Op weg naar resultaatgericht”.

ONDERTEKENING:

Dit document is ondertekend te @@ plaatsnaam @@ op @@ datum @@ Namens de Gemeente @@ naam Opdrachtgever @@

Naam: H. Haring

Functie: Wethouder gemeente Woerden

Namens de Opdrachtnemer @@ naam Opdrachtnemer @@ Naam: @@ naam Opdrachtnemer @@

Functie: @@ functie wettelijk vertegenwoordiger @@

Bijlage privacy en beveiligingsmaatregelen

Deze bijlage geeft Partijen informatie over de dienstverlening die bewerker verleent en welke persoonsgegevens de Bewerker daarbij verwerkt. Het betreft hier de vraag “wie, wat, waar, waarom en hoe” wordt omgegaan met de privacy van de betrokken personen wiens gegevens worden uitgewisseld en hoe die is beveiligd.