GEZAMENLIJK VERANTWOORDELIJKENOVEREENKOMST






GEZAMENLIJK VERANTWOORDELIJKENOVEREENKOMST

Datum: [X]


Partijen:

de publiekrechtelijke rechtspersoon als bedoeld in art. 1.8, tweede lid, xxx xx Xxx op het hoger onderwijs en wetenschappelijk onderzoek (WHW) Technische Universiteit Delft, gevestigd aan de Stevinweg 1 aldaar, als gevolg van art. 9.2, derde lid, van de WHW vertegenwoordigd door de voorzitter van het College van Bestuur, die op zijn beurt [XXXX], heeft gemachtigd om deze overeenkomst namens de TU Delft te ondertekenen,


[Bedrijf X], gevestigd aan het [Adres] te [Plaats] en ingeschreven in het handelsregister van de Ka- mer van Koophandel onder nummer [nummer], te dezen rechtsgeldig vertegenwoordigd door [Xxxxx- xxxxxxxxxxxx], hierna te noemen [“X”],


en


[Bedrijf X], gevestigd aan het [Adres] te [Plaats] en ingeschreven in het handelsregister van de Ka- mer van Koophandel onder nummer [nummer], te dezen rechtsgeldig vertegenwoordigd door [Xxxxx- xxxxxxxxxxxx], hierna te noemen [“X”],


en


[Bedrijf X], gevestigd aan het [Adres] te [Plaats] en ingeschreven in het handelsregister van de Ka- mer van Koophandel onder nummer [nummer], te dezen rechtsgeldig vertegenwoordigd door [Xxxxx- xxxxxxxxxxxx], hierna te noemen [“X”],


hierna gezamenlijk te noemen de “Partijen” en afzonderlijk “Partij”,


in aanmerking nemende dat:

  • Partijen in het kader van het in Bijlage 1 gespecificeerde project wensen samen te werken;

  • Partijen voor deze samenwerking op <DATUM> een Hoofdovereenkomst hebben gesloten of geza- menlijk met deze Overeenkomst wensen te sluiten met kenmerk <KENMERK VAN DE HOOFDOVEREENKOMST> met betrekking tot <ONDERWERP VAN DE HOOFDOVEREENKOMST>;

  • Bij deze samenwerking Persoonsgegevens verwerkt zullen worden en tussen Partijen gedeeld;

  • Partijen gezamenlijk het doel en de middelen van de verwerking(en) vaststellen en derhalve geza- menlijk verwerkingsverantwoordelijken zijn in de zin van artikel 26 AVG en niet over en weer elkaars Verwerker zijn;

  • Partijen, in het kader van een zorgvuldige Verwerking van Persoonsgegevens, afspraken wensen te maken over de Verwerking van Persoonsgegevens en de wederzijdse verantwoordelijkheden.


zijn als volgt overeengekomen:



Artikel 1 Definities

In deze Overeenkomst hebben de met hoofdletter geschreven begrippen de betekenis zoals deze blijkt uit de Algemene Verordening Gegevensbescherming. De overige met hoofdletter geschreven be- grippen hebben de betekenis zoals in dit artikel opgenomen. Waar de definitie in dit artikel in het en- kelvoud is opgenomen, wordt ook het meervoud daaronder begrepen en vice versa, tenzij uitdrukkelijk anders vermeld of uit de context anders blijkt.

    1. AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).





    1. Bijlage: een bijlage bij deze Overeenkomst, die een integraal onderdeel vormt van de Over- eenkomst.

    2. Bijzondere categorieën Persoonsgegevens: Persoonsgegevens waaruit ras of etnische af- komst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaat- schap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, zoals bedoeld in artikel 9 AVG. Tevens vallen hier strafrechtelijke gegevens in de zin van artikel 10 AVG en het nationaal identificatienummer onder.

    3. Hoofdovereenkomst: de hoofdovereenkomst die tussen Partijen is gesloten in het kader van de Samenwerking en op grond waarvan Partijen Gezamenlijk Verwerkingsverantwoordelijken zijn.

    4. Medewerker: de door Partijen ingeschakelde werknemers en andere personen waarvan de werkzaamheden onder de verantwoordelijkheid van de betreffende Partij vallen en die worden ingeschakeld door die Partij ter uitvoering van de Overeenkomst.

    5. Overeenkomst: de onderhavige overeenkomst inclusief Bijlagen, zoals bedoeld in artikel 26 AVG.

    6. Samenwerking: de samenwerking tussen Partijen op grond van de Hoofdovereenkomst, zoals omschreven in Bijlage 1, waarbij Persoonsgegevens zullen worden uitgewisseld.

    7. Schriftelijk: op schrift gesteld of langs de elektronische weg, zoals bedoeld in artikel 6:227a van het Burgerlijk Wetboek.


Artikel 2 Voorwerp van de Overeenkomst

    1. De Overeenkomst vormt een aanvulling op de Hoofdovereenkomst en vervangt eventuele eer- der gemaakte afspraken tussen Partijen ten aanzien van de Verwerking van Persoonsgege- vens. Bij tegenstrijdigheid tussen de bepalingen uit de Overeenkomst en de Hoofdovereen- komst, prevaleren de bepalingen uit de Overeenkomst.

    2. De Overeenkomst is een gezamenlijk-verwerkingsverantwoordelijken overeenkomst waarin Partijen hun respectieve verantwoordelijkheden vastleggen in het kader van de Verwer- king(en) van Persoonsgegevens zoals beschreven in Bijlage 3. Partijen zijn gezamenlijke Ver- werkingsverantwoordelijken voor de in Bijlage 3 genoemde Verwerking(en).

    3. De bepalingen uit de Overeenkomst gelden voor alle Verwerking(en) die plaatsvinden ter uit- voering van de Samenwerking zoals nader beschreven in de Hoofdovereenkomst. Partijen brengen elkaar onverwijld op de hoogte indien één der Partijen reden heeft om aan te nemen dat hij niet langer aan de Overeenkomst kan voldoen.


Artikel 3 Verplichtingen van Partijen

    1. Partijen verklaren over en weer de Persoonsgegevens op behoorlijke, zorgvuldige en transpa- rante wijze te zullen verwerken, in overeenstemming met Bijlage 3 van deze Overeenkomst en de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, in het bijzonder maar niet beperkt tot de AVG en de Telecommunicatiewet.

    2. Partijen zullen de Persoonsgegevens uitsluitend verwerken voor het doeleinde waarvoor de Persoonsgegevens zijn verzameld, tenzij Partijen na voorafgaand overleg Schriftelijk overeen- komen dat Persoonsgegevens tevens mogen worden gebruikt voor doeleinden die daar vol- doende nauw mee samenhangen.

    3. Partijen zullen niet meer Persoonsgegevens verzamelen dan strikt noodzakelijk is voor het be- treffende doeleinde.

    4. Indien een Verwerking, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zullen Partijen voor de Verwerking een Gegevensbeschermingseffectbeoordeling uitvoeren. Deze Gegevensbeschermingseffectbeoordeling zal in dat geval worden opgenomen in een Bijlage bij deze Overeenkomst.

    5. Partijen zullen ieder zelfstandig verantwoordelijk zijn voor het bijhouden van de Verwer- king(en) in een passend register van verwerkingsactiviteiten.

    6. De verplichtingen die voortvloeien uit deze Overeenkomst, gelden ook voor degenen die on- der het gezag van Partijen Persoonsgegevens verwerken, zoals haar Medewerkers en inge- schakelde Verwerkers.

    7. Partijen dienen op duidelijke en eenvoudige wijze te communiceren waar de Betrokkene voor het uitoefenen van zijn rechten terecht kan, in overeenstemming met de taakverdeling zoals opgenomen in Bijlage 2.

    8. In Bijlage 1 wordt een specificatie opgenomen van de Samenwerking tussen Partijen in het kader van de Hoofdovereenkomst en wordt een algemene omschrijving gegeven van deze Samenwerking. Hierin zal tenminste worden opgenomen:


      • het doel en een omschrijving van de Samenwerking;

      • de applicatie(s) die bij de samenwerking gebruikt zal/zullen worden;

      • de leverancier(s) van de applicatie(s).


    1. In Bijlage 2 wordt een specificatie opgenomen van de onderlinge verantwoordelijkheden van Partijen en taakverdeling tussen Partijen met betrekking tot zorgvuldige Verwerking van Per- soonsgegevens in het kader van de Samenwerking. De volgende aspecten worden in ieder geval in Bijlage 2 vastgelegd:

      • welke Partij(en) wanneer verantwoordelijk is (of zijn) voor het sluiten van Verwerkersovereenkomst(en) met Xxxxxxxxx(s);

      • welke Partij(en) wanneer verantwoordelijk is (of zijn) voor de te treffen technische en organisatorische maatregelen ter beveiliging van Persoonsgegevens in het kader van de Samenwerking;

      • welke Partij(en) verantwoordelijk is (of zijn) voor het geven van uitvoering aan rechten van Betrokkenen, waaronder de informatieplicht.


    1. In Bijlage 3 wordt een specificatie opgenomen van de Verwerking. De volgende aspecten wor- den in ieder geval in Bijlage 3 vastgelegd:


      • een omschrijving van de Verwerking;

      • de doeleinden van de Verwerking;

      • de categorieën Betrokkenen;

      • de categorieën Persoonsgegevens;

      • de bewaartermijnen;

      • de categorieën Medewerkers die toegang hebben tot de Persoonsgegevens;

      • de Verwerkers die zijn ingeschakeld bij de Verwerking door Partijen;

      • de eventuele doorgiften naar landen buiten de EER;

      • contactgegevens van Partijen in geval van een Inbreuk in verband met Persoonsgege- vens.


    1. In Bijlage 4 wordt een specificatie opgenomen van de door Partijen getroffen technische en organisatorische beveiligingsmaatregelen.


Artikel 4 Toegang tot Persoonsgegevens

    1. Partijen beperken de toegang tot Persoonsgegevens aan Medewerkers, Verwerkers, Derden en andere Ontvangers van Persoonsgegevens tot een noodzakelijk minimum.





    1. De categorieën Medewerkers die in het kader van de Samenwerking toegang nodig hebben tot Persoonsgegevens, zijn in Bijlage 3 gespecificeerd door Partijen.

    2. Partijen mogen zonder voorafgaande Schriftelijke toestemming van de andere Partijen geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.

    3. Indien een Partij (delen van) de (verdere) Verwerking van de betreffende Persoonsgegevens in overeenstemming met artikel 4.3, uitbesteedt aan een Verwerker, draagt hij er zorg voor dat de Verwerker de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstem- ming met de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgege- vens verwerkt. Afspraken omtrent de verwerking van Persoonsgegevens door een Verwerker zullen worden vastgelegd in een passende Verwerkersovereenkomst in de zin van artikel 28 AVG. Waar mogelijk zullen Partijen de meest recente versie van de SURF Model Verwerkers- overeenkomst hiervoor hanteren. De Verwerkers die door Partijen worden ingeschakeld, wor- den vastgelegd in Bijlage 3.

    4. Alle Partijen hebben te allen tijde het recht de Verwerkersovereenkomst(en) zoals bedoeld ar- tikel 4.4 in te zien.

    5. Partijen mogen Persoonsgegevens laten verwerken door andere personen of organisaties bui- ten de Europese Economische Ruimte in overeenstemming met artikel 4.3 t/m 4.5, mits de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens in acht wordt genomen. Het doorgevingsmechanisme wordt opgenomen in Bijlage 3.


Artikel 5 Geheimhouding en vertrouwelijkheid

    1. Alle Persoonsgegevens worden als vertrouwelijke gegevens gekwalificeerd en dienen als zo- danig te worden behandeld. Partijen leggen deze geheimhoudingsplicht tevens op aan alle door Partijen in te schakelen (rechts)personen, waaronder maar niet beperkt tot Medewerkers, Verwerkers, Derden en andere Ontvangers van Persoonsgegevens.

    2. Partijen houden alle Persoonsgegevens geheim en maken deze op geen enkele wijze verder intern of extern bekend, behalve voor zover:


      1. Bekendmaking en/of verstrekking van de Persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst of Overeenkomst noodzakelijk is;

      2. Enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak van een bevoegde recht- bank of bevel van een andere overheidsinstantie die gezag over Partijen heeft, Partijen tot be- kendmaking, verstrekking en/of doorgifte van die Persoonsgegevens verplicht, waarbij Partijen eerst de andere Partijen hiervan op de hoogte stellen, of;

      3. Bekendmaking en/of verstrekking van die Persoonsgegevens geschiedt met voorafgaande Schriftelijke toestemming van de andere Partijen.



Artikel 6 Aansprakelijkheid

    1. Partijen zijn jegens elkaar enkel aansprakelijk in het geval een Partij toerekenbaar tekortschiet in de nakoming van één harer verplichtingen uit deze Overeenkomst en uitsluitend voor directe schade welke door de verzekeraar wordt vergoed en uitgekeerd waarbij op grond van de verzekering een maximum geldt van EUR [X] per jaar. De maximale aansprakelijkheid uit de vorige zin, geldt per gebeurtenis, waarbij een reeks van samenhangende gebeurtenissen wordt aangemerkt als één gebeurtenis. Indien geen uitkering mocht plaatsvinden door de verzekering, om wat voor reden dan ook, dan is de aansprakelijkheid van de Partij beperkt tot EUR [X] per gebeurtenis of serie van samenhangende gebeurtenissen.





    1. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de schadeveroorzakende Partij(en) en/of haar bedrijfsleiding.

    2. Een Partij die één haren verplichtingen uit de Overeenkomst toerekenbaar niet nakomt en waardoor de andere Partijen door een derde worden aangesproken voor schade, kosten of rente, vrijwaart en stelt de andere Partijen volledig schadeloos voor de aanspraak van die derde, tenzij deze Partij bewijst dat een en ander is veroorzaakt door opzet of grove schuld van de andere Partij(en).


Artikel 7 Inbreuk in verband met Persoonsgegevens

    1. In het geval van een Inbreuk in verband met Persoonsgegevens is de Partij bij wie de Inbreuk heeft plaatsgevonden, verantwoordelijk voor de melding daarvan aan de andere Partijen. Partijen zullen elkaar onverwijld op de hoogte stellen van de informatie zoals die blijkt uit het meest recente formulier datalekken van de Autoriteit Persoonsgegevens welke te vinden is bij het Meldloket datalekken Autoriteit Persoonsgegevens.

    2. Naar aanleiding van de melding, zoals omschreven in artikel 7.1, zullen Partijen in goed overleg bespreken wat de (mogelijke) gevolgen van de Inbreuk zijn voor alle Partijen.

    3. Partijen zullen elkaar op de hoogte houden van nieuwe ontwikkelingen rondom de Inbreuk.

    4. Partijen zijn en blijven ieder zelfstandig verantwoordelijk voor het melden van een Inbreuk aan de Toezichthoudende autoriteit en/of Betrokkenen, indien de inbreuk onder haar verantwoordelijkheid heeft plaatsgevonden. Eventuele kosten die gemaakt worden om de inbreuk op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van de Partij bij wie de inbreuk heeft plaatsgevonden. Partijen kunnen in overleg treden over een eventuele verdeling van deze kosten, indien het gaat om een oplossing die in het belang is van alle Partijen.

    5. Partijen zijn ieder zelf verantwoordelijk voor het bijhouden van een datalekregister.


Artikel 8. Duur en beëindiging

    1. Deze Overeenkomst komt tot stand door ondertekening van Partijen. De duur van de Over- eenkomst is gelijk aan de duur van de Hoofdovereenkomst. De Overeenkomst is niet los van de Hoofdovereenkomst te beëindigen. Bij beëindiging van de Hoofdovereenkomst eindigt de Overeenkomst van rechtswege en vice versa.

    2. Partijen mogen deze Overeenkomst alleen wijzigen na overleg met en met toestemming van alle Partijen en zullen zich inspannen om, wanneer wijzigingen in toepasselijke wet- en regel- geving daartoe aanleiding geven, een passende wijziging van deze Overeenkomst te bewerk- stelligen.

    3. Partijen zullen na afloop van de Overeenkomst en/of het verstrijken van de (wettelijke) be- waartermijnen gezamenlijk zorgdragen voor de vernietiging van de Persoonsgegevens.

    4. Verplichtingen uit de Overeenkomst die naar hun aard bestemd zijn om na beëindiging van de Overeenkomst voort te duren, blijven na beëindiging van de Overeenkomst voortduren.


Artikel 9. Overige bepalingen

    1. De Overeenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

    2. Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Overeenkomst, zullen worden voorgelegd aan dezelfde rechter die op grond van de Hoofdovereenkomst bevoegd is.

    3. Indien één of meer bepalingen van de Overeenkomst niet rechtsgeldig blijken te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen overleggen alsdan over de bepalingen die niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen bepaling.






Aldus overeengekomen en ondertekend,


Technische Universiteit Delft


___ / ___ / ______

[naam]

[functie]




handtekening


[Bedrijf X]

___ / ___ / ______

[naam]

[functie]




handtekening


[Bedrijf X]

___ / ___ / ______

[naam]

[functie]





handtekening



[Bedrijf X]

___ / ___ / ______

[naam]

[functie]





handtekening








OVERZICHT BIJLAGEN


Bijlage 1: Specificatie van de Samenwerking

Bijlage 2: Specificatie onderlinge verantwoordelijkheden en taakverdeling Bijlage 3: Specificatie van de Verwerking(en)

Bijlage 4: Specificatie van getroffen technische en organisatorische beveiligingsmaatregelen





BIJLAGE 1: SAMENWERKING


Beschrijving samenwerking

In deze bijlage wordt de samenwerking tussen partijen omschreven, in het kader waarvan deze geza- menlijk verantwoordelijkenovereenkomst nodig is. Neem hier in ieder geval de volgende aspecten op:

      • Het doel en een omschrijving van de Samenwerking. Ziet deze samenwerking bijvoorbeeld op een project of op gezamenlijk gebruik van een applicatie?

      • De startdatum van de Samenwerking.

      • De eventuele applicaties die bij de samenwerking gebruikt zullen worden.

      • De leveranciers van deze applicaties.


Applicatie(s)

Naam applicatie



Leverancier







BIJLAGE 2: ONDERLINGE VERANTWOORDELIJKHEDEN EN TAAKVERDELING

In deze bijlage wordt de onderlinge verdeling van verantwoordelijkheden van partijen uitgewerkt. Artikel 26 AVG stelt dat de gezamenlijk verwerkingsverantwoordelijken op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit de AVG door mid- del van een onderlinge regeling vaststellen.


Het is belangrijk dat de verdeling van verantwoordelijkheden zo nauwkeurig mogelijk wordt uitge- werkt. Hier moeten in ieder geval de volgende aspecten in worden meegenomen:


  1. Overeenkomst(en) met Verwerkers

Welke partij(en) is/zijn verantwoordelijk voor het sluiten van (verwerkers)overeenkomsten met de verwerkers zoals neergelegd in Bijlage 1 (artikel 28 AVG)?


  1. Technische en organisatorische beveiligingsmaatregelen

Welke partij(en) is/zijn verantwoordelijk voor het treffen van passende technische en organi- satorische beveiligingsmaatregelen (artikel 32 AVG)?


  1. Rechten van Betrokkenen

Welke partij(en) zal/zullen zorgdragen voor toepassing van de rechten van betrokkenen (arti- kel 12 t/m 23 AVG)? Het is mogelijk dat er hierin een onderverdeling wordt gemaakt. In dat geval dient gespecificeerd te worden wie verantwoordelijk is voor welke rechten van de be- trokkenen. Het moet voor betrokkenen duidelijk zijn bij wie zij terecht kunnen voor verzoeken.





BIJLAGE 3: SPECIFICATIE VAN DE VERWERKING(EN)


Shape1


Shape2


Shape3


Shape4


Shape5


Categorieën Medewerkers

Partij

Categorieën Medewerkers (functierollen/functiegroepen) van Partijen die Persoonsgegevens verwerken

(Categorie) Persoons- gegevens die door Medewerkers worden verwerkt

Soort Verwerking

[Bedrijf X]




[Bedrijf X]




[Bedrijf X]




[Bedrijf X]





Ve rwerkers

Partijen hebben toestemming gegeven voor de inschakeling van de hierna opgenomen Verwerkers.





Partij

Verwerkers die door Partij zijn ingeschakeld

Land van Verwer- king

Ves-tigings- plaats Ver-werker

Xxxx-xxxx- keld door

Xxxxxx-xxxxxxxxxxxxxxxx

Toestem- ming andere Partijen

TU Delft







[Bedrijf X]







[Bedrijf X]







[Bedrijf X]








Doorgiften

Partijen hebben toestemming gegeven voor de hierna opgenomen doorgiften aan derde landen of internationale organisaties.


Partij

Beschrijving door-

Entiteit die de

Entiteit die de

Doorgifte-mecha-

gifte

Persoonsgege-

Persoonsgege-

nisme

vens doorgeeft +

vens ontvangt +

land

land

TU Delft





[Bedrijf X]





[Bedrijf X]





[Bedrijf X]






Contactgegevens

Contactgegevens

bij Inbreuk in verband met Persoonsgegevens

Naam

Functie

E-mail adres

Telefoonnummer

TU Delft





[Bedrijf X]





[Bedrijf X]





[Bedrijf X]










BIJLAGE 4: SPECIFICATIE VAN GETROFFEN TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN

Partijen zullen de in deze bijlage genoemde technische- en organisatorische beveiligingsmaatregelen treffen.

  1. Technische beveiligingsmaatregelen



Partij


Getroffen technische beveiligingsmaatregelen


TU Delft



[Bedrijf X]



[Bedrijf X]



[Bedrijf X]



  1. Organisatorische beveiligingsmaatregelen: rollen en rechtenmodel.



Partij


Getroffen organisatorische beveiligingsmaatregelen


TU Delft



[Bedrijf X]



[Bedrijf X]



[Bedrijf X]



2

Gezamenlijk Verantwoordelijkenovereenkomst


Document Metadata

Filed: January 9th, 2019